image

Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting

woensdag 14 juni 2023, 10:23 door Redactie, 33 reacties
Laatst bijgewerkt: 14-06-2023, 11:23

Een medewerker van Justis heeft meerdere rapporten vervalst over de beveiliging van de gebruikte DigiD-aansluiting. Dat heeft minister Weerwind voor Rechtsbescherming aan de Tweede Kamer gemeld. De Auditdienst Rijk (ADR) is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging. De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van de gebruikte DigiD-aansluiting.

Organisaties die van DigiD gebruikmaken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen. Justis is een overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt en is onder andere verantwoordelijk voor het afgeven van VOG's die werkgevers of organisaties van hun personeel kunnen vragen.

Het onderzoek van de ADR richtte zich specifiek op de webomgeving ‘Digitaal Aanvragen’ van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring omtrent gedrag (VOG) en een aantal andere producten van Justis aan te vragen. Daarvoor moeten gebruikers via DigiD inloggen. In februari werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD.

Uit het digitaal forensisch onderzoek dat na de ontdekking werd uitgevoerd blijkt dat tussen 2018 en 2022 elf rapporten zijn aangepast of nagemaakt. In deze periode zijn voor DigiD, na het eerste volledige rapport in 2018 dat niet is aangepast of nagemaakt, alle volgende vier volledige rapporten aangepast en alle vier verbeterrapporten nagemaakt.

Het onderzoek liet ook zien dat auditrapportages van een andere dienst die Justis gebruikt ook zijn aangepast. Het gaat hier om de dienst Suwinet, waarmee overheidsorganisaties op een veilige en snelle manier gegevens van burgers en bedrijven digitaal met elkaar kunnen delen. Voor Suwinet is in 2020 een rapport aangepast en zijn in 2021 en 2022 twee rapporten nagemaakt.

Volgens de onderzoekers zijn de aanpassingen en vervalsingen het werk van één Justis-medewerker. "Na zorgvuldig onderzoek zijn maatregelen genomen richting de medewerker. De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind. Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan, maar het lopende onderzoek moet dit definitief uitsluiten.

Reacties (33)
14-06-2023, 10:33 door Anoniem
De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind.

En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?

Maar ja... Overheid en rechtspraak gaan niet altijd samen......
14-06-2023, 10:42 door Anoniem
Dat was een SlechtID... :/

Nu is de vraag: wat waren de verschillen?
Is de boel meer lek dan de deden alsof het was?
14-06-2023, 10:49 door Anoniem
Er wordt nog iets meer gedaan dan alleen een medewerker ontslaan.

Uit de bijlage van de beslisnota (bij punt 4):

"Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan. Het nog lopende deelonderzoek van Fox IT moet dit definitief uitsluiten.

Op basis van dit incident herijkt de ADR hun processen bij de (DigiD) audits, vooral het proces van hoor en wederhoor (met bewerkbare documenten).

Daarnaast doet Fox IT nader onderzoek (fase 3) hoe dit 5 jaar lang onopgemerkt heeft kunnen blijven. Verdere vervolgacties worden op de conclusies van dit rapport gebaseerd."
14-06-2023, 10:53 door Anoniem
De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.
14-06-2023, 10:54 door Anoniem
“Want, als je mekaar niet meer vertrouwen kan waar blijf je dan… ?”
De ouderen onder ons kennen dit liedje nog wel van “ ‘t Schaep met de 5 pooten”
14-06-2023, 11:00 door Anoniem
Ik vind dat de persoon die dit moedwillig gedaan heeft een gevangenisstraf verdiend. Er wordt veel te makkelijk omgegaan met onze gegevens.
14-06-2023, 11:01 door Anoniem
Och hadden we hier maar een oplossing voor /s

Snap niet waarom dit soort documenten niet gesigned hoeven worden, Logius is nota bene degene die dit regelt voor de overheid.

https://www.logius.nl/domeinen/toegang/pkioverheid/hoe-werkt-het
https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/wat-is-een-elektronische-handtekening
14-06-2023, 11:41 door Anoniem
Daarnaast moeten tegenwoordig DigiD-audit rapportages door de auditor digitaal ondertekend worden. Even onderweg aanpassen is er niet meer bij.
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
14-06-2023, 12:34 door Anoniem
Maar ja... Overheid en rechtspraak gaan niet altijd samen......
Overheid en IT wel bedoel je?
14-06-2023, 12:38 door Anoniem
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.

Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.

Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren
14-06-2023, 12:49 door Anoniem
De digid audit is zowieso een geldverslindend overbodig iets. Een identity provider die de afnemer controleert is de omgekeerde wereld.
14-06-2023, 13:08 door Anoniem
Corruptie
14-06-2023, 13:31 door Anoniem
Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
14-06-2023, 14:00 door Anoniem
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen

"Is dat bewuste sabotage, luiheid, etc."

Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.

Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)

Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)
14-06-2023, 14:35 door Anoniem
Door Anoniem: Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Hetzelfde als jouw reactie. Zoals de waard is......
14-06-2023, 15:07 door Anoniem
Door Anoniem:
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen

"Is dat bewuste sabotage, luiheid, etc."

Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.

Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)

Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)

Waarom denk je dat een bepaald verbeterpunt uit de audit snel of uberhaupt zichtbaar zal zijn ?

Organisaties die van DigiD-gebruiken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen

Ik kan van alles verzinnen dat vrijwel niet opvalt maar wel in een audit rapport kan komen te staan :
De zoveelste update van aanbevolen cipher suites van een vaste SSL koppeling , en dan een koppeling die nog wat inmiddels deprecated ciphersuites toestaat .
Misschien niet voldoende frequent updaten van admin passwords op één van de betrokken servers ?

Gegeven de formulering 'koppeling digid en één van de afnemers van een digid login' denk ik dat het geheel een behoorlijk 'intern' verhaal is, met heel weinig directe zichtbaarheid naar de buitenwereld - en dan is het niet heel gek dat het vijf jaar niet opvalt dat het audit rapport en de werkelijkheid uit elkaar lopen.
14-06-2023, 15:25 door Anoniem
“Want, als je mekaar niet meer vertrouwen kan waar blijf je dan… ?”
Zo is het maar, meneer.

Dit klinkt te vreemd om er niet op los te speculeren; de overheid die de overheid manipuleert?
14-06-2023, 15:35 door Anoniem
Door Anoniem:
Door Anoniem: Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Hetzelfde als jouw reactie. Zoals de waard is......

Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
14-06-2023, 15:36 door Anoniem
nagemaakt = hergebruikt. Dat komt overal voor om tijd te sparen. Ten tweede, waarom gaat hier één ambtenaar over? Het lijkt mij dan meer een juist gewilde situatie van hogeraf.
14-06-2023, 17:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Hetzelfde als jouw reactie. Zoals de waard is......

Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Welke politicus verteld wel meteen de waarheid?
14-06-2023, 17:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Hetzelfde als jouw reactie. Zoals de waard is......

Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
En wat heeft dat te maken met het artikel? Staat zo stoer om overal Rutte vte noemen!
14-06-2023, 19:14 door Anoniem
Door Anoniem: Die ambtenaar heeft niets fout gedaan.
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.

Dat heet in de volksmond "managen".
Vraag het maar eens na bij je eigen baas op het werk (of de echte baas thuis).

Kinderen worden ook met enige regelmaat belogen en bedrogen door de volwassenen om hun heen. (Voor hun eigen bestwil, en tere zieltjes) Dan krijgen ze het al met de paplepel binnen.
Jong geleerd, oud gedaan.

:-)
15-06-2023, 08:06 door Anoniem
Door Anoniem: De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind.

En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Goed lezen. In de zin voor de zin die je citeert staat dat er maatregelen zijn genomen richting de medewerker. Weerwind meldt in de kamerbrief dat de medewerker niet meer bij de Rijksoverheid werkt, maar niet dat dat de enige maatregel is. Er kan dus meer zijn.
15-06-2023, 11:19 door Anoniem
Als t goed is kan die naar een aantal rubrieken in z'n VOG fluiten.
15-06-2023, 11:33 door Anoniem
Door Anoniem: De digid audit is zowieso een geldverslindend overbodig iets. Een identity provider die de afnemer controleert is de omgekeerde wereld.

Niet correct, de identity provider verplicht de afnemer zich onafhankelijk (ook van de provider) te laten controleren.
15-06-2023, 12:07 door Anoniem
Door Anoniem: Als t goed is kan die naar een aantal rubrieken in z'n VOG fluiten.

Waarom ?
Vzviw zegt een VoG alleen iets omtrent een veroordeling .

Op moment lijkt er alleen een strafontslag te zijn.
15-06-2023, 13:27 door Anoniem
Een medewerker van Justis heeft meerdere rapporten vervalst over de beveiliging van de gebruikte DigiD-aansluiting. Dat heeft minister Weerwind voor Rechtsbescherming aan de Tweede Kamer gemeld. De Auditdienst Rijk (ADR) is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging. De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van de gebruikte DigiD-aansluiting.
Mag ik even zeggen dat dit bericht nogal VAAG is?

1) Waarom zijn deze rapporten dan vervalst?
2) Wat precies werd vervalst?
3) Waarom horen we niet het wederhoor van de beschuldigde partij?

Dit zijn maar een aantal vragen die ik heb, want men gaat er maar vanuit dat de betreffende ambtenaar fout c.q. verkeerd gehandeld heeft. Maar omdat er geen verklaring is afgegeven over dit gedrag, moeten we nu gissen of dit gebeurd is wegens criminaliteit of een andere belangrijke reden die wij mogelijk niet mogen weten.

MVG - een ex-klokkenluider -
15-06-2023, 16:25 door Anoniem
Door Anoniem:
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.

Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.

Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren


Ja ga hier maar vanuit, geen slechtheid, meer de druk en het continue tegen dezelfde muren oplopen om bepaalde zaken correct te krijgen wordt een grote last voor bepaald persoon die verantwoordelijkheid heeft, dat heeft hier vast meegespeeld.
15-06-2023, 16:49 door Anoniem
Door Anoniem:
Maar ja... Overheid en rechtspraak gaan niet altijd samen......
Overheid en IT wel bedoel je?
Overheid en menselijkheid wel? (Toeslagen affaire)
Overheid en veiligheid wel? (Groningen)
15-06-2023, 17:43 door Anoniem
Door Anoniem:
Door Anoniem: De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind.

En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Goed lezen. In de zin voor de zin die je citeert staat dat er maatregelen zijn genomen richting de medewerker. Weerwind meldt in de kamerbrief dat de medewerker niet meer bij de Rijksoverheid werkt, maar niet dat dat de enige maatregel is. Er kan dus meer zijn.

e.e.a. wordt al opgesomd in de derde post onder dit artikel.
Er komt vast nog een staartje.
15-06-2023, 21:31 door Anoniem
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Vreemde mogendheden, bijv een alphabet agency ofzo?
16-06-2023, 06:54 door Anoniem
Door Anoniem: Daarnaast moeten tegenwoordig DigiD-audit rapportages door de auditor digitaal ondertekend worden. Even onderweg aanpassen is er niet meer bij.
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
Een andere pagina van Logius geeft aan dat de digitale handtekening alleen voor digitaal aangeleverde documenten geldt, en dat ze ook auditrapporten op papier accepteren. Die moeten dan een "natte" handtekening van de auditor hebben. Zie:
https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/it-auditrapportage-voor-digid

Gebruik trouwens alsjeblieft de url-tags als je urls plaatst. Dan kan erop geklikt worden.
16-06-2023, 10:14 door Anoniem
Door Anoniem:
Door Anoniem: De grote vraag is natuurlijk: waarom deed de ambtenaar dit? Luiheid of bewuste sabotage zodat (even in extremis gedacht) verkeerde partijen (criminelen, of nog erger: vreemde mogendheden) toegang kregen? Ik mag toch hopen dat het verder is en wordt uitgezocht.

Vreemde mogendheden, bijv een alphabet agency ofzo?
Bijvoorbeeld. Die heb je in meerdere landen tenslotte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.