Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Wie ben ik?

 

Expert

E D
Iets met ICT, nvt. Expert van voor het topic .

Waar we vroeger onze identiteit bekend maakten door ons gezicht te laten zien is er door de digitalisering een uitdaging ontstaan. Zonder fysieke aanwezigheid is het makkelijk om te zeggen wie je bent maar bewijzen is wat lastiger, tenminste als het onweerlegbaar moet. Vraagstuk van digitale identiteiten is een maatschappelijk probleem.

Hoewel identificeren en legitimeren beiden gaat om het bewijzen van de identiteit zit het verschil in het middel. Een paspoort heeft dan ook een hogere status dan clubpas van een vereniging. Het is echter opmerkelijk dat een attribuut zoals burgerservicenummer (bsn) toch op een soort van clubpas staat, de zorgpas van verzekeraar. Nu is dit een middel dat we desondanks niet kunnen gebruiken als legitimatiebewijs omdat een veiligheidskenmerk zoals foto ontbreekt. Zorgvuldige legitimatie vereist dan ook overlegging van een ander identiteitsbewijs waarmee bsn's vergeleken dienen te worden, zodat deze in het proces als gebruikers-ID en/of declaratienummer gebruikt kan worden.

Helaas wordt gemak nog weleens boven de zorgvuldigheid verkozen en blijft die controle vaak achterwege. Het vragen om een identificatie is zinloos en gevaarlijk als controle onvolledig is of zelfs geheel ontbreekt!

Identiteitsdiefstal

In mijn inleiding stelde ik dat het vraagstuk van digitale identiteiten een maatschappelijk probleem is en daarmee bedoel ik het fenomeen van diefstal en groeiende hoeveelheid aan middelen die we nodig hebben. Laten we beginnen met de identiteitsfraude waar volgens het ministerie van binnenlandse zaken in 2012 meer dan zeshonderdduizend burgers slachtoffer van werden, mede omdat het bsn makkelijk te achterhalen was. Nu is het opmerkelijk dat bsn identiteitsfraude faciliteert aangezien we het hier hebben over een gebruikers-ID. Blijkbaar gaat er iets mis in het authenticatieproces zelf, controle bij juiste legitimatie bestaat dan ook uit twee handelingen: het vaststellen van de echtheid van getoonde legitimatiebewijs en het vaststellen dat het legitimatiebewijs hoort bij degene die het toont.

Dat koppelen van (digitale) middelen aan een identiteit onvermijdelijk is, staat buiten discussie, maar de vraag is of dat soms niet wat te lichtvaardig gedaan wordt. Zo wordt het attribuut bsn gebruikt als een gebruikers-ID, als btw-nummer, declaratienummer en waarschijnlijk voor nog wat andere processen. Nogal vervelend dus als het vaststellen of het bsn behoort bij degene die het opgeeft al niet goed gedaan wordt. Daarnaast is het moeilijk  om dit nummer geheim te houden omdat het op steeds meer middelen komt te staan.

Identiteitscrisis

De affaire met het bsn vertoont veel overeenkomsten met de paspoortaffaire uit 1984 waarbij ook twee ministeries hun eigen weg bewandelden. Tenslotte adviseert het ministerie van Binnenlandse Zaken ons om het bsn geheim te houden, bij verstrekken van een kopie paspoort dien je dit nummer onleesbaar te maken, maar verplicht de belastingdienst zzp'ers om het bsn als btw-nummer te vermelden op facturen en website. Het middel heiligt het doel, maar schiet deze weleens voorbij als er niet nagedacht wordt over consequenties. Ondertussen is de motie Oosenburg aangenomen die ontkoppeling van btw-nummer en het bsn voorstelt. Opmerkelijk dat juist het bsn bedoeld was om fraude tegen te gaan maar het nu lijkt te faciliteren, wie snapt het nog?

Het is een dooddoener maar beveiliging kost geld, tijd en moeite, terwijl veel oplossingen juist op het tegenovergestelde gericht zijn. We willen tenslotte juist minder digitale identificatiemiddelen dan meer en het principe van single sign on (sso) zorgt voor een toenemende populariteit van diensten zoals IDaaS. Helaas ontbreekt bij deze diensten dus vaak een geïntegreerd kader voor provisioning en beleid, het zijn vooral serviceproviders voor IAM. Terwijl dit de meest gevoelige functie is waar continuïteit van de dienstverlening vaak vanaf hangt zoals we hebben gezien bij Diginotar. Ook hier werd nagelaten om echtheid van legitimatiebewijs te (blijven) controleren en ontbrak integraal beleid terwijl er teveel vertrouwd werd op de techniek. Hoewel ik het nut van diensten zoals IDaaS dus wel inzie baart dus de (commerciële) invulling mij zorgen, niet vanuit technische perspectief maar simpelweg procesmatig.

Identiteitsvisie

Waar we zakelijk vaak maar één gebruikers-ID hebben met misschien twee of meer authenticatie middelen hebben we in het maatschappelijk verkeer hier een stapel van. Zorgpas, bankpassen, paspoort, rijbewijs, bonuskaarten en ga zo maar door. Al deze middelen bevatten stukjes van de (digitale)identiteit die niet altijd gebruikt worden voor de dienst die we afgesproken hebben. Laatst nog kwam ING met het plan om betaalgegevens van klanten te verkopen, commerciële belangen om gedrag aan een persoon te koppelen zijn dan ook groot. Maatschappelijk gezien is dit vanuit het oogpunt van fraudebestrijding nog te verkopen, maar het wordt al gauw discutabel als het een ander doel dient, het middel wordt dan erger dan de kwaal zoals we zien met het burgerservicenummer.

Het wordt dus tijd dat we de visie rond digitale identiteiten herzien, waarbij niet alleen het middel van het proces gescheiden dient te worden, maar er ook meer zekerheden ingebouwd worden tegen misbruik. Want een overheid die haar onderdanen als nummer ziet verliest al gauw het vertrouwen, zeker als er middelen gebruikt worden die door de technologische ontwikkelingen achterhaald zijn. 

Wordt vervolgd…

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5049457). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

@Redactie
Zie dat er redactionele wijzigingen zijn gemaakt die variëren van opmaak en aanvullingen, zoals de aanvulling:

'...zzp'ers om zowel het bsn als btw-nummer...'

BSN wordt gebruikt ALS BTW-nummer met een toevoeging B01 voor het eerste bedrijf en oplopend bij volgende, graag dus woord ZOWEL verwijderen.
Mogelijk ten overvloede maar zo'n nummer ziet er dus als volgt uit: NL 123456782 B01 - een gefingeerd BTW-nummer die voldoet aan de 11-proef.

Het gedoe om identificatie heeft vormen aangenomen die langzaam aan schizofrenie doen denken.
Als als klant van ING na 40 jaar plotseling gevraagd wordt om je te identificeren is dat tragikomisch. Wanneer je een paspoort krijgt worden je vingerafdrukken genomen alsof je een krimineel bent, wie gelooft eigenlijk dat die niet bewaard worden?
Een RFID in zo een paspoort is een zekerheids risiko en onnodig.

Ewout,
Interesant verhaal, vooral je vergelijk met de pas van de zorgverzekering.
Op mijn vliegbrevet dat toch vergelijkbaar is met een rijbewijs zat ook geen foto.
Toch mag je die volgens internationale wetgeving als legitimatie gebruiken op voorwaarde dat je het vliegveld niet verlaat anders dan met je vliegtuig. Geen enkele controlle mogelijk dus.

Verder ben ik inderdaad ook aan het wachten op een alom geaccepteerd digitaal identificatie systeem.
Eerste voorwaarde voor zulk een systeem is natuurlijk dat geen enkele commerciële partij belang heeft bij een dergelijk systeem.
Er zijn nogal wat lieden (ook onder de lezers alhier) die niet zo blij zullen zijn met mijn opmerking hierover, maar feit is dat slechts een minderheid vertrouwen heeft in een systeem waarvoor geld dat er geen controle over mogelijk is en enkel winsten tellen.
Wees nu eerlijk wie vertrouwd er nog op banken...
speaking of, een universeel betaalsysteem zonder ranzige voorwaarden en bemoeienis (bij voorkeur dus buiten de banken om) is ook iets wat nog steeds niet echt beschikbaar is.

@Jan
Schizofrenie beschrijft wel aardig de situatie waarin we beland zijn, het dr. Jekyll en mr. Hyde syndroom. In mijn voorbeeld van BSN stel ik dat het tegengif steeds minder effectief wordt. En vingerafdrukken zijn volgens mij niet meer nodig voor een identiteitskaart, deze wordt dus niet meer gezien als een reisdocument. En volgens mij worden die vingerafdrukken bewaard in een database van het ministerie van binnenlandse zaken.

Terechte signalering van een probleem dat steeds groter wordt. Het belang van betrouwbare identificatie snapt iedereen die iets met IT doet. En ook daarbuiten krijg je het wel uitgelegd. Maar de praktijk laat zien dat als het er op aan komt gemak bij de meeste mensen wint. Een paar dagen wachten op een Digid wachtwoord (dat je zelf bent vergeten) leidt meteen tot #fail tweets. Diginotar liet zien hoe we ons voor de gek laten houden met jaarlijkse audits, even schrikken, en vervolgens toch weer vaak doorgaan met hoe we het daarvoor deden. 2-factor authenticatie is tegenwoordig eenvoudig mogelijk, maar ja, het is best wel een beetje lastig, dus laat maar.
In aanvulling op de terechte suggesties in het artikel de aanvulling om daarnaast vooral realistisch te kijken naar hoe er in praktijk wordt omgegaan met maatregelen. Wat mij betreft liever een halve maatregel die in praktijk werkt dan een hele maatregel waar een loopje mee wordt genomen.

ik denk dat het allemaal wel meevalt

:-P

@alter ego
Een prachtig voorbeeld wat je inderdaad veel ziet op de sociale media, zie mijn eerdere opinie daarover:

http://www.computable.nl/artikel/opinie/infrastructuur/4354274/2379248/resocialisatie-van-social-media.html

@Ad
Ik spreek liever over eenvoud, gemak is het achterwege laten van iets waarmee je dus op het spoor van halve maatregelen komt. Mooi voorbeeld is account in reacties die gelijkend is aan mijn account maar in profiel laat zien dat ik het niet ben. Hoeveel lezers zouden die extra controlerende stap doen?

Betreffende betrouwbare identificatie gaat het om controleren van echtheidskenmerken, hier gaat het vaak al mis. En als het bij deze eerste stap al fout gaat dan maakt het volgens mij niet veel meer uit of je nu wel of niet 2FA in het proces gebruikt.

Ewout, mooi en relevant stuk.

Wat ik vooral lees is dat de mens in het proces te kort schiet. Mag ik dit vergelijken met de schroom die mensen voelen om een batch te mogen zien als ze iemand rond zien lopen zonder batch in een bedrijfspand? Hoeveel mensen durven een "meeloper" bij een open deur te weigeren?

Ik ben benieuwd naar je vervolg! Kan dit stuk alleen maar onderschrijven.

@Henri
Relevantie werd bewezen door bericht over gemeente Geldrop bevestigd waarbij meest opmerkelijke in bericht was dat dit soort gegevens blijkbaar zomaar in het laatje van een ambtenaar zitten.

http://www.omroepbrabant.nl/?news/209214662/Stapels+gemeentelijke+documenten+met+prive-informatie+gevonden+in+ladeblok+kringloopwinkel+Geldrop.aspx

Je voorbeeld van piggybacking (social engineering) krijgt daardoor een hele andere betekenis want vaak zijn gebouwen gesegementeerd waarbij verkeersruimten gescheiden worden van beveiligde ruimten doordat je voor laatste nog een code in moet voeren. Nu is dat zinloos als gevoelige informatie niet alleen opgeslagen ligt in die beveiligde ruimten.

Waarom zou je jezelf te hoeven identificeren als iedereen je kent? OK, ik snap het wel vooruitgang en zo en je moet met je tijd meegaan.
Maar is het een vooruitgang als we elkaar als nummers gaan zien ipv mensen? Dat ging ruim 70 jaar geleden ook al eens fout.

@Henri
Als je echt goede beveiling van je gebouw wilt dan gebruik je een draaideur waar maar een persoon tegelijk door kan:

http://en.wikipedia.org/wiki/Revolving_door#Security

Als je (digitale) identiteitsfraude wilt tegengaan dan moet je naar een systeem van having and knowing (in het bezit zijn van een pas en het weten van een PIN code bijvoorbeeld), zie:

http://en.wikipedia.org/wiki/Multi-factor_authentication

Maar beveiliging staat nog steeds op gespannen voet met bruikbaarheid en toegankelijkheid:

https://www.schneier.com/blog/archives/2009/08/security_vs_usa.html

Johan: Veel bedrijven hebben honderden medewerkers op meer locaties en persoonverloop.

Johannes: Thanks voor de links. Het blijft een spanningsveld. Mijn duimregel is om het technisch net wat beter te doen dan het gemiddelde en een beleid om continu gebruikers in te lichten voor te lichten en voorbeelden te geven.

Ewout: Het blijft belangrijk dat medewerkers weerbaar worden tegen social engineering, geld overigens ook voor vrouw, ouders en kinderen :-) En tegen gerichten aanvallen valt nauwelijks te weren.

Blijkbaar worden reacties wel gemodereerd en accounts niet, typerend om middels selectief verwijderen van reacties de boodschapper belachelijk te maken en de boodschap te negeren. De grap van Mauwerd met het klonen van mijn online identiteit op dit medium kon ik wel waarderen omdat hij direct eronder in een reactie de situatie uitlegde. Heel anders wordt het natuurlijk als de redactie het laat voorkomen alsof ik schizofreen ben door juist die uitleg te verwijderen.

@Johannes
Laat jaren 70 manipuleerden we al de 'revolving door' bij zwembad door telkens de badge door te geven. Verder zie ik nog regelmatig 2 mensen op één badge door draaideuren gaan. Nu gaat het bij toegang om authenticatie en autorisatie, eerste stap is nog steeds het koppelen van persoon aan middel(len).

@Henri
Het is nog vooral 'downplayen' vanuit politieke en commerciele belangen terwijl er een opmerkelijk parallel tussen ons BSN en social security number in de U.S. te trekken is. Aan de andere kant van de oceaan lijken echter nu vooral kinderen en jong volwassen het slachtoffer te zijn. En Belgisch onderzoek in 2010 toonde aan dat 'millenials' het snelst nieuwe technologie adopteren maar ook het traagst een identiteitsdiefstal signaleren.

zit er nou iemand onder mijn naam accounts te hacken ?
Moet niet gekker worden.

hmm..
Of was ik het nou toch zelf ?

@Mauwerd
Tsja, het klonen van mijn identiteit was makkelijk: http://profile.computable.nl/profile/idfraudetest

Of de redactie je dat in dank afneemt is twijfelachtig met tekst zoals '...maar toen was het kwaad reeds geschied.' En dat terwijl je met deze test precies aantoonde waarover opinie gaat: Online identiteit is nog niet gelijk aan de degene die er achter zit!

P.S.
Stuur me even een e-mailtje dan weet mijn advocaat waar de brief heen moet betreffende de aangifte;-)

Ewout,

Op zich is het wel zeer apart te noemen dat het hier zo makkelijk is om iemand anders zijn identiteit aan te nemen. Er zou in mijn optiek altijd een sort van validatieslag over heen moeten gaan.

Even terugkomend op je artikel. Ik heb het als zeer leerzaam en leuk ervaren. Het las ook zeer gemakkelijk weg. En ik zie nog mogelijkheden tot een hele serie van vervolgen:

1. Waar ben ik?
2. Wat ben ik?
3. Waarom ben ik?



@Ruud
Zo apart is het niet, security object is gebruikersnaam: IDFRAUDETEST. Dat andere attributen zoals namen aangepast kunnen worden zie je vaker.
Meen me te herinneren dat je in het verleden reacties onder gebruikersnaam kon plaatsen maar die optie is blijkbaar weggehaald, kan het vinkje om mijn voor- en achternaam te gebruiken tenminste niet uitzetten:

http://www.computable.nl/artikel/opinie/ictbranche/4439084/2379258/mindmapping-is-eeuwenoud-maar-onontbeerlijk.html

En zoals Mauwerd al aangaf is het opmerkelijk dat je wel een account aan kan maken, waarbij sommigen persoonsgegevens verplicht zijn, maar deze dus niet kan verwijderen. Om nu geen misverstanden te laten ontstaan heb ik mijn foto aangepast en tijdelijk ook even voor- en achternaam totdat ik weer gewoon kan publiceren en reageren onder de gebruikersnaam. Neem gemakshalve maar aan dat hier dus wel een controle op duplicaten plaats vindt.

P.S.
Vervolg op dit stuk zal 'Wat ben ik?' zijn, andere maatschappelijke probleem met identiteiten is namelijk privacy.

Bij het opvragen, verzamelen, leveren, bewaren en beveiligen van data gaat het steeds weer om de belangen (zoals gebruikersgemak, privacy en fraudebestrijding) van personen en organisaties. Die belangen zijn meestal niet gelijk voor de partijen en de belangen kunnen in de loop van de tijd ook wijzigen. Zo kunnen partijen slordig omgaan met de gegevens als die voor hen minder of niks meer waard zijn geworden, ook als de andere partij daar onder kan leiden. En dat geldt ook voor de elektronisch identiteit. Daarom zullen er altijd problemen zijn.

Die problemen waren er ook al voor de digitalisering, maar kunnen door de digitalisering grootschaliger worden. Het enige wat helpt, is dat er goede regelgeving, openheid, controle en sancties zijn, en dat er goede convenanten afgesloten worden tussen partijen. Dan kunnen anderen beter op (potentieel) misbruik en fraude inspelen.

@John
Mee eens maar de praktijk is zoveel weerbarstiger, zie link over gemeente Geldrop die zoiets simpels als ladenkastje controleren al nalaat. En helaas is dit niet het enige voorbeeld want de (lokale) overheid gaat ongelovelijk slecht om met onze persoonsgegevens terwijl ze er steeds meer van krijgen welke ze niet alleen slecht bewaren maar ook nog eens te lang.

Privacy is een heet hangijzer aan het worden nu er inderdaad enige openheid is gekomen door Edward Snowden maar de sancties blijven nog teveel achterwege, de kool en de geit worden gespaard. Heb ondertussen het vervolg gereed gezet voor publicatie....

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×