image

De Jonge: GGD voldoet niet aan beveiligingseisen DigiD

dinsdag 9 februari 2021, 20:37 door Redactie, 13 reacties
Laatst bijgewerkt: 09-02-2021, 21:20

GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus in Nederland, voldoet voor de website coronatest.nl niet aan de beveiligingseisen die aan het gebruik van DigiD worden gesteld, zo laat minister De Jonge van Volksgezondheid aan de Tweede Kamer weten.

Burgers die bij de GGD een afspraak willen maken voor een coronatest of hun testuitslag willen zien kunnen met DigiD inloggen op coronatest.nl. Iedere organisatie die gebruikmaakt van DigiD moet aan een aantal beveiligingseisen voldoen. Hierop wordt toegezien door Logius, de ict-dienstverlener van het Rijk en voor DigiD verantwoordelijke overheidsinstantie.

Uit een assessment die Logius uitvoerde blijkt dat GGD GHOR Nederland op zes punten niet voldoet aan de beveiligingseisen die voor het gebruik van DigiD gelden. Daarop heeft de koepelorganisatie actie ondernomen. Op twee punten is de gestelde termijn niet behaald. "Momenteel voldoet GGD GHOR Nederland derhalve niet volledig aan de normen", aldus De Jonge.

Volgens de minister heeft Logius benadrukt dat er geen sprake is van een onveilige situatie. GGD GHOR en Logius hebben inmiddels overlegd over de termijn waarop de organisatie alsnog volledig aan de eisen zal voldoen. "De auditverklaring over het voldoen aan de norm zal daartoe worden afgewacht", merkt De Jonge op.

Reacties (13)
09-02-2021, 21:36 door Anoniem
Daar komt nog dat dat die normen een lachertje zijn. Dus zelfs aan een lachertje kunnen ze niet voldoen.

Mensen, laat U testen!
09-02-2021, 21:53 door Anoniem
Tja, men lijkt de voorkeur te hebben voor het doen van zaken met dubieuze partners...
Hoewel ik al een jaar lees van problemen, komt er pas een jaar later aandacht voor? :-)
09-02-2021, 22:05 door Anoniem
Door Anoniem: Tja, men lijkt de voorkeur te hebben voor het doen van zaken met dubieuze partners...
Hoewel ik al een jaar lees van problemen, komt er pas een jaar later aandacht voor? :-)

Allemaal uitstel tot er een nieuw kabinet aangereden is. Daarna is het de nieuwe minister zijn hete aardappel.
(Ik ben benieuwd of deze minister op deze plek terug komt)
09-02-2021, 22:16 door Anoniem
Eerder was het al mogelijk om zelf een query te doen op de vrije slots voor het boeken van een teststraat en nu dit. Het valt wel op dat de site waar de api op draait die de testresultaten terug moet geven er wel is, maar de applicatie niet functioneert. Werd onze BSN soms base64 encoded verzonden in de URL of onveilig in een cookie opgeslagen? Konden we testresultaten van anderen opvragen of blijkt nu ineens Cloudflare hiervoor een minder geschikt platform? Logt Cloudflare IP's van geteste personen? vragen vragen....
09-02-2021, 22:37 door Anoniem
Door Anoniem: Daar komt nog dat dat die normen een lachertje zijn. Dus zelfs aan een lachertje kunnen ze niet voldoen.

Mensen, laat U testen!
Linkje graag, dat die normen een lachertje zijn.
10-02-2021, 04:57 door Anoniem
Door Anoniem: Allemaal uitstel tot er een nieuw kabinet aangereden is. Daarna is het de nieuwe minister zijn hete aardappel.
Als het hele nieuwe kabinet aangereden wordt dan ben ik bang dat er weer een nieuw kabinet moet aantreden. ;-)
10-02-2021, 08:20 door Anoniem
Volgens de minister heeft Logius benadrukt dat er geen sprake is van een onveilige situatie.

Dat nemen we met de gebruikelijke hoeveelheid zout... Overigens waren er gisteren bij NOS heel andere berichten over...

Op zich is het niet verrassend dat de GGD opnieuw in het nieuws is. Na de eerste zeperd is het vergrootglas gepakt. Dan vind je conform Heinrichs' Law (de verhouding grote incidenten:kleinere incidenten:near misses:slechte processen = 1:29:300:1000) onvermijdelijk nog meer.

Een en ander werpt ook het licht op DigiD. Dit overtreedt een belangrijke regel in authenticatie, namelijk om niet alles op één kaart te zetten. DigiD is een zeer verleidelijk doel voor aanvallers omdat het in een keer heel veel services opent, en omdat gelijktijdig er heel veel deelnemers en dus kwetsbare punten zijn. Als er één faalt, faalt het geheel, voor alle DigiD gebruikers en afnemers tegelijk.
10-02-2021, 09:01 door Anoniem
Allemaal uitstel tot er een nieuw kabinet aangereden is. Daarna is het de nieuwe minister zijn hete aardappel.
(Ik ben benieuwd of deze minister op deze plek terug komt)

Het lijkt mij heel erg sterk als De Jonge na de verkiezingen er nog is.

https://joop.bnnvara.nl/nieuws/hugo-de-jonge-weg-als-lijsttrekker-cda
10-02-2021, 12:34 door linuxpro - Bijgewerkt: 10-02-2021, 12:35
Even klein onderzoekje gedaan.

De prutsers die door Logius op de vingers zijn getikt omdat de conronatest.nl zo lek is als een zeef is CoronIT en de vallen weer onder Topicus bv. Dat is een bedrijfje wat softwarebedrijfjes opkoopt met winst als doel en privacy of security kennelijk niet belangrijk vinden.
Zo springt 't incapabele gebleken GHOR/GGD clubje van ex politicus Rouvoet om met miljoenen belastinggeld.
10-02-2021, 16:59 door Anoniem
Door Anoniem:
Door Anoniem: Daar komt nog dat dat die normen een lachertje zijn. Dus zelfs aan een lachertje kunnen ze niet voldoen.

Mensen, laat U testen!
Linkje graag, dat die normen een lachertje zijn.

Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.

https://www.norea.nl/download/?id=2562
10-02-2021, 20:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Daar komt nog dat dat die normen een lachertje zijn. Dus zelfs aan een lachertje kunnen ze niet voldoen.

Mensen, laat U testen!
Linkje graag, dat die normen een lachertje zijn.

Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.

https://www.norea.nl/download/?id=2562

Dit zijn prima normen (de officiële staan op NCSC. Een subset van de 'ICT Webrichtlijnen') met de teststrategie van de auditor erachter. Helaas zijn dit soort normen voor sommige(!) organisaties nog steeds een uitdaging om compleet én aantoonbaar op orde te krijgen. Probleem zit niet in de techniek. Probleem zit in de cultuur en de 'one at the top'.
10-02-2021, 21:27 door walmare
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Daar komt nog dat dat die normen een lachertje zijn. Dus zelfs aan een lachertje kunnen ze niet voldoen.

Mensen, laat U testen!
Linkje graag, dat die normen een lachertje zijn.

Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.

https://www.norea.nl/download/?id=2562

Dit zijn prima normen (de officiële staan op NCSC. Een subset van de 'ICT Webrichtlijnen') met de teststrategie van de auditor erachter. Helaas zijn dit soort normen voor sommige(!) organisaties nog steeds een uitdaging om compleet én aantoonbaar op orde te krijgen. Probleem zit niet in de techniek. Probleem zit in de cultuur en de 'one at the top'.
Dat is mijn ervaring ook. Het lullige is alleen dat deze organisatorische/cultuur problemen zich gaan openbaren als technische problemen waardoor de focus weer op techniek ligt en de managers weer onwetend onkundig beslissingen nemen op technisch niveau.
10-02-2021, 21:35 door Anoniem
Waarom moet die site nu weer in Amerika gehost worden? Ik denk dat die database al in handen is van de Amerikaanse overheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.