Platform Identity Management Nederland (PIMN)

PIMN voor beter identity management

Brenno de Winter: BZK: beveiliging DigiD van later zorg

Er zijn nauwelijks harde beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK bij de rechter dat de garanties er wel zijn. Andere beveiliging is van later zorg.

Dat bleek gisterochtend tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen.

Kiezen voor prijs, niet veiligheid
“Er is gekozen voor prijs en niet voor veiligheid”, concludeert Frederik van Nouhuys, advocaat van Golden Bytes. Zijn klant verloor de opdracht, omdat het bedrijf op een bedrag van ongeveer 900.000 euro een kleine 18.000 euro duurder was dan de winnaar. De prijs is alleen incompleet, omdat er nog veel beveiligingseisen aan de opdracht worden toegevoegd.

Van Nouhuys vreest dat inbrengen van beveiliging in een later stadium wel eens een half miljoen kan gaan kosten en daarmee zoveel kosten zijn gemoeid dat de onderhandse opdracht wel erg groot is. Daarmee overtreedt de overheid de wet en zou de aanbesteding niet mogen doorgaan.

Beveiliging wel voorzien
Onzin vindt de landsadvocaat. Zij benadrukt dat onderdeel van de aanbesteding is dat beveiligingswijzigingen kunnen worden doorgevoerd. “In de techniek verandert veel en niet alles kun je voorzien”, stelt ze dan ook.

Precies dat is de reden dat er geen harde beveiligingseisen zijn gesteld. De overheid heeft vooral functionele eisen opgesteld, waardoor de leverancier de vrije hand krijgt in hoe die precies worden ingevuld. Daarbij trekt zij de parallel met de bouw, waar dit ook meer en meer in zwang zou raken. “Dat is iets wat de markt heeft gevraagd.”

Belangrijk daarbij is de eis dat er een beschikbaarheid van 99,8 procent wordt geëist. Daaruit vloeit volgens BZK dan ook voort dat er maatregelen worden genomen. En al worden ze niet gevraagd, toch bedoelt de overheid wel veilig te werken. Ook kan de overheid bij twijfel een audit uitvoeren en gaat men in het contract wel van gescreend personeel uit.

Kippenhok

“Beschikbaarheid dekt niet alles. 99,8 procent beschikbaarheid betekent dat je drie dagen kunt platliggen. Dat is veel”, beweert de advocaat Golden Bytes. “Als een server uit een kippenhok wordt gestolen en je vervangt hem binnen twee uur dan is er niets aan de hand.”

Ook veegt hij de vloer aan met de audits. “Dan moet er reden tot twijfel zijn en dat spitst zich toe op alleen dat onderdeel waar twijfel over is”, vertelt hij. Ook blijft hij kritisch over het niet waarborgen van kwaliteit met ITIL. De landsadvocaat wijst er fijntjes op dat ITIL bestaat uit aanbevelingen en dat er geen harde verplichtingen zijn. Volgens haar zitten onderdelen van ITIL verkapt in de opdracht.

Geen authenticatie
De landsadvocaat stelt verder dat de SMS-dienst weliswaar authenticatie ondersteunt, maar geen authenticatie is. Natuurlijk is het niet de bedoeling dat een bericht uitlekt. Maar als een tijdelijke code in verkeerde handen valt, dan zal het gevolg niet erger zijn dan dat een burger niet kan inloggen. Met de risico’s valt het allemaal wel mee.

Dat ontkent de SMS-leverancier. Die wijst op de ontstane onrust in de Tweede Kamer. De rechter doet op 1 november om 10 uur uitspraak. Dan moet duidelijk worden of de aanbesteding van de SMS-dienst opnieuw moet. Over de veiligheid hoeft de magistraat zich niet uit te laten.

Na de zitting hulde BZK en de landsadvocaat zich weer in schimmig stilzwijgen. Zelfs de openbaar uitgesproken pleitnota werd angstvallig geheimhouden. “Dat is vertrouwelijk”, zei een van de advocates, die zich weigerden voor te stellen. In een later telefoongesprek stelde BZK dat het na de uitspraak opheldering zou geven over de bescherming van de burgerinformatie.

Bron: Gepubliceerd: Vrijdag 22 oktober 2010, Auteur: Brenno de Winter
Webwereld

Weergaven: 12

Opmerking

Je moet lid zijn van Platform Identity Management Nederland (PIMN) om reacties te kunnen toevoegen!

Wordt lid van Platform Identity Management Nederland (PIMN)

Doe mee op LinkedIn

Vaker een update en goede mogelijkheid om zichtbaar te zijn.

© 2018   Gemaakt door Jaap Kuipers.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden