Afgelopen jaar was er op het gehele werkveld van informatiebeveiliging iedere dag weer nieuws te melden, zaken die bijzonder in de schijnwerpers kwamen te staan waren ransomware (zoals WannaCry, Petya/ NotPetya/ Nyetya/ Goldeneye), Wikileaks CIA Vault 7, Cloudbleed, en in Nederland talrijke gevallen van datalekken bij vooral overheid (gemeenten) en zorginstellingen (Ziekenhuizen), maar waarbij het stilvallen van de containersite van Maersk dook veel aandacht kreeg.
Er zijn volgens mij twee zaken die in 2018 hard gaan spelen:
– Om te voldoen aan het nieuwe beleid van de EU (GDPR) moeten bedrijven aantoonbaar controle hebben over alle data die ze verzamelen, transporteren, verwerken en opslaan;
– Nog veel meer dan tot nu toe zullen ‘dingen’ via internet bereikbaar, bestuurbaar worden. Denk hierbij aan beveiligingscamera’s en sensoren, huishoudelijke apparatuur, verlichting/verwarming. Dagelijks worden nieuwe toepassingen verzonnen en wordt de zogenaamde IoT-markt hiermee overspoeld.
Al in het afgelopen jaar werd een trend zichtbaar voor ons. In het bedrijfsleven en bij de overheden werd men er zich meer en meer van bewust dat authenticatie de basis moet zijn van veilig handelen. Dat wil zeggen dat alles en iedereen moet aantonen dat hij/zij/het is, wie hij zegt dat hij is. Daar dit niet alleen in de ‘echte’ wereld moet gebeuren maar vooral en zeker in de digitale wereld is er door ons een zeer sterke opkomst te zien van digitale certificaten. Dit is ook aangewakkerd door de komst van regelgeving hieromtrent vanuit de EU en in navolging door de Nederlandse overheid door het wetvoorstel van 31-8-2017: augustus 2017.
Infrastructuur (GDI)
Het wetsvoorstel biedt de grondslag voor het verplicht stellen van standaarden die overheden moeten gebruiken in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. Het wetsvoorstel heeft verder als doel dat burgers elektronische identificatiemiddelen (eID) krijgen met een hogere mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet regelt ook dat publieke dienstverleners verplicht zijn om identificatiemiddelen van het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ te gebruiken om toegang te geven tot hun online diensten waarbij, gelet op de aard ervan, deze betrouwbaarheidsniveaus in de rede liggen. Het wetsvoorstel biedt ook grondslagen voor de verwerking van persoonsgegevens, waaronder het burgerservicenummer en voor de digitale toegang tot publieke dienstverlening voor burgers en bedrijven.
De basis, fundering, voor dergelijke infrastructuren wordt gevormd door het toepassen van encryptie. Dit kan encryptie betreffen voor data in rest en data on transport. De basis voor encryptie is gelegen in een veilige en betrouwbare sleutel infrastructuur, die wordt gebouwd op/in digitale sleutelkluizen, ook wel hsm’s genoemd. (hardware security modules) Deze hsm’s zorgen niet alleen voor veilige opslag van de privé-sleutels, zij zorgen ook voor alle cryptografische handelingen met die sleutels en de communicatie met softwarepakketten die bijvoorbeeld verantwoordelijk zijn voor het uitgeven van sleutels (certificaten) voor bijvoorbeeld de chips in de paspoorten, id-kaarten, op de Rijkspas, Defensiepas, Politiepas, bankpassen, ov-pasjes, en zelfs de diploma’s die via DUO worden uitgegeven, in de zeer nabije toekomst mogelijk rijbewijs, kentekenbewijs, et cetera.
In het afgelopen jaar heb ik een stevige groei gezien van de vraag naar hsm’s, deze trend zet zich door naar 2018 waar we in onze forecast op dit gebied een groei van 200 procent zien. Wij zien echter ook dat de expertise op dit gebied bij bedrijven vaak totaal niet aanwezig is en als er al enige kennis is dan beperkt zich dat tot bijvoorbeeld het gebruik van Microsoft CA waarbij de sleutels (onveilig) op harddisk worden opgeslagen. (Het gebruik van hsm is door de NL-overheid vereist).
