Privacy - Wat niemand over je mag weten

2015: It Wasn't Me (identiteitsdiefstal)

29-11-2014, 11:44 door Erik van Straten, 29 reacties
In toenemende mate doen (cyber-) criminelen zich voor als andere individuen, maar ook als nepvertegenwoordigers van bedrijven en andere organisaties.

Ik voorspel dat 2015 het jaar wordt waarbij het probleem identiteitsdiefstal ons boven het hoofd groeit. Daarmee bedoel ik dat dusdanig grote aantallen mensen, bedrijven en organisaties hier slachtoffer van zullen worden, en het totale schadebedrag zodanig zal oplopen, dat het een serieus thema in het nieuws en in de Tweede Kamer zal worden. Met als gevolg dat er, mogelijk draconische, maatregelen genomen zullen (moeten) worden.

En met ook als (hopelijk) gevolg dat steeds meer naïve individuën zullen inzien dat ze wel degelijk iets te verbergen hebben, namelijk wie en wat zij zijn, en waar zij voor staan. Oftewel, hun identiteit.

Nb. met identificatie zeg je wie jij bent. Bij voorkeur zo nauwkeurig mogelijk; immers, er zijn meer mensen die Jan Jansen heten. Bijvoorbeeld een BSN (Burger Service Nummer) kan daarbij helpen. Met authenticatie bewijs je dat jij die specifieke Jan Jansen bent. Dat bewijs is nooit 100% betrouwbaar. Belangrijk is dat de tegenpartij een indicatie heeft van die betrouwbaarheid. Alleen dat is al iets waar we hard aan zullen moeten werken.

Internet en daarbuiten
Voor het grootste deel zal dit een Internet-gerelateerd probleem zijn, maar ook "naast" Internet (waarbij Internet vaak wel, een meer of minder grote bijrol zal spelen) zullen we er steeds meer mee te maken krijgen.

Deze voorspelling is wellicht een tikkie flauw, want die trend is al duidelijk te zien. Op sites als security.nl, maar ook op TV porgramma's, o.a. voor consumenten. Voorbeeld: RTL4 journaal 2014-11-28 19:30 had als openingsthema een lek waarbij identificerende gegevens van de meerderheid van de Nederlandse basisschoolleerlingen op straat hadden kunnen liggen. Ik verwacht dat TV-programma's als "Opgelicht?" zullen meer kijkers krijgen, en dat zal ook gelden voor andere consumentenprogramma's die meer aandacht aan dit onderwerp zullen schenken.

Het zou mij zelfs niet verbazen als de bekende (gesponsorde) "rozengeur en manenschijn" business programma's op RTL7, naast over de voordelen van "Cloud" en andere hypes te brabbelen, meer aandacht aan de risico's van deze, schijnbaar nadeelvrije oplossingen, zullen gaan besteden. Wellicht is dit wishful thinking, maar zodra de kijker meer geïnteresseerd raakt in deze materie, zul je Ronald Prins en conculega's ook wel in deze programma's zien verschijnen (ik hoop dat je je realiseert dat dit soort programma's reclamegedreven zijn - en je dus nooit het hele verhaal zult horen).

Ik noem hieronder een aantal aandachtspunten die we m.i. ASAP moeten oppakken. Deze opsomming is zeker niet compleet, maar meer tijd wil ik er vandaag niet aan besteden: zie het als een aanzet om het thema identiteitsdiefstal op agenda's te krijgen en meer onderzoek uit te voeren naar mogelijke aanvalsvectoren.

Niet-Internet-gerelateerde identiteitsdiefstal

1) De waarde van een kopie van een identiteitsbewijs moet voor iedereen worden wat hij is: nul.

2) Een BSN (Burger Service Nummer) moet dezelfde bescherming genieten als de naam van de eigenaar. Niet minder, maar zeker ook niet meer. Het heeft geen authenticerende eigenschappen, het is slechts een identificatiemiddel.

