Opluchting na belangrijke wijzigingen in internetbedreigend EU-plan

Universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker Jaap-Henk Hoepman, één van de experts die een brandbrief over eIDAS ondertekende, schrijft op zijn blog dat hij zich na de wijzigingen veel minder zorgen maakt. Europarlementariër Bart Groothuis, rapporteur Cyber Security, reageerde eerder al opgelucht.

De eIDAS-verordening bepaalt dat overheidsorganisaties Europees erkende inlogmiddelen moeten accepteren in hun digitale dienstverlening. In de verordening staat onder meer dat dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur gebruikt worden bij onder meer elektronische handtekeningen, zegels, tijdstempels een website-authenticatie. Begin november werden er door de Europese Commissie echter enkele wijzigingen voorgesteld in de verordening, die grote zorgen over internetveiligheid veroorzaakten bij experts.

Artikel 45

Honderden wetenschappers en onderzoekers op het gebied van cybersecurity ondertekenden een brandbrief waarin werd gewaarschuwd voor mogelijke gevolgen van de wijziging. Daarmee worden namelijk technische middelen toegestaan die versleutelde berichten en andere beveiligde communicatie kunnen onderscheppen. Dat zou dan bestaande toezichtsmechanismen kunnen ondermijnen.

Met name artikel 45 in eIDAS werd controversieel gevonden: de overheid zou aan de hand van het artikel misbruik kunnen maken van certificaten, in dit geval Qualified Website Authentication Certificates (QWACS). Daarmee zouden overheden dan privécommunicatie van burgers kunnen bespioneren. Deze QWACS worden namelijk niet via het ‘normale’ proces gecontroleerd zoals ‘normale’ websitecertificaten. Bovendien kunnen ze bij geconstateerd misbruik niet worden ingetrokken.

Commissie spreekt van misverstand

De Europese Commissie stelde daags na de brandbrief in een ingelaste persconferentie tegenover Data News dat er sprake is van een misverstand. De beoogde certificaten zijn puur bedoeldom te controleren of een website wel een echte overheidswebsite is. Na enkele wijzigingen in het EU-voorstel lijken experts er nu vrede mee te hebben. 

Europarlementariër Bart Groothuis, rapporteur Cyber Security, gaf eerder aan op X (voorheen Twitter) dat hij ‘zeer goede hoop’ heeft dat aanpassingen aan het voorstel die na de kritiek volgden een positief effect hebben. “Omdat de certificaten niet langer verplicht hoeven te worden geaccepteerd, ze niet in de root-store komen en het nu aan webbrowsers is om de veiligheid en vertrouwen te handhaven zoals we dat al gewend waren. De angel is er goeddeels uit.”

Nog op verlanglijstje: ENISA

Wel had Groothuis liever nog meer aanpassingen gezien. “Bijvoorbeeld dat Europa’s cybersecurity agentschap ENISA de certificaten kan toetsen aan de hoogste EU-standaarden en deze desgewenst kan afwijzen.” Al met al stelt hij wel zeer opgelucht te zijn over de wijzigingen.

Volgens Henk Jaap Hoepman, die zijn observaties optekende op zijn eigen blog, zijn de grootste problemen nu opgelost. Een nieuwe toevoeging maakt dat de hoogleraar zich veel minder zorgen maakt over het daadwerkelijke risico dat end-to-end-encryptie voor websites verbroken wordt door lidstaten.

Waken voor misbruik

De aanvulling aan het EU-plan vereist onder meer dat de makers van webbrowsers voortaan toezichthouders op de hoogte stellen van aanvallen op de beveiligingscertificaten. Aanvallen zouden dan dus neerkomen op misbruik door een overheid.

Hoepman kan zich niet voorstellen dat een toezichthouder ‘meegaat’ met een lidstaat die moedwillig het systeem ondermijnt en beweert dat er niets aan de hand is. “Zij zouden heel duidelijk en publiekelijk op heterdaad worden betrapt bij het ondermijnen van de mondiale web-beveiliging.”