Een storing bij DigiD heeft grote gevolgen voor de samenleving, konden we laatst zien. Maak daarom vaart met een alternatieve aanpak, schrijft IT-consultant Laurens Blankers.
Nederlanders zijn een nuchter volk, dus als op 1 maart de al ingevulde belastingaangifte klaar staat, willen we meteen kijken wat de schade is. Moeten we bijbetalen of hebben we een financiële meevaller?
Zo ook dit jaar, met als resultaat dat elke seconde honderd van ons probeerden in te loggen via DigiD. Alleen kon DigiD deze grote vraag niet aan en ging onderuit. Het gevolg daarvan was niet alleen dat de belastingaangifte niet te bekijken was, maar ook dat ondernemingen geen btw-aangifte konden doen en patiënten hun medicijnoverzicht niet konden inzien.
Daarmee is deze storing het grootste (bekende) falen van informatiebeveiliging in de Nederlandse geschiedenis. Een falen waarop de overheid alles op alles moet zetten om herhaling te voorkomen. Investeer daarom onmiddellijk in een robuuste, decentrale digitale identiteit voor iedereen.
Kluis in beton
Dat het niet beschikbaar zijn van DigiD falende informatiebeveiliging is, klinkt in eerste instantie misschien raar. Informatiebeveiliging gaat toch over voorkomen dat kwaadwillenden data kunnen ontvreemden of aanpassen? Dat is waar, maar als dat alles was, dan was informatie het beste te beveiligen door deze in een kluis te stoppen, die kluis in beton te gieten en af te zinken in de Marianentrog, de ontoegankelijkste plek op aarde.
Alleen is de informatie dan ook voor uzelf niet meer beschikbaar en daarmee waardeloos. Daarom is ook het beschikbaar zijn van data een essentieel onderdeel van informatiebeveiliging.
Dat het falen van één enkel, weliswaar belangrijk, systeem als DigiD zo’n grote impact kan hebben, geeft aan hoe afhankelijk wij zijn geworden van de digitale wereld. Dat DigiD een ‘single point of failure’ is, een systeem dat als het faalt alles stillegt, is het gevolg van begrijpelijke maar verkeerde beslissingen van de overheid.
Zwakke schakel
Dat het zeer riskant is om alles te laten afhangen van één enkele, zwakke schakel is al millennia bekend. Daarom bestaan legers uit verschillende divisies en had de Titanic zestien onafhankelijke waterdichte compartimenten. Het ontbreken van een enkele zwakke schakel is helaas geen garantie voor het uitblijven van catastrofes. Wel is het bestaan van een zwakke schakel bijna altijd een garantie dat het mis zal gaan, ooit.
Daarom moet de overheid inzetten op het vervangen van het centraal georganiseerde DigiD met een decentrale, robuuste oplossing. Alleen hoe?
Laten we ter inspiratie over de grens kijken. In Zweden bijvoorbeeld logt u in bij de overheid via BankID, waarin Zweedse banken samenwerken. Dat klinkt op zich mooi, er is niet één systeem, maar elke bank heeft een eigen systeem. Dus als er storing is in het systeem van een bank, kunt u nog gewoon inloggen, tenzij het om uw bank gaat natuurlijk. Nadeel van BankID is dat het een Zweedse bankrekening vereist en die is niet voor iedereen beschikbaar, denk aan daklozen zonder vaste woon- of verblijfplaats of derdelanders gevlucht uit Oekraïne.
Onderzoek en investering
Dan Spanje. Daar kun je de nationale id-kaart gebruiken om juridische documenten te ondertekenen. Met een app op telefoon of laptop en zonder de noodzaak van een internetverbinding, dus zonder centraal systeem dat plat kan gaan. Alleen zijn er problemen met het gebruiksgemak en de beveiliging van de kaart. Die zijn op te lossen, maar dat vereist onderzoek en investering.
Kijk bijvoorbeeld naar de Stichting Internet Domeinregistratie Nederland (SIDN) die al sinds 2014 bezig is met onderzoek naar een – in goed Nederlands – digitale ‘identiteitswallet’, dat decentraal van opzet en veilig is én burgers controle geeft over hun gegevens. Laat de overheid vol inzetten op een decentrale oplossing. Hopelijk voorkomt dat volgend jaar een nog groter beveiligingsdebacle.
Lees ook:
Europa bouwt onze digitale ik, moeten we daar blij mee zijn?
Europa werkt in hoog tempo aan een digitale identiteit voor elke EU-burger. En hoewel het reuzehandig is om straks overal in de EU zonder rompslomp een auto te kunnen huren, ziet Bart Custers in dit essay nog veel losse eindjes.
Cybercriminelen zijn dol op mediabedrijven
Het afgelopen jaar voerden cybercriminelen gestaag aanvallen uit op mediabedrijven. Juist deze bedrijven zijn aantrekkelijk voor hackers.