DigID/eID

Again Dutch but then again, this is a real Dutch subject.

 

Vandaag las ik het volgende artikel: http://nutech.nl/internet/3658257/nieuw-digid-bruikbaar-in-webwinkels.html

 

Ten eerste moet het mij van het hart dat dit het zoveelste systeem is wat in eerste instantie voor en door de overheid ontwikkelt is en nu eigenlijk commercieel ingezet gaat worden.

Persoonlijk lijkt dit mij onwenselijk, kijk hoe geweldig het heeft gewerkt om het Openbaar Vervoer te privatiseren en commercieel te maken, de dienstverlening is met sprongen achteruit gegaan, de prijzen met diezelfde sprongen vooruit, er word geblunderd met OV Chip kaarten waardoor sommige reizen goedkoper zijn met een kaartje i.p.v. een OV-chipkaart en andere juist weer duurder en het uiteindelijke resultaat is dat er nu minder mensen de trein of de bus nemen dan voorheen en dat er constant ruzie is tussen de vervoerende partijen (zoals de NS en Arriva) en de beherende partij (ProRail).

Ook de post privatiseren heeft voor mijn gevoel tot wanorde geleid, krijg ik nu een poststuk niet dan moet ik eerst uitzoeken bij welk bedrijf ik een klacht moet indienen, dagelijks krijg ik op meerdere momenten post, er worden meer fouten gemaakt, ik krijg met enige regelmaat post voor mensen die in de straat achter mij op het zelfde huisnummer wonen en ik merk zelf met enige regelmaat dat ik bepaalde brieven niet krijg, die zullen dan wel bij de mensen in de straat achter mij bezorgd worden gok ik. Ook met pakketjes is het niet beter, regelmatig zie ik 2 concurrerende pakket diensten door de wijk rijden en heb ik het inmiddels al mee gemaakt dat er een briefje in mijn brievenbus zat dat mijn pakketje achter in de barbecue lag. Op zich geen van alle echt kwalijke punten (behalve het verkeerd bezorgen dan) maar wel punten die duidelijk maken dat de dienstverlening achteruit is gegaan sinds de privatisering en je kunt mij nog steeds niet wijsmaken dat het goedkoper is dat ik mijn post in 2 etappes krijg en dus door 2 bezorgers dan dat ik het in 1 keer krijg bezorgd door 1 bezorger.

Beide voorbeelden geven aan dat het uiteindelijk meer geld kost, of van de overheid of van de mensen zelf.

 

En nu zijn ze eigenlijk bezig het DigID systeem, wat ontwikkelt is als een centraal veilig inlog systeem voor overheidszaken, op dezelfde manier commercieel te maken in de hoop hier aan te kunnen verdienen.

En dan begint het al met de nietszeggende kreten als 'er worden harde afspraken gemaakt om de veiligheid te waarborgen', waar zijn die afspraken terug te lezen? Waarom staan die er niet bij vermeld?

Maar goed, dit zijn we gewend van politici.

En er mag echt gezegd worden dat het lijkt alsof ze hun best hebben gedaan om een veilig systeem uit te denken waar het om privacy gaat.

Maar mensen, een single sign on systeem voor een heel land?

Bedenk eens wat voor security implicaties dat met zich meebrengt...

Een groep hackers weet direct waar ze moeten zijn om de inlog gegevens van ALLE Nederlanders voor ALLE Nederlandse overheidsdiensten en webshops te krijgen.

Om nog maar te zwijgen van terrorisme (want tenslotte is het wel mode om daar bang voor te zijn en rekening mee te houden), als buitenlandse kwaadwillende groep terroristen blaas je gewoon het datacenter van Logius op waar DigID in gehost word, voila, in een klap een hele samenleving ontregelt, niemand kan meer bij de digitale overheid maar ook niemand kan meer bestellen via webshops! Kun je je de impact op onze economie voorstellen als zoiets gebeurd?

En wat als het door een foutje gebeurd, oeps de main kabel naar het datacenter is stuk en de back-up bleek niet getest te zijn en ook stuk te zijn, hoe vaak ik dat al niet heb meegemaakt in de ICT wereld. Of dat de back-up en main kabels naast elkaar door dezelfde buis heen lopen, gaat die buis stuk, beide verbindingen stuk, dan zit je dus met een probleem van een enorme omvang met zo een centraal inlog systeem.

 

Het is heel lovend om zoiets op te zetten want er zitten tenslotte best veel voordelen aan zo een systeem en vooral, het zorgt dat webshops dezelfde 'veilige' procedures gebruiken die de overheid gebruikt, dat is zeker een goed punt.

Maar alles in aanmerking genomen, is het niet veel verstandiger om een losse overheids tak van de DigID met een eigen infrastructuur en back-up systeem te behouden en daarnaast misschien een commerciële versie te bouwen?

Is het niet veel veiliger om bij een terroristische daad of een hack poging slechts 1 sector (overheid of webshops) te hebben die getroffen word i.p.v. 2?

En is het ook vooral niet zo dat als webshops hier voor gaan betalen dat ze dan ook eisen gaan stellen op den duur? Dat ze bijvoorbeeld inzage willen in bepaalde gebruikers data? En krijg je dan niet weer het probleem dat dit overhandigd gaat worden omdat men bang is dat de 'klant' (webshop in dit geval) wegloopt en zelf iets gaat doen?

Bij dit soort systemen is er altijd function creep.

Dus bouw een systeem wat alle inlog gegevens van alle Nederlanders voor de e-overheid en voor alle webshops in Nederland bevat, laat dit systeem vervolgens statistieken over de gebruikers en waar ze allemaal inloggen verzamelen, en je hebt de natte droom van elke marketing manager. Geef vervolgens de beheerders de opdracht om commercieel te denken en voila, je kunt gaan zitten wachten tot al die gegevens op straat komen.

 

De veiligheid van de huidige DigID laat al te wensen over, hun controle methodes ook, de beherende partij (Logius) is gericht op het gebruik van DigID zo aantrekkelijk mogelijk te maken voor andere partijen. Ik heb voorlichtingen van deze mensen meegemaakt, ik heb gezien hoe ze in de crisis van Lektober handelde. Tijdens Lektober was ik in dienst bij een leverancier van RIS/BIS Systemen (RaadsInformatie / BestuursInformatie Systeem). Alle communicatie die wij van Logius ontvingen in die tijd en alle voorlichtingen waren overduidelijk gericht op managers, bij elke technische vraag die je deze mensen voorlegde werd gereageerd met 'dat weten we nog niet, daar komen we nog op terug', er werden security maatregelen opgelegd waarvan deze mensen zelf niets snapte en die duidelijk NIET door een ICT-er bedacht waren. Hierbij mag wel gezegd worden dat de uiteindelijke versie van de security maatregelen zoals ik die later te zien heb gekregen WEL doordacht was en inderdaad een zekere basis beveiliging afdwong.

 

Ik zou onze overheid dus willen oproepen om het ontwerp van het nieuwe DigID platform niet uitsluitend bij Logius en de commerciële partijen waarmee zij zaken doen te laten berusten, laat dit ontwerp a.u.b. ook inspecteren door onafhankelijke security experts, de opensource wereld en eventueel wat concurrerende commerciële partijen.

En een oproep die ik al vaker heb gedaan:

Beste overheid, houd a.u.b. op met te luisteren naar de commerciële partij met het beste verkoop verhaaltje en neem zelf eens wat mensen in dienst met een gezond boeren verstand en kennis van ICT, op de lange termijn is dat goedkoper, krijg je er een betere dienstverlening van en ben je af van de afhankelijkheid van commerciële partijen die liever uren schrijven dan echt het probleem op te lossen.

Comments

ik ben voor een chip in de arm. met alles er op en aan. betalen met je pols.

En dat van de persoon die overal complotten ziet en zelfs denkt dat de maanlanding nep is? Ik zou nog maar eens goed nadenken voor je zoiets roept.

Ik zal de videos wel eens mee nemen op mijn stick.

Laat maar Xeno, je begrijpt het duidelijk niet...