Advertentie
digitaal / Nieuws

DigiD van 24 gemeenten 'wagenwijd open' voor hackers

De DigiD-toegang van 24 gemeenten heeft bijna een jaar opengestaan voor potentiële hackers. Honderdduizenden Nederlanders hebben daardoor sinds september 2013 het gevaar gelopen dat uit hun naam allerlei toeslagen werden aangevraagd, meldt het tv-programma Opgelicht?! (AVROTROS).

28 oktober 2014

Beveiliging niet op orde

Het programma trekt die conclusie op basis van eigen onderzoek in de uitzending van dinsdagavond. De beveiliging van de gemeentelijke sites zou niet op orde zijn geweest door het gebruik van standaardwachtwoorden, die eenvoudig te achterhalen waren. Onder de 24 gemeenten zitten grote steden als Rotterdam, Amersfoort en Apeldoorn. Potentieel treft de onveilige situatie een half tot één miljoen DigiD-gebruikers.


Wagenwijd open
De kwetsbaarheid zit volgens het onderzoek van Opgelicht?! in de koppeling tussen de gemeenten en DigiD. 'Zowel de voor- als de achterdeur van de betrokken gemeenten stond wagenwijd open', aldus samensteller Hester Schoppert. Het programma heeft tot dusver geen slachtoffers kunnen achterhalen. 'Maar hackers hadden desgewenst veel geld aan toeslagen kunnen binnenslepen.' Opgelicht?! wijst erop dat wanneer burgers slachtoffer worden van misbruik van hun DigiD, zij daar in de meeste gevallen zelf voor verantwoordelijk worden gehouden. Een lekkage in het beveiligde systeem is doorgaans moeilijk aan te tonen.

Inloggegevens te grabbel

Tweede Kamerlid Kees Verhoeven (D66) wil dat minister Ronald Plasterk (Binnenlandse Zaken) in de Kamer tekst en uitleg geeft. Volgens hem moeten de burgers in de getroffen gemeenten 'weten dat hun DigiD-inloggegevens te grabbel hebben gelegen'. 'Dit is geen klein foutje, het gaat om 24 gemeenten en potentieel een miljoen mensen', aldus de politicus. Plasterk is volgens hem verantwoordelijk voor DigiD en de onveilige situatie. 'Het lijkt er sterk op dat men dit lek verborgen heeft willen houden, maar dat is niet gelukt. De minister moet uitleggen hoe deze blunder heeft kunnen plaatsvinden.' (ANP)

Reacties: 16

U moet ingelogd zijn om een reactie te kunnen plaatsen.

P. Raaphorst / applicatiebeheerder
Ondanks alle hulpmiddelen blijft beveiliging mensenwerk. Zolang bestuur, management en medewerkers niet doordrongen zijn van eventuele risico's zullen wij berichten als deze vaker in de pers aantreffen.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Anoniem
Als de beveiliging bij DigiD zelf in orde was, dan lijkt me dat er niet zoveel aan de hand is... Toch?
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Bob Proper / Gebouwenbeheerder
We hebben ons hart verkocht aan de digitale revolutie zonder echt een idee te hebben van de gevolgen en de risico's. Als je verkondigd dat de digitale overheid een speerpunt is dan moet je er absoluut zeker van zijn dat die punt scherp is! Hoe vaak hebben we al niet voorbij zien komen dat de grote ITC bedrijven falen in het opzetten van degelijke systemen en software. Miljoenen gaan er in om. Het lijkt op het "wij kopen ook een smart tv met blueray en home cinema, omdat iedereen dat heeft" zonder er verder ook maar een klein beetje verstand van te hebben. Het "kleren van de keizer" syndroom. De gehackte burger is de dupe, schaamteloos!
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
European Multilateral Law Service Group / Woordvoerder
Computerhackers zijn in staat op grote schaal bankrekeningen te plunderen, gegevens van bedrijven, instellingen en particulieren te verkrijgen. De kennis en de gebruikte inbraak-technologie van de hackers worden steeds slimmer.



In de eerste week van augustus 2014 werd bekend dat een buitenlandse hackers-groep de grootste verzameling internetgegevens ooit heeft gehackt namelijk 1.2 miljard namen, inloggegevens en e-mailadressen.



De onbekende digitale tegenstanders zijn gecommitteerd om hun acties te richten op organisaties waar ze waardevolle data kunnen stelen, dienstverlening kunnen ontregelen en toegang kunnen verkrijgen voor misbruik, zowel nu als wel in de toekomst.



Ook bestaat er een techniek (FF-programma) waardoor computers kunnen worden geïnfecteerd om op afstand bestanden te kopiëren, screenshots te maken en om toetsaanslagen te registreren.



Uit een nieuw rapport van een Amerikaanse beveiligingsbedrijf en de Amerikaanse denktank Center for Strategic and International Studies is berekend dat cybercrime de wereldeconomie jaarlijks zeker 325 miljard euro kost. De afdeling operaties van het European Cybercrime Center (EC3) laat via haar afdelingshoofd weten dat bedrijven bang zijn voor reputatieschade en laten daarom vaak nog niet weten als ze doelwit zijn geweest van cyberaanvallen.



De Nederlandse rechtsstaat heeft een groot probleem. Er zijn 2 miljard mensen die internet gebruiken. De achterdeuren zijn onvoldoende beveiligd. Hoe hebben de Nederlandse Rechtbanken en Gerechtshoven, Raad van State en Hoge Raad hun achterdeuren vergrendeld?



Aan de betrouwbaarheid en vertrouwelijkheid van het elektronisch verzenden van verzoeken en mededelingen met betrekking tot de rolberichten worden weliswaar eisen gesteld doch ook het door rechtbanken en gerechtshoven daarvoor gebruikte systemen dienen niet alleen in staat te zijn om de verzenders van berichten te identificeren doch ook te controleren of de bij de griffie binnenkomen berichten authentiek zijn doch ook afkomstig van de verzenders.



EMLS verwacht dat datalekken zich ondanks ict-protocollen en toegepaste beveiligingsmaatregelen zich zullen blijven voordoen ondanks de NEN-ISO Code voor Informatiebeveiliging



Zie ook: http://www.bijzonderstrafrecht.nl/2014/kamerbrie …





EMLS opent de discussie en geeft als voorzet : Digitaal procederen, bankieren en transacties plegen stop er mee want je weet nooit wie er aan de knoppen draait.

Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Hilde van Heusen - Smulders / Managementondersteuner Communicatie
Helemaal eens met Bob. De complexiteit van ICT is inmiddels zo enorm dat, wil men echt weten wat "het doen" van dingen tot gevolg heeft, men al vanuit bijna academisch inhoudelijk! ICT-niveau moet beredeneren wil men gevolgen kunnen inschatten en ondervangen. Iedereen wil de laatste snufjes geimplementeerd hebben, terwijl men nog bezig is in een goede basis te voorzien. Het "zomaar" koppelen heeft consequenties, beheerstechnisch is het inmiddels een gedrocht van plakken en knippen en iets koppelen gebeurt veelal op basis van goed geluk al wil men anders (middels plannen etc.) anders voordoen. De knutselaars (hobbyisten) en vroegere supergebruikers blijven de eigen constructies verdedigen, terwijl men eigenlijk vanuit 1 nieuw systeem zou moeten opbouwen, de data moet importeren (en da's echt nog niet zo simpel als hier gezegd!!!) en vervolgens al het oude moet verwijderen. Een megaslag, bijna (financieel) ondoenlijk, echter eigenlijk oh zo noodzakelijk!
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Jan
Waarom noemt BB niet alle 24 gemeenten? Dat zou pas informatieve journalistiek zijn!
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Martin
Jan, die zijn bekend. Ik heb toevallig het tv-programma gisteren bekeken. Alleen 12 vd 24 gemeenten die na het bekend worden van het lek niet adequaat gereageerd hebben, is niet bekend gemaakt.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
E.Doeve / jurid. beleid. medew ro
vaak hebben budgettaire overwegingen een bepalende stem in wat wel en niet wordt aangeschafd. maar inderdaad @jannie: niet altijd ligt het aan de gemeente. geld of wel geen visie in verstandig investeren is vaak de boosdoener bij in ieder geval wél de gemeenten
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
E.Doeve / jurid. beleid. medew ro
.....aangeschaft - uiteraard
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Toon Nieuwhof
Kan iemand de namen van de 24 noemen? Ook al is het lek op enig moment gedicht: er kan tot die tijd al iets gebeurd zijn. Lijkt me handig voor iedereen te weten als hij in zo'n gemeente woont.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
henk bongers / burger
Burgers zijn in de ICT-soap plat gezegd altijd de "lul".

De hautaine houding van bijna alles wat zich binnen de overheid met ICT bemoeid ik bedoel dus ministers en ambtenaren is enorm. Kunnen ze het niet meer uitleggen, als ze dat al willen, dan gaan ze je intimideren. Daarnaast leggen ze heel simpel de verantwoordelijkheid bij de burger. Dat doen er overigens veel meer denk daarbij eens aan de banken.

De DigiD is vanaf het begin al een groot openstaand systeem waarvan veel informatie niet klopt of op zijn minst incompleet is.

