BZK: beveiliging DigiD van later zorg

Er zijn nauwelijks harde beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie. Het ministerie is van mening dat die eisen er later alsnog in geschoven kunnen worden.

In het artikel BZK: beveiliging DigiD van later zorg op Webwereld:

Er zijn nauwelijks harde beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK bij de rechter dat de garanties er wel zijn. Andere beveiliging is van later zorg.

Dat bleek gisterochtend tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen.

Onzin vindt de landsadvocaat. Zij benadrukt dat onderdeel van de aanbesteding is dat beveiligingswijzigingen kunnen worden doorgevoerd. “In de techniek verandert veel en niet alles kun je voorzien”, stelt ze dan ook.

“Beschikbaarheid dekt niet alles. 99,8 procent beschikbaarheid betekent dat je drie dagen kunt platliggen. Dat is veel”, beweert de advocaat Golden Bytes. “Als een server uit een kippenhok wordt gestolen en je vervangt hem binnen twee uur dan is er niets aan de hand.”

Ook veegt hij de vloer aan met de audits. “Dan moet er reden tot twijfel zijn en dat spitst zich toe op alleen dat onderdeel waar twijfel over is”, vertelt hij. Ook blijft hij kritisch over het niet waarborgen van kwaliteit met ITIL. De landsadvocaat wijst er fijntjes op dat ITIL bestaat uit aanbevelingen en dat er geen harde verplichtingen zijn. Volgens haar zitten onderdelen van ITIL verkapt in de opdracht.

De landsadvocaat stelt verder dat de SMS-dienst weliswaar authenticatie ondersteunt, maar geen authenticatie is. Natuurlijk is het niet de bedoeling dat een bericht uitlekt. Maar als een tijdelijke code in verkeerde handen valt, dan zal het gevolg niet erger zijn dan dat een burger niet kan inloggen. Met de risico’s valt het allemaal wel mee.

Na de zitting hulde BZK en de landsadvocaat zich weer in schimmig stilzwijgen. Zelfs de openbaar uitgesproken pleitnota werd angstvallig geheimhouden. “Dat is vertrouwelijk”, zei een van de advocates, die zich weigerden voor te stellen. In een later telefoongesprek stelde BZK dat het na de uitspraak opheldering zou geven over de bescherming van de burgerinformatie.