‘Echt robuuste security kunnen bieden, blijft kwestie van monitoren en testen’

Dat security en privacy hoog op de politieke agenda staan, blijkt nog eens nu het kabinet voor het einde van 2014 de knoop wilt doorhakken over een standaard voor de toegang tot online dienstverlening. De overheid werkt daarvoor momenteel samen met het bedrijfsleven aan het elektronisch identificatiestelsel (eID-stelsel). Doel van dit stelsel is om burgers, consumenten en ondernemers op een veiligere en betere manier zaken te laten doen via het internet. Met name gaat er hierin aandacht uit naar een effectievere en slimmere manier van authenticatie, identificatie en het uitwisselen van persoonlijke informatie. Maar hoe veilig is een dusdanig stelsel nu?

Henk van der Heijden, oprichter en partner TecHarbor & managing director (a.i.) bij Comsec Consultancy in Nederland: “Het eID-stelsel geldt als standaard voor het vaststellen van bevoegdheden. Je kunt denken aan een soort Identity- & Access Management (IAM-)systeem, maar dan met de Nederlandse overheid als toezichthouder. Private en publieke organisaties spreken daarbij af welke eisen ze stellen op het gebied van veiligheid, betrouwbaarheid en de bescherming van privacy. Op deze manier brengt het stelsel verschillende inlogmiddelen samen; van DigiD voor burgers en eHerkenning voor ondernemers tot logins bij banken en gebruikersnaam / wachtwoord combinaties voor webwinkels. Het spreekt voor zich dat de inrichting en implementatie hiervan zeer complex is. Het uitvoeren van zorgvuldige tests via ethical hacking op de systemen is dan ook noodzakelijk.”

Stelsel van identiteiten

Hoe gaat het stelsel eruit zien? Gebruikers – burgers, ondernemers, consumenten – kunnen online bij verschillende instanties en organisaties terecht en daarbij hun eigen inlogmethode kiezen. Stel dat Marieke vanaf haar laptop wilt inloggen bij een webshop om een nieuwe trui te kopen. Via de site krijgt zij de vraag in te loggen met eID. Vervolgens heeft zij de mogelijkheid te kiezen uit verscheidene eID-middelen. Marieke kiest ervoor om op haar mobiele telefoon een code te ontvangen, welke zij vervolgens op het inlogscherm kan invoeren. Het systeem herkent mevrouw Marieke de Groot en geeft haar toegang tot de webshop waarbij zij direct kan winkelen en afrekenen. De persoonlijke informatie die er over haar beschikbaar komt voor de winkel – denk aan geboortedatum, woonadres, interesses – bepaalt Marieke zelf. De gebruiker besluit immers hoe hij of zij zich authentiseert bij organisaties die meedoen met eID (instellingen/banken/winkels/verzekeraars/overheid). Momenteel bekijken de ontwikkelaars ook of identiteitsdocumenten als inlogmiddelen kunnen fungeren.

Het grote voordeel van dergelijke inlogprocedures en samenwerkingen is dat burgers (als ondernemer of als consument) niet talloze wachtwoorden hoeven te gebruiken voor iedere online transactie. Met eID is het straks mogelijk om via dezelfde authenticatieprocedure zowel je boodschappen online te doen als een nieuwe parkeervergunning aan te vragen. Daarnaast is het voor organisaties goedkoper om veiligere diensten aan te bieden als ze het gezamenlijk aanschaffen en beheren. Zo profiteren deelnemende instellingen van elkaars sterke middelen.

Belang goede cyber security

Tegelijkertijd heeft de overheid de ambitie geuit om Nederland als leidend op de Europese kaart te zetten op het gebied van cyber security. Zelfs de koning noemde het belang ervan in de Troonrede tijdens Prinsjesdag. “Het is ook niet gek. Nederland was na de Verenigde Staten en het Verenigd Koninkrijk het derde land in de wereld dat op het internet was aangesloten. Inmiddels maakt 80 procent van de Nederlandse burgers gebruik van online banking, 62 procent webshops (4e in Europa), bezit 94 procent van de families minstens één PC en heeft 95 procent van de jongeren een of meerdere social media accounts”, legt Van der Heijden uit. “Verbonden zijn en blijven is onderdeel geworden van ons dagelijks leven. Dit brengt een nieuwe manier van beveiligen met zich mee. Daar moeten we bewust en innovatief op inspelen, willen we daadwerkelijk het verschil kunnen maken.”

Het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Veiligheid en Justitie, neemt de taak op zich om het land weerbaar te maken tegen cyberaanvallen en de vitale belangen te beschermen. Nederland investeert daarom in veilige en privacy-bevorderende ICT-producten en –diensten en bouwt coalities voor vrijheid, veiligheid en vrede in digitale domeinen. Het eID-stelsel is een voorbeeld van een dergelijke samenwerking tussen meerdere partijen.

Hij voegt toe: “het is een mooi streven om het bedrijfsleven online aan de overheid te koppelen door middel van een enkele digitale identificatie. Samenwerking en de ‘koppen bij elkaar’ is een eerste belangrijke stap om cybercriminaliteit tegen te gaan en een goede defensie op te bouwen. Om dezelfde reden is pas geleden tevens de Cyber Threat Alliance (CTA) opgericht: een initiatief van vier grote internet security-bedrijven. Toch zitten er nog wel veel haken en ogen aan het concept van het stelsel. Allereerst is daar de vraag wat er gebeurt als mensen met dezelfde naam inloggen. Persoonswisselingen zullen te allen tijde voorkomen moeten worden, want anders ligt de persoonlijke informatie voor het oprapen. En dat kan ernstige gevolgen hebben als degene die toegang krijgt tot die gevoelige data slechte bedoelingen heeft. Uiteraard is hier al aan gedacht. De overheid zegt pseudoniemen te willen vormen op basis van een unieke identiteit van een persoon. Het is echter alleen mogelijk uit te sluiten of die persoon daadwerkelijk is wie hij zegt te zijn, als je over alle persoonsidentiteiten beschikt. Inlogmethodes via identiteitsdocumenten zoals een paspoort of rijbewijs is een mogelijkheid om persoonswisselingen te voorkomen. Maar daarmee ben je er nog niet.”

Ethical hacking

Van der Heijden is ervan overtuigd dat indien diverse netwerken, systemen en toepassingen met elkaar verbonden zijn, het continu monitoren en testen hiervan essentieel is. “Het is bijna de enige optie om op elk moment op de hoogte te zijn van wat er binnen je organisatie of instelling gebeurt. Ontwikkelingen als cloud, mobile, big data analytics, The Internet of Things (of Everything), maken ons leven op heel veel vlakken makkelijker, sneller, en beter. Maar er komt ook een hele nieuwe manier bij kijken om dit alles optimaal te beschermen. En de hackerwereld staat niet stil. Deze ontwikkelt zich ook op een heel rap tempo. De oplossing ligt in het opdoen van kennis. We moeten inzicht hebben in de totale IT-infrastructuur, overal en op elk moment.”

Het eID-stelsel moet in 2017 als standaard gaan dienen voor het regelen van toegang bij online dienstverlening. “Diverse private en publieke instellingen worden hierbij aan elkaar gekoppeld en de privacy van burgers staat op het spel als de implementatie niet juist verloopt. Het is echt noodzakelijk om de verbonden elementen vooraf te testen op de weerbaarheid en dit vervolgens continu bij te houden. Een van de weinige methodes om hackers voor te zijn is ethical hacking. In opdracht van het management worden alle systemen, netwerken en applicaties getest door middel van gerichte hacks. Het is ethisch omdat de organisaties ervan op de hoogte zijn dat ze worden aangevallen. Doelgerichte attacks maken bovendien inzichtelijk waar de gaten zitten. Deze kan een (security) manager vervolgens direct opzoeken en wegwerken. Daarnaast is er veel effectiever en efficiënter een security-strategie te bepalen omdat het bedrijf nu zijn zwakkere plekken kent. Wil het eID-stelsel slagen en ons als burgers echt volledig beschermen tegen online gevaar, dan zou het voor de deelnemende partijen raadzaam zijn zich kwetsbaar op te stellen en lering te trekken uit de consequenties voor het bedrijf als zij slachtoffer worden van cybercriminaliteit.”

Hans Vandam is journalist