Nieuws

Plasterk: Nieuwe inlogmethode overheid kent serieuze risico's

maandag 10 april 2017, 15:08 door Redactie, 10 reacties

De invoering van nieuwe manieren om bij de overheid in te loggen kent serieuze risico's, zo heeft demissionair minister Plasterk van Binnenlandse Zaken aan de Tweede Kamer laten weten. De overheid en het bedrijfsleven werken op dit moment aan een standaard voor online identificatie, het eID-stelsel.

Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven. Zo loopt er op dit moment een test waarbij deelnemers via het inlogmiddel van hun bank bij de Belastingdienst kunnen inloggen. Plasterk meldt dat dit jaar de bestaande pilots met dergelijke inlogmiddelen worden voortgezet en uitgebreid.

Later dit jaar is het plan om met een aantal voorlopers, waaronder de Belastingdienst en in de zorg, een groot aantal eID-inlogmiddelen uit te rollen. "Dan moeten ook de versterkte maatregelen van kracht zijn om onder andere de veiligheids- en privacyrisico’s sterk terug te dringen", schrijft Plasterk (doc). De minister stelt dat het eID-programma serieuze risico's kent. Het gaat dan om technologische, financiële en implementatierisico's. Concreet worden onder andere kinderziektes, stijgende kosten, gebrek aan draagvlak en belangenverstrengeling genoemd.

In de brief aan de Tweede Kamer noemt Plasterk verschillende oplossingen voor de risico's. Daarnaast wordt er periodiek over de risico's gerapporteerd. "Ook worden onafhankelijke waarborgen ingebouwd zoals externe audits en reviews. Door het inbouwen van onafhankelijke waarborgen zoals externe audits en reviews zijn de grootste risico’s van de Impuls eID in kaart gebracht en worden de risico’s beheerst", aldus de minister. Vanwege de complexiteit van het programma biedt Plasterk de nieuwe Kamercommissie voor de volgende voortgangsrapportage een technische briefing aan.

Symantec: Vermeende CIA-hacktools gebruikt voor 40 aanvallen

Hackers veranderen bankgegevens verkopers op Amazon

Reacties (10)

10-04-2017, 15:29 door Anoniem

schrijft Plasterk (doc)

ALWEER? leren ze het nou nooit?

10-04-2017, 15:35 door Anoniem

Nu hij demissionair en uit de kamer is mag het pas gezegd worden.

Maar het grootste probleem snapt de beste man nog steeds niet.

10-04-2017, 17:10 door Anoniem

Concreet worden onder andere kinderziektes, stijgende kosten, gebrek aan draagvlak en belangenverstrengeling genoemd

Dat lijkt me dat er bij de start van het project al fouten gemaakt zijn.
E.e.a. ga je niet oplossen met audits of reviews. Deze problemen hadden in de concept fase al uitgebannen moeten zijn.

Met stijgende kosten en een gebrek aan draagvlak is dit kind al doodgeboren. Tenzij de belangeverstrengeling het (kunstmatig) in leven houdt. Maar dat gaat dan ten koste van gemeenschapsgelden. En dat kan nooit de bedoeling zijn.

Schaf de hele zooi maar af, en begin maar opnieuw. En deze keer met een goed ontwerp en duidelijke kaders.

10-04-2017, 18:09 door Ron625

Door Anoniem: schrijft Plasterk (doc)
ALWEER? leren ze het nou nooit?

Nee, ze leren het nooit.
Wanneer Plasterk zich niet aan de regels wil houden, verdient hij een flinke reprimande in het openbaar !

10-04-2017, 21:19 door Anoniem

Een ezel stoot zich geen twee keer tegen dezelfde steen.
Conclusie: Plasterk is in ieder geval géén ezel!

Risico's vooraf uitbannen, daarna ga je je pilots maar inplannen, niet andersom, want dan gaat de druk weer bij de uitrol liggen ipv het oplossen van de echte issues, voor de 1000e keer!

11-04-2017, 08:14 door Anoniem

Je krijgt precies waar je voor betaald. Zolang de overheid in het algemeen maar denkt dat projecten die in werkelijkheid 100 milj kosten gedaan kunnen worden voor 10 milj, dan krijg je precies datgene waar je voor betaald. Dat het een draak van een product is en aan onderhoud nu 150 milj gaat kosten maakt niet meer uit. De overheid wil steeds een BMW M5 maar wil maar betalen voor een Dacia Logan. En dan wel verwachten dat die laatste hetzelfde kan als het eerste.
Niet achteraf komen met allerlei klachten...die wist je van te voren. Je moet ICT werk gewoon uitbesteden als overheid. OF mensen aannemen die ter zake kundig zijn en daadwerkelijk zulke grote projecten goed kunnen managen en iedereen erop aanspreekt als er weer eens iets niet nagekomen wordt. Dus mr Plasterk, steekt u vooral de hand maar in eigen boezem. Een IT-er kan alles maken, legaal en illegaal, maar je moet wel normaal zaken doen. <einde>

11-04-2017, 16:19 door Anoniem

Door Anoniem:Je moet ICT werk gewoon uitbesteden als overheid. OF mensen aannemen die ter zake kundig zijn en daadwerkelijk zulke grote projecten goed kunnen managen en iedereen erop aanspreekt als er weer eens iets niet nagekomen wordt.

Ik denk dat je hier EN bedoelt.
Als je ICT uitbesteed heb je een sterke organisatie nodig met mensen die snappen waar het om gaat en gaten kunnen prikken in de luchtbalonnen van de externe ICT organisaties. Mensen die vervolgens die organisaties ook kunnen controleren, goede contracten kunnen afsluiten en niet bang zijn zo'n partij de rug toe te keren als ze het niet goed doen.

Dat laatste is vooral lastig omdat iedereen roept dat het zonde is van die 50M die al betaald is. Maar als je uiteindelijk 100M hebt betaald en het werkt niet, moet je alsnog iemand anders weer 50M gaan betalen en ben je dus 3x zo duur uit. Als je na de eerste 50M het contract had opgezegd, was je maar 2x zo duur uit. Zulke simpele ecnomieregels lijken ze bij de overheid al niet te snappen.

Wij hebben tot nu toe een aanbesteding geannuleerd terwijl het product bijna opgeleverd werd. Tenminste volgens de leverancier. De fouten die in de PoC zaten, telde hij niet mee. Hij had alleen de beoogde opleverdatum in zijn hoofd.

Peter

11-04-2017, 16:21 door Anoniem

Plasterk: Nieuwe inlogmethode overheid kent serieuze PRIVACYrisico's

Klopt, banken kijken graag via SITE ANALYTICS mee waar ze kunnen.
Die site analytics gebruikt de bank wel maar wil er zogenaamd verder niets mee te maken hebben, ze verstopt ze dieper en dieper.
En als je er dan toch nog achter komt, nou dan wordt je doorverwezen naar het privacy policy van de analytics boer aan de overkant van de grote boze oceaan.

Gaatje in je hoof als je het systeem van de banken gaat gebruiken.
Want waren het niet de banken die er wel brood in zagen om klantdata te gaan verkopen?
Inloggen met je bank?
Deze doehetzelfpolitiekprofessor is echt heel erg demissionair op meerdere vlakken.
Al verwoordt hij het per ongeluk een keertje goed, dat was vast niet zo bedoeld.

11-04-2017, 17:01 door Anoniem

Door Anoniem: Dat lijkt me dat er bij de start van het project al fouten gemaakt zijn.
E.e.a. ga je niet oplossen met audits of reviews. Deze problemen hadden in de concept fase al uitgebannen moeten zijn.

Door Anoniem: Risico's vooraf uitbannen, daarna ga je je pilots maar inplannen, niet andersom, want dan gaat de druk weer bij de uitrol liggen ipv het oplossen van de echte issues, voor de 1000e keer!

Als het mogelijk was om risico's vooraf uit te bannen dan zou niemand ooit een pilot nodig hebben, waarom zou je dingen nog testen als je fouten voor kan zijn? Flauwe kul, mensen maken fouten en risico's zijn er altijd. Het is niet onprofessioneel om er rekening mee te houden, het zou juist uiterst onprofessioneel zijn om er geen rekening mee te houden en het project niet nauwlettend in de gaten te houden. Als ik maatregelen als "vroegtijdig en voortdurend monitoren" zie staan lijkt het erop dat ze het juist niet aan willen laten komen op het verplaatsen van de druk naar de uitrol.

Het lijkt hier af en toe wel alsof de naam Plasterk mensen doet reageren als de spreekwoordelijke stier op een rode lap. Wat mij betreft maakt Plasterk zich niet belachelijk met deze brief, maar jullie wel met de manier waarop jullie reageren.

12-04-2017, 08:22 door Anoniem

Door Anoniem:Als het mogelijk was om risico's vooraf uit te bannen dan zou niemand ooit een pilot nodig hebben, waarom zou je dingen nog testen als je fouten voor kan zijn? Flauwe kul, mensen maken fouten en risico's zijn er altijd. Het is niet onprofessioneel om er rekening mee te houden, het zou juist uiterst onprofessioneel zijn om er geen rekening mee te houden en het project niet nauwlettend in de gaten te houden. Als ik maatregelen als "vroegtijdig en voortdurend monitoren" zie staan lijkt het erop dat ze het juist niet aan willen laten komen op het verplaatsen van de druk naar de uitrol.

Het lijkt hier af en toe wel alsof de naam Plasterk mensen doet reageren als de spreekwoordelijke stier op een rode lap. Wat mij betreft maakt Plasterk zich niet belachelijk met deze brief, maar jullie wel met de manier waarop jullie reageren.

Er bestaat zoiets als "privacy by design".
Als je design al niet goed is, ga je dat niet oplossen met audits of reviews. dan ben je al te laat.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer