Waar we vroeger onze identiteit bekend maakten door ons gezicht te laten zien is er door de digitalisering een uitdaging ontstaan. Zonder fysieke aanwezigheid is het makkelijk om te zeggen wie je bent maar bewijzen is wat lastiger, tenminste als het onweerlegbaar moet. Vraagstuk van digitale identiteiten is een maatschappelijk probleem.
Hoewel identificeren en legitimeren beiden gaat om het bewijzen van de identiteit zit het verschil in het middel. Een paspoort heeft dan ook een hogere status dan clubpas van een vereniging. Het is echter opmerkelijk dat een attribuut zoals burgerservicenummer (bsn) toch op een soort van clubpas staat, de zorgpas van verzekeraar. Nu is dit een middel dat we desondanks niet kunnen gebruiken als legitimatiebewijs omdat een veiligheidskenmerk zoals foto ontbreekt. Zorgvuldige legitimatie vereist dan ook overlegging van een ander identiteitsbewijs waarmee bsn’s vergeleken dienen te worden, zodat deze in het proces als gebruikers-ID en/of declaratienummer gebruikt kan worden.
Helaas wordt gemak nog weleens boven de zorgvuldigheid verkozen en blijft die controle vaak achterwege. Het vragen om een identificatie is zinloos en gevaarlijk als controle onvolledig is of zelfs geheel ontbreekt!
Identiteitsdiefstal
In mijn inleiding stelde ik dat het vraagstuk van digitale identiteiten een maatschappelijk probleem is en daarmee bedoel ik het fenomeen van diefstal en groeiende hoeveelheid aan middelen die we nodig hebben. Laten we beginnen met de identiteitsfraude waar volgens het ministerie van binnenlandse zaken in 2012 meer dan zeshonderdduizend burgers slachtoffer van werden, mede omdat het bsn makkelijk te achterhalen was. Nu is het opmerkelijk dat bsn identiteitsfraude faciliteert aangezien we het hier hebben over een gebruikers-ID. Blijkbaar gaat er iets mis in het authenticatieproces zelf, controle bij juiste legitimatie bestaat dan ook uit twee handelingen: het vaststellen van de echtheid van getoonde legitimatiebewijs en het vaststellen dat het legitimatiebewijs hoort bij degene die het toont.
Dat koppelen van (digitale) middelen aan een identiteit onvermijdelijk is, staat buiten discussie, maar de vraag is of dat soms niet wat te lichtvaardig gedaan wordt. Zo wordt het attribuut bsn gebruikt als een gebruikers-ID, als btw-nummer, declaratienummer en waarschijnlijk voor nog wat andere processen. Nogal vervelend dus als het vaststellen of het bsn behoort bij degene die het opgeeft al niet goed gedaan wordt. Daarnaast is het moeilijk om dit nummer geheim te houden omdat het op steeds meer middelen komt te staan.
Identiteitscrisis
De affaire met het bsn vertoont veel overeenkomsten met de paspoortaffaire uit 1984 waarbij ook twee ministeries hun eigen weg bewandelden. Tenslotte adviseert het ministerie van Binnenlandse Zaken ons om het bsn geheim te houden, bij verstrekken van een kopie paspoort dien je dit nummer onleesbaar te maken, maar verplicht de belastingdienst zzp’ers om het bsn als btw-nummer te vermelden op facturen en website. Het middel heiligt het doel, maar schiet deze weleens voorbij als er niet nagedacht wordt over consequenties. Ondertussen is de motie Oosenburg aangenomen die ontkoppeling van btw-nummer en het bsn voorstelt. Opmerkelijk dat juist het bsn bedoeld was om fraude tegen te gaan maar het nu lijkt te faciliteren, wie snapt het nog?
Het is een dooddoener maar beveiliging kost geld, tijd en moeite, terwijl veel oplossingen juist op het tegenovergestelde gericht zijn. We willen tenslotte juist minder digitale identificatiemiddelen dan meer en het principe van single sign on (sso) zorgt voor een toenemende populariteit van diensten zoals IDaaS. Helaas ontbreekt bij deze diensten dus vaak een geïntegreerd kader voor provisioning en beleid, het zijn vooral serviceproviders voor IAM. Terwijl dit de meest gevoelige functie is waar continuïteit van de dienstverlening vaak vanaf hangt zoals we hebben gezien bij Diginotar. Ook hier werd nagelaten om echtheid van legitimatiebewijs te (blijven) controleren en ontbrak integraal beleid terwijl er teveel vertrouwd werd op de techniek. Hoewel ik het nut van diensten zoals IDaaS dus wel inzie baart dus de (commerciële) invulling mij zorgen, niet vanuit technische perspectief maar simpelweg procesmatig.
Identiteitsvisie
Waar we zakelijk vaak maar één gebruikers-ID hebben met misschien twee of meer authenticatie middelen hebben we in het maatschappelijk verkeer hier een stapel van. Zorgpas, bankpassen, paspoort, rijbewijs, bonuskaarten en ga zo maar door. Al deze middelen bevatten stukjes van de (digitale)identiteit die niet altijd gebruikt worden voor de dienst die we afgesproken hebben. Laatst nog kwam ING met het plan om betaalgegevens van klanten te verkopen, commerciële belangen om gedrag aan een persoon te koppelen zijn dan ook groot. Maatschappelijk gezien is dit vanuit het oogpunt van fraudebestrijding nog te verkopen, maar het wordt al gauw discutabel als het een ander doel dient, het middel wordt dan erger dan de kwaal zoals we zien met het burgerservicenummer.
Het wordt dus tijd dat we de visie rond digitale identiteiten herzien, waarbij niet alleen het middel van het proces gescheiden dient te worden, maar er ook meer zekerheden ingebouwd worden tegen misbruik. Want een overheid die haar onderdanen als nummer ziet verliest al gauw het vertrouwen, zeker als er middelen gebruikt worden die door de technologische ontwikkelingen achterhaald zijn.
Wordt vervolgd…
@Redactie
Zie dat er redactionele wijzigingen zijn gemaakt die variëren van opmaak en aanvullingen, zoals de aanvulling:
‘…zzp’ers om zowel het bsn als btw-nummer…’
BSN wordt gebruikt ALS BTW-nummer met een toevoeging B01 voor het eerste bedrijf en oplopend bij volgende, graag dus woord ZOWEL verwijderen.
Mogelijk ten overvloede maar zo’n nummer ziet er dus als volgt uit: NL 123456782 B01 – een gefingeerd BTW-nummer die voldoet aan de 11-proef.
Het gedoe om identificatie heeft vormen aangenomen die langzaam aan schizofrenie doen denken.
Als als klant van ING na 40 jaar plotseling gevraagd wordt om je te identificeren is dat tragikomisch. Wanneer je een paspoort krijgt worden je vingerafdrukken genomen alsof je een krimineel bent, wie gelooft eigenlijk dat die niet bewaard worden?
Een RFID in zo een paspoort is een zekerheids risiko en onnodig.
Ewout,
Interesant verhaal, vooral je vergelijk met de pas van de zorgverzekering.
Op mijn vliegbrevet dat toch vergelijkbaar is met een rijbewijs zat ook geen foto.
Toch mag je die volgens internationale wetgeving als legitimatie gebruiken op voorwaarde dat je het vliegveld niet verlaat anders dan met je vliegtuig. Geen enkele controlle mogelijk dus.
Verder ben ik inderdaad ook aan het wachten op een alom geaccepteerd digitaal identificatie systeem.
Eerste voorwaarde voor zulk een systeem is natuurlijk dat geen enkele commerciële partij belang heeft bij een dergelijk systeem.
Er zijn nogal wat lieden (ook onder de lezers alhier) die niet zo blij zullen zijn met mijn opmerking hierover, maar feit is dat slechts een minderheid vertrouwen heeft in een systeem waarvoor geld dat er geen controle over mogelijk is en enkel winsten tellen.
Wees nu eerlijk wie vertrouwd er nog op banken…
speaking of, een universeel betaalsysteem zonder ranzige voorwaarden en bemoeienis (bij voorkeur dus buiten de banken om) is ook iets wat nog steeds niet echt beschikbaar is.
@Jan
Schizofrenie beschrijft wel aardig de situatie waarin we beland zijn, het dr. Jekyll en mr. Hyde syndroom. In mijn voorbeeld van BSN stel ik dat het tegengif steeds minder effectief wordt. En vingerafdrukken zijn volgens mij niet meer nodig voor een identiteitskaart, deze wordt dus niet meer gezien als een reisdocument. En volgens mij worden die vingerafdrukken bewaard in een database van het ministerie van binnenlandse zaken.
Terechte signalering van een probleem dat steeds groter wordt. Het belang van betrouwbare identificatie snapt iedereen die iets met IT doet. En ook daarbuiten krijg je het wel uitgelegd. Maar de praktijk laat zien dat als het er op aan komt gemak bij de meeste mensen wint. Een paar dagen wachten op een Digid wachtwoord (dat je zelf bent vergeten) leidt meteen tot #fail tweets. Diginotar liet zien hoe we ons voor de gek laten houden met jaarlijkse audits, even schrikken, en vervolgens toch weer vaak doorgaan met hoe we het daarvoor deden. 2-factor authenticatie is tegenwoordig eenvoudig mogelijk, maar ja, het is best wel een beetje lastig, dus laat maar.
In aanvulling op de terechte suggesties in het artikel de aanvulling om daarnaast vooral realistisch te kijken naar hoe er in praktijk wordt omgegaan met maatregelen. Wat mij betreft liever een halve maatregel die in praktijk werkt dan een hele maatregel waar een loopje mee wordt genomen.
ik denk dat het allemaal wel meevalt
😛
@alter ego
Een prachtig voorbeeld wat je inderdaad veel ziet op de sociale media, zie mijn eerdere opinie daarover:
https://www.computable.nl/artikel/opinie/infrastructuur/4354274/2379248/resocialisatie-van-social-media.html
@Ad
Ik spreek liever over eenvoud, gemak is het achterwege laten van iets waarmee je dus op het spoor van halve maatregelen komt. Mooi voorbeeld is account in reacties die gelijkend is aan mijn account maar in profiel laat zien dat ik het niet ben. Hoeveel lezers zouden die extra controlerende stap doen?
Betreffende betrouwbare identificatie gaat het om controleren van echtheidskenmerken, hier gaat het vaak al mis. En als het bij deze eerste stap al fout gaat dan maakt het volgens mij niet veel meer uit of je nu wel of niet 2FA in het proces gebruikt.
Ewout, mooi en relevant stuk.
Wat ik vooral lees is dat de mens in het proces te kort schiet. Mag ik dit vergelijken met de schroom die mensen voelen om een batch te mogen zien als ze iemand rond zien lopen zonder batch in een bedrijfspand? Hoeveel mensen durven een “meeloper” bij een open deur te weigeren?
Ik ben benieuwd naar je vervolg! Kan dit stuk alleen maar onderschrijven.
@Henri
Relevantie werd bewezen door bericht over gemeente Geldrop bevestigd waarbij meest opmerkelijke in bericht was dat dit soort gegevens blijkbaar zomaar in het laatje van een ambtenaar zitten.
http://www.omroepbrabant.nl/?news/209214662/Stapels+gemeentelijke+documenten+met+prive-informatie+gevonden+in+ladeblok+kringloopwinkel+Geldrop.aspx
Je voorbeeld van piggybacking (social engineering) krijgt daardoor een hele andere betekenis want vaak zijn gebouwen gesegementeerd waarbij verkeersruimten gescheiden worden van beveiligde ruimten doordat je voor laatste nog een code in moet voeren. Nu is dat zinloos als gevoelige informatie niet alleen opgeslagen ligt in die beveiligde ruimten.