Another DigiD incident: we’d better hurry up

The latest security incident with the Dutch eID solution DigiD was all over the Dutch media. The DigiD of about 150 citizens from Amsterdam was stolen in December. The identity thiefs then used these DigiDs to change the bank account number for pensions etc from the victims. Although, in my opinion, DigiD is a success since it is used a lot, we really need to make it more secure. There are plans for this, but no final decision has been made. Below a more elaborate blog post in Dutch.

Weer DigiD fraude: we hebben haast

Digid Fraude Vk Kop1

DigiD stond vanochtend weer groot en negatief in de landelijke kranten (bv Volkskant, NRC). Dit maal blijkt de DigiD van 150 Amsterdammers gestolen zodat uitkeringen en toeslagen naar criminelen konden worden overgemaakt. Het gaat hier om een bekende zwakheid bij DigiD: het wachtwoord wordt via de post verspreid dus iemand die je brievenbus ‘hengelt’, een criminele PostNL medewerker of iemand met toegang tot je huis kan vrij makkelijk jouw DigiD stelen. Hoewel ik inschat dat de financiële schade van deze 150 gevallen wel mee zal vallen ten opzichte van de investeringen voor een veiligere eID oplossing, is het erg vervelend voor de 150 mensen die het overkomt en is het slecht voor het vertrouwen in de elektronische overheid. En er zijn meer incidenten geweest en er zullen er meer komen.

DigiD is ontworpen als een laagdrempelig en relatief goedkope identiteitsoplossing. En vergeet niet, het is een succesvolle oplossing. Hierbij is de maatstaf voor succes of het gebruikt wordt. DigiD wordt veel gebruikt, ook in vergelijking met onze buurlanden. Het DigiD gebruik stijgt ook nog steeds, tot 100 miljoen keer afgelopen jaar. Er moet nu alleen wel tempo gemaakt worden met een opvolger. Ik heb al het nodige geblogd over deze opvolger: het eID stelsel NL en een DigiD smartcard, dat ga ik hier niet herhalen. Wel vind ik het opvallend dat ook nu, in bijvoorbeeld de Volkskant, bij dit incident een smartcard als oplossing wordt gepresenteerd. Maar als die smartcard gewoon via de post opgestuurd zou worden gaat dit echt niet helpen. Dat betekent niet dat ik niet vind dat een veiliger authenticatiemiddel geen goed idee is, maar de urgentie lijkt me meer in een veiligere uitreiking van het authenticatiemiddel. Dit komt meestal neer op een face-2-face uitreiking van het wachtwoord of smartcard, in plaats van per post.

Vlak voor kerst is een kamerbrief over eID stelsel en DigiD-kaart verschenen. Deze bevatte weinig verrassingen en een paar keuzes over met name wat privaat en wat publiek zal worden in het eID stelsel. Een citaat uit deze brief:

De definitieve besluitvorming over de inrichting van het eID Stelsel en de introductie van de DigiD-kaart kan pas plaatsvinden als de hiermee samenhangende uitgaven en ontvangsten volledig in kaart zijn gebracht en alle uitgaven zijn gedekt. De Tweede Kamer zal hier op een later tijdstip nader over geïnformeerd worden.

Gezien de toenemende problemen met DigiD hoop ik dat er ook snel tot daadwerkelijk besluitvorming inclusief financiering overgegaan wordt. Dan kunnen publieke en private partijen hierop inspelen en kan Nederland een volgende stap zetten naar betrouwbaardere digitale dienstverlening (overheid en bedrijfsleven). Dit geldt overigens ook mocht het eID stelsel en/of DigiD-kaart alsnog struikelen of in een beperkte vorm worden ingevoerd. Beter dat dit snel duidelijk is zodat marktinitiatieven de ruimte hebben. En als voor wat voor reden dan ook een opvolger van DigiD te lang op zich laat wachten, dan kan overwogen worden als tussenoplossing DigiDs via het gemeentehuis i.p.v. via de post uit te reiken.

 

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s