De Jonge: GGD voldoet niet aan beveiligingseisen DigiD
GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus in Nederland, voldoet voor de website coronatest.nl niet aan de beveiligingseisen die aan het gebruik van DigiD worden gesteld, zo laat minister De Jonge van Volksgezondheid aan de Tweede Kamer weten.
Burgers die bij de GGD een afspraak willen maken voor een coronatest of hun testuitslag willen zien kunnen met DigiD inloggen op coronatest.nl. Iedere organisatie die gebruikmaakt van DigiD moet aan een aantal beveiligingseisen voldoen. Hierop wordt toegezien door Logius, de ict-dienstverlener van het Rijk en voor DigiD verantwoordelijke overheidsinstantie.
Uit een assessment die Logius uitvoerde blijkt dat GGD GHOR Nederland op zes punten niet voldoet aan de beveiligingseisen die voor het gebruik van DigiD gelden. Daarop heeft de koepelorganisatie actie ondernomen. Op twee punten is de gestelde termijn niet behaald. "Momenteel voldoet GGD GHOR Nederland derhalve niet volledig aan de normen", aldus De Jonge.
Volgens de minister heeft Logius benadrukt dat er geen sprake is van een onveilige situatie. GGD GHOR en Logius hebben inmiddels overlegd over de termijn waarop de organisatie alsnog volledig aan de eisen zal voldoen. "De auditverklaring over het voldoen aan de norm zal daartoe worden afgewacht", merkt De Jonge op.
Mensen, laat U testen!
Hoewel ik al een jaar lees van problemen, komt er pas een jaar later aandacht voor? :-)
Hoewel ik al een jaar lees van problemen, komt er pas een jaar later aandacht voor? :-)
Allemaal uitstel tot er een nieuw kabinet aangereden is. Daarna is het de nieuwe minister zijn hete aardappel.
(Ik ben benieuwd of deze minister op deze plek terug komt)
Mensen, laat U testen!
Dat nemen we met de gebruikelijke hoeveelheid zout... Overigens waren er gisteren bij NOS heel andere berichten over...
Op zich is het niet verrassend dat de GGD opnieuw in het nieuws is. Na de eerste zeperd is het vergrootglas gepakt. Dan vind je conform Heinrichs' Law (de verhouding grote incidenten:kleinere incidenten:near misses:slechte processen = 1:29:300:1000) onvermijdelijk nog meer.
Een en ander werpt ook het licht op DigiD. Dit overtreedt een belangrijke regel in authenticatie, namelijk om niet alles op één kaart te zetten. DigiD is een zeer verleidelijk doel voor aanvallers omdat het in een keer heel veel services opent, en omdat gelijktijdig er heel veel deelnemers en dus kwetsbare punten zijn. Als er één faalt, faalt het geheel, voor alle DigiD gebruikers en afnemers tegelijk.
(Ik ben benieuwd of deze minister op deze plek terug komt)
Het lijkt mij heel erg sterk als De Jonge na de verkiezingen er nog is.
https://joop.bnnvara.nl/nieuws/hugo-de-jonge-weg-als-lijsttrekker-cda
De prutsers die door Logius op de vingers zijn getikt omdat de conronatest.nl zo lek is als een zeef is CoronIT en de vallen weer onder Topicus bv. Dat is een bedrijfje wat softwarebedrijfjes opkoopt met winst als doel en privacy of security kennelijk niet belangrijk vinden.
Zo springt 't incapabele gebleken GHOR/GGD clubje van ex politicus Rouvoet om met miljoenen belastinggeld.
Mensen, laat U testen!
Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.
https://www.norea.nl/download/?id=2562
Mensen, laat U testen!
Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.
https://www.norea.nl/download/?id=2562
Dit zijn prima normen (de officiële staan op NCSC. Een subset van de 'ICT Webrichtlijnen') met de teststrategie van de auditor erachter. Helaas zijn dit soort normen voor sommige(!) organisaties nog steeds een uitdaging om compleet én aantoonbaar op orde te krijgen. Probleem zit niet in de techniek. Probleem zit in de cultuur en de 'one at the top'.
Mensen, laat U testen!
Dit is wat ik kon vinden over de normen. Mocht het niet lukken met de link. Ik zocht op DigiD 20 normen en opende het pdf bestand van Norea via Google.
https://www.norea.nl/download/?id=2562
Dit zijn prima normen (de officiële staan op NCSC. Een subset van de 'ICT Webrichtlijnen') met de teststrategie van de auditor erachter. Helaas zijn dit soort normen voor sommige(!) organisaties nog steeds een uitdaging om compleet én aantoonbaar op orde te krijgen. Probleem zit niet in de techniek. Probleem zit in de cultuur en de 'one at the top'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
