Authenticiteit en integriteit: het waarborgen van digitale identiteiten van organisaties
Met deze blogpost ga ik verder in op de conclusie die mijn collega Niklas in zijn blogpost van 29 oktober 2014 stelt aangaande authenticiteit en integriteit.
De samenleving is duidelijk aan het veranderen. Er worden meer online diensten aangeboden en fysieke dienstverlening is sterk aan het afnemen. Online dienstverlening brengt met zich mee dat organisatie na moeten denken over de eigen digitale identiteit. Zeker als het gaat om ketens waarbij gegevensuitwisselingen en -leveringen centraal staan.
In veel processen is het namelijk noodzakelijk om te weten vanuit welke organisatie bepaalde zaken aangeboden kunnen worden. En bij veel diensten ook wie de dienst gaat afnemen.
Niklas geeft in zijn blog aan dat organisatie een keuze dienen te maken hoe om te gaan met dit vraagstuk. Ik scherp deze conclusie in deze blog aan. Veel organisaties hebben deze keuzevrijheid deels opgelegd gekregen. Denk hierbij aan wet- en regelgeving en bijbehorende verantwoordelijkheden. Zo hebben veel rijksoverheden de verplichting om te voldoen aan de BIR (Baseline Informatiebeveiliging Rijksdienst) en hebben (financiële) instellingen een verplichting aangaande SOx, mits zij actief zijn op de Amerikaanse beurs. Bij uitvoering van deze wettelijke verplichtingen staat informatiekunde centraal. En daarmee worden dergelijke vraagstukken vaak bij een ICT-afdeling ondergebracht. Het is echter geen eenvoudig vraagstuk waarvoor de organisatie staat. Bewuste keuzes zijn hierin noodzakelijk.
Hoe kan een een organisatie digitale dienstverlening aanbieden zodat burgers, bedrijven en overheden het idee hebben dat de dienstverlening ‘veilig genoeg’ is? Daarnaast hoe weet een organisatie dat zij online zaken doet met de juiste partij?
‘Veilig genoeg’ gebruik ik omdat een volledige zekerheid binnen online diensten, maar ook bij het gebruik van internet nooit gegeven kan worden. Zolang er kwaadwillende mensen zijn, blijft ook cybercriminaliteit bestaan. Het is wel mogelijk om met tal van maatregelen risico’s te verminderen.</>
Als organisatie moet je als eerste nadenken over het niveau waarop de digitale identiteit bepaald dient te worden. Is dit:
- organisatie niveau
- persoonsniveau.
1. Digitale identiteit op organisatieniveau
Voor het organisatie niveau kun je verschillende technieken en methodieken adopteren. Deze zijn:
- Public Key Infrastructure (PKI) inclusief Digitale Certificaten
Met het adopteren van PKI wordt het uitgifte en beheer proces van digitale certificaten geadopteerd. Met deze inrichting zijn er verschillende participanten die ervoor zorgdragen dat de identiteit van de organisatie geborgd kan worden. Meest bekende voorbeelden van PKI zijn: Thawte en PKIoverheid.Met het aanbrengen van digitale certificaten wordt de digitale identiteit herleidbaar. Zo zijn de bank- en verzekeringswebsites van rabobank.nl en nn.nl op het publieke niveau al herleidbaar tot de digitale organisatie. Ook de zoekmachine Google heeft al het verkeer met TLS afgeschermd.
- Trusted Internet Connections / Point-to-Point
Op basis van TLS- en SSL-certificaten worden de servers van 2 of meerdere organisaties met elkaar verbonden. Deze verbindingen zijn vaak point-to-point. Hiervoor dienen de organisaties de publieke sleutel van het TLS-certificaat met elkaar te delen.
Indien de organisatie TIC adopteert beperkt deze het aantal externe connecties via het internet.
- Signing en encryptie
Als je het bericht wat vanuit de organisatie afkomstig is, ook nog wilt herleiden tot een bepaalde identiteit dan wordt het signen van het bericht ook tot de mogelijkheden. Wil je dat alleen het ‘eind-station’ van het bericht deze kan lezen, dan komt naast het signen ook encryptie om de hoek kijken. Hiermee is het mogelijk om het bericht zodanig af te schermen dat de ontvanger, die voorzien is van een sleutel, het bericht kan inzien.
Is de organisatie een overheidsorganisatie die berichten moet uitwisselen met andere overheden? Of is de organisatie een private organisatie met een publieke taak?
Dan is Digikoppeling een mogelijke oplossingsrichting. Met de inrichting van Digikoppeling wordt er zorg gedragen dat de identiteit van de organisatie geborgd is.
Indien er berichtenverkeer plaatsvindt vanwege andere doeleinden dan de uitvoering van een publieke taak kunnen de volgende vragen meegenomen worden in de overwegingen:
- Betrouwbaarheid van aflevering (reliable messaging)
- Beveiliging van berichtinhoud.
Het is aan de keten om hierover afspraken, uitgangspunten en principes te formuleren.
2. Digitale identiteit op persoonsniveau
Om identiteiten te herleiden tot een mogelijk natuurlijk persoon zijn er eveneens verschillende technieken en methodieken beschikbaar. Op technisch niveau zijn er twee grote implementaties:
-
- SAML (Security Assertion Markup Language)
- OAuth2, en voor herleidbaarheid tot een individu OpenID.
Met deze technieken kunnen personen op het internet geïdentificeerd worden. Ook toegangsmanagement kan met bovenstaande technieken georganiseerd worden. Binnen Nederland zijn de volgende implementaties bekend:
- DigiD, eenmalig inloggen (authenticatie burger)
- eHerkenning (authenticatie Natuurlijk Persoon handelend namens een organisatie voor het zaken doen met de Nederlandse Overheid)
- Facebook Connect
Er is nog geen systeem-tot-systeem koppeling welke gebruik maakt van bovenstaande technieken waarmee je tevens de authenticatie van de persoon mee kan geven.
Indien deze aanwezig zou zijn, zou dit m.i. veel voordelen opleveren:
- Geautomatiseerd berichtenverkeer/gegevensuitwisseling
- Tot persoonsniveau te herleiden
Mogelijk dat het eID stelsel voor het zaken met de overheid hier in de nabije toekomst invulling aan gaat geven. Dit is echter momenteel nog niet bekend.
Concluderend
Technisch zijn er voldoende mogelijkheden om herleidbaarheid en authenticiteit in de online dienstverlening mogelijk te maken. Volledig afdichten in techniek is niet mogelijk en zullen er altijd onderlinge afspraken aanwezig moeten zijn tussen organisaties onderling (basis voor samenwerking) en tussen klant en organisatie. Het totaal van deze afspraken inclusief technische maatregelen maakt het mogelijk om een ketenintegratiearchitectuur te gaan beschrijven, inrichten en te besturen.