Nieuws
image

Digitale handtekening moet vervalsen rapporten DigiD-aansluiting tegengaan

woensdag 26 juli 2023, 16:29 door Redactie, 7 reacties

Vanaf volgend jaar januari moet het zo goed als onmogelijk zijn om rapporten over de beveiliging van DigiD-aansluitingen te vervalsen, zo heeft demissionair staatssecretaris Van Huffelen laten weten op Kamervragen van de VVD. Organisaties die van DigiD gebruikmaken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen.

De Auditdienst Rijk (ADR) voert deze onderzoeken uit en verstrekt het rapport vervolgens aan de betreffende organisatie. Die moet het rapport vervolgens doorsturen naar DigiD-beheerder Logius. Een medewerker van Justis bleek meerdere rapporten over de beveiliging van de gebruikte DigiD-aansluiting te hebben vervalst. Het ging daarbij om onderzoeken naar de DigiD-aansluiting van de omgeving om digitaal een Verklaring omtrent gedrag (VOG) aan te vragen en de dienst Suwinet. De medewerker is inmiddels niet meer werkzaam bij de Rijksoverheid.

"Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd", aldus Van Huffelen. Volgens de staatssecretaris is er naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden.

Om het vervalsen of aanpassen van rapporten tegen te gaan wordt er sinds 1 januari van dit jaar gebruikgemaakt van een digitale handtekening voor digitaal ingediende rapporten door de auditor. "Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen", voegt Van Huffelen toe. Het is echter nog niet verplicht om de rapporten digitaal in te dienen. Vanaf 1 januari volgend jaar zal dit wel het geval zijn. "Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt", aldus de staatssecretaris.

Reacties (7)
26-07-2023, 17:20 door Erik van Straten - Bijgewerkt: 26-07-2023, 17:25
Hopelijk hebben ze gepatched: https://www.theregister.com/2023/06/13/office_open_xml_signatures/

Daaruit:
And with Microsoft Office for macOS, document signatures simply weren't validated at all.

Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann
26-07-2023, 17:48 door Anoniem
Dit is lachwekkend normaliter geef je een link naar de rapportage van een organisatie waarop ze kunnen inloggen met timestamps per aanpassing en versie beheer en getoets door een redactie onderdeel voor commits en publicaties.

Dat je vervolgens nog een kopietje per mail stuurt prima maar de actieve data is controleerbaar en leidend. Niks vier ogen principe inzage door alle betrokken responsibles met machtiging tot inzage. En als er een bezwaar maakt dient er een audit te gebeuren op het bezwaar van de betrokken responsible.

Het ontbreken van ook maar 1 verificatie en validatie is al genoeg grond om het onderzoek geheel opnieuw te moeten doen.
Never trust always verify.
26-07-2023, 18:28 door Anoniem
Door Erik van Straten: Hopelijk hebben ze gepatched: https://www.theregister.com/2023/06/13/office_open_xml_signatures/

Daaruit:
And with Microsoft Office for macOS, document signatures simply weren't validated at all.

Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann

Details.
Daar stoort een minister zich niet aan.
26-07-2023, 21:26 door Anoniem
Door Anoniem: Dit is lachwekkend normaliter geef je een link naar de rapportage van een organisatie waarop ze kunnen inloggen met timestamps per aanpassing en versie beheer en getoets door een redactie onderdeel voor commits en publicaties.

Wie zegt dat niet zo gegaan is ?

Alleen degene (waarschijnlijk teamlead, contactpersoon) die het heeft opgehaald heeft het ge-edit en zo in de organisatie doorgestuurd , of intern gearchiveerd ofzo .

En de rest van de organisatie heeft het rapport nooit meer bij de bron opgehaald - totdat het een keer uitkwam.

De "rest van de organisatie" (en zeker hoger management) heeft meestal niet de informatie/credentials die nodig zijn om zo'n rapport bij de bron op te halen .
En gaat ongeveer nooit de moeite doen - en het zichtbare wantrouwen tonen - door die credentials te vragen (natuurlijk aan de teamlead) die net het rapport voor ze klaargezet heeft.
Dus staat dat netjes op de sharepoint van de betreffende afdeling .
26-07-2023, 21:43 door Anoniem
Door Anoniem:
Door Erik van Straten: Hopelijk hebben ze gepatched: https://www.theregister.com/2023/06/13/office_open_xml_signatures/

Daaruit:
And with Microsoft Office for macOS, document signatures simply weren't validated at all.

Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann

Details.
Daar stoort een minister zich niet aan.
Verschil tussen een minister en staatssecretaris is teveel voor jou!.
26-07-2023, 23:55 door Anoniem
Wil de echte Jan de Vries RE zich alstublieft melden bij Logius? Ze willen controleren of het rapport niet door een andere Jan is getekend.
27-07-2023, 11:34 door Anoniem
Door Erik van Straten: Hopelijk hebben ze gepatched: https://www.theregister.com/2023/06/13/office_open_xml_signatures/

Daaruit:
And with Microsoft Office for macOS, document signatures simply weren't validated at all.

Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann

Volgens de website van Logius moet de rapportage een EUTL-ondertekend document zijn, en aangeleverd worden als PDF...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure