Logius: geen onveilige situatie met DigiD-aansluiting coronatest.nl
Er is op dit moment geen sprake van een onveilige situatie met de DigiD-aansluiting van de GGD-website coronatest.nl, zo stelt Logius, de ict-dienstverlener van het Rijk en voor DigiD verantwoordelijke overheidsinstantie. Logius reageerde vanavond op berichtgeving van de NOS. De omroep kwam gisteren met het nieuws dat coronatest.nl niet goed genoeg beveiligd is.
Iedere organisatie die gebruikmaakt van DigiD moet aan een aantal beveiligingseisen voldoen. Hierop wordt toegezien door Logius. GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, maakt voor de website coronatest.nl gebruik van DigiD. Burgers kunnen daarmee op de website inloggen voor het maken van een testafspraak of het bekijken van hun testuitslag.
Uit een assessment die Logius uitvoerde blijkt dat coronatest.nl op zes punten niet voldoet aan de beveiligingseisen die voor het gebruik van DigiD gelden. Daarop heeft de koepelorganisatie actie ondernomen. Op twee punten is de gestelde termijn echter niet behaald, zo liet minister De Jonge van Volksgezondheid gisteren ook aan de Tweede Kamer weten.
"Het klopt dat we op dit moment nog niet aan alle normeringseisen van DigiD op de website coronatest.nl voldoen", stelt GGH GHOR. "Er is voor een tweetal normen ongeveer drie weken vertraging opgelopen, waardoor we op dit moment dus nog niet voldoen aan alle eisen. Voor de overige vier normen lopen we op schema en verwachten we een tijdige oplevering."
Volgens de koepelorganisatie is het systeem veilig te gebruiken en zijn er geen aanwijzingen van misbruik. De twee nog openstaande beveiligingseisen hebben betrekking op het 'controleerbaar aantoonbaar maken van de veiligheid' van het systeem. Begin maart verwacht GGD GHOR dat de DigiD-aansluiting aan deze eisen voldoet.
"Nieuwe aansluitingen moeten een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald", reageert Logius in de verklaring. "Met GGD GHOR Nederland wordt het reguliere proces doorlopen, dat is een zaak tussen Logius als toezichthouder en GGD GHOR Nederland. Er is op dit moment geen sprake van een onveilige situatie."
Reacties (16)
Bij dat andere stuk GGD software waren wel 'aanwijzingen voor misbruik'. Guess what... er werd misbruik van gemaakt! en nou zijn er wel wat mensen gearresteerd hoor, dus het gaat allemaal goed komen. Alleen een beetje jammer dat de slachtoffers daar niet wijzer van worden.
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Door Anoniem: Bij dat andere stuk GGD software waren wel 'aanwijzingen voor misbruik'. Guess what... er werd misbruik van gemaakt! en nou zijn er wel wat mensen gearresteerd hoor, dus het gaat allemaal goed komen. Alleen een beetje jammer dat de slachtoffers daar niet wijzer van worden.
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Op zich best wel wat meer vertrouwen in de inschatting van DigiD dan die van een ‘Anoniem’.
Zei een ‘Anoniem’. ;-)
Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DigiD (let op de schrijfwijze) is vele malen beter dan elke site zijn eigen gebruikersadministratie te geven.DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
En er is ten minste een organisatie die eisen stelt om aan te sluiten.
Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Misschien zou je je er eens echt in kunnen verdiepen, in plaats van deze onzin uit te kramen.
11-02-2021, 10:21 door
-Peter-
Door Anoniem:
En er is ten minste een organisatie die eisen stelt om aan te sluiten.
Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DigiD (let op de schrijfwijze) is vele malen beter dan elke site zijn eigen gebruikersadministratie te geven.DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
En er is ten minste een organisatie die eisen stelt om aan te sluiten.
Met bovendien op steeds meer sites een verplichte MFA.
Waarbij, anders dan bij veel andere centrale authenticatie-diensten, je een melding krijgt van de organisatie waar je volgens DigiD bij inlogt. Je kunt dus controleren of er niet onderhands iets anders aan de hand is.
Peter
11-02-2021, 10:23 door
Briolet
Door Anoniem:DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Gelukkig is er voor steeds meer sites ook het inloggen met een 2e factor nodig (zoals de DigiD app of sms authenticatie). Zo maar doorhoppen van de 1e site naar de andere wordt zo een stuk lastiger.DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Dus een ramp in wording lijkt me vrij overdreven.
Ik heb in het verleden me bezig moeten houden met beveiligen van een omgeving waarin DigiD gebruikt werd. Er werden (voor toen) goede, logische eisen gesteld aan de omgeving en testen op beveiliging hiervan.
Ik heb de laatste jaren niet meer naar de eisen gekeken, maar ik verwacht dat ALS dit niet goed of logisch zou zijn, menig beveiligingsspecialist hier al melding van had gemaakt.
Prachtige reactie op de GGD website:
"In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
Awel, deze kun je hier vinden: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
Zo vertrouwelijk!
"In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
Awel, deze kun je hier vinden: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
Zo vertrouwelijk!
Door Briolet:
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Door Anoniem:DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Briolet ben bekend hoe DiGiD werkt. Het klopt dat je inlogt bij DiGiD en niet bij de verschillende sites. Je logt in bij DiGiD met je DiGiD en DiGiD geeft dan door aan de betreffende sites dat jij degene bent die je beweert te zijn. DiGiD kan NIET werkelijk controleren of jij degene bent die je beweerd te zijn. Het enige wat DiGiD controleert is of de inlog gegevens kloppen. Wederom als je gehackt bent en dat hoef je helemaal niet te merken dan kan er overal ingelogd worden uit jouw naam, want ja de DiGiD inlog gegevens kloppen. Wat hier altijd vergeten wordt is dat de gebruiker de zwakste schakel in het systeem is.
Een paar jaar geleden een koppeling gebouwd voor enkele ziekenhuizen met digid, zodat ze met hun id hun medisch dossier konden inzien...
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monikken-gelijke kappen...
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monikken-gelijke kappen...
11-02-2021, 13:52 door
PjgV
Bij inrichten security is er ook altijd sprake van een risicoafweging waarbij je altijd een bepaald risico accepteert (0% risico bestaat niet).
In dit geval zou het kunnen zijn dat Logius gezien het grote belang van de toegang heeft besloten tijdelijk iets meer risico te nemen op basis van de specifieke tekortkomingen, zonder dat DigiD zelf in gevaar komt.
Dat kan alleen Logius doen want die is eigenaar van de DigiD-toegang. Logius loopt hier dus het risico.
De GGD bedoelde met "In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
waarschijnlijk dat ze niet willen/mogen zeggen op welke punten ze dan nog niet voldoen. Wat logisch is.
Niks coverup oid. Logius zou ook kunnen zeggen: pas DigiD als alles op orde is, maar dat zal niet echt geaccepteerd worden.
Zeker gezien het feit dat er nog wel meer overheidssites nog niet helemaal op orde zijn vvw dit betreft.
In dit geval zou het kunnen zijn dat Logius gezien het grote belang van de toegang heeft besloten tijdelijk iets meer risico te nemen op basis van de specifieke tekortkomingen, zonder dat DigiD zelf in gevaar komt.
Dat kan alleen Logius doen want die is eigenaar van de DigiD-toegang. Logius loopt hier dus het risico.
De GGD bedoelde met "In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
waarschijnlijk dat ze niet willen/mogen zeggen op welke punten ze dan nog niet voldoen. Wat logisch is.
Niks coverup oid. Logius zou ook kunnen zeggen: pas DigiD als alles op orde is, maar dat zal niet echt geaccepteerd worden.
Zeker gezien het feit dat er nog wel meer overheidssites nog niet helemaal op orde zijn vvw dit betreft.
Door Anoniem:
Briolet ben bekend hoe DiGiD werkt. Het klopt dat je inlogt bij DiGiD en niet bij de verschillende sites. Je logt in bij DiGiD met je DiGiD en DiGiD geeft dan door aan de betreffende sites dat jij degene bent die je beweert te zijn. DiGiD kan NIET werkelijk controleren of jij degene bent die je beweerd te zijn. Het enige wat DiGiD controleert is of de inlog gegevens kloppen. Wederom als je gehackt bent en dat hoef je helemaal niet te merken dan kan er overal ingelogd worden uit jouw naam, want ja de DiGiD inlog gegevens kloppen. Wat hier altijd vergeten wordt is dat de gebruiker de zwakste schakel in het systeem is.
Inlog gegevens van digid alleen is niet genoeg als MFA sms of digid app verplicht is.Door Briolet:
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Door Anoniem:DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Briolet ben bekend hoe DiGiD werkt. Het klopt dat je inlogt bij DiGiD en niet bij de verschillende sites. Je logt in bij DiGiD met je DiGiD en DiGiD geeft dan door aan de betreffende sites dat jij degene bent die je beweert te zijn. DiGiD kan NIET werkelijk controleren of jij degene bent die je beweerd te zijn. Het enige wat DiGiD controleert is of de inlog gegevens kloppen. Wederom als je gehackt bent en dat hoef je helemaal niet te merken dan kan er overal ingelogd worden uit jouw naam, want ja de DiGiD inlog gegevens kloppen. Wat hier altijd vergeten wordt is dat de gebruiker de zwakste schakel in het systeem is.
Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Verklaart u nader.
FI&AM werkt anders best goed. En DigiD is een prima product.
Door Anoniem:
Verklaart u nader.
FI&AM werkt anders best goed. En DigiD is een prima product.
DiGiD kan best een goed product zijn maar heeft ook zeer grote minpunten. Ik blijf er op wijzen dat wanneer een gebruiker gehackt is dat dan met DiGiD kan worden ingelogd bij diverse sites. Ten eerste hebben misschien wel honderd duizenden een DiGiD account aangemaakt voor het doen van belasting aangifte en nergens anders voor. (nee het gebruik van de app en 2trp verificatie is bij DiGiD niet verplicht) Het is als gebruiker niet mogelijk om het inloggen met DiGiD bij bijv., het pensioenfonds en de ziektekosten verzekering te blokkeren. Het is zelfs niet eens mogelijk om in te loggen bij het pensioenfonds en de ziektekosten verzekering met een zelf aangemaakte gebruikers naam en wachtwoord. Er is een veel simpeler manier om veilig in te loggen bij diverse sites en dat is met een zelf gemaakte gebruikers naam, wacht woord en hardware key. Wil je toch een twee trap verificatie hebben dan is het gebruiken van een bijv. een fysieke sleutel, YubiKey bijv. een oplossing. Als een gebruiker gehackt is en deze gebruiker gebruikt een YubiKey dan is er nog geen man over boord, immers de hacker kan dan nog niet inloggen omdat deze niet de bijbehorende hardware key heeft. Registreer je sleutel bij een site en vervolgens heb je altijd die hardware sleutel nodig om te kunnen inloggen. (voor de zekerheid wel 2 sleutels registreren). Het voordeel van het gebruik van bijv. een YubiKey is dat de gebruiker alles zelf in de hand heeft. Gebruik nooit en te nimmer dezelfde gebruikers naam en wacht woord voor verschillende sites. Zelfs de Nederlandse overheid voert niet voor niets al jaren campagne om internet gebruikers op het gevaar te wijzen van het gebruiken van dezelfde gebruikers naam en wachtwoord voor verschillende sites. Het gebruik van een hardware key is goedkoper, er is geen megalomaan automatisering bureau als Logius voor nodig en het is voor de gebruiker gemakkelijker. Er zijn zeer veel soorten hardware keys te koop. Gebruik van een hardware is veiliger dan DiGiD.Door Anoniem: Logius de automatisering afdeling van binnenlandse zaken achter het ontwerp en gebruik van DiGiD moet een toontje lager zingen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Verklaart u nader.
FI&AM werkt anders best goed. En DigiD is een prima product.
Door Anoniem: Een paar jaar geleden een koppeling gebouwd voor enkele ziekenhuizen met digid, zodat ze met hun id hun medisch dossier konden inzien...
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monniken-gelijke kappen...
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monniken-gelijke kappen...
De eisen bij Logius zijn in juni aangescherpt. De kans is heel groot, dat de site al voor juni live was en op dat moment keurig aan de voorwaarden voldeed.
En nu de jaarlijkse assessment eraan komt, blijken er tov de nieuwe eisen nog het eea gedaan te moeten worden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.