De rijksoverheid geeft met het nieuwsbericht “Toegang verkregen tot MijnOverheid door phishing” toe dat het slecht is gesteld met een veilige communicatie met de Nederlandse overheid.
Dat komt omdat de overheid gebruik maakt van één van de onveiligste communicatiemiddelen op de aardbol: e-mail. Verder speelt een rol dat de door de overheid ontwikkelde systemen onvoldoende rekening houden met de verschillende digitale vaardigheden van burgers. Tot slot ontbreekt het aan goede verificatie, zo wordt bijvoorbeeld niet geverifieerd dat een telefoonnummer toebehoort aan degene die digitale toegang aanvraagt.
E-mail kan misschien nog wel voor onbelangrijke communicatie gebruikt worden. Al blijft het meelezen onverkwikkelijk, tenslotte schrijft de AIVD: “U kunt niet e-mailen met de AIVD. E-mailverkeer via internet is kwetsbaar, omdat anderen ongewenst en ongemerkt kunnen meelezen.” Met de nieuwe technische mogelijkheden zal dat meelezen steeds makkelijker worden.
Op Europees niveau wordt gewerkt aan een veilig messaging systeem ten behoeve van communicatie tussen overheden. Wanneer komt er iets dergelijks voor de communicatie overheid-burger en burgers onderling? En wanneer gaat de overheid automatiseren op een manier dat de cybersecurity van de burger niet in gevaar komt?
Nieuwsbericht
Toegang verkregen tot MijnOverheid door phishing
Nieuwsbericht | 29-06-2018 | 19:15Vorige week vrijdag 22 juni zijn er door burgers valse MijnOverheid e-mails ontvangen. Er zijn 203 gevallen bekend van mensen die verleid zijn om hun inloggegevens in te vullen op een valse website. Deze praktijk van criminelen wordt ook wel phishing genoemd. De DigiD-accounts zijn daarop onmiddellijk geblokkeerd. Uit nadere analyse blijkt echter dat kwaadwillenden toegang hebben gekregen tot de persoonlijke gegevens in het MijnOverheid-account van de getroffen personen die normaal alleen door henzelf zijn in te zien. Dat schrijft staatssecretaris Knops vandaag in een brief aan de Tweede Kamer.
De valse website is vorige week bij ontdekking direct uit de lucht gehaald. Wanneer burgers inlogden op deze site, werden de ingevoerde gegevens afgevangen en automatisch ingelogd bij MijnOverheid. Er bestaat de mogelijkheid dat persoonlijke gegevens zijn verzameld. De betreffende DigiD-accounts zijn daarop direct geblokkeerd. Uitvoeringsorganisatie Logius (de beheerder van DigiD en MijnOverheid) heeft aangifte gedaan bij de politie en het mogelijk datalek is gemeld bij de Autoriteit Persoonsgegevens. Betrokken instanties zoals het Nationaal Cyber Security Center en de Rijksdienst voor Identiteitsgegevens werken nauw samen in de aanpak van deze actie. UWV, Belastingdienst en SVB zijn op de hoogte gesteld. Dit is de huidige stand van zaken; nader onderzoek wordt uitgevoerd.
De getroffen burgers zijn op de hoogte gesteld door Logius. Zij worden nu persoonlijk benaderd en geadviseerd waar op te letten om misbruik van hun gestolen gegevens te voorkomen en waar zij zich kunnen melden indien misbruik optreedt.
De overheid blijft zich actief inzetten om phishing tegen te gaan. De overheid voert continue voorlichtingscampagnes over veilig internetten en informeert mensen over hoe ze bijvoorbeeld valse e-mails kunnen herkennen. MijnOverheid stuurt zelf namelijk NOOIT mails met een link.
Staatssecretaris Knops heeft aangegeven samen met de minister van Justitie en Veiligheid te onderzoeken welke aanvullende acties nog meer mogelijk zijn om phishing verder te bemoeilijken, de veiligheid van gegevens te garanderen en tegelijkertijd de beschikbaarheid van digitale overheidsdienstverlening te waarborgen.
Meer informatie:
- Nieuwsbericht rijksoverheid “Toegang verkregen tot MijnOverheid door phishing” van 29 juni jl.; brief aan de kamer (pdf)
Aanvulling 2 augustus 2018
Zie over de digitale overheid ook het NL DIGIbeter document, dat in juli 2018 is bekend gemaakt. Daarin worden plannen over de digitale overheid ontvouwd.
Ellen Timmer - juridische artikelen en berichten 