image

Minister komt met onderzoek na verschillen tussen beveiligingsrapporten DigiD

dinsdag 14 maart 2023, 15:34 door Redactie, 5 reacties

Minister Weerwind voor Rechtsbescherming heeft een digitaal forensisch onderzoek aangekondigd nadat er verschillen waren aangetroffen tussen rapporten over de beveiliging van DigiD. De Auditdienst Rijk (ADR) is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging.

De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van DigiD. Justis is een overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt en is onder andere verantwoordelijk voor het afgeven van VOG's die werkgevers of organisaties van hun personeel kunnen vragen.

Het onderzoek van de ADR richtte zich specifiek op de webomgeving ‘Digitaal Aanvragen’ van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring omtrent gedrag (VOG) en een aantal andere producten van Justis aan te vragen. Vorige maand werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD.

Na ontdekking van de verschillen zijn volgens minister Weerwind stappen gezet om te achterhalen wat er nu is gebeurd. "Richting de direct betrokken medewerker van Justis zijn alle passende maatregelen genomen om het onderzoek voortgang te laten vinden. Ik heb Fox IT opdracht gegeven digitaal forensisch onderzoek te doen naar de gang van zaken en of zich mogelijke risico’s hebben voorgedaan." De minister verwacht de Tweede Kamer binnenkort meer informatie te kunnen geven.

Reacties (5)
14-03-2023, 16:31 door Erik van Straten
Klinkt als: een medewerker van Justis wordt verdacht van (het helpen bij) het plegen van identiteitsfraude om (onterecht) een VOG te kunnen verkrijgen.

Zoals ik al zo vaak heb gewaarschuwd: het vertrouwen in online authenticatie is veel te groot. De meeste mensen overzien simpelweg niet hoeveel (potentieel zwakke) extra schakels er in de keten zitten.

Tip: bekijk het filmpje over de onmogelijkheid van redelijk betrouwbaar (online) digitaal stemmen, vanochtend (m.i. terecht) aanbevolen door Anoniem, in https://security.nl/posting/789199.
14-03-2023, 19:09 door Anoniem
Ja, dat is de oplossing! Na zoveel onderzoeken NOG een onderzoek houden!
Hoeveel geld kost dit de samenleving niet?
15-03-2023, 09:19 door Anoniem
Door Erik van Straten: Klinkt als: een medewerker van Justis wordt verdacht van (het helpen bij) het plegen van identiteitsfraude om (onterecht) een VOG te kunnen verkrijgen.

Zoals ik al zo vaak heb gewaarschuwd: het vertrouwen in online authenticatie is veel te groot. De meeste mensen overzien simpelweg niet hoeveel (potentieel zwakke) extra schakels er in de keten zitten.

Tip: bekijk het filmpje over de onmogelijkheid van redelijk betrouwbaar (online) digitaal stemmen, vanochtend (m.i. terecht) aanbevolen door Anoniem, in https://security.nl/posting/789199.


Ik denk eerder dat aan een van de assessment rapporten gefröbelt is.
Waarschijnlijk bij Justis.
Heeft niets met identiteitsfraude te maken.

"Vorige maand werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD."
15-03-2023, 10:19 door Erik van Straten
Door Anoniem: Heeft niets met identiteitsfraude te maken.

"Vorige maand werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD."

Doel van DigiD is identiteitsfraude zo moeilijk mogelijk maken en
"Richting de direct betrokken medewerker van Justis zijn alle passende maatregelen genomen om het onderzoek voortgang te laten vinden.
15-03-2023, 12:18 door Anoniem
Door Anoniem:Ik denk eerder dat aan een van de assessment rapporten gefröbelt is.
Waarschijnlijk bij Justis.
Heeft niets met identiteitsfraude te maken.

"Vorige maand werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD."

Precies dit. Ik denk ook dat een paar bevindingen en/of resultaten "gemodereerd" zijn in de assessments. "Hee, laten we ADR eens wat audits uitvoeren!" -- ADR presenteert rapport waaruit blijkt dat Logius niet anders kan dan de stekker uit Justis' produkt trekt, met alle (politieke- en/of carrière-destructie die daar bij komt kijken, en Justis dacht "Oh nou, wacht, dat gaan we eens even iets anders verwoorden om gelazer te voorkomen". Beschamend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.