Online-fraude zal ook de komende tijd fors blijven toenemen. Als gevolg hiervan groeit de vraag naar digitale handtekeningen en ssl-certificaten. Welke trends en ontwikkelingen zijn er op dit vlak en waar moeten organisaties die zich beter willen beveiligen op letten?
Het aantal gerapporteerde scams in Nederland is vorig jaar met de helft toegenomen tot ruim 120.000, blijkt uit het rapport ‘The Global State of Scams – 2021’ van Scamadviser. Phishing is de meest voorkomende vorm van online-fraude. Ook in andere landen steeg het aantal meldingen én de financiële schade die de oplichters veroorzaken. Fraudehelpdesk zag de schade door online-fraude oplopen van 26 miljoen euro in 2019 naar 41 miljoen in 2020. De Nederlandse politie ontving in 2020 120.696 aangiften van online-fraude. Hoewel het doen van aangifte aanzienlijk vereenvoudigd is, is het aantal meldingen van scams nog maar het topje van de ijsberg. Slechts dertien procent van de Nederlandse slachtoffers maakt er melding van.
Groei digitale handtekeningen
Dit alles zorgt voor dat de groei in de vraag naar websecurity, zoals digitale handtekeningen en ssl- certificaten in rap tempo oploopt. De wereldwijde markt voor digitale handtekeningen zal naar verwachting ruim verviervoudigen in vijf jaar tijd tot bijna vijftien miljard euro in 2026, blijkt uit onderzoek van Markets & Markets. Het aantal ssl-certificaten dat wereldwijd in omloop is, steeg van 78 miljoen in januari vorig jaar tot 102 miljoen in oktober dit jaar. Met name in de financiële wereld, bij de overheid en in de gezondheidszorg is er een toename in het gebruik van ssl-certificaten met bedrijfsgegevens (organisatie- en uitgebreide validatie), omdat deze naast encryptie ook zorgen voor authenticatie.
Met een digitale handtekening onderteken je e-mail, documenten en software en toon je aan de het bestand echt van jou komt en dat de inhoud niet gewijzigd is. Met ssl-certificaten beveilig je de verbinding tussen de browser van een bezoeker en bijvoorbeeld een website. Gegevens worden hierdoor veilig verzonden, zonder het risico dat ze in handen vallen van derden. Naast de dreiging van online-fraude zijn de snelle groei van investeringen in elektronische documenten door overheden en ondernemingen en de upgrade in end-to-end-klantervaringen factoren die de groei van de markt voor digitale handtekeningen en certificaten aandrijven. Tevens draagt de snelle groei van slimme apparaten (iot) bij aan de snelgroeiende vraag naar beveiligingscertificaten.
Beperking looptijd s/mime-certificaten
In 2022 zijn er twee ontwikkelingen die een rol gaan spelen in deze markt. Allereerst wordt na eerdere beperkingen in de looptijd van ssl-certificaten nu ook de looptijd van s/mime-certificaten teruggeschroefd. S/mime-certificaten worden gebruikt voor e-mail-ondertekening en versleuteling, maar ook voor clientauthenticatie en het ondertekenen van Office-documenten. Apple heeft in het Root Certificate Program aangekondigd dat per 1 april 2022 de maximaal toegestane looptijd voor s/mime-certificaten wordt beperkt naar 825 dagen, en dat certificaten langer dan 825 dagen niet meer mogen worden uitgegeven. Apple doet dit uit veiligheidsoverwegingen.
Voor organisaties die op de legacy-manier gebruik maken van s/mime-certificaten (certificaten aanvragen en die installeren op pc’s van medewerkers) betekent dit dat ze meer beheertaken moeten uitvoeren. In plaats van elke drie jaar moeten ze elke twee jaar hun e-mailcertificaten verlengen en de looptijd scherp moeten bewaken. Voor organisaties die dit liever uit handen willen geven, biedt een oplossing voor certificatenmanagement uitkomst.
Veilig verspreiden
De tweede belangrijke ontwikkeling is dat Microsoft uit veiligheidsoverwegingen heeft aangekondigd dat er het een en ander gaat veranderen op het gebied van code signing-certificaten. Een dergelijk certificaat ondertekent softwareapplicaties en andere code en garandeert echtheid van de software en de ondertekenaar. Hierdoor kun je software veilig verspreiden en gebruiken zonder beveiligingswaarschuwingen.
Op dit moment zijn er twee soorten certificaten: het standaardcertificaat en het extended validation (ev)-code signing-certificaat. Standaard code signing kan nu nog zonder een pki-token, maar dat zal in de loop van volgend jaar veranderen. Microsoft eist namelijk dat alle code signing straks of via een token of via een hardware security module (hsm) gaat.
In trek
Met name ev-code signing certificaten, waarbij er uitgebreider wordt gevalideerd, zullen in trek zijn. Dit komt doordat die certificaten direct vertrouwd zijn binnen het Windows Smartscreen Filter – de phishing en malware-protectielaag die Windows over applicaties heen legt. Dit voorkomt meldingen over mogelijk onveilige software als de code nog onvoldoende reputatie heeft opgebouwd. Hierdoor zal de vraag naar signing service providers, die voor beheer en automatisering simpele interfaces en api’s bieden, toenemen.
Voor de levering betekent de switch van standaard naar ev dat er per post usb-tokens verstuurd moeten worden, wat tijd kost. Bedrijven die gebruik maken van devops of signen vanuit een signing-server in de cloud kunnen straks ook niet meer snel even een code signing certificaat down- en uploaden. Bovendien zullen organisaties vaak meerdere certificaten en tokens nodig hebben. Je kunt een token straks nog wel delen, maar je moet ‘m wel in je bezit hebben op het moment dat je ondertekent. Er zit dus ook een budgetkant aan dit verhaal.
Dat er in 2022 een verdere groei aan certificaten ontstaat is zeker. Hierdoor groeit ook de behoefte aan tools om certificaten beter te beheren. Het mooiste is een oplossing die alle certificaatbehoeftes op een enkele plek verzamelt, zoals een cloudbased platform waarin je al je certificaten, ongeacht van welke leverancier, kunt managen. Dat scheelt namelijk tijd, gedoe en geld.
