OMG, een nieuwe truc van de EC om hun eID-lobbyisten tevreden te stellen en (hopelijk) onbedoeld identiteitsfraude te faciliteren...

Erik van Straten heeft wederom gelijk, maar het wordt weer door de EU verkocht als vooruitgang.

Zou wel eens willen weten welke lobbyisten hierachter zich verschuilen?

Misschien een idee om daders die ziekenhuizen hebben plat gelegd en daarvoor veroordeeld te zijn op een centrale zwarte lijst te zetten om geen zorg meer te bieden? Natuurlijk mag dat niet (rechten van de mens), maar reken maar dat dit afschrikt.

Hebben daar nu juist niet Z-CERT voor?

https://www.digitaltrustcenter.nl/cybersecurity-initiatieven/stichting-z-cert
Dit nieuwe iniatief slaat echt werkelijk nergens op.

Nou ga jij naar Noord Korea om dat even te verkondigen? Of naar Rusland? Of China? Die landen boeit het echt niet.

Dus DigiD is inherent onveilig? Dat is wat anders dan tot op heden wordt beweerd.
En die wallet was toch vrijwiliig? Zo vrijwillig dat die straks nodig is om bij een ziekenhuis in te loggen?

Ik ben niet voor digitale schandpalen of doodstraffen, dat is middeleeuws en barbaars, wel mogen er meer gevokgen voor de dader aan vastzitten aangezien een ziekenhuis een zeer gevoelig orgaan is waar veel mensen liggen in een kwetsbare positie.
Als er mensen aan overlijden door deze vorm van hacken mag het best als moord worden bestraft. (20 jaar cel)
Als er niemand aan overlijd mag de boete en gevangenisstraf sowieso best hoger voor het in gevaar brengen van kwetsbare mensen.

Ach ja, weer een stap dichterbij een totalitaire communistische controle staat. Kinderporno en terrorisme hebben geen effect meer om te gebruiken dus gooien ze het maar weer over een andere boeg.
Zonder eID geen zorg, net of je dat nu al krijgt als er al plek is. Ook de kwaliteit is tegenwoordig om te janken dus je kunt net zo goed naar een Afrikaans ziekenhuis want de mate van zorg verschilt niet zoveel meer. Tis alleen wel goedkoper in Afrika.

Nee, Z-Cert doet niet aan incident response.

Als ziekenhuizen te maken krijgen met een security incident gaan ze meestal naar NFIR of Fox.

Elk authenticatiesysteem, vooral online, kent risico's. Onweerstaanbare druk voor vereenvoudigingen en toegevoegde zwakke schakels (zoals QR-codes) leiden alleen maar tot méér risico's. In de eerste plaats voor degenen die authenticeren (en/of met wiens identiteit wordt gefraudeerd).

Hoe betrouwbaarder een authenticatiesysteem is, hoe groter de risico's voor slachtoffers. Het ergste is een authenticatiesysteem dat verondersteld wordt sterker te zijn dan het is en er geen passende vangnetten voor slachoffers van identiteitsfraude zijn ingericht.

Helaas komt deze combinatie het vaakst voor in de praktijk (je krijgt dan de krankzinnige situatie dat bankklanten moeten gaan beredeneren hoe de identiteitsfraude kon plaatsvinden, terwijl de bewijslast bij de verifieerder ligt: https://security.nl/posting/877095). Of als je de DigiD-app gebruikt en jouw identiteit misbruikt is: helemaal niemand wil dan iets van de risico's weten die burgers lopen. Jij zult wel iets stoms hebben gedaan.

M.b.t. DigiD: dat is een authenticatiesysteem uitsluitend bestemd voor partijen die BSN's mogen verwerken. En waarbij de risico's worden beperkt doordat Logius stevige eisen stelt aan die partijen, en door het relatief kleine aantal daarvan, Logius de checks lijkt te kunnen behappen.

De "fix" (workaround) bij de Europese identiteitswallet is dat er geen BSN wordt gebruikt, maar een Europees burgernummer - dat elke idioot mag verwerken. En waarbij er (in tegenstelling tot bij DigiD) géén backend-koppeling vanuit de verifiërende website vereist is, waardoor AitM-aanvallen 100% voorspelbaar zijn (zie het plaatje onderin https://security.nl/posting/877799 voor alle zwakke plekken die ik kon verzinnen; aanvullingen en correcties zie ik graag tegemoet).

Zie ook mijn (*) discussie over de risico's van EDIW/EUDIW met Ivo Jansch, een van de ontwerpers daarvan in https://tweakers.net/nieuws/204138/#r_18249704 (een evt. cookie-banner verwijdert alles vanaf '#', de link heropenen werkt daarna meestal wel). Reageerder "denan" doet of deed iets bij Yivi (voorheen Irma). Eerder was Ivo Jansch betrokken bij het ontwerp van CoronaMelder en CoronaCheck.

Overigens hartstikke aardig van Ivo dat hij in https://tweakers.net/nieuws/204138/#r_18248262 schrijft dat hij vindt dat er altijd een alternatief moet blijven bestaan, maar daar gaat hij niet over en de praktijk leert volstrekt anders (er bestaat bijv. geen fatsoenlijk alternatief meer voor internetbankieren, en "bankloos" door het leven gaan ist strengstens verboten).

(*) Op https://tweakers.net ben ik "Anoniem: 1576590" sinds Tweakers mijn account heeft omgedoopt nadat ik mijn account had opgeheven en ik hen vroeg om al mijn reacties te verwijderen (m.i. interessant en soms handig om het resultaat te aanschouwen: iets "Anoniem" noemen wil niet zeggen dat het zo is - overigens veel te gangbare volksverlakkerij. Want los van de mijn eigen ontboezemingen: Googlen naar "Anoniem: 1576590" site:tweakers.net correleert prima - inclusief een aantal reacties van anderen die mijn oude accountnaam hebben overgetikt - sneller te vinden door bovenstaande zoekstring uit te breiden met ErikvanStraten).