3) Simpele digitale representaties van handgeschreven handtekeningen en biometrische kenmerken mogen geen enkele waarde meer representeren. Reden: ze kunnen doodsimpel worden gekopieerd (uitsluitend indien ze van aanvullende gegevens zijn voorzien, waaronder timestamp, en de combinatie daarvan digitaal is ondertekend door een geautoriseerde instantie, kun je hier "wat mee").

3) Diverse punten voor de Kamer van Koophandel:
a. https://www.kvk.nl/ moet veilig zijn, en moet de enige mogelijkheid worden om die site te benaderen (dus geen http meer).
b. Naast adresgegevens van bedrijven, moet ook minstens 1 officiële en betrouwbare URL worden vermeld (vanuit die URL kan het bedrijf dan weer verwijzen naar andere sites in hun beheer). Indien het om een http URL gaat moet de geïntereseerde erop gewezen worden dat de betrouwbaarheid van zo'n link beperkt is. Als geen URL wordt vermeld, moeten portentiële klanten ervan uitgaan dat het betreffende bedrijf geen website heeft, en "schijnbare" websites flink wantrouwen.
c. Deze gegevens moeten eenvoudig en gratis te vinden zijn, ook voor consumenten.

4) De overheid moet een met KvK vergelijkbaar register instellen voor organisaties waar geen KvK inschrijving voor mogelijk is.

5) De Autoriteit Consument en Markt (https://www.acm.nl/) moet een prominente aanwezigheid krijgen en een bijbehorend budget ontvangen, en (welicht?) de aanpak van niet-internet idevtiteidsfraude coördineren. Ook zou zij organisaties als Thuiswinkel.org kunnen (laten) auditten op de naleving van de regels dergelijke keurmerken zelf opleggen aan o.a. webwinkels.

6) Alle burgers hebben, minstens Europese-Unie-breed, een betrouwbaar elektronisch identificatie- en authenticatiemiddel nodig waarbij vooraf goede procedures zijn getest en geïmplementeerd voor uitgifte en verlies/diefstal situaties.

7) Aanvallers zullen in toenemende mate trachten identiteitsbewijzen (paspoort, rijbewijs, Rijkspas, toegangspasjes voor bedrijven etc.) in handen te krijgen. Niet alleen eindgebruikers, maar ook producenten en uitgevers (o.a. gemeenten!) van deze identiteitsbewijzen (authenticerende middelen) zullen hun beveiligingsmaatregelen moeten opvoeren.

8) Of dit type aanvallen gaat toenemen weet ik niet zeker, maar hopelijk neemt wel het onderkennen van het bestaan van het probleem toe: aanvallers zullen (blijven) claimen iemand te zijn die een legitimatiebewijs thuis heeft laten liggen of net is verloren of identiteitsbewijzen vervalsen. Met enige social engineering verschaffen zij zich ongeautoriseerde fysieke toegang tot locaties (terreinen, panden etc.) van bedrijven en organisaties, maar ook hele landen. Uniformiteit van identificatiebewijzen en de controlemogelijkheden ervan helpt bij het ontmaskeren van fraudeurs, daar moeten we m.i. harder aan werken.

Internet-gerelateerde identiteitsdiefstal

1) Steeds meer mensen zullen zich realiseren dat hun e-mail account feitelijk een enorme sleutelbos geworden is, en dat een identiteitsdief die daarop toegang krijgt, (als het tegenzit) je leven kan verwoesten. De oorzaak hiervan is dat burgers geen universeel middel hebben om zich op Internet te legitimeren [voetnoot]. Omdat elke website met een eigenaar met commercieel inzicht jou wil binden, moet je in steeds meer gevallen een account aanmaken. Daarbij moet je ook jouw e-mail adres opgeven om twee redenen: marketing (spam) en zodat ze jou een mailtje kunnen sturen als jij aangeeft dat je je wachtwoord vergeten bent. Een aanvaller met toegang tot jouw e-mail account kan, op alle websites waar jij accounts hebt, liegen dat jij het wachtwoord vergeten bent, en zo toegang verkrijgen tot al die websites. