Het GBA-stelsel heeft zijn oorsprong midden in de jaren tachtig. De toegepaste techniek ook, en moet dus worden aangepast aan de eisen van deze tijd. De vernieuwing is gebaseerd op internettechnologie, en moet er toe leiden dat de GBA voor alle gebruikers on-line benaderbaar wordt en wijzigingen sneller zijn door te voeren. Als eerste stap gaat het gegevensverkeer over op het internetprotocol. Maar is de veiligheid hiermee wel voldoende gewaarborgd? Twee projectgroepmedewerkers over dit aspect van de modernisering van het GBA.
De Gemeentelijke Basisadministratie persoonsgegevens (GBA) omvat de registratie van de personen die in een gemeente zijn ingeschreven. De GBA is decentraal van opzet. Dit betekent dat elke gemeente zijn eigen administratie aanhoudt, met daarin de ingeschrevenen van die gemeenten. Alle gemeenten staan met elkaar in verbinding via het GBA-netwerk. Via dat netwerk worden onder meer verhuizingen, geboorteaangiftes en huwelijken aan andere gemeenten verzonden. Daarnaast kunnen organisaties met een publieke taak, zoals de belastingdienst en de sociale verzekeringssector, via het GBA-netwerk toegang krijgen tot de GBA-gegevens. Het effect is dat alle overheidsinstanties gebruik maken van dezelfde bevolkingsgegevens, met als gevolg dat bijvoorbeeld de belastingdienst prima zijn debiteuren kan opsporen. Het GBA-stelsel is vanaf 1985 opgezet en vanaf 1994 operationeel. De basis is dus vele jaren geleden gelegd. Op dat moment was x.25 (ofwel datanet 1) een dominant datatransportmechanisme. Hierdoor is het GBA-netwerk tot op de dag van vandaag een op x.25 technologie georiënteerd netwerk. Daar gaat nu, anno 2002, verandering in komen.
Online gegevensuitwisseling
Waarom moet er nu een vernieuwing in het GBA-stelsel plaatsvinden? Het bestaande GBA-stelsel is gebaseerd op het batchgewijs uitwisselen van gegevens. Gebruikers van de GBA-gegevens kunnen daarmee steeds minder goed uit de voeten. Naast gemeenten zijn op het GBA-stelsel ook publieke organisaties aangesloten, zoals de belastingdienst, de sociale verzekeringssector en de politie. Die gebruiken de gegevens van gemeenten in hun werkproces. Voor de werkprocessen is het noodzakelijk dat er directe toegang is op de actuele persoonsgegevens. De hele markt gaat meer naar on-line toegang – zoals on-line bankieren – de overheid gaat mee in die stroom. De politie wil ‘lik-op-stuk’ beleid toepassen en heeft voor de verificatie van de identiteit van een persoon direct de actuele gegevens nodig. Ook voor fraudebestrijding van bijvoorbeeld de sociale verzekeringen is een directe toegang van gegevens van belang. Een on-line gegevensuitwisseling is mogelijk met x.25, maar er voor uitgevonden is het zeker niet. On-line gegevensuitwisseling is eenvoudiger te realiseren met de huidige standaard tcp/ip, het zogenaamde internetprotocol. Dat houdt niet in dat de GBA overgaat naar aansluitingen via internet. De communicatie blijft (vooralsnog) verlopen via besloten netwerken, maar dan wel gebaseerd op internettechnologie. Dezelfde infrastructuur die tegenwoordig vrijwel overal bedrijfsintern ook wordt gebruikt. Kortom, een overgang naar tcp/ip is evident.
