Zoals in mijn eerdere blog staat vermeld, is de DigiD assessment een rare, overbodige activiteit die de maatschappelijke kosten van DigiD flink over de kop jaagt. Let wel, zoals ik heb aangegeven, is de audit als zodanig zinvol, elke organisatie zou regelmatig een security audit moeten laten uitvoeren. Maar een dergelijke audit heeft helemaal dan niets te maken met DigiD, het is gewoon normale governance en compliance. Die DigiD audit levert geen enkele bijdrage.
En wat hebben we nu aan onze fiets hangen? Het verwerken van de resultaten van de DigiD assessments door de Identity Provider zelf, Logius, bleek niet helemaal betrouwbaar, er werden vervalste assessmentrapporten verwerkt:
Het incident:
bericht op security.nlEn daar werd vervolgens een grondig forensisch onderzoek uitgevoerd door Fox-IT.
De analyse
En
de analyse was dat de verwerking bij Logius feitelijk helemaal niet uitging van de auditrapporten zelf, maar ja…
En hoe erg was het dat de DigiD-assessment rapporten werden gewijzigd:
“Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan...”
En dus nu gaat de overheid opnieuw een niet-DigiD-probleem oplossen onder het mom van een verbetering van het proces van de DigiD-assessments.
De oplossing:
We gaan meer maatregelen treffenMijn analyse:
Er is een proces opgetuigd om DigiD-aansluitingen mogelijk te maken. Helemaal prima, DigiD is een identity provider (IdP) en moet dus betrouwbare identiteiten leveren aan service providers. Mijn eerdere analyse gaf het ook al aan: als ik service provider was die externe identiteiten toe zou moeten laten, zou ik wel eisen stellen aan die leverancier van identiteiten, de IdP: ik wil natuurlijk alleen maar betrouwbare identiteiten toelaten. Als service provider zou ik eisen stellen aan de IdP. Ik zou eisen dat de IdP betrouwbaar is:
- Heeft de IdP een ISO27001 certificaat?
- Heeft de IdP een ISAE3402 certificaat?
- Heeft de IdP een privacy assessment ondergaan??
- Is de IdP BIO compliant?
Maar nee, voor de overheid is dit niet de oplossing, de overheid wil weten: heeft de service provider een DigiD assessment uit laten voeren?
En wat staat er in die DigiD assessment? Het is feitelijk een complete system audit, gericht op people, process, technology. Een complete audit inclusief een black box pentest. En de eis om alle tekortkomingen op te lossen, met plannen en planningen en met daarbij dus alle budgettaire gevolgen. Me dunkt, heel fraai hoor, terwijl het, zie de casus van webwereld in de vorige blog, uitsluitend gaat om beperken van de kans van uitlekken van een betekenisloos gegeven, het BSN.
Dus mijn eerdere conclusie dat de maatschappelijke kosten van DigiD extreem zijn door de verkeerder richting van de audit, wordt nog versterkt. Nog meer kosten ten aanzien van DigiD, namelijk een forensisch onderzoek, meer maatschappelijke kosten naar aanleiding van de DigiD-assessments, jawel een digitale handtekening…, terwijl de feitelijke risico’s van betrouwbare identiteiten bestaan bij de identity provider. En alles om een niet bestaand risico te mitigeren. Niet bestaand risico: BSN is niet in gevaar, BSN wordt niet bedreigd, het is een betekenisloos gegeven, als het BSN uitlekt, is er niets aan de hand.
En als die assessment-rapportages onzin zijn, is er nog niets aan de hand “Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan”. Logisch, want die audit is zelf al volkomen overbodig.
Mijn pleidooi:
Laat het BSN vrij.
Laat DigiD alleen betrouwbare identiteiten leveren aan serviceproviders die ze nodig hebben. En laat de IdP transparant zijn over het niveau van beheer en beveiliging van die digitale identiteiten. De IdP moet betrouwbare identiteiten leveren zodat de serviceproviders hun diensten aan burgers kunnen leveren uitgaande van betrouwbare identiteiten, waardoor access governance beter geborgd is. En daar levert het instrument van de DigiD assessment helemaal geen bijdrage aan.
En controleer de serviceproviders op de reguliere manier, werken ze
ordentelijk?
