Afgelopen weekend is een onderzoek gepubliceerd van twee studenten van de Universiteit van Amsterdam. In dat onderzoek zijn mogelijke kwetsbaarheden in een pilot van Digidentity ontdekt.
Wij stimuleren partijen actief om onze systemen te testen in het kader van onze Responsible Disclosure. Zo ook vorig jaar in de beginfase van de Idensys pilot. Het onderzoek van de studenten is hypothetisch van aard. Er zijn alleen een aantal kwetsbaarheden uitgekomen die tot misbruik hadden kunnen leiden. Er is nooit sprake geweest van een echt lek. Bij een echt lek had ons systeem de aanval direct afgeslagen.
De gerapporteerde kwetsbaarheden zijn direct door ons opgepakt. We hebben mitigerende maatregelen genomen, waardoor de mogelijke dreigingen niet meer van toepassing zijn. Het inlogmiddel van Digidentity voldoet aan alle door de overheid gestelde eisen.
Bij Idensys hebben veiligheid en privacybescherming natuurlijk hoogste prioriteit. Ons systeem is zo ontworpen dat het voldoet aan de hoogste nationale en Europese eisen op dit gebied. We laten dan ook regelmatig beveiligingsaudits en penetratietesten uitvoeren om te kijken of onze maatregelen tegen hackers goed werken. Het testen wordt door zowel de beheerorganisatie van Logius als de deelnemers gedaan, conform de strenge vereisten van de overheid.