Beveiliging niet op orde
DigiD van 24 gemeenten 'wagenwijd open' voor hackers
De DigiD-toegang van 24 gemeenten heeft bijna een jaar opengestaan voor potentiële hackers.
Het programma trekt die conclusie op basis van eigen onderzoek in de uitzending van dinsdagavond. De beveiliging van de gemeentelijke sites zou niet op orde zijn geweest door het gebruik van standaardwachtwoorden, die eenvoudig te achterhalen waren. Onder de 24 gemeenten zitten grote steden als Rotterdam, Amersfoort en Apeldoorn. Potentieel treft de onveilige situatie een half tot één miljoen DigiD-gebruikers.
Wagenwijd open
De kwetsbaarheid zit volgens het onderzoek van Opgelicht?! in de koppeling tussen de gemeenten en DigiD. 'Zowel de voor- als de achterdeur van de betrokken gemeenten stond wagenwijd open', aldus samensteller Hester Schoppert. Het programma heeft tot dusver geen slachtoffers kunnen achterhalen. 'Maar hackers hadden desgewenst veel geld aan toeslagen kunnen binnenslepen.' Opgelicht?! wijst erop dat wanneer burgers slachtoffer worden van misbruik van hun DigiD, zij daar in de meeste gevallen zelf voor verantwoordelijk worden gehouden. Een lekkage in het beveiligde systeem is doorgaans moeilijk aan te tonen.
Inloggegevens te grabbel
Tweede Kamerlid Kees Verhoeven (D66) wil dat minister Ronald Plasterk (Binnenlandse Zaken) in de Kamer tekst en uitleg geeft. Volgens hem moeten de burgers in de getroffen gemeenten 'weten dat hun DigiD-inloggegevens te grabbel hebben gelegen'. 'Dit is geen klein foutje, het gaat om 24 gemeenten en potentieel een miljoen mensen', aldus de politicus. Plasterk is volgens hem verantwoordelijk voor DigiD en de onveilige situatie. 'Het lijkt er sterk op dat men dit lek verborgen heeft willen houden, maar dat is niet gelukt. De minister moet uitleggen hoe deze blunder heeft kunnen plaatsvinden.' (ANP)
Reacties: 15
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Ondanks alle hulpmiddelen blijft beveiliging mensenwerk. Zolang bestuur, management en medewerkers niet doordrongen zijn van eventuele risico's zullen wij berichten als deze vaker in de pers aantreffen.
Als de beveiliging bij DigiD zelf in orde was, dan lijkt me dat er niet zoveel aan de hand is... Toch?
We hebben ons hart verkocht aan de digitale revolutie zonder echt een idee te hebben van de gevolgen en de risico's. Als je verkondigd dat de digitale overheid een speerpunt is dan moet je er absoluut zeker van zijn dat die punt scherp is! Hoe vaak hebben we al niet voorbij zien komen dat de grote ITC bedrijven falen in het opzetten van degelijke systemen en software. Miljoenen gaan er in om. Het lijkt op het "wij kopen ook een smart tv met blueray en home cinema, omdat iedereen dat heeft" zonder er verder ook maar een klein beetje verstand van te hebben. Het "kleren van de keizer" syndroom. De gehackte burger is de dupe, schaamteloos!
Helemaal eens met Bob. De complexiteit van ICT is inmiddels zo enorm dat, wil men echt weten wat "het doen" van dingen tot gevolg heeft, men al vanuit bijna academisch inhoudelijk! ICT-niveau moet beredeneren wil men gevolgen kunnen inschatten en ondervangen. Iedereen wil de laatste snufjes geimplementeerd hebben, terwijl men nog bezig is in een goede basis te voorzien. Het "zomaar" koppelen heeft consequenties, beheerstechnisch is het inmiddels een gedrocht van plakken en knippen en iets koppelen gebeurt veelal op basis van goed geluk al wil men anders (middels plannen etc.) anders voordoen. De knutselaars (hobbyisten) en vroegere supergebruikers blijven de eigen constructies verdedigen, terwijl men eigenlijk vanuit 1 nieuw systeem zou moeten opbouwen, de data moet importeren (en da's echt nog niet zo simpel als hier gezegd!!!) en vervolgens al het oude moet verwijderen. Een megaslag, bijna (financieel) ondoenlijk, echter eigenlijk oh zo noodzakelijk!
Waarom noemt BB niet alle 24 gemeenten? Dat zou pas informatieve journalistiek zijn!
Jan, die zijn bekend. Ik heb toevallig het tv-programma gisteren bekeken. Alleen 12 vd 24 gemeenten die na het bekend worden van het lek niet adequaat gereageerd hebben, is niet bekend gemaakt.
vaak hebben budgettaire overwegingen een bepalende stem in wat wel en niet wordt aangeschafd. maar inderdaad @jannie: niet altijd ligt het aan de gemeente. geld of wel geen visie in verstandig investeren is vaak de boosdoener bij in ieder geval wél de gemeenten
.....aangeschaft - uiteraard
Kan iemand de namen van de 24 noemen? Ook al is het lek op enig moment gedicht: er kan tot die tijd al iets gebeurd zijn. Lijkt me handig voor iedereen te weten als hij in zo'n gemeente woont.
Burgers zijn in de ICT-soap plat gezegd altijd de "lul".
De hautaine houding van bijna alles wat zich binnen de overheid met ICT bemoeid ik bedoel dus ministers en ambtenaren is enorm. Kunnen ze het niet meer uitleggen, als ze dat al willen, dan gaan ze je intimideren. Daarnaast leggen ze heel simpel de verantwoordelijkheid bij de burger. Dat doen er overigens veel meer denk daarbij eens aan de banken.
De DigiD is vanaf het begin al een groot openstaand systeem waarvan veel informatie niet klopt of op zijn minst incompleet is.
Het was toch ook het DigiD systeem dat door ambtenaren werd misbruikt om gegevens van BN-ers uit te strooien.
Dus verantwoordelijke ministers jullie zijn aan zet. Zorg dat je echte deskundigheid in dienst krijgt die in staat zijn het ICT gebeuren veilig te krijgen. Smoor de betweterende amtenaren die niks kunnen/willen en die er de oorzaak van zijn dat ICT-deals veel kosten en niets opleveren.
Toon, wat per mail enz. wordt verzonden is het zelfde als het sturen van een brief zonder enveloppe. Digitaal zaken doen, hoe dom je zijn. Er worden 24 gemeente genoemd maar dat is slechts het topje van de ijsberg.
De nu 24 genoemde gemeenten zijn:
Alkmaar -Alphen-Chaam-Amersfoort-Apeldoorn-Hardenberg-Haaksbergen-Heerlen-Helmond-Hengelo
Hoorn-Krimpen aan de IJssel-Leidschendam-Voorburg-Lelystad-Moerdijk-Rhenen-Roermond-Rucphen-Schiedam-Rotterdam-Smallingerland-
Soest-Waalwijk-Weert-Wijdemeren
.
Daarom heb ik dus geen DigiD, en neem die voorlopig ook niet (dan maar op papier belastingaangifte doen, en ook geen goedkope zorgverzekering bij DitZo afsluiten, want bij dat bedrijf verloopt de communicatie alleen digitaal en moet je verplicht met een DigiD inloggen; de gevolgen van een lek bij DigiD strekken potentieel dus nog veel verder dan alleen de relatie burger-overheid).
Als werknemer van een van de grootste (niet-militaire) rijksoverheidsorganisaties heb ik enkele jaren geleden meegekregen hoe de verantwoordelijke topman over ICT dacht: "dat komt gewoon uit het stopcontact, net als electriciteit, dat kan toch nooit ingewikkeld zijn?".
Volgens mij is er in deze mentaliteit van de hoge heren nog niets fundamenteels veranderd. En daardoor zullen de grote overheids-ICT-projecten nog wel een tijdje spectaculair blijven falen (het voornemen om iedereen vóór 2017 digitaal 'op de overheid aan te sluiten' voorop), zullen de media ook nog wel een tijdje ruim voldoende slachtofferverhalen kunnen blijven publiceren, en blijf ik voorlopig bewust DigiD-loos.
Binnen het nieuwe jeugdstelsel krijgen gemeenten en justitiële organisaties andere verantwoordelijkheden bij de uitvoering van de jeugdbescherming en jeugdreclassering. Efficiënte en effectieve informatie-uitwisseling tussen betrokken partijen is daarbij cruciaal? Maar waarom moet de berichtenstroom gedigitaliseerd en gestandaardiseerd tussen partijen in de justitiële jeugdketen plaatsvinden?. Gelet op het verplichte karakter van aansluiten voor de datum van 1 januari 2015 dient volgens ons de gemeenten het verplichte karakter aan te vechten bij de minister en/of rechtbank.Uitstel voorshands ligt in de rede. Afstel is verstandiger mede ook gelet op de “lekkende DigiD-waterkraan.
Wat een onwaarschijnlijk ongefundeerd en dom bericht in Binnenlands Bestuur. Heel gemakkelijk overnemen van een TROS programmaonderdeel. En gelijk blazen. Een beetje redacteur gaat zich eerst informeren en zal er dan achter komen dat wat hier gebeurd is nooit DIGID gegevens kan opleveren. Sterker nog: het heeft helemaal niks met DIGID te maken. Weer een potje lokale ICT bangen......
@Thijs de Leeuw, voor een teamleider ICT valt dit een beetje tegen. Ik zal het maar even uitleggen, dan steek je er misschien iets van op. Admin toegang tot het CMS betekend dat je de inhoud van een website volledig kan wijzigen. Dus de 'hacker' maakt een pagina- aan laten we zeggen voor het aanvragen van uittreksel, laat deze verwijzen naar een pagina die er uit ziet als de pagina van DigiD. De bezoeker voert gebruikersnaam en wachtwoord in, 'hacker' vangt deze op, linkt weer door naar de echte DigiD pagina.. Zo moeilijk is dat toch niet ;)