| Ingediend | 30 oktober 2014 |
|---|---|
| Beantwoord | 10 november 2014 (na 11 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), Manon Fokke (PvdA) |
| Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
| Onderwerpen | bestuur economie ict organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z19218.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20142015-515.html |
Ja
Nee, er was geen lek in de beveiliging van DigiD. In september van dit jaar is bij Logius door een softwareleverancier melding gemaakt van een kwetsbaarheid in een specifieke versie van hun ContentManagementSysteem (CMS). Na onderzoek van Logius bleek bij 12 gemeenten de koppeling van het betreffende CMS met DigiD zodanig te zijn opgebouwd dat er een potentieel risico bestond dat DigiD misbruikt kon worden.
Logius heeft de namen van de betrokken gemeenten en andere organisaties niet bekend gemaakt omdat het aan de betrokken organisaties zelf is om daar wel of geen mededelingen over te doen. Het betrof immers een kwetsbaarheid in een CMS dat door die organisaties wordt gebruikt.
Het betrof een kwetsbaarheid in een specifieke versie van een ContentManagementSysteem. Hackers zouden deze kwetsbaarheid hebben kunnen misbruiken om kwaadaardige software te plaatsen en daarmee in theorie de mogelijkheid hebben om allerlei gegevens en handelingen van bezoekers aan betreffende gemeentesites af te vangen.
Op 25 september van dit jaar is bij Logius door een softwareleverancier melding gemaakt van een kwetsbaarheid in hun ContentManagementSysteem (CMS). De kwetsbaarheid was volgens de softwareleverancier van het CMS binnen 24 uur na ontdekking (18 september) gedicht. De softwareleverancier heeft een patch ontwikkeld en toegepast bij de getroffen gemeenten om de specifieke kwetsbaarheid te verhelpen. De softwareleverancier heeft de gemeenten daarover geïnformeerd.
Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn.
Logius heeft het Nationaal Cyber Security Center (NCSC), de informatiebeveiligingsdienst voor gemeenten (IBD) en het Ministerie van BZK geïnformeerd over de kwetsbaarheid en de gekozen oplossing. De betreffende gemeenten zijn ook onverwijld geïnformeerd door hun leverancier en door Logius.
Hetzelfde gespecialiseerde beveiligingsbureau heeft in opdracht van Logius de kwaliteit van de oplossing van de kwetsbaarheid onderzocht alsook de toepassing op de systemen. Daarbij is vastgesteld dat de kwetsbaarheid door middel van de oplossing is verholpen en niet meer op de getroffen systemen aanwezig is.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten uitgevoerd. Omdat er in dit geval geen enkele concrete aanwijzing was van exploitatie van deze kwetsbaarheid is van nader onderzoek verder afgezien.
Het al dan niet informeren van burgers is een verantwoordelijkheid van de organisaties zelf.
Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten gedaan.
Voor wat betreft wachtwoorden is het regelmatig wijzigen daarvan een standaardadvies dat Logius continu geeft, onder meer via de website www.digid.nl. Ook zijn de eisen voor DigiD-wachtwoorden sinds mei 2014 verscherpt, waardoor gebruikers met een zwak wachtwoord een nieuw – sterker – wachtwoord moeten aanmaken. Voor nieuwe aanvragen gold deze eis al langer. Deze casus is geen aanleiding geweest om daar gericht nog meer aandacht aan te geven dan al voortdurend wordt gedaan.
Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn. Dit onderzoek is onder een aantal gemeenten uitgevoerd.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten uitgevoerd.
Omdat in beide onderzoeken geen enkele concrete aanwijzing is gevonden van exploitatie van deze kwetsbaarheid ben ik nog steeds van mening dat nader onderzoek niet nodig is.
In de uitzending werd gesteld dat DigiD gebruik zou maken van een certificaat dat niet zou voldoen aan de moderne beveiligingseisen. Dat is niet juist. De in de uitzending getoonde cryptografie maakt geen onderdeel uit van het certificaat. De cryptografie waarmee DigiD wordt beveiligd staat in het certificaat zelf onder het tabblad bij het veld «handtekening hash-algoritme». Het certificaat van DigiD maakt gebruik van het moderne en veilige algoritme SHA256 en niet zoals in de uitzending werd gesuggereerd het minder veilige SHA1 algoritme.
Nee, ik deel deze mening niet. Er is geen sprake van een zorgelijke situatie. De gemeenten hebben juist een goed informatieveiligheidsbeleid opgezet. In november 2013 hebben gemeenten onderling goede afspraken gemaakt over informatieveiligheidsbeleid in de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeenten. De in januari 2013 opgerichte gemeentelijke Informatiebeveiligingsdienst (IBD), ondersteunt gemeenten in bewustwording en met het op een hoger plan tillen van hun informatieveiligheidsbeleid. De IBD heeft, zoals het tot haar taak behoort, adequaat gereageerd op kwetsbaarheden, die er nu eenmaal kunnen zijn in ICT.
Het kwaliteitsinstituut voor Nederlandse Gemeenten (KING) onderzoekt momenteel de mogelijkheid om gemeenten gebruik te kunnen laten maken van een meer gestandaardiseerde (kern)website.
Gemeenten zijn, net als alle afnemers van DigiD, gehouden te voldoen aan een DigiD beveiligingsassessment. Bij dit beveiligingsassessment worden een selectie van beveiligingsnormen uit de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, door gecertificeerde auditors getoetst. Dat is ook gedaan bij de betrokken organisaties. Deze kwetsbaarheid is niet gebleken in het assessment traject. Logius heeft inmiddels overleg gevoerd met NOREA, de beroepsorganisatie van IT-auditors. Naar aanleiding hiervan is NOREA gestart met een verkennend onderzoek. Overigens is de betreffende kwetsbaarheid door een beveiligingsaudit ontdekt. Dit onderschrijft het nut en de noodzaak voor het uitvoeren van audits.