Overheid komt met één inlogmiddel voor ondernemers
Ondernemers hebben straks nog maar één inlogmiddel nodig genaamd eHerkenning om zaken als belastingen, subsidies, voertuigoverschrijvingen en wijzigingen in het Handelsregister te regelen, zo laat het ministerie van Economische Zaken vandaag weten.
Bedrijven kunnen vanaf oktober gefaseerd gebruik gaan maken van het inlogsysteem eHerkenning voor het wijzigen van zakelijke gegevens, zoals de aangifte omzetbelasting. Bestaande zakelijke inlogmiddelen worden op termijn afgeschaft. Op dit moment hebben overheidsorganisaties het identificeren van zakelijke transacties nog op verschillende manieren geregeld. Ondernemers moeten dan telkens inloggen met een aparte gebruikersnaam en wachtwoord. Voor zakelijke transacties met de overheid worden deze inlogmiddelen op termijn vervangen door eHerkenning, waarbij een sms als extra verificatie is vereist.
EHerkenning wordt door de overheid al langer als identificatiemiddel gebruikt, bijvoorbeeld door de Dienst Justis. Door de vandaag aangekondigde grootschalige toepassing krijgen nagenoeg alle bedrijven te maken met eHerkenning. Het ministerie laat weten dat de nieuwe online identificatie ondernemers jaarlijks enkele tientjes gaat kosten, afhankelijk van de leverancier. Volgens het ministerie is betalen voor een digitale sleutel niet nieuw, waarbij als voorbeeld wordt gewezen naar de kosten voor een identiteitskaart of paspoort.
"Door zwakheden in de beveiliging van gsmcommunicatie kunnen bijvoorbeeld telefoongesprekken en sms-berichten worden afgeluisterd."
Waarom gebruikt de overheid dan nog SMS als second factor?
"Door zwakheden in de beveiliging van gsmcommunicatie kunnen bijvoorbeeld telefoongesprekken en sms-berichten worden afgeluisterd."
Waarom gebruikt de overheid dan nog SMS als second factor?
Het gaat niet om de absolute veiligheid want die bestaat niet. Het om risico kans impact.
(en garandeer je dat dit advies niet volgende maand "hardstikke dom" blijkt te zijn? wat het gebruik van SMS nog niet is)
Dat berust namelijk altijd op de drogreden 'evidence of absence'.
Dat JIJ geen methoden van misbruik kunt verzinnen staat niet gelijk aan veilig zijn.
Daarnaast heb je proportionaliteit van veiligheidsmaatregelen. Als bekende omzeilmethoden zoals bv bruteforce cracking meer moeite/tijd/geld kosten dan het maximaal kan opleveren, dan is het in principe goed beveiligd, zelfs als het kraakbaar is.
In een gemeentehuis kaartte ik eens aan dat de aangesloten usb hubs op de monitoren die met de achterkant naar de klant toe stonden(/staan?) een behoorlijk beveiligingsrisico representeerden. (denk aan usb keyloggers/usb keyboard macro executers/spyware/virussen/etc). Als klant kon je daar ongezien bij en dat leek me niet echt de bedoeling. De man die daarover ging verklaarde me nog net niet voor gek(maar achter de schermen vast helemaal).. Hij herkende duidelijk de risicos niet en waande het veilig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
