Radboud: “Patientendossier vereist zwaarder DigiD”

Een onderzoek van het Radboud  Universiteit beschrijft de verschillende beveiligingsniveau's van het DigiD systeem. Het pleit bovendien voor een zwaardere beveiliging van het EPD. 

Uit het onderzoek Beveiligingeisen ten aanzien van identificatie en authenticatie voor toegang zorgconsument tot het Elektronisch Patientendossier (EPD) [lokale kopie] dat uitgevoerd is door onder meer de Radboud Universiteit in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport:

Gelet op de juridische en technische beveiligingseisen rondom het EPD is – uitgedrukt in DigiD- niveaus – een zekerheidsniveau van meer dan 2 noodzakelijk. Hiervan uitgaande lijkt op de langere termijn eNIK (of een vergelijkbaar elektronisch rijbewijs), gemeten naar de huidige kennis en inzichten rondom eNIK, het meest geschikte authenticatiemiddel om DigiD zekerheidsniveau 3 te bereiken. Omdat eNIK danwel het elektronisch rijbewijs hoogstwaarschijnlijk de komende jaren niet beschikbaar zullen zijn, zijn alternatieve opties met een lager zekerheidsniveau dan 3 maar hoger dan 2 in kaart gebracht. Op grond van de geinventariseerde technische en juridische eisen, komen voor EPD-authenticatie twee authenticatiemiddelen in aanmerking, te weten SMS+ (variant 1) en RTDA:

  • SMS+ (variant 1) is gebaseerd op DigiD. In verband met de noodzakelijke face-to-face verificatie zal de zorgconsument zich persoonlijk moeten melden bij een controle-instantie alwaar een baliemedewerker diens identiteit wordt vastgesteld. […] De DigiD server stuurt vervolgens een SMS naar het (eerder) opgegeven mobiele telefoonnummer (dat bij DigiD gekoppeld is aan het BSN van de betreffende persoon). Deze SMS bevat een specifieke (eenmalige) code, die ook verschijnt in de applicatie. De baliemedewerker controleert op het scherm van de mobiele telefoon dat de juiste code binnengekomen is, en geeft via de applicatie aan dat dit mobiele telefoonnummer gevalideerd is.
  • RTDA (Remote Travel Document Authentication) is eveneens gebaseerd op DigiD, aangevuld met authenticatie door middel van een reisdocument wat na 26 augustus 2006 is uitgegeven en een chip bevat. Omdat de geldigheidsduur van reisdocumenten 5 jaar bedraagt, zal het nog tot 2011 duren voordat alle huidige reisdocumenten zijn vervangen door een reisdocument met een chip. Een persoon meldt zich op een daartoe bestemde webpagina om toegang te krijgen tot zijn EPD. […] Vervolgens wordt op de DigiD webpagina gevraagd om het eigen paspoort (of de identiteitskaart) op een contactloze kaartlezer te leggen, en om het nummer en de geldigheidsdatum van het document op de webpagina in te vullen.

De acht onderzochte varianten voor authenticatie worden beschreven en besproken in hoofstuk 4 van het rapport. In dat hoofdstuk staat over de twee voorkeursvarianten onder meer geschreven:

Van de twee onderzochte varianten ten aanzien van SMS+ heeft – voor wat betreft informatiebeveiliging – variant 1 de voorkeur (verificatie van het mobiele telefoonnummer door de controle-instantie aan de hand van een verificatieapplicatie) boven variant 2 (verificatie van mobiele telefoonnummer door middel van een verklaring door de zorgconsument en registratie van deze verklaring door DigiD). Bij variant 2 kunnen zich immers problemen ten aanzien van schrijf- en kopieerfouten (bij het inscannen van de verklaringen door DigiD) voordoen. Daarnaast lijkt een dergelijke verklaring meer fraudegevoelig omdat het uitgevoerde verificatieproces niet wordt geregistreerd door een geauthenticeerde baliemedewerker en controles ten aanzien van het op de verklaring aangegeven mobiele telefoonnummer pas worden uitgevoerd nadat de DigiD-organisatie deze verklaring ontvangt en verwerkt. SMS+ is ten opzichte van RTDA het minst ingrijpend en omslachtig voor de gebruikers. Daar staat tegenover dat er wel extra werk gestoken zal moeten worden in de authenticatie van het mobiele telefoonnummer, met inzet van de baliemedewerkers van de controle-instantie. In de huidige DigiD context zou men bij SMS+ kunnen spreken van authenticatie op zekerheidsniveau 2+. RTDA is ingrijpender dan SMS+ omdat EPD-subjecten (thuis) een kaartlezer nodig zullen hebben (met bijbehorende distributie en installatieproblemen). Dit authenticatiemiddel is echter meer in lijn met geplande ontwikkelingen rond de eNIK en rijbewijs: er kan betoogd worden dat een dergelijke infrastructuur op termijn nodig is. Bij RTDA zou men kunnen spreken van zekerheidsniveau 2½. RTDA is sterken dan SMS+ omdat het reisdocument een zorgvuldig proces kent bij uitgifte en verlies en omdat het reisdocument een goed beveiligde chip bevat. Bij eerste beschouwing lijkt de SMS+ (variant 1) een bredere verspreiding te hebben dan de reisdocumenten voorzien van RTDA en daarmee op dit moment breder implementeerbaar. […]

In het rapport zijn ook DigiD en de bijbehorende zekerheidsniveaus beschreven:

DigiD werkt als een centrale authenticatiedienst via "tickets" (in grote lijnen zoals Kerberos). Indien een gebruiker een overheidswebsite bezoekt die authenticatie vereist zal (de browser van) die gebruiker automatisch worden doorverwezen naar de DigiD website. Daar vindt authenticatie plaats, over een met SSL beveiligde verbinding. Vervolgens wordt de gebruiker met een "ticket" terugverwezen naar de oorspronkelijke overheidswebsite, waar het ticket gelezen wordt. Het ticket zegt in essentie: "met zekerheidsniveau N is vastgesteld dat deze gebruiker BSN X heeft". Bij het ontwerp van DigiD is uitgegaan van drie zekerheidsniveaus voor authenticatie, namelijk "basis" (ook wel: "niveau 1"), "midden" ("niveau 2"), en "hoog" ("niveau 3"). Het eerste niveau vereist simpelweg het inloggen door de gebruiker door middel van een gebruikersnaam en een wachtwoord. Het tweede niveau vereist authenticatie via een one-time-password (OTP), dat bij DigiD verstuurd wordt via SMS. Het derde niveau is op dit moment niet beschikbaar, maar vereist een geavanceerde digitale handtekening. De elektronische Nederlandse identiteitskaart (eNIK) was voorzien voor dit hoogste niveau. De invoering hiervan heeft echter vertraging opgelopen. Het is aan de applicatie (op de overheidswebsite waar een gebruiker in wil loggen) om te bepalen welk zekerheidsniveau vereist is voor toegang tot die applicatie. Ook worden alle gebruikgegevens aan de applicatiekant opgeslagen. Bij DigiD staan alleen die gegevens centraal die voor authenticatie vereist zijn. Benadrukt wordt dat DigiD een serviceprovider is voor authenticatie, en niet voor autorisatie of onloochenbaarheid (non-repudiation). DigiD verschaft enkel een bepaalde mate van zekerheid over de identiteit van de gebruiker. Het bepaalt niet wat die gebruiker vervolgens mag doen. En het levert ook geen bewijs dat een gebruiker een bepaalde handeling verricht heeft (zoals een elektronische handtekening doet). Door het ontbreken van een gekwalificeerde handtekening en de huidige gecentraliseerde opzet van DigiD is het mogelijk dat een "insider" die controle heeft over de DigiD infrastructuur zich in principe als iedere gebruiker zou kunnen voordoen (door zelf het gewenste ticket te genereren). Bij het beoogde zekerheidsniveau "hoog" wordt een dergelijke "insider" aanval uitgesloten doordat een extra authenticatiestap vereist is met een middel (zoals de eNIK) waarmee alleen de gebruiker een handtekening kan zetten (na het invoeren van de eigen PIN).