DigiD voldoet niet aan veiligheidsnormen (en andere ICT problemen)

4 Connecties

Relaties

Algemene Rekenkamer DIgiD

Organisaties

Overheid

Werkvelden

ICT

ICT en overheid blijft een lastige combinatie. De beveiliging van DigiD vertoont nog altijd behoorlijke lacunes, constateerde de Rekenkamer in haar verantwoordingsrapport.

DigiD en een groot aantal van de overheidsinstellingen die DigiD gebruiken voldoen in 2013 niet aan de normen die de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft vastgesteld, zo constateert de Rekenkamer in haar rapport over het jaarverslag van het ministerie. Maar ook de service DigiD zelf voldoet 'niet op alle punten aan de beveiligingsnormen'. DigiD is het digitale toegangsbewijs voor burgers tot alle overheidsdiensten. Onder meer het ondertekenen van belastingaangiftes, het veranderen van je studiekeuze of je werkloosheidsstatus bij het UWV verloopt via dit medium. Gisteren maakte de Belastingdienst bekend dat de wachtwoorden van burgers voor DigiD per direct aan strengere voorwaarden moeten voldoen. De oude wachtwoorden waren te fraudegevoelig. Het probleem met de beveiliging van DigiD ligt volgens de Rekenkamer niet zozeer bij de gebruiker, als wel bij de overheidsdiensten die er gebruik van maken.

400 DigiD partners

Denk je als burger bij het gebruik van DigiD allereerst aan echte overheidsdiensten als gemeentes, de belastingdienst en het UWV, tegenwoordig zijn er 400 private partners die ook gebruik van DigiD maken. Zo kan je sinds 2013 ook bij je zorgverzekeraar en pensioenfondsen inloggen met DigiD. Handig, maar ook fraudegevoelig aangezien al die partners eigen webomgeving hebben met eigen beveiligingssystemen. En die zijn lang niet altijd op orde, constateert de Rekenkamer. Zo zijn de web omgevingen van 'een groot deel van de overheidsinstellingen die DigiD gebruiken nog niet volledig weerbaar tegen cyberaanvallen.' Van de 400 aangesloten instellingen  blijken er bij in ieder geval 21 DigiD-aansluitingen belangrijke beveiligingsmaatregelen te ontbreken. Nog zorgelijker is dat 'slechts 25% van de DigiD aansluitingen voldoet aan de beveiligingsnormen.'
Nog zorgelijker is dat slechts 25% van de DigiD aansluitingen voldoet aan de beveiligingsnormen.

Andere ICT problemen

Dat de overheid moeite heeft grote ICT projecten te realiseren, werd deze en afgelopen week nog maar weer eens pijnlijk duidelijk bij de verhoren van de commissie ICT . Uit de verhoren bleek dat de overheid als opdrachtgever sterk afhankelijk is van grote ICT partijen. Bij falen wordt er niemand afgerekend en de uitvoerende bedrijven maken vaak de dienst uit. De Rekenkamer richt haar pijlen dan ook niet alleen op DigiD. Onder andere de Dienst Uitvoering Onderwijs (DUO) , de vroegere IB groep, heeft zijn ICT omgeving niet geheel op orde volgens de Rekenkamer. 'DUO voldoet in 2013 niet aan alle bij het Rijk gehanteerde normen voor informatiebeveiliging. Dit kan gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en de continuïteit van de bedrijfsvoering.' Wel maakt de dienst stappen in de goede richting, aldus de Rekenkamer. Een andere opvallende instantie in de rapportages is Rijkswaterstaat. Haar informatiesystemen zijn op dit moment nog erg vatbaar voor hackers. Denk aan de bediening van bewegwijzering, stoplichten, maar ook de bediening van bijvoorbeeld sluizen. Volgens de toezichthouders zijn 'er zeer ingrijpende investeringen nodig om de veiligheid op het juiste niveau te brengen.' Dat gaat naar schatting zeker enkele tientallen miljoenen euro’s kosten. Ook de Belastingdienst heeft de ICT nog lang niet op orde. De Rekenkamer constateert dat de ICT systemen van de Belastingdienst verouderd zijn, waardoor het beheer zeer complex is. De Belastingdienst krijgt echter ook een aantal pluimen. Op onderdelen is er echter vooruitgang geboekt. Zo heeft de dienst de problematiek rondom toeslagen, waardoor staatssecretaris Weekers uiteindelijk opstapte, steeds beter onder controle. Ook de ICT wensen zijn voor het eerst in jaren goed in kaart gebracht en er wordt steeds beter rekening gehouden met de beschikbare ICT capaciteit.