Waar we vroeger onze identiteit bekend maakten door ons gezicht te laten zien is er door de digitalisering een uitdaging ontstaan. Zonder fysieke aanwezigheid is het makkelijk om te zeggen wie je bent maar bewijzen is wat lastiger, tenminste als het onweerlegbaar moet. Vraagstuk van digitale identiteiten is een maatschappelijk probleem.
Hoewel identificeren en legitimeren beiden gaat om het bewijzen van de identiteit zit het verschil in het middel. Een paspoort heeft dan ook een hogere status dan clubpas van een vereniging. Het is echter opmerkelijk dat een attribuut zoals burgerservicenummer (bsn) toch op een soort van clubpas staat, de zorgpas van verzekeraar. Nu is dit een middel dat we desondanks niet kunnen gebruiken als legitimatiebewijs omdat een veiligheidskenmerk zoals foto ontbreekt. Zorgvuldige legitimatie vereist dan ook overlegging van een ander identiteitsbewijs waarmee bsn’s vergeleken dienen te worden, zodat deze in het proces als gebruikers-ID en/of declaratienummer gebruikt kan worden.
Helaas wordt gemak nog weleens boven de zorgvuldigheid verkozen en blijft die controle vaak achterwege. Het vragen om een identificatie is zinloos en gevaarlijk als controle onvolledig is of zelfs geheel ontbreekt!
Identiteitsdiefstal
In mijn inleiding stelde ik dat het vraagstuk van digitale identiteiten een maatschappelijk probleem is en daarmee bedoel ik het fenomeen van diefstal en groeiende hoeveelheid aan middelen die we nodig hebben. Laten we beginnen met de identiteitsfraude waar volgens het ministerie van binnenlandse zaken in 2012 meer dan zeshonderdduizend burgers slachtoffer van werden, mede omdat het bsn makkelijk te achterhalen was. Nu is het opmerkelijk dat bsn identiteitsfraude faciliteert aangezien we het hier hebben over een gebruikers-ID. Blijkbaar gaat er iets mis in het authenticatieproces zelf, controle bij juiste legitimatie bestaat dan ook uit twee handelingen: het vaststellen van de echtheid van getoonde legitimatiebewijs en het vaststellen dat het legitimatiebewijs hoort bij degene die het toont.
Dat koppelen van (digitale) middelen aan een identiteit onvermijdelijk is, staat buiten discussie, maar de vraag is of dat soms niet wat te lichtvaardig gedaan wordt. Zo wordt het attribuut bsn gebruikt als een gebruikers-ID, als btw-nummer, declaratienummer en waarschijnlijk voor nog wat andere processen. Nogal vervelend dus als het vaststellen of het bsn behoort bij degene die het opgeeft al niet goed gedaan wordt. Daarnaast is het moeilijk om dit nummer geheim te houden omdat het op steeds meer middelen komt te staan.
Identiteitscrisis
De affaire met het bsn vertoont veel overeenkomsten met de paspoortaffaire uit 1984 waarbij ook twee ministeries hun eigen weg bewandelden. Tenslotte adviseert het ministerie van Binnenlandse Zaken ons om het bsn geheim te houden, bij verstrekken van een kopie paspoort dien je dit nummer onleesbaar te maken, maar verplicht de belastingdienst zzp’ers om het bsn als btw-nummer te vermelden op facturen en website. Het middel heiligt het doel, maar schiet deze weleens voorbij als er niet nagedacht wordt over consequenties. Ondertussen is de motie Oosenburg aangenomen die ontkoppeling van btw-nummer en het bsn voorstelt. Opmerkelijk dat juist het bsn bedoeld was om fraude tegen te gaan maar het nu lijkt te faciliteren, wie snapt het nog?
Het is een dooddoener maar beveiliging kost geld, tijd en moeite, terwijl veel oplossingen juist op het tegenovergestelde gericht zijn. We willen tenslotte juist minder digitale identificatiemiddelen dan meer en het principe van single sign on (sso) zorgt voor een toenemende populariteit van diensten zoals IDaaS. Helaas ontbreekt bij deze diensten dus vaak een geïntegreerd kader voor provisioning en beleid, het zijn vooral serviceproviders voor IAM. Terwijl dit de meest gevoelige functie is waar continuïteit van de dienstverlening vaak vanaf hangt zoals we hebben gezien bij Diginotar. Ook hier werd nagelaten om echtheid van legitimatiebewijs te (blijven) controleren en ontbrak integraal beleid terwijl er teveel vertrouwd werd op de techniek. Hoewel ik het nut van diensten zoals IDaaS dus wel inzie baart dus de (commerciële) invulling mij zorgen, niet vanuit technische perspectief maar simpelweg procesmatig.
Identiteitsvisie
Waar we zakelijk vaak maar één gebruikers-ID hebben met misschien twee of meer authenticatie middelen hebben we in het maatschappelijk verkeer hier een stapel van. Zorgpas, bankpassen, paspoort, rijbewijs, bonuskaarten en ga zo maar door. Al deze middelen bevatten stukjes van de (digitale)identiteit die niet altijd gebruikt worden voor de dienst die we afgesproken hebben. Laatst nog kwam ING met het plan om betaalgegevens van klanten te verkopen, commerciële belangen om gedrag aan een persoon te koppelen zijn dan ook groot. Maatschappelijk gezien is dit vanuit het oogpunt van fraudebestrijding nog te verkopen, maar het wordt al gauw discutabel als het een ander doel dient, het middel wordt dan erger dan de kwaal zoals we zien met het burgerservicenummer.
Het wordt dus tijd dat we de visie rond digitale identiteiten herzien, waarbij niet alleen het middel van het proces gescheiden dient te worden, maar er ook meer zekerheden ingebouwd worden tegen misbruik. Want een overheid die haar onderdanen als nummer ziet verliest al gauw het vertrouwen, zeker als er middelen gebruikt worden die door de technologische ontwikkelingen achterhaald zijn.
Wordt vervolgd…
Waarom zou je jezelf te hoeven identificeren als iedereen je kent? OK, ik snap het wel vooruitgang en zo en je moet met je tijd meegaan.
Maar is het een vooruitgang als we elkaar als nummers gaan zien ipv mensen? Dat ging ruim 70 jaar geleden ook al eens fout.
@Henri
Als je echt goede beveiling van je gebouw wilt dan gebruik je een draaideur waar maar een persoon tegelijk door kan:
http://en.wikipedia.org/wiki/Revolving_door#Security
Als je (digitale) identiteitsfraude wilt tegengaan dan moet je naar een systeem van having and knowing (in het bezit zijn van een pas en het weten van een PIN code bijvoorbeeld), zie:
http://en.wikipedia.org/wiki/Multi-factor_authentication
Maar beveiliging staat nog steeds op gespannen voet met bruikbaarheid en toegankelijkheid:
https://www.schneier.com/blog/archives/2009/08/security_vs_usa.html
Johan: Veel bedrijven hebben honderden medewerkers op meer locaties en persoonverloop.
Johannes: Thanks voor de links. Het blijft een spanningsveld. Mijn duimregel is om het technisch net wat beter te doen dan het gemiddelde en een beleid om continu gebruikers in te lichten voor te lichten en voorbeelden te geven.
Ewout: Het blijft belangrijk dat medewerkers weerbaar worden tegen social engineering, geld overigens ook voor vrouw, ouders en kinderen 🙂 En tegen gerichten aanvallen valt nauwelijks te weren.
Blijkbaar worden reacties wel gemodereerd en accounts niet, typerend om middels selectief verwijderen van reacties de boodschapper belachelijk te maken en de boodschap te negeren. De grap van Mauwerd met het klonen van mijn online identiteit op dit medium kon ik wel waarderen omdat hij direct eronder in een reactie de situatie uitlegde. Heel anders wordt het natuurlijk als de redactie het laat voorkomen alsof ik schizofreen ben door juist die uitleg te verwijderen.
@Johannes
Laat jaren 70 manipuleerden we al de ‘revolving door’ bij zwembad door telkens de badge door te geven. Verder zie ik nog regelmatig 2 mensen op één badge door draaideuren gaan. Nu gaat het bij toegang om authenticatie en autorisatie, eerste stap is nog steeds het koppelen van persoon aan middel(len).
@Henri
Het is nog vooral ‘downplayen’ vanuit politieke en commerciele belangen terwijl er een opmerkelijk parallel tussen ons BSN en social security number in de U.S. te trekken is. Aan de andere kant van de oceaan lijken echter nu vooral kinderen en jong volwassen het slachtoffer te zijn. En Belgisch onderzoek in 2010 toonde aan dat ‘millenials’ het snelst nieuwe technologie adopteren maar ook het traagst een identiteitsdiefstal signaleren.
zit er nou iemand onder mijn naam accounts te hacken ?
Moet niet gekker worden.
hmm..
Of was ik het nou toch zelf ?
@Mauwerd
Tsja, het klonen van mijn identiteit was makkelijk: http://profile.computable.nl/profile/idfraudetest
Of de redactie je dat in dank afneemt is twijfelachtig met tekst zoals ‘…maar toen was het kwaad reeds geschied.’ En dat terwijl je met deze test precies aantoonde waarover opinie gaat: Online identiteit is nog niet gelijk aan de degene die er achter zit!
P.S.
Stuur me even een e-mailtje dan weet mijn advocaat waar de brief heen moet betreffende de aangifte;-)
Ewout,
Op zich is het wel zeer apart te noemen dat het hier zo makkelijk is om iemand anders zijn identiteit aan te nemen. Er zou in mijn optiek altijd een sort van validatieslag over heen moeten gaan.
Even terugkomend op je artikel. Ik heb het als zeer leerzaam en leuk ervaren. Het las ook zeer gemakkelijk weg. En ik zie nog mogelijkheden tot een hele serie van vervolgen:
1. Waar ben ik?
2. Wat ben ik?
3. Waarom ben ik?
@Ruud
Zo apart is het niet, security object is gebruikersnaam: IDFRAUDETEST. Dat andere attributen zoals namen aangepast kunnen worden zie je vaker.
Meen me te herinneren dat je in het verleden reacties onder gebruikersnaam kon plaatsen maar die optie is blijkbaar weggehaald, kan het vinkje om mijn voor- en achternaam te gebruiken tenminste niet uitzetten:
https://www.computable.nl/artikel/opinie/ictbranche/4439084/2379258/mindmapping-is-eeuwenoud-maar-onontbeerlijk.html
En zoals Mauwerd al aangaf is het opmerkelijk dat je wel een account aan kan maken, waarbij sommigen persoonsgegevens verplicht zijn, maar deze dus niet kan verwijderen. Om nu geen misverstanden te laten ontstaan heb ik mijn foto aangepast en tijdelijk ook even voor- en achternaam totdat ik weer gewoon kan publiceren en reageren onder de gebruikersnaam. Neem gemakshalve maar aan dat hier dus wel een controle op duplicaten plaats vindt.
P.S.
Vervolg op dit stuk zal ‘Wat ben ik?’ zijn, andere maatschappelijke probleem met identiteiten is namelijk privacy.
Bij het opvragen, verzamelen, leveren, bewaren en beveiligen van data gaat het steeds weer om de belangen (zoals gebruikersgemak, privacy en fraudebestrijding) van personen en organisaties. Die belangen zijn meestal niet gelijk voor de partijen en de belangen kunnen in de loop van de tijd ook wijzigen. Zo kunnen partijen slordig omgaan met de gegevens als die voor hen minder of niks meer waard zijn geworden, ook als de andere partij daar onder kan leiden. En dat geldt ook voor de elektronisch identiteit. Daarom zullen er altijd problemen zijn.
Die problemen waren er ook al voor de digitalisering, maar kunnen door de digitalisering grootschaliger worden. Het enige wat helpt, is dat er goede regelgeving, openheid, controle en sancties zijn, en dat er goede convenanten afgesloten worden tussen partijen. Dan kunnen anderen beter op (potentieel) misbruik en fraude inspelen.