De overheid werkt op dit moment samen met een aantal private partijen en wetenschappelijke instellingen aan een eenvormig stelsel voor het online kunnen identificeren van burgers, het vaststellen van hun bevoegdheden en het verifiëren van leeftijden. Dit stelsel, bekend als het eID Stelsel, moet de huidige veelheid aan authenticatiemiddelen stroomlijnen en overzichtelijker maken, zodat het voor iedereen – burgers, consumenten, overheidsinstellingen, non-profitorganisaties en commerciële dienstaanbieders – eenvoudiger wordt om onlinetransacties te verrichten en digitale diensten af te nemen of aan te bieden.

Het eID Stelsel beoogt publieke en private authenticatiemiddelen te consolideren, zodat het straks niet meer nodig is allerlei aparte inlogmiddelen en -gegevens te gebruiken en te onthouden voor overheidswebsites en websites van bijvoorbeeld banken. Dat is naar verwachting ook gunstig voor de ontwikkeling van de digitale economie. Over dat alles worden gezamenlijke afspraken gemaakt, waarbij de overheid als toezichthouder fungeert. Het eID Stelsel zou vanaf 2015 moeten worden ingevoerd, waarbij deelnemende partijen hun eigen tempo voor aansluiting kunnen bepalen.

Op dit ogenblik gebruiken burgers en consumenten een grote verscheidenheid aan inlogmiddelen voor allerlei digitale diensten, waarbij er ook nog eens sprake is van een waterscheiding tussen (semi-)overheidsdiensten, zoals de gemeente en de belastingdienst, en private diensten, zoals webwinkels en financiële instellingen. DigiD is welbekend als authenticatiemiddel voor burgers voor het benaderen van digitale diensten van de overheid en (semi-)overheidsinstellingen. eHerkenning is de tegenhanger hiervan voor ondernemers. Voor het verrichten van financiële transacties bij websites van banken worden allerlei op zichzelf staande hulpmiddelen voor sterke authenticatie toegepast. Voor webwinkels en clouddiensten wordt meestal een combinatie van gebruikersnaam en wachtwoord gebruikt, al dan niet aangevuld met een vorm van sterke authenticatie.

Eén inlogmiddel

Het eID Stelsel beoogt de verschillende authenticatiemiddelen samen te brengen en te standaardiseren, maar alleen als deze aan het vereiste beveiligingsniveau voldoen. De bedoeling is dat de verschillende inlogmiddelen – mits krachtig genoeg – gewoon blijven bestaan, maar over en weer gebruikt zullen kunnen worden bij verschillende dienstaanbieders, of dit nu een overheidsinstelling, een webwinkel of een bank is. De gebruiker bepaalt zelf welk inlogmiddel hij wil toepassen. Dat is ook gunstig voor dienstaanbieders, want zij hoeven dan minder te investeren in eigen authenticatiemiddelen. Er wordt eveneens rekening gehouden met nieuwe ontwikkelingen zoals smartphone-authenticatie.

Het eID Stelsel fungeert bij dit alles als trust framework (zie kader) dat de authenticatieprocessen en het beheer hieromheen in goede banen moet leiden. De verwachting is dat de gebruiker uiteindelijk minder inlogmiddelen of misschien maar één inlogmiddel zal kiezen voor alle digitale diensten die deel uitmaken van het eID Stelsel. De eID-standaard zal eerst worden toegepast in Nederland, maar later is uitbreiding voorzien voor heel de Europese Unie. Daarbij is verordend dat ook personen uit andere EU-landen op dezelfde wijze toegang moeten kunnen krijgen tot Nederlandse digitale diensten.

Bij een dergelijk stelsel spreekt het voor zich dat privacy en security zeer belangrijke aandachtspunten zijn. Potentieel zou een kwaadwillende immers door het hacken van één eID-authenticatiemiddel van iemand toegang kunnen verkrijgen tot een veelheid aan digitale diensten, wat verstrekkende gevolgen zou hebben. Er zou zonder meer sprake zijn van een zware vorm van identiteitsfraude. Elk van de toegestane eID-authenticatiemechanismen moet dus een hoge mate van veiligheid en betrouwbaarheid bieden. Hierover is afgesproken dat de authenticatiemechanismen en -middelen minimaal moeten voldoen aan de zekerheidsniveaus 3 en 4 van het Stork-framework (zie kader). Zulke authenticatiemiddelen bestaan overigens niet van overheidswege en moeten dus nog ontwikkeld worden. In het private domein zijn zulke authenticatiemiddelen al wel beschikbaar.

Gevaren

Maar dan kunnen we ons nog steeds afvragen of het eID-stelsel wel zo veilig zal zijn. Sommige ontwikkelingen nopen namelijk tot twijfels. Allereerst is er het simpele gegeven dat cybercrime een sterk groeiend fenomeen is. Het eID Stelsel is voor cybercriminelen ook nog eens extra aanlokkelijk. Immers, het biedt potentieel toegang tot een keur aan digitale diensten, waaronder zeer aantrekkelijke. Voor direct betrokken slachtoffers zouden de gevolgen funest zijn. Er zijn zorgwekkende ontwikkelingen op het gebied van kwaadaardige software ofwel malware. Een van de meest gevaarlijke vormen hiervan is de zogenaamde ‘man-in-the-browser’ of ‘man-in-the-mobile’, een Trojaans paard dat de webbrowser of app infecteert en waarmee cybercriminelen in staat zijn internetverkeer om te leiden en webpagina’s of transacties aan te passen op een wijze die aanvankelijk totaal onzichtbaar is voor zowel de gebruiker als de dienstaanbieder. Bovendien kunnen er beveiligingsmechanismen als TLS/SSL en sterke authenticatie mee worden omzeild – precies de beveiligingsmechanismen waarvan het eID Stelsel afhankelijk is – omdat deze malware zich nestelt tussen de gebruiker en de mechanismen die de beveiligde verbinding tot stand moeten brengen. Antivirussoftware heeft nog altijd in de meeste gevallen het nakijken, omdat de ‘man-in-the-browser’ goed kan worden verstopt. Deze vorm van kwaadaardige software neemt toe in zowel technische verfijning als verspreiding en wordt algemeen beschouwd als de grootste bedreiging voor onlinebankieren. Er mag worden aangenomen dat de bedreiging voor het eID Stelsel niet minder reëel zal zijn. Al met al zijn de gevaren bepaald niet denkbeeldig.

Extra gedoe

Er is een pakket aan tegenmaatregelen nodig om deze wijze van cybercrime te lijf te kunnen gaan. Antivirussoftware blijft nodig en ook voorlichting draagt een steentje bij, maar het laat zich raden dat meer in stelling moet worden gebracht.

Een van de mogelijke maatregelen is het verifiëren van de handeling of transactie door de dienstaanbieder via een andere verbinding dan die welke is gebruikt voor de transactie zelf, bijvoorbeeld via een sms-bericht. De keerzijde is dat ook sms-berichten kunnen worden onderschept en aangepast door ‘man-in-the-mobile-malware’. Bovendien kan een cybercrimineel tevoren het telefoonverkeer van het slachtoffer laten omleiden, iets wat daadwerkelijk voorkomt. Sms-verificatie betekent ook extra gedoe voor de gebruiker.

Secure browsing is een oplossing waarbij gebruik wordt gemaakt van een aparte, extra beveiligde webbrowser of app bij bepaalde risicovolle handelingen of transacties. Ook bestaat er technologie waarmee kan worden belet dat bestaande webbrowsers en apps geïnfecteerd raken met malware. Dienstaanbieders kunnen technologie toepassen waarmee niet alleen de identiteit van de gebruiker, maar ook die van het gebruikte apparaat wordt geverifieerd, op basis van meerdere gegevens tegelijk.

Het zal duidelijk zijn dat sommige maatregelen aanzienlijke aanpassingen vereisen en geld zullen kosten, maar het ook maar eenmalig hacken van het eID Stelsel zou leiden tot het langdurig kelderen van het vertrouwen in eID. De overheid heeft nog een taak in het kunnen aantonen dat het eID Stelsel voldoende bestand zal zijn tegen geavanceerde vormen van cybercrime. DigiD bleek dat in elk geval niet.

Trust framework Een trust framework is een structuur om in vertrouwen te voorzien in internetomgevingen. Via een dergelijk framework kunnen identiteitsgegevens, authenticatiegegevens en andere gegevens beheerd en beschikbaar worden gesteld. Een trust framework is gespecificeerd volgens regels die zijn opgesteld door een of meer partijen die inherent vertrouwen zouden moeten genieten, zoals een overheid, een maatschappelijke organisatie of een combinatie van profit- en non-profitpartijen. Dienstaanbieders en -afnemers die willen deelnemen aan het trust framework moeten aan die regels voldoen, zoals die voor zekerheidsniveaus voor authenticatie. Naast het eID Stelsel zijn er nog vele andere initiatieven op dit terrein gaande, waarvan er maar weinig van de grond komen. De grootste uitdaging voor een trust framework is het vertrouwen dat partijen hieraan willen geven.

STORK Op Europees niveau is het STORK (Secure identity across borders linked) Quality Authentication Assurance-(QAA)-framework ontwikkeld, dat is gebaseerd op vergelijkbare initiatieven zoals het Identity Assurance Framework van de Liberty Alliance en de Electronic Authentication Guideline van het Amerikaanse National Institute of Standards and Technology (NIST). Het STORK QAA-framework voorziet in vier zekerheidsniveaus (levels of assurance) waarop partijen op eenduidige wijze hun authenticatiemechanismen en digitale diensten kunnen baseren, afhankelijk van de risico’s die in het spel zijn.