Beheer

Security

Beveiliging DigiD nog onder de maat

28 mei 2015

Eerder dit jaar nog oordeelde minister Plasterk dat een investering van 16 miljoen euro te veel was om de veiligheid van DigiD op te vijzelen door gebruik van twofactorauthenticatie via sms af te dwingen. Laat staan dat de minister wilde overwegen 70 miljoen euro extra uit te trekken om ­activeringscodes aangetekend te versturen.

Uit het Verantwoordingsonderzoek 2014 dat de Algemene Rekenkamer eind mei publiceerde, blijkt dat maatregelen wel degelijk gewenst zijn. Want de beveiligingsmaatregelen die in 2014 zijn getroffen, hebben belangrijke beveiligingsrisico’s niet weggenomen, concludeert de Rekenkamer; die conclusie trok de Rekenkamer bij eerdere verantwoordingsonderzoeken ook al, overigens.

Saillant detail daarbij is wel, dat de Algemene ­Rekenkamer in zijn rapport meldt dat de DigiD-omgeving ook volgens de minister zelf niet voldoet aan een deel van de normen die het Nationaal Cyber Security Centrum heeft opgesteld voor de beveiliging van webapplicaties. Die constatering wordt door de minister – die een reactie heeft kunnen toevoegen – niet weersproken.

Risico’s in de keten

Daarnaast zitten er ook risico’s in de keten van organisaties die van DigiD gebruikmaken. Die lieten zich dit jaar niet afdoende beoordelen, constateert de Algemene Rekenkamer. De reden daarvoor is dat de minister aan de betrokken organisaties tot 1 mei van dit jaar uitstel heeft verleend voor indiening van de assessmentrapporten ten aanzien van de veiligheid van hun DigiD-gebruik. Dat uitstel is verleend in de verwachting dat betrokken organisaties heel 2014 nodig zouden hebben om de in 2013 geconstateerde tekortkomingen te verhelpen. Het Verantwoordingsonderzoek 2014 constateerde gebreken bij 120 van de 600 op DigiD aangesloten partijen.

Minister Plasterk heeft wel extra beveiligingsmaatregelen in beraad. De bewindsman zei tijdens een debat in de Tweede Kamer dat hij volgend jaar niet opnieuw verrast wil worden door weer een negatief oordeel van de Rekenkamer. “Volgend jaar komen we de Rekenkamer een heel eind tegemoet”, beloofde hij. Maar als het even kan moet dat wel op een koopje: de minister laat onderzoeken of er een goedkoper alternatief is voor de 16 miljoen euro – omgerekend 1 euro 45 per DigiD-account – die verplicht stellen van twofactor­authenticatie via sms zou kosten.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!