De GBA on-line maken vormt de aanleiding om over te gaan op tcp/ip. Daarnaast wordt met de uitfasering van x25 meteen ook een potentieel continuïteitsprobleem opgelost. Het datatransportmechanisme x.25 wordt namelijk steeds zeldzamer. Het wordt weliswaar nog gebruikt voor bijvoorbeeld het verbinden van geldautomaten en ook voor de verbinding van de RDW naar gemeenten voor de afgifte van rijbewijzen. Toch niet de minst kritische toepassingen. Maar het aantal gebruikers van x.25 krimpt gestaag. Doordat er minder vraag is naar x.25 neemt ook het aanbod af van apparatuur, software en dienstverleners. De beschikbare kennis en expertise wordt steeds schaarser. Door het gebrek aan expertise en uitbreidingsmogelijkheden ontstaat er zodoende een bedreiging voor de continuïteit van het GBA-stelsel. Dit bleek ook recent bij het opzetten van een nieuwe testomgeving. Het kostte daarbij de nodige moeite om op moderne versies van platformen een x.25 verbinding tot stand te brengen en te combineren met andere vormen van datatransport.
Softwarematige versleuteling
Kortom, het datatransport van het GBA-stelsel moet om naar tcp/ip. Niet alleen om on-line toegang tot de GBA mogelijk te maken, maar ook om continuïteitsredenen. Randvoorwaarde is wel dat het beveiligingsniveau minstens net zo goed is als nu met x.25. Daarvoor is het niet voldoende om alleen een besloten tcp/ip netwerk te hanteren. Dezelfde reden die x.25 kwetsbaar maakt voor de continuïteit van het stelsel, maakt een op x.25 gebaseerd stelsel juist weer minder gevoelig voor inbraken. De techniek is minder wijd verbreid en er zijn daarmee minder potentiële ongewenste indringers. Voor tcp/ip ligt dat anders. Door het massale gebruik van internet is veel kennis over tcp/ip bij een breed publiek beschikbaar, evenals bruikbare hulpmiddelen. De inbreekkennis wordt daarbij ook actief verspreid. Alleen een besloten netwerk hanteren is daarmee een risico. De beslotenheid is afhankelijk van de zwakste schakel. Niet zelden wordt de infrastructuur van internet en besloten netwerken gedeeld (de kabeltjes van KPN, UPC, Versatel, en dergelijke). Het hangt er maar net vanaf hoe goed en consequent het besloten netwerk is afgeschermd. Indien de netwerkleverancier de zaak niet goed op slot heeft gezet, kan er een lek ontstaan. Een inbreker kan dan bijvoorbeeld via het openbare internet toegang tot het besloten netwerk krijgen. Vandaar dat er voor het GBA-stelsel is gekozen voor aanvullende maatregelen. In deze tijd kan dat door middel van het versleutelen van de informatie die je over het netwerk stuurt. Als je dat goed doet, dan kunnen zelfs de Amerikaanse inlichtingendiensten er geen chocola meer van maken.
Voor het versleutelen van gegevens bestaan diverse alternatieven. Ten eerste is er een hardwarematige oplossing. Een vercijferkastje ertussen en klaar is Kees. Nadeel van deze optie zijn de kosten. Op elke aansluiting moet een kastje komen. En dat zijn er nogal wat in het GBA-netwerk, zo’n duizend aansluitingen. Tweede nadeel is de veiligheid op langere termijn. Als het algoritme door sneller wordende computers opeens kraakbaar blijkt te worden, moeten alle kastjes worden vervangen. Weer een dure en massale renovatie-actie. Een softwarematige oplossing heeft de hiervoor genoemde twee nadelen niet. Software laat zich goedkoop distribueren over duizend aansluitingen. Daarnaast kan het versleutelalgoritme met zijn tijd meegaan. Op het moment dat een algoritme gecompromitteerd dreigt te geraken, kan een nieuw algoritme verspreid worden. Softwarematig kun je zelfs meerdere algoritmes vooraf verspreiden en er maar eentje gebruiken. Op het moment dat die in opspraak raakt kan er meteen worden overgeschakeld op een alternatief. In het GBA-stelsel is daarom gekozen voor een softwarematige implementatie van versleuteling.
PKI Overheid
De softwarematige oplossing moet wel op zo’n duizend locaties gaan werken. Daar komt natuurlijk het nodige bij kijken. In het GBA-netwerk zijn een overzichtelijk aantal gecertificeerde standaardpakketten actief. Dat zijn enerzijds gemeentelijke applicaties voor burgerzaken. Daarnaast ook interfacesoftware voor systemen van organisaties die toegang hebben tot de GBA-gegevens. In totaal zijn in de GBA-markt momenteel zeven standaardpakketten in gebruik. Bij de overgang naar tcp/ip moeten de standaardpakketten worden aangepast. Een groot deel van de inspanningen zit daarbij dan niet zozeer in de technische aanpassing zelf, als wel in het testen en uitrollen van de software. De meerkosten voor het ook inbouwen van een softwarematige versleuteling zijn daarbij relatief gering. Voor versleuteling kan daarbij ook nog gebruik worden gemaakt van standaardhulpmiddelen. Die zijn veelal gratis beschikbaar of als standaardfaciliteit op het platform aanwezig. De meerkosten van het inbouwen van versleuteling zijn zodoende een fractie van de kosten van het uitrollen van een oplossing met hardwarematige versleuteling.
In een softwarematige oplossing moet er wel een mechanisme zijn om het sleutelmateriaal uit te geven. Dat sleutelmateriaal is allereerst nodig om gegevens te versleutelen. Maar daarnaast is het sleutelmateriaal ook nodig om vast te stellen of de partij waarmee wordt gecommuniceerd ook is wie hij zegt dat hij is. Daarvoor moet een zogenaamde ‘public key infrastructure’ (pki) worden opgezet. Dat is een mechanisme om sleutelmateriaal uit te geven aan gecertificeerde deelnemers. Deze pki wordt in eerste instantie in eigen beheer opgezet en beheerd, zodanig dat later kan worden aangesloten bij de nog in te richten PKI Overheid. Het mechanisme om te bepalen wie op het GBA-netwerk mag, was al beschikbaar. Om deel te nemen aan het GBA-berichtenverkeer moet aan strenge eisen worden voldaan. Dat wat mag wordt vastgelegd in een formeel uitvoeringsbesluit. Voor het uitgeven van sleutels kan daar mooi op worden aangesloten. Iedere organisatie die gebruikmaakt van het GBA-netwerk ontvangt sleutelmateriaal aan de hand waarvan het gegevensverkeer wordt versleuteld en waarmee de organisatie zich identificeert op het netwerk.
Testen succesvol afgerond
De invoering van tcp/ip voor het GBA-netwerk is momenteel in volle gang. De standaardpakketten worden geschikt gemaakt voor tcp/ip en de vereiste versleuteling. De eerste testen zijn inmiddels succesvol afgerond. Eind 2002 start de migratie van de aansluitingen. Daarbij kunnen x.25- en tcp/ip-verbindingen gewoon naast elkaar bestaan. Gegevens kunnen via x.25 worden verzonden en door de geadresseerde met tcp/ip worden ontvangen en andersom. Dit is mogelijk doordat het GBA-netwerk al over een knooppunt beschikt waarlangs al het gegevensverkeer loopt. Dat knooppunt bestaat uit een centraal mailboxen-systeem en heeft de rol van een server voor gegevensuitwisseling. Het knooppunt beheerst zowel x.25 als tcp/ip en kan daardoor zowel met x.25 als met tcp/ip van dienst zijn. Zodoende kan de migratie geleidelijk worden doorgevoerd en hoeven niet alle aangeslotenen op het GBA-netwerk in één keer om. De migratie moet eind 2003 grotendeels zijn afgerond. Dan komt de volgende moderniseringsstap er al weer aan: de on-line toegang tot een deel van de GBA-gegevens.
Edmond van Houten, Peter de Jong, projectleiding modernisering GBA.