Plasterk: Nieuwe inlogmethode overheid kent serieuze risico's
De invoering van nieuwe manieren om bij de overheid in te loggen kent serieuze risico's, zo heeft demissionair minister Plasterk van Binnenlandse Zaken aan de Tweede Kamer laten weten. De overheid en het bedrijfsleven werken op dit moment aan een standaard voor online identificatie, het eID-stelsel.
Het is de bedoeling dat mensen en bedrijven met eID toegang kunnen krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven. Zo loopt er op dit moment een test waarbij deelnemers via het inlogmiddel van hun bank bij de Belastingdienst kunnen inloggen. Plasterk meldt dat dit jaar de bestaande pilots met dergelijke inlogmiddelen worden voortgezet en uitgebreid.
Later dit jaar is het plan om met een aantal voorlopers, waaronder de Belastingdienst en in de zorg, een groot aantal eID-inlogmiddelen uit te rollen. "Dan moeten ook de versterkte maatregelen van kracht zijn om onder andere de veiligheids- en privacyrisico’s sterk terug te dringen", schrijft Plasterk (doc). De minister stelt dat het eID-programma serieuze risico's kent. Het gaat dan om technologische, financiële en implementatierisico's. Concreet worden onder andere kinderziektes, stijgende kosten, gebrek aan draagvlak en belangenverstrengeling genoemd.
In de brief aan de Tweede Kamer noemt Plasterk verschillende oplossingen voor de risico's. Daarnaast wordt er periodiek over de risico's gerapporteerd. "Ook worden onafhankelijke waarborgen ingebouwd zoals externe audits en reviews. Door het inbouwen van onafhankelijke waarborgen zoals externe audits en reviews zijn de grootste risico’s van de Impuls eID in kaart gebracht en worden de risico’s beheerst", aldus de minister. Vanwege de complexiteit van het programma biedt Plasterk de nieuwe Kamercommissie voor de volgende voortgangsrapportage een technische briefing aan.
Maar het grootste probleem snapt de beste man nog steeds niet.
Dat lijkt me dat er bij de start van het project al fouten gemaakt zijn.
E.e.a. ga je niet oplossen met audits of reviews. Deze problemen hadden in de concept fase al uitgebannen moeten zijn.
Met stijgende kosten en een gebrek aan draagvlak is dit kind al doodgeboren. Tenzij de belangeverstrengeling het (kunstmatig) in leven houdt. Maar dat gaat dan ten koste van gemeenschapsgelden. En dat kan nooit de bedoeling zijn.
Schaf de hele zooi maar af, en begin maar opnieuw. En deze keer met een goed ontwerp en duidelijke kaders.
ALWEER? leren ze het nou nooit?
Wanneer Plasterk zich niet aan de regels wil houden, verdient hij een flinke reprimande in het openbaar !
Conclusie: Plasterk is in ieder geval géén ezel!
Risico's vooraf uitbannen, daarna ga je je pilots maar inplannen, niet andersom, want dan gaat de druk weer bij de uitrol liggen ipv het oplossen van de echte issues, voor de 1000e keer!
Niet achteraf komen met allerlei klachten...die wist je van te voren. Je moet ICT werk gewoon uitbesteden als overheid. OF mensen aannemen die ter zake kundig zijn en daadwerkelijk zulke grote projecten goed kunnen managen en iedereen erop aanspreekt als er weer eens iets niet nagekomen wordt. Dus mr Plasterk, steekt u vooral de hand maar in eigen boezem. Een IT-er kan alles maken, legaal en illegaal, maar je moet wel normaal zaken doen. <einde>
Ik denk dat je hier EN bedoelt.
Als je ICT uitbesteed heb je een sterke organisatie nodig met mensen die snappen waar het om gaat en gaten kunnen prikken in de luchtbalonnen van de externe ICT organisaties. Mensen die vervolgens die organisaties ook kunnen controleren, goede contracten kunnen afsluiten en niet bang zijn zo'n partij de rug toe te keren als ze het niet goed doen.
Dat laatste is vooral lastig omdat iedereen roept dat het zonde is van die 50M die al betaald is. Maar als je uiteindelijk 100M hebt betaald en het werkt niet, moet je alsnog iemand anders weer 50M gaan betalen en ben je dus 3x zo duur uit. Als je na de eerste 50M het contract had opgezegd, was je maar 2x zo duur uit. Zulke simpele ecnomieregels lijken ze bij de overheid al niet te snappen.
Wij hebben tot nu toe een aanbesteding geannuleerd terwijl het product bijna opgeleverd werd. Tenminste volgens de leverancier. De fouten die in de PoC zaten, telde hij niet mee. Hij had alleen de beoogde opleverdatum in zijn hoofd.
Peter
Klopt, banken kijken graag via SITE ANALYTICS mee waar ze kunnen.
Die site analytics gebruikt de bank wel maar wil er zogenaamd verder niets mee te maken hebben, ze verstopt ze dieper en dieper.
En als je er dan toch nog achter komt, nou dan wordt je doorverwezen naar het privacy policy van de analytics boer aan de overkant van de grote boze oceaan.
Gaatje in je hoof als je het systeem van de banken gaat gebruiken.
Want waren het niet de banken die er wel brood in zagen om klantdata te gaan verkopen?
Inloggen met je bank?
Deze doehetzelfpolitiekprofessor is echt heel erg demissionair op meerdere vlakken.
Al verwoordt hij het per ongeluk een keertje goed, dat was vast niet zo bedoeld.
E.e.a. ga je niet oplossen met audits of reviews. Deze problemen hadden in de concept fase al uitgebannen moeten zijn.
Het lijkt hier af en toe wel alsof de naam Plasterk mensen doet reageren als de spreekwoordelijke stier op een rode lap. Wat mij betreft maakt Plasterk zich niet belachelijk met deze brief, maar jullie wel met de manier waarop jullie reageren.
Het lijkt hier af en toe wel alsof de naam Plasterk mensen doet reageren als de spreekwoordelijke stier op een rode lap. Wat mij betreft maakt Plasterk zich niet belachelijk met deze brief, maar jullie wel met de manier waarop jullie reageren.
Er bestaat zoiets als "privacy by design".
Als je design al niet goed is, ga je dat niet oplossen met audits of reviews. dan ben je al te laat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
