Teknik

Nederländernas statliga inloggning DigiD slås ut i överbelastningsattack

Två timmars avbrott stoppar myndigheter och försäkringsbolag när ett enda inloggningsnav blir samhällsfunktion, andra attacken på fyra månader och samtidigt bråk om USA-kopplad drift via Kyndryl och risken för utländsk hävstång

Bilder

DigiD is used to access government and social services. Photo: Ifeelstock via Depositphotos.com DigiD is used to access government and social services. Photo: Ifeelstock via Depositphotos.com Ifeelstock via Depositphotos.com

Nederländernas nationella inloggningssystem DigiD slogs ut i omkring två timmar på måndagen efter en överbelastningsattack. Enligt DutchNews.nl kunde användare inte logga in från cirka klockan 11, och tjänsten återkom gradvis från omkring klockan 13. I felrapporterna nämndes också problem med att ta emot de sms-koder som används för tvåfaktorsautentisering.

Händelsen är mindre intressant som teknisk nyhet än som påminnelse om vad DigiD har blivit: ett slags standardiserad identitetsport för vardagslivet. DigiD används inte bara för statliga e-tjänster utan också för tjänster i statens utkanter, såsom sjukförsäkringsbolag och andra ”personliga tjänster” som nämns i rapporteringen. När en enda autentiseringsgrind behandlas som huvudentré till allt slutar tillgänglighet att vara en bekvämlighetsfråga och börjar likna en civil beredskapsfråga. Två timmars avbrott är hanterligt om det bara blockerar en enskild webbplats; det är en annan sak när det stoppar skattedeklarationer, bidragshantering, kommunala arbetsflöden och privata tjänster som valt DigiD som det billigaste sättet att lägga ut identitetskontrollen.

Detta är centraliseringens klassiska avvägning. En gemensam inloggning minskar dubbelarbete och kostnader för stöd, och gör regeluppfyllelse enklare för myndigheter som helst slipper driva autentisering själva. Men den skapar också en enda felpunkt som angripare kan testa billigt och upprepat. DutchNews.nl noterar att detta är åtminstone den andra överbelastningsattacken på fyra månader, vilket antyder att systemet redan betraktas som en förutsägbar strypunkt.

Privata plattformar som är beroende av inloggningar i stor skala brukar konstruera för delvisa fel: flera inloggningssätt, reservleverantörer av identitet och ”frånkopplade” reservrutiner som låter kritiska ärenden fortsätta när identitetslagret sviktar. Offentliga system bygger mer sällan sådana nödutgångar med samma brådska, delvis därför att kostnaderna sprids. När DigiD ligger nere drabbas medborgare som stängs ute från sina konton och organisationer vars kundtjänster korkar igen – kostnader som inte alltid syns som en tydlig budgetpost hos den som driver systemet.

Avbrottet inträffar dessutom samtidigt som en separat politisk strid om vem som kontrollerar infrastrukturen bakom DigiD. Parlamentsledamöter har uttryckt oro över att Solvinity, molnföretaget som hanterar DigiD, köpts upp av det USA-baserade Kyndryl. DutchNews.nl skriver att kritiker pekar på den amerikanska molnlagen, som kan tvinga USA-baserade leverantörer att lämna ut data även om den lagras i Europa. Rädslan i parlamentet gäller inte bara sekretess, utan även påtryckningsmöjligheter: om kritisk digital statsförvaltning löper genom en leverantörskedja som lyder under främmande jurisdiktion blir driftrisk sammanflätad med geopolitik.

På måndagen var det omedelbara problemet enklare: ett inloggningssystem som miljontals människor behandlar som nödvändigt gick inte att nå.

DigiD var tillbaka i drift omkring klockan 13. Beroendekartan som systemet utgör navet i förändrades inte.