Het was toch ook het DigiD systeem dat door ambtenaren werd misbruikt om gegevens van BN-ers uit te strooien.

Dus verantwoordelijke ministers jullie zijn aan zet. Zorg dat je echte deskundigheid in dienst krijgt die in staat zijn het ICT gebeuren veilig te krijgen. Smoor de betweterende amtenaren die niks kunnen/willen en die er de oorzaak van zijn dat ICT-deals veel kosten en niets opleveren.

Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Rechtspraktijk BAWA Afd. Bestuursrecht / Juridisch adviseur bij BAWA c.s.
Toon, wat per mail enz. wordt verzonden is het zelfde als het sturen van een brief zonder enveloppe. Digitaal zaken doen, hoe dom je zijn. Er worden 24 gemeente genoemd maar dat is slechts het topje van de ijsberg.

De nu 24 genoemde gemeenten zijn:





Alkmaar -Alphen-Chaam-Amersfoort-Apeldoorn-Hardenberg-Haaksbergen-Heerlen-Helmond-Hengelo

Hoorn-Krimpen aan de IJssel-Leidschendam-Voorburg-Lelystad-Moerdijk-Rhenen-Roermond-Rucphen-Schiedam-Rotterdam-Smallingerland-

Soest-Waalwijk-Weert-Wijdemeren

.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Dick van der Gugten / Milieu-adviseur
Daarom heb ik dus geen DigiD, en neem die voorlopig ook niet (dan maar op papier belastingaangifte doen, en ook geen goedkope zorgverzekering bij DitZo afsluiten, want bij dat bedrijf verloopt de communicatie alleen digitaal en moet je verplicht met een DigiD inloggen; de gevolgen van een lek bij DigiD strekken potentieel dus nog veel verder dan alleen de relatie burger-overheid).



Als werknemer van een van de grootste (niet-militaire) rijksoverheidsorganisaties heb ik enkele jaren geleden meegekregen hoe de verantwoordelijke topman over ICT dacht: "dat komt gewoon uit het stopcontact, net als electriciteit, dat kan toch nooit ingewikkeld zijn?".



Volgens mij is er in deze mentaliteit van de hoge heren nog niets fundamenteels veranderd. En daardoor zullen de grote overheids-ICT-projecten nog wel een tijdje spectaculair blijven falen (het voornemen om iedereen vóór 2017 digitaal 'op de overheid aan te sluiten' voorop), zullen de media ook nog wel een tijdje ruim voldoende slachtofferverhalen kunnen blijven publiceren, en blijf ik voorlopig bewust DigiD-loos.
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Rechtspraktijk BAWA Afd. Bestuursrecht / Juridisch adviseur bij BAWA c.s.
Binnen het nieuwe jeugdstelsel krijgen gemeenten en justitiële organisaties andere verantwoordelijkheden bij de uitvoering van de jeugdbescherming en jeugdreclassering. Efficiënte en effectieve informatie-uitwisseling tussen betrokken partijen is daarbij cruciaal? Maar waarom moet de berichtenstroom gedigitaliseerd en gestandaardiseerd tussen partijen in de justitiële jeugdketen plaatsvinden?. Gelet op het verplichte karakter van aansluiten voor de datum van 1 januari 2015 dient volgens ons de gemeenten het verplichte karakter aan te vechten bij de minister en/of rechtbank.Uitstel voorshands ligt in de rede. Afstel is verstandiger mede ook gelet op de “lekkende DigiD-waterkraan.

Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Thijs de Leeuw / Teamleider ICT
Wat een onwaarschijnlijk ongefundeerd en dom bericht in Binnenlands Bestuur. Heel gemakkelijk overnemen van een TROS programmaonderdeel. En gelijk blazen. Een beetje redacteur gaat zich eerst informeren en zal er dan achter komen dat wat hier gebeurd is nooit DIGID gegevens kan opleveren. Sterker nog: het heeft helemaal niks met DIGID te maken. Weer een potje lokale ICT bangen......
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
ZoetZuurtje / Deskundige
@Thijs de Leeuw, voor een teamleider ICT valt dit een beetje tegen. Ik zal het maar even uitleggen, dan steek je er misschien iets van op. Admin toegang tot het CMS betekend dat je de inhoud van een website volledig kan wijzigen. Dus de 'hacker' maakt een pagina- aan laten we zeggen voor het aanvragen van uittreksel, laat deze verwijzen naar een pagina die er uit ziet als de pagina van DigiD. De bezoeker voert gebruikersnaam en wachtwoord in, 'hacker' vangt deze op, linkt weer door naar de echte DigiD pagina.. Zo moeilijk is dat toch niet ;)
Uw emailadres wordt enkel gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is enkel zichtbaar voor de redactie.
Advertentie