Tweede Kamer der Staten Generaal Vaste commissie voor Binnenlandse Zaken en Koninkrijksrelaties De heer P.

de Krom, voorzitter, leden en griffier Postbus 20018 2500 EA Den Haag

Utrecht, 11 oktober 2010 Betreft: SMS-gateway inzake DigiD ed. Geachte heer De Krom, leden en griffier, Wij schrijven u deze brief vanwege onze ernstige zorgen over de recente ontwikkelingen rond de beveiliging van DigiD. DigiD is de elektronische identificatie voor contact met de overheid. Die identificatie vindt plaats door middel van een login-naam en een wachtwoord. Dit wordt echter steeds vaker als te fraudegevoelig ervaren, zodat er aanvullend gebruik wordt gemaakt van zogenaamde SMS-authenticatie. De gebruiker koppelt zijn mobiele telefoon aan zijn DigiD gegevens en als hij wil inloggen verstuurt het systeem een unieke code naar die mobiele telefoon. Die code moet ook worden ingevoerd en omdat alleen de juiste persoon wordt geacht te kunnen beschikken over de juiste login-naam, het bijbehorende wachtwoord en de juiste, unieke SMS-code, wordt een aanvaardbaar veiligheidsniveau bereikt. De SMS-berichten worden via een centrale SMS-gateway naar de telefoon verstuurd. Het is daarom van groot belang dat deze zeer goed beveiligd is. Als iemand toegang weet te krijgen tot de servers van de SMS-gateway kunnen de SMS-codes worden onderschept, zodat het veel eenvoudiger wordt om in naam van iemand anders in te loggen, met identiteitsfraude tot gevolg. De meerwaarde van de multifactor SMS-authenticatie is in dat geval nihil. In 2005 is begonnen met SMS-authenticatie en wij hebben dat toen voor de overheid uitgerold. Hierbij zijn veel veiligheidsmaatregelen getroffen die ook nu nog worden toegepast. SMS-authenticatie geschiedt vandaag de dag bijvoorbeeld via servers die uitsluitend daarvoor worden gebruikt, die staan opgesteld in beveiligde datacentra, en waarvan het beheer wordt gedaan door een beperkt aantal, gescreende personen. Ook is de beschikbaarheid, onder meer door de minimaal dubbele uitvoering van alle componenten binnen het systeem, 100 procent. Recent is de SMS-dienstverlening opnieuw aanbesteed in het kader van ‘OT2010’. Wij hebben daaraan deelgenomen en daarbij tot onze verbazing geconstateerd dat bijna alle eisen die in 2006 zijn ingevoerd en nu als minimale standaard worden gehanteerd zijn losgelaten. Op die dunne veiligheidsbasis is op prijs inmiddels een nieuwe leverancier aangewezen. Het gevolg daarvan is dat binnenkort SMS-authenticatie de zwakste schakel in de beveiligingsketen wordt en de risico’s van identiteitsfraude aanzienlijk toenemen. Daarbij moet u denken aan het feit dat servers niet meer uitsluitend voor SMS-authenticatie hoeven te worden gebruikt en dus tegelijkertijd ook voor andere SMS-diensten beschikbaar zijn (SMS-spelletjes, stemmen bij TV-programma’s, etc.). Dat meervoudig gebruik verhoogt niet alleen de storingsgevoeligheid, maar vergroot ook het aantal personen dat met die servers werkt en het risico dat derden toegang tot die servers willen hebben. Ook de eisen van fysieke beveiliging van toegang tot de servers is nihil. Als de opdrachtnemer van meerdere servers gebruik maakt, mag hij die plaatsen waar hij wil en gelden er verder geen eisen. Wij vinden de ingeslagen weg, waarbij wordt ingeboet op de veiligheidseisen, onbegrijpelijk en zorgelijk. Dat geldt temeer als wordt bedacht dat voor DigiD aan een opvolger wordt gewerkt (DigiDx) die nog eens aanzienlijk meer veiligheid moet gaan bieden aan de burger. Het gebruik van SMS-authenticatie is een extra veiligheidslaag die

GOLDEN BYTES NEDERLAND | BEZOEKADRES | MAARSSENBROEKSEDIJK 13B | 3542 DL UTRECHT | POSTADRES | POSTBUS 1088 | 3600 BB MAARSSEN T +31(0)8888 777 66 | F +31(0)8888 777 73 | INFO@GOLDENBYTES.COM | WWW.GOLDENBYTES.COM BTW NR: NL8176.25.434.B.01| ING BANK: 67.32.68.438 | KVK: 27296918 | IBAN: NL78 INGB 0673 2684 38 | BIC: INGBNL2A

WWW.GOLDENBYTES.COM

naar de aard samenhangt met informatie die de integriteit van de burger direct raakt. Daarbij gaat het om DigiD die wordt gebruikt bij belastinginformatie, kinderopvangtoeslag en zorgtoeslagen. Echter, ook bij het elektronisch patiëntendossier zal van deze zelfde SMS-authenticatie gebruik worden gemaakt. Identiteitsdiefstal is voor een betrokkene buitengewoon ingrijpend. Juist omdat, als de identiteit in de digitale wereld eenmaal is gestolen het buitengewoon lastig blijkt om dat terug te draaien, dient te worden voorkomen dat het zo ver komt. De problematiek is wat dat betreft vergelijkbaar met het voorkomen van paspoortfraude. Hetzelfde geldt voor het publiek worden van privé-informatie. Als die informatie eenmaal op straat ligt, kan dat niet meer ongedaan worden gemaakt. Wij hebben onze zorgen geuit bij de betrokkenen van het Ministerie van Binnenlandse Zaken. Zij hebben laten weten dat dit een bewuste keuze is, maar dat als een opdrachtgever een hoger niveau zou willen, dat wel als aanvullende opdracht gaat worden verstrekt. Het verhogen van het veiligheidsniveau van hetgeen in de aanbesteding is voorgeschreven naar het huidige niveau, is door de ingrijpendheid ervan niet iets dat voor een specifieke opdrachtgever kan worden gerealiseerd, tenzij hij een eigen systeem laat bouwen. Wat ons betreft is het dan ook van tweeën één: Ofwel er is sprake van een bewuste keuze voor een substantieel lager veiligheidsniveau. Die keuze is echter wat ons betreft onbegrijpelijk en lijkt bovendien niet op een voldragen wijze tot stand te zijn gekomen. Ofwel er geldt dat het eigenlijk helemaal niet de bedoeling is om afbreuk te doen aan het huidige veiligheidsniveau. In dat geval had het benodigde niveau in de aanbestedingsstukken moeten zijn meegenomen. Niet alleen de wetgeving vereist dat dergelijke belangrijke en kostenbepalende aspecten bij de omschrijving van de opdracht zijn inbegrepen, maar ook geldt dat het achteraf verbeteren van het systeem vele malen kostbaarder kan uitvallen dan het onmiddellijk goed inkopen ervan. Wij brengen dit thans onder uw aandacht, omdat er nu nog geen sprake is van een voldongen feit. Weliswaar is het Ministerie voornemens de opdracht zeer binnenkort aan een derde te gaan gunnen, maar dat is nog niet definitief. Dat voornemen kan nog worden ingetrokken. De huidige, veilige techniek kan bovendien probleemloos doordraaien en er is ruimte om deze diensten desgewenst opnieuw aan te besteden op basis van de juiste informatie. Wij ontkennen niet dat wij tevens een commercieel belang hebben bij deze dienstverlening en de aanbesteding ervan, maar dat belang doet niets af aan het feit dat wij geloven in het belang van een veilige SMS-authenticatie. Vanuit die overtuiging hebben wij de afgelopen jaren ook hard gewerkt om een maatschappelijk verantwoorde dienst te kunnen leveren. Wij verzoeken u concreet om de Minister van Binnenlandse Zaken te vragen te bevestigen dat het niet de bedoeling is dat ook maar enige afbreuk wordt gedaan aan het huidige veiligheidsniveau van SMS-authenticatie, alsmede om hem te vragen de op handen zijnde gunning op te schorten totdat er duidelijkheid bestaat over de effecten van het zeer lage veiligheidsniveau zoals dat nu is aanbesteed en de gevolgen daarvan. Wij zouden onze zorgen gaarne nader aan u toelichten, waarbij ook andere partijen zoals belangenorganisaties en experts een zienswijze zouden kunnen geven. Een hoorzitting lijkt ons daartoe een passend instrument en ik verzoek u dat mogelijk te maken, waarbij u op onze medewerking kunt rekenen. Vragen naar aanleiding van dit schrijven kunt u richten aan Willem Lely, telefonisch bereikbaar op 08888 777 66. Voor de goede orde hebben wij een afschrift van deze brief aan de Minister van Binnenlandse Zaken toegezonden. Hoogachtend,

Golden Bytes BV M. F.J. van Riet CEO

Golden Bytes B.V.

pagina 2 van 2

Sign up to vote on this title
UsefulNot useful