Antwoord schriftelijke vragen : Antwoord op vragen van de leden Rahimi en Ellian over het bericht 'Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting'
Vragen van de leden Rahimi en Ellian (beiden VVD) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming over het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting» (ingezonden 21 juni 2023).
Antwoord van Minister Weerwind (Rechtsbescherming), mede namens de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 26 juli 2023). Zie ook Aanhangsel
Handelingen, vergaderjaar 2022–2023, nr. 3231.
Vraag 1
Bent u bekend met het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging
DigiD-aansluiting» van security.nl van 14 juni 2023?1
Antwoord 1
Ja.
Vraag 2
In opdracht van wie heeft deze ambtenaar deze taken uitgevoerd?
Antwoord 2
De betreffende ambtenaar voerde zijn taken uit in dienst van Justis. De vervalsing
van rapporten maakte daar vanzelfsprekend geen onderdeel van uit.
Vraag 3
Is hier het vierogenprincipe gebruikt door een andere persoon? Zo ja, is deze persoon
in zicht en zo nee, kunt u uitleggen waarom geen gebruik is gemaakt van het vierogenprincipe?
Antwoord 3
Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt
van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de
verbeteracties die naar aanleiding van dit incident is doorgevoerd.
Vraag 4
Heeft de desbetreffende ambtenaar ook op andere ministeries gewerkt? Zo ja, op welke?
Antwoord 4
Nee.
Vraag 5
Is er aan de hand van het digitaal forensisch onderzoek aanleiding om ook binnen andere
ministeries en uitvoeringsorganisatie te onderzoeken of daar ook dergelijke praktijken
plaatsvinden of hebben gevonden?
Antwoord 5
Er is naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden
om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken
plaatsvinden of hebben gevonden. Zie voor de volledigheid ook het antwoord op vraag
6.
Vraag 6
Welke structurele oplossingen ziet u om dit in de toekomst te voorkomen?
Antwoord 6
Op dit moment is het zo dat organisaties bij het gebruik van DigiD jaarlijks moeten
aantonen dat zij aan 21 informatieveiligheidseisen voldoen. Sinds 1 januari 2023 vindt
digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke
auditor. Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling.
Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor
dat de geldigheid van de digitale handtekening komt te vervallen. In de afgelopen
assessmentronde werd 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024
kunnen assessments uitsluitend digitaal worden ingediend. Hiermee wordt manipulatie
van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt. Na de constatering
van de manipulatie is bij Justis het auditproces verbeterd en aangescherpt, zo is
bijvoorbeeld het vierogenprincipe ingevoerd (zie ook de beantwoording van de vragen
3 en 10).
Vraag 7
Wat is er in het rapport voor Suwinet van 2020 aangepast en waarom?
Antwoord 7
In de aangepaste versies zijn meerdere bevindingen van de Suwinet-auditrapportages
afgezwakt of weggelaten. Hierbij zijn sommige negatieve bevindingen aangepast zodat
deze positiever overkomen of zijn deze bevindingen volledig weggelaten. Voor meer
specifieke informatie verwijs ik naar de managementsamenvatting van het forensisch
digitaal onderzoek van Fox-IT, dat ik uw Kamer eerder toestuurde.2 De vraag waarom deze wijzigingen op de originele auditrapportage van de ADR zijn
gemaakt, is geen onderdeel geweest van het digitaal forensisch onderzoek van Fox-IT.
Vraag 8
Wat zijn de verschillen tussen de beveiligingsassessments van DigiD die de Auditdienst
Rijk (ADR) aan Justis levert en de beveiligingsassessments die Justis naar Logius
stuurt? Is de informatieveiligheid in gevaar geweest en/of zijn er gegevens gelekt?
Antwoord 8
In de rapporten zijn oordelen van de ADR dat de toepassing van een beveiligingsnorm
«niet voldoet» aangepast naar «voldoet». Op dit moment zijn er geen signalen die wijzen
op concreet gevaar voor de informatieveiligheid of het lekken van gegevens. In de
tweede fase van het onderzoek wordt een risico-inschatting gemaakt naar aanleiding
van de gemaakte wijzigingen in de DigiD-auditrapportages. Na het afronden van deze
fase zal naar verwachting meer duidelijk zijn over de risico’s die op het gebied van
informatieveiligheid hebben bestaan.
Vraag 9
Kan de Staatssecretaris ons mededelen of de weggestuurde persoon betrokken was bij
de opzet van de exploited audit en zo ja, welke andere personen in een identieke rol
betrokken waren, of mogelijk betrokken zijn? En zijn deze personen ook betrokken bij
het implementeren van de reparatie van deze exploit?
Antwoord 9
Voor de beantwoording van deze vraag interpreteer ik de term «exploited audit» als
«het (frauduleus) aanpassen van de bedoelde rapportages». In die context kan ik bevestigen
dat de bedoelde persoon inderdaad was betrokken. Zoals ook uit het onderzoek van Fox-IT
blijkt, zijn er echter geen sporen aangetroffen die aantonen dat anderen op de hoogte
zijn geweest van de aanpassingen of betrokken zijn geweest bij het aanpassen of namaken
van de rapporten. Bij de implementatie en reparatie zijn dus geen medewerkers betrokken
die ook betrokken waren bij de aanpassing of het namaken van rapporten.
Vraag 10
Zien de toegezegde vervolgacties op de verbetering van de interne auditfunctie of
op de compliance office bij Justis zelf?
Antwoord 10
De vervolgacties zien op het aanscherpen en verbeteren van het auditproces binnen
Justis, om manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk
te maken (zie ook mijn antwoorden op vragen 3 en 6).
Er vinden op dit moment nog twee onderzoeken plaats: het onderzoek naar risico’s zoals
benoemd in het antwoord op vraag 8 en een onderzoek naar hoe dit heeft kunnen gebeuren.
Het is mijn verwachting dat ook hieruit concrete aanbevelingen komen voor verdere
verbeteringen om soortgelijke situaties in de toekomst te voorkomen.
Vraag 11
Is er vastgesteld of de betrokken fraudeur ook andere mogelijke exploits heeft gezocht
bij Justis en bij Suwinet in die vijf jaren?
Antwoord 11
Voor de beantwoording van deze vraag interpreteer ik de term «exploits» als «het (frauduleus)
aanpassen van rapportages». In die context kan ik u melden dat uit het digitaal forensisch
onderzoek niet is gebleken dat dit het geval is.
Vraag 12
Heeft het onderzoek kunnen vaststellen of deze medewerkers ook zicht en vermoedens
hebben gehad dat deze medewerker deze vervalsingen kon en wilde aanleggen?
Antwoord 12
Voor de beantwoording van deze vraag interpreteer ik de term «deze medewerkers» als
«alle medewerkers van Justis behalve betrokkene». Tijdens het onderzoek van Fox-IT
zijn geen sporen aangetroffen die erop wijzen dat anderen dan betrokkene op de hoogte
waren van de aanpassingen in de rapporten, of betrokken waren bij het aanpassen of
namaken van de rapporten.
Ondertekenaars
-
Eerste ondertekenaar
F.M. Weerwind, minister voor Rechtsbescherming -
Mede namens
A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.