'Bij 1 op de 5 DigiD-sites rammelt de beveiliging'
De door Binnenlandse Zaken opgestelde set van beveiligingseisen is bedoeld om burgers de zekerheid te bieden dat op de betreffende sites niet alleen de authenticatie via DigiD, maar ook de algehele beveiliging goed is geregeld. Logius werd als intern IT-bedrijf van de Rijksoverheid door Binnenlandse Zaken belast met de registratie van de auditverklaringen waarmee de betreffende organisaties aantonen dat ze aan de eisen voldoen.
Shutterstock
Shutterstock
De eis dat er voor alle DigiD-gebruikende sites zo'n verklaring ligt, geldt 2014 voor zo'n 600 gemeenten, regionale belastingkantoren en andere organisaties die van DigiD gebruik maken voor de identificatie van gebruikers.
Geen openheid van zaken
Hoewel de eis per 1 januari van kracht is, heeft Logius vooralsnog geen overzicht naar buiten gebracht van sites die al dan niet met goed gevolg door de audits kwamen. Dit ondanks aandringen van Tasclinx en BKBO, twee bedrijven die samen een dertigtal organisaties ondersteunden bij het verwerven van een audit-verklaring. Directeur Herman Timmermans van Tasclinx noemt het 'teleurstellend' dat Logius de informatie over de stand van de beveiliging bij de gebruikers van DigiD-autenticatie niet naar buiten brengt. "Door nu niet tot 'naming and shaming' over te gaan, ontkracht Logius het ingezette beleid", zo redeneert hij.
'50 tot 100 organisaties'
Volgens Timmermans lijkt het er op dat inmiddels nog steeds zo'n 20 procent van de organisaties niet over een auditverklaring beschikt. Die schatting baseert hij op inzicht in de stand van de beveiliging bij 55 organisaties die de authenticatie op hun website via DigiD laten verlopen. Het zijn de 30 organisaties waar Tasclinx en BKBO zelf 'binnen waren' en nog eens 25 andere DigiD-afnemers waarvan Timmersmans via contacten met concullega's kennis heeft. Binnen deze niet geheel 'random' steekproef heeft zo’n 80% het assessment met succes afgerond. 15% heeft een negatieve uitslag op het assessment (inclusief 'uitstel gekregen') en 5% heeft DigiD vaarwel gezegd en hanteert nu een andere authenticatie-oplossing.
Timmermans: "Wanneer we de steekproef extrapoleren naar een totale populatie van zo'n 600 DigiD-afnemers, dan gaat het om 50 tot 100 publieke organisaties, die niet voldoen aan de door Binnenlandse Zaken opgestelde beveiligingseisen. Door daar nu geen consequenties te verbinden, wordt de organisaties die zich wel met succes hebben ingespannen om aan de beveiligingseisen te voldoen tekortgedaan."
Logius: 'We noemen geen dagkoersen'
Logius laat desgevraagd weten nog na 1 januari 'een lawine aan assessmentrapporten' te hebben ontvangen: "We zijn druk doende die met de noodzakelijke zorgvuldigheid zo snel mogelijk te behandelen. De verwerking van deze hoeveelheid rapporten kost tijd. Dit zal nog enige tijd in beslag nemen. Na afronding daarvan zal een rapportage worden uitgebracht. We noemen geen dagkoersen omdat dat tot speculatie leidt."
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee