Maatregelen na fraude DigiD-securityrapporten: vierogenprincipe en digitaal ondertekenen
Rapporten over de beveiliging van DigiD moeten vanaf 1 januari 2024 digitaal ingediend worden. Dat is één van de maatregelen die genomen is nadat aan het licht kwam dat een ambtenaar van screeningsautoriteit Justis meerdere van dit soort rapporten vervalst heeft. Ook is er een vierogenprincipe ingevoerd.
© CC-BY-2.0 - Flickr cropped from original
CC-BY-2.0 - Flickr cropped from orig
Minister Franc Weerwind voor Rechtsbescherming maakte in juni dit jaar bekend dat de ambtenaar tussen 2018 en 2022 in totaal elf rapporten over twee diensten heeft vervalst. Het gaat om rapporten waarin de beveiliging van DigiD voor verschillende diensten onder de loep worden genomen en om auditrapportages over de dienst Suwinet, waarmee overheidsorganisaties van burgers en bedrijven digitaal uitwisselen. Bevindingen van de Suwinet-auditrapportages werden bijvoorbeeld afgezwakt of weggelaten en in de rapporten over DigiD werden oordelen dat een beveiligingsnorm niet voldoet aangepast naar 'voldoet'.
Maatregelen genomen
Hoe dit precies heeft kunnen gebeuren, wordt nog onderzocht, geeft de minister nu aan in antwoorden op vragen van Tweede Kamerleden Hawre Rahimi en Ulysse Ellian (VVD). Toch zijn er al wel maatregelen genomen om herhaling te voorkomen. Zo is bij Justis het auditproces verbeterd en aangescherpt, bijvoorbeeld met een vierogenprincipe. Daar werd tot maart 2023 geen gebruik van gemaakt. Dat principe is naar aanleiding van het incident alsnog ingevoerd, wat betekent dat er altijd twee mensen naar rapporten kijken.
Daarnaast zijn er maatregelen genomen rondom de rapporten over DigiD. Organisaties moeten bij het gebruik van DigiD jaarlijks aantonen dat zij aan 21 informatieveiligheidseisen voldoen. "Sinds 1 januari 2023 vindt digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke auditor", aldus de minister. "Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen."
Volgens minister Weerwind werd in de afgelopen assessmentronde 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024 wordt dat 100%: dan kunnen assessments alleen nog digitaal ingeleverd worden. "Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt."
Mogelijk meer verbeteringen
De minister verwacht dat er uit het onderzoek naar hoe het incident zich heeft kunnen voordoen nog verdere aanbevelingen komen voor verbeteringen om soortgelijke situaties in de toekomst te voorkomen. Daarnaast loopt er nog een onderzoek naar de risico's die ontstaan zijn naar aanleiding van de gemaakte wijziging in de DigiD-auditrapportages. Wanneer de onderzoeken naar verwachting afgerond zijn, is nog niet duidelijk.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee