Logius: Het laatste nieuws

Logius: Het laatste nieuws http://www.logius.nl/ Laatste nieuws van Logius nl Logius: Het laatste nieuws http://www.logius.nl/typo3conf/ext/tt_news/ext_icon.gif http://www.logius.nl/ 18 16 Laatste nieuws van Logius TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Fri, 03 Feb 2012 13:13:00 +0100 ICT-beveiligingsassessments DigiD gebruikende organisaties http://www.logius.nl/actueel/item/titel/ict-beveiligingsassessments-digid-gebruikende-organisaties/ Vandaag heeft minister Spies een brief naar de Tweede Kamer gestuurd over... brief naar de Tweede Kamer gestuurd over ICT-beveiligingsassessments voor organisaties die DigiD gebruiken. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven. Logius informeert in de loop van februari de organisaties die DigiD gebruiken meer uitgebreid over de norm, toetsing en bijbehorende procedures. De strekking van het beleid is dat DigiD gebruikende organisaties jaarlijks een onderzoek (assessment) dienen te laten uitvoeren door een register EDP-auditor op basis van de ICT-beveiligingsrichtlijnen voor webapplicaties van NCSC (voorheen GOVCERT.NL). De norm waar organisaties aan moeten, wordt gebaseerd op de belangrijkste elementen van die richtlijn.]]> DigiD Logius Fri, 03 Feb 2012 13:13:00 +0100 Nieuwe versie Programma van Eisen PKIoverheid http://www.logius.nl/actueel/item/titel/nieuwe-versie-programma-van-eisen-pkioverheid/ Vandaag is een nieuwe versie van het Programma van Eisen gepubliceerd (versie 3.2). Naar... Programma van Eisen gepubliceerd (versie 3.2). Naar aanleiding van de Diginotarcrisis zijn enkele meer invullende eisen opgenomen om het risico op misbruik nog verder tegen te gaan.

Belangrijkste nieuwe eisen

Een eerste eis heeft betrekking op het verder voorkomen van ongeautoriseerde toegang tot PKIoverheid-diensten van certificatiedienstverleners (CSP's). CSP's moeten een fysieke en logische scheiding van omgevingen hebben en/of sterkere authenticatie per afzonderlijk PKI-proces gebruiken. Een tweede eis legt CSP's op om de afnemers van certificaten te wijzen op de maatregelen die afnemers zelf moeten nemen om de continuïteit van hun dienstverlening (op het gebied van het gebruik van certificaten) te waarborgen. Verdere eisen betreffen functiescheiding, een hoger niveau van beveiliging van webtoegang, automatische maandelijkse security scans, verplichte jaarlijkse penetratietesten, en uitgebreide logging en monitoring van de PKIoverheidomgeving.]]> PKIoverheid Fri, 27 Jan 2012 11:16:00 +0100 Fiscus waarschuwt voor fraude met DigiD http://www.logius.nl/actueel/item/titel/fiscus-waarschuwt-voor-fraude-met-digid/ De Belastingdienst heeft recentelijk meldingen binnengekregen over pogingen waarbij mensen hun... DigiD Wed, 14 Dec 2011 17:01:00 +0100 Certificaten Gemnet niet gecompromitteerd http://www.logius.nl/actueel/item/titel/kpn-certificat8203en-gemnet-niet-gecompromi8203tteerd/ KPN heeft in alle zorgvuldigheid vastgesteld dat de aanvraag, productie en uitgifte van... gemnet.nl en gemnetcsp.nl) zijn uit voorzorg en voor onderzoek afgesloten door KPN na de melding Brenno de Winter. Lees verder op kpn.nl. Bron: KPN]]> PKIoverheid Fri, 09 Dec 2011 09:31:00 +0100 Intensief contact gemeenten over aansluiten DigiD http://www.logius.nl/actueel/item/titel/intensief-contact-gemeenten-over-aansluiten-digid/ Zaterdag 8 oktober heeft Logius in afstemming met GOVCERT voor 34 gemeenten de dienstverlening van... DigiD Sat, 15 Oct 2011 12:40:00 +0200 Maatregelen na lekken gemeentelijke websites http://www.logius.nl/actueel/item/titel/maatregelen-na-lekken-gemeentelijke-websites/ Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft in een brief aan de Tweede... brief aan de Tweede Kamer maatregelen aangekondigd ter verbetering van de ICT-beveiliging bij overheidsorganisaties. Uit recente berichten in de media blijkt dat ICT-beveiliging bij sommige overheidsorganisaties tekort schiet. Recent is bijvoorbeeld van enkele tientallen gemeenten geconstateerd dat hun ICT-beveiliging niet op orde was. Dat is in de eerste plaats een verantwoordelijkheid van individuele overheidsorganisaties zelf. In de huidige vernetwerkte elektronische dienstverlening is dat echter niet voldoende. De informatiebeveiliging van de keten als geheel moet op orde zijn. De zwakste schakels in die ketens bepalen namelijk de veiligheid van de keten als geheel. Om deze problemen te ondervangen heeft minister Donner een aantal kortetermijnmaatregelen genomen die direct van kracht zijn. De maatregelen zijn toegespitst op DigiD:

Alle organisaties waarvan blijkt dat de ICT gecompromitteerd is (met mogelijke gevolgen voor DigiD) worden per direct afgekoppeld van DigiD.
Organisaties die zijn afgesloten van DigiD kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.
Alle organisaties die digiD gebruiken dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT-beveiliging getoetst te hebben op basis van een nog door GOVCERT te maken beveiligingsnorm.
Vanaf 2012 is sprake van een jaarlijkse herhaling van de ICT-beveiligings-assessment door alle gebruikende organisaties. GOVCERT zal de normstelling regelmatig actualiseren vanwege nieuwe bedreigingen die zich aandienen.

BZK benadrukt dat honderd procent veiligheid niet is te garanderen, wel zal tenminste een aantal minimale beveiligingsmaatregelen altijd moeten worden genomen. ]]> DigiD Logius GOVCERT.NL Wed, 12 Oct 2011 17:05:00 +0200 Beveiligingsincident gemeenten http://www.logius.nl/actueel/item/titel/beveiligingsincident-gemeenten/ Op GeenStijl en Webwereld is vanavond bericht over beveiligingsincidenten bij een groot... Update 12 oktober: Logius heeft de betreffende gemeenten geïnformeerd over de te nemen stappen om weer aan te sluiten op DigiD. GOVCERT heeft voor de gemeenten een stappenplan en checklist gemaakt, gebaseerd op het 'Raamwerk beveiliging webapplicaties'. Zodra de gemeenten aan deze checklist voldoen kunnen zij het aansluitproces van DigiD doorlopen.]]> DigiD Logius Sat, 08 Oct 2011 20:32:00 +0200 DigiD genomineerd voor Website van het Jaar http://www.logius.nl/actueel/item/titel/digid-genomineerd-voor-website-van-het-jaar/ Vorig jaar won www.digid.nl de titel 'populairste overheidssite' en ook dit jaar is DigiD weer... www.digid.nl de titel 'populairste overheidssite' en ook dit jaar is DigiD weer genomineerd voor de Website van het Jaar. DigiD staat dit jaar opnieuw tussen de twaalf beste overheidssites en consumenten kunnen tot 28 oktober stemmen op hun favoriet. De verkiezing is de ultieme publieksprijs die zich richt op de kwaliteit en inhoud van websites en wordt jaarlijks georganiseerd door MetrixLab. Op 10 november wordt tijdens een feestelijke avond in de Beurs van Berlage in Amsterdam bekendgemaakt welke Nederlandse organisatie volgens de consumenten de beste website van 2011 heeft. Ga naar de website van het jaarverkiezing en stem op DigiD.]]> DigiD Logius Wed, 05 Oct 2011 14:24:00 +0200 Rechtsgeldigheid elektronische handtekeningen met een gekwalificeerd DigiNotar certificaat http://www.logius.nl/actueel/item/titel/rechtsgeldigheid-elektronische-handtekeningen-met-een-gekwalificeerd-diginotar-certificaat/ De OPTA heeft op 14 september 2011 de registratie van DigiNotar als leverancier van gekwalificeerde...

Ga uit van de rechtsgeldigheid van de gekwalificeerde elektronische handtekening;

Bij authentieke akten is het pas nodig om van deze aanname van rechtsgeldigheid af te stappen, indien bewijs wordt geleverd dat de gekwalificeerde elektronische handtekening vervalst is;

Bij onderhandse akten is het pas nodig om van deze aanname van rechtsgeldigheid af te stappen, indien door de beweerdelijke ondertekenaar ten stelligste de ondertekening wordt betwist en voldoende feiten/bewijzen worden geleverd die het vermoeden van betrouwbaarheid van de handtekening aantasten waardoor de gelijkstelling met de handgeschreven handtekening komt te vervallen

Bij andere documenten, vergunningaanvragen en ondertekende correspondentie is het pas nodig om van deze aanname van rechtsgeldigheid af te stappen, indien voldoende feiten/bewijzen worden geleverd door de klager die het vermoeden van betrouwbaarheid van de gekwalificeerde handtekening aantasten en daarmee gelijkstelling met de handgeschreven handtekening kan doorkruisen.

In de situaties beschreven ad C en D, dient vervolgens ingevolge artikel 3:15a' lid 1, 3, 4 en 6, BW alsnog een afweging te worden gemaakt of de elektronische alsnog de beweerdelijke ondertekenaar bindt gelet op de omstandigheden van het geval en het doel waarvoor de elektronische ondertekening heeft plaatsgevonden. Bij deze afweging dient u rekening te houden met beschikbare actuele informatie rondom de hack bij DigiNotar en het daaruit voortvloeiende optreden van de overheid en toezichthouder OPTA, in samenhang met de gedragingen van de beweerdelijke ondertekenaar en de feiten van het geval.

]]> PKIoverheid Mon, 26 Sep 2011 11:59:00 +0200 CA-certificaten van DigiNotar 28 september ingetrokken http://www.logius.nl/actueel/item/titel/ca-certificaten-van-diginotar-28-september-ingetrokken/ De PKIoverheid Policy Authority (PA) trekt beide DigiNotar PKIoverheid CA-certificaten in op...

DigiNotar PKIoverheid CA Overheid en Bedrijven (serienummer 01 31 69 b0)

DigiNotar PKIoverheid CA Organisatie - G2 (serienummer 01 31 34 bf)

Reden voor de intrekking is dat op 5 september 2011 het bedrijf Fox-IT een "Interim Report" over de inbraak bij DigiNotar heeft gepubliceerd. Hieruit blijkt dat beide CA's niet zijn misbruikt maar wel zijn gecompromitteerd. Deze compromittatie is voor de PKIoverheid PA aanleiding om op basis van eis 4.9.1-1 uit het PKIoverheid Programma van Eisen deel 3a en 3b over te gaan tot intrekking van DigiNotar PKIoverheid CA Overheid en Bedrijven en DigiNotar PKIoverheid CA Organisatie - G2. Daarnaast heeft de OPTA op 14 september 2011 om 12:00 uur de registratie van DigiNotar B.V. beëindigd. De OPTA heeft op dezelfde datum DigiNotar een aanwijzing gegeven dat DigiNotar binnen 14 kalenderdagen de gekwalificeerde persoonsgebonden eindgebruikercertificaten moet intrekken. Tevens heeft de rechtbank Haarlem op 20 september 2011 het faillissement uitgesproken van DigiNotar B.V. te Beverwijk. De PKIoverheid PA heeft gemeend niet direct op 5 september 2011 over te kunnen gaan tot intrekking van beide CA-certificaten. De PKIoverheid PA heeft de lijn van de overheid gevolgd waarbij eerst een inzicht diende te worden verkregen door de Staat (en de PA PKIoverheid) over de gevolgen van dergelijke intrekking. Vanwege het algemene belang om de maatschappelijke en economische schade van een directe intrekking van de betreffende CA's te beperken, is ervoor gekozen een beheerst overgangsscenario te hanteren waarbij eindgebruikers in de gelegenheid zijn gesteld om over te stappen naar PKIoverheid-certificaten van andere leverancier. Uit de afronding van diverse impactanalyses is gebleken dat het intrekken van voornoemde CA's nu mogelijk is. De PA PKIoverheid gaat daarom hiertoe over op 28 september 2011. Over de effecten van de intrekking van deze certificaten leest u meer in het document Intrekking van de DigiNotar PKIoverheid sub CA certificaten (PDF | 176 kB). Meer informatie over DigiNotar problematiek]]> PKIoverheid Fri, 23 Sep 2011 09:24:00 +0200