Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting
Een medewerker van Justis heeft meerdere rapporten vervalst over de beveiliging van de gebruikte DigiD-aansluiting. Dat heeft minister Weerwind voor Rechtsbescherming aan de Tweede Kamer gemeld. De Auditdienst Rijk (ADR) is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging. De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van de gebruikte DigiD-aansluiting.
Organisaties die van DigiD gebruikmaken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen. Justis is een overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt en is onder andere verantwoordelijk voor het afgeven van VOG's die werkgevers of organisaties van hun personeel kunnen vragen.
Het onderzoek van de ADR richtte zich specifiek op de webomgeving ‘Digitaal Aanvragen’ van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring omtrent gedrag (VOG) en een aantal andere producten van Justis aan te vragen. Daarvoor moeten gebruikers via DigiD inloggen. In februari werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD.
Uit het digitaal forensisch onderzoek dat na de ontdekking werd uitgevoerd blijkt dat tussen 2018 en 2022 elf rapporten zijn aangepast of nagemaakt. In deze periode zijn voor DigiD, na het eerste volledige rapport in 2018 dat niet is aangepast of nagemaakt, alle volgende vier volledige rapporten aangepast en alle vier verbeterrapporten nagemaakt.
Het onderzoek liet ook zien dat auditrapportages van een andere dienst die Justis gebruikt ook zijn aangepast. Het gaat hier om de dienst Suwinet, waarmee overheidsorganisaties op een veilige en snelle manier gegevens van burgers en bedrijven digitaal met elkaar kunnen delen. Voor Suwinet is in 2020 een rapport aangepast en zijn in 2021 en 2022 twee rapporten nagemaakt.
Volgens de onderzoekers zijn de aanpassingen en vervalsingen het werk van één Justis-medewerker. "Na zorgvuldig onderzoek zijn maatregelen genomen richting de medewerker. De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind. Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan, maar het lopende onderzoek moet dit definitief uitsluiten.
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Maar ja... Overheid en rechtspraak gaan niet altijd samen......
Nu is de vraag: wat waren de verschillen?
Is de boel meer lek dan de deden alsof het was?
Uit de bijlage van de beslisnota (bij punt 4):
"Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan. Het nog lopende deelonderzoek van Fox IT moet dit definitief uitsluiten.
Op basis van dit incident herijkt de ADR hun processen bij de (DigiD) audits, vooral het proces van hoor en wederhoor (met bewerkbare documenten).
Daarnaast doet Fox IT nader onderzoek (fase 3) hoe dit 5 jaar lang onopgemerkt heeft kunnen blijven. Verdere vervolgacties worden op de conclusies van dit rapport gebaseerd."
De ouderen onder ons kennen dit liedje nog wel van “ ‘t Schaep met de 5 pooten”
Snap niet waarom dit soort documenten niet gesigned hoeven worden, Logius is nota bene degene die dit regelt voor de overheid.
https://www.logius.nl/domeinen/toegang/pkioverheid/hoe-werkt-het
https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/wat-is-een-elektronische-handtekening
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.
Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.
Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen
"Is dat bewuste sabotage, luiheid, etc."
Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.
Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)
Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen
"Is dat bewuste sabotage, luiheid, etc."
Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.
Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)
Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)
Waarom denk je dat een bepaald verbeterpunt uit de audit snel of uberhaupt zichtbaar zal zijn ?
Ik kan van alles verzinnen dat vrijwel niet opvalt maar wel in een audit rapport kan komen te staan :
De zoveelste update van aanbevolen cipher suites van een vaste SSL koppeling , en dan een koppeling die nog wat inmiddels deprecated ciphersuites toestaat .
Misschien niet voldoende frequent updaten van admin passwords op één van de betrokken servers ?
Gegeven de formulering 'koppeling digid en één van de afnemers van een digid login' denk ik dat het geheel een behoorlijk 'intern' verhaal is, met heel weinig directe zichtbaarheid naar de buitenwereld - en dan is het niet heel gek dat het vijf jaar niet opvalt dat het audit rapport en de werkelijkheid uit elkaar lopen.
Dit klinkt te vreemd om er niet op los te speculeren; de overheid die de overheid manipuleert?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Dat heet in de volksmond "managen".
Vraag het maar eens na bij je eigen baas op het werk (of de echte baas thuis).
Kinderen worden ook met enige regelmaat belogen en bedrogen door de volwassenen om hun heen. (Voor hun eigen bestwil, en tere zieltjes) Dan krijgen ze het al met de paplepel binnen.
Jong geleerd, oud gedaan.
:-)
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Niet correct, de identity provider verplicht de afnemer zich onafhankelijk (ook van de provider) te laten controleren.
Waarom ?
Vzviw zegt een VoG alleen iets omtrent een veroordeling .
Op moment lijkt er alleen een strafontslag te zijn.
1) Waarom zijn deze rapporten dan vervalst?
2) Wat precies werd vervalst?
3) Waarom horen we niet het wederhoor van de beschuldigde partij?
Dit zijn maar een aantal vragen die ik heb, want men gaat er maar vanuit dat de betreffende ambtenaar fout c.q. verkeerd gehandeld heeft. Maar omdat er geen verklaring is afgegeven over dit gedrag, moeten we nu gissen of dit gebeurd is wegens criminaliteit of een andere belangrijke reden die wij mogelijk niet mogen weten.
MVG - een ex-klokkenluider -
Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.
Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.
Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren
Ja ga hier maar vanuit, geen slechtheid, meer de druk en het continue tegen dezelfde muren oplopen om bepaalde zaken correct te krijgen wordt een grote last voor bepaald persoon die verantwoordelijkheid heeft, dat heeft hier vast meegespeeld.
Overheid en veiligheid wel? (Groningen)
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
e.e.a. wordt al opgesomd in de derde post onder dit artikel.
Er komt vast nog een staartje.
Vreemde mogendheden, bijv een alphabet agency ofzo?
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/it-auditrapportage-voor-digid
Gebruik trouwens alsjeblieft de url-tags als je urls plaatst. Dan kan erop geklikt worden.
Vreemde mogendheden, bijv een alphabet agency ofzo?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
