Uit een woensdag gepubliceerd rapport van de Rekenkamer blijkt dat negentig procent van het DigiD-gebruik gebeurt zonder tweetrapsauthenticatie. De organisatie constateert verder dat de encryptie onvolledig is, maar dat dit een klein risico is.

 

 

In zijn bevindingen schrijft de Rekenkamer: "Van de circa 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms. In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens." Volgens de minister van Binnenlandse Zaken zijn organisaties zelf verantwoordelijk voor de toepassing van 'het juiste betrouwbaarheidsniveau'. Het inloggen met 'een extra controle via sms' is optioneel.

Daarnaast besteedt de Rekenkamer aandacht aan de encryptie van DigiD-gegevens. Deze bleek in de afgelopen jaren niet te voldoen aan de eisen. In 2016 is door middel van een audit vastgesteld dat er op het gebied van periodieke beveiligingsonderzoeken, en op dat van logging en analyse voldoende maatregelen zijn getroffen. De encryptie is nog steeds alleen gedeeltelijk en voldoet niet aan de geldende regels, maar het misbruik van de gegevens zou door andere veiligheidsmaatregelen 'tot een gering risico' beperkt zijn. De minister nam daarom in oktober 2016 de beslissing om het restrisico te aanvaarden. Encryptie moet volgens de minister worden toegepast in de opvolger van DigiD, die begin 2018 wordt verwacht, aldus de Rekenkamer.

Andere bevindingen uit het rapport van de Rekenkamer zijn dat er bij het rijk onvoldoende deskundigheid aanwezig is op verschillende gebieden, waaronder ict. Dat speelt ook bij de politie, waar ondanks verschillende wervingsrondes nog steeds te weinig ict-experts werkzaam zijn, waardoor groeiende recherchegebieden als internetcriminaliteit te weinig aandacht krijgen. De Rekenkamer constateerde dan ook voornamelijk problemen met de bedrijfsvoering van het rijk op het gebied van ict en informatiebeveiliging.

Aan dat laatste gebied moeten ministeries meer aandacht besteden. De Rekenkamer stelt: "Er is daarnaast bestuurlijke aandacht vereist om gevoelige gegevens van burgers over een strafrechtelijk verleden, orgaandonatie, belasting- of medische informatie beter te beschermen. En om identiteitsfraude, het hacken van systemen voor de bediening van bruggen en sluizen of andere kritieke systemen tegen te gaan."

Update, 15:14: Naar aanleiding van het bericht is enige verwarring ontstaan over de vraag of de Rekenkamer de sterkte of complexiteit van wachtwoorden heeft onderzocht. In afwachting van een officiële reactie vanuit de Rekenkamer is de tekst daarom aangepast om verwarring te voorkomen. In het oorspronkelijke artikel stond dat 90 procent van het gebruik van DigiD plaatsvindt met een zwak wachtwoord en zonder sms-authenticatie. De tekstdelen over zwakke wachtwoorden zijn voorlopig aangepast.

 

Reacties mogelijk gemaakt door CComment