Managed hosting door True

‘Maatwerksoftware deed DigiD de das om’

 

Door het recent gevonden lek in webapplicatieframework Ruby on Rails was DigiD genoodzaakt een dag offline te gaan. Een ingrijpend besluit, want een zeer grote groep personen en bedrijven is dagelijks afhankelijk van het digitale authetiecatiesysteem. De meningen van Computable-experts over de noodzaak van het offline halen lopen uiteen. Vooral maatwerksoftware lijkt DigiD de das om te hebben gedaan.

Volgens expert Willem Kossen, ict-architect bij BKWI, is de huidige versie van DigiD eigenlijk een herbouw van de vorige versie, maar op een ander platform. ‘Voorheen draaide DigiD op Java met behulp van Aselect. Dit is een door en door getest securityframework. Nu is het een maatwerksysteem op een veel jongere ontwikkelomgeving. Ruby on Rails is van oorsprong niet voor securitytoepassingen, maar is meer bedoeld voor webapps. Mogelijk is dit toch niet de meest handige overstap geweest.’

Offline gaan of niet?

Expert Erik Remmelzwaal, ceo van DearBytes, vindt de handelswijze om DigiD offline te halen opvallend. ‘DigiD is mijns inziens voor de samenleving een behoorlijk kritisch systeem en je zou zeggen dat er nagedacht is over de vereiste beschikbaarheid daarvan. Of het dan oké is dat een dergelijk systeem een dag offline is, waag ik te betwijfelen. De reactie komt me dan ook enigszins paniekerig, niet beleidsmatig over. Je vraagt je ook af of DigiD nu bij elk kritisch lek in software of hardware, waar het in directe of indirecte zin gebruik van maakt, een dag offline zal zijn.’

Computable-expert Corné van Rooij, districtmanager Benelux en Zwitserland bij RSA, is het niet met Remmelzwaal eens. ‘Ik vind het terecht dat Logius DigiD tijdelijk uit de lucht heeft gehaald om passende maatregelen te nemen. Dat is namelijk goed huisvaderschap, gezien het feit dat DigiD veel privacygevoelige informatie ontsluit. Dat stukje overlast zullen we voor lief moeten nemen, want 100 procent veilige software bestaat niet. Het is goed voor Logius om te kijken of ze een extra beveiligingslaag moeten toevoegen om afwijkende sql-queries te voorkomen. De logica en queries naar het DigiD-platform zijn zeer beperkt en afwijkende queries zijn daarom goed te herkennen.’

Hoog risicoprofiel

Van Rooij maakt zich drukker over een totaal andere vraag. DigiD is een onderdeel van een kritische infrastructuur en daarom moeten er volgens hem hogere eisen aan beveiliging worden gesteld dan wellicht nu het geval is. ‘Dat is wellicht een probleem voor Logius, omdat het sinds kort een baten/lasten-dienst is en dus een vaste afspraak heeft over de kostprijs van het ‘product’ voor de overheid. Extra uitgaven zijn dan vaak pas via een goedgekeurde begroting te verantwoorden en pas in het jaar van die begroting ook door te berekenen. Niet erg agile dus, terwijl deze authenticatiedienst wel een hoog risicoprofiel heeft en dus in theorie in vervelende situaties kan belanden. Kun je dan reageren op een voorspelling, securitytrend of waarschuwing, zoals van het NCSC, of wacht je tot je er daadwerkelijk mee geconfronteerd wordt en niet anders kan dan anticiperen?’

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/4643954). © Jaarbeurs IT Media.

?


Lees ook


 
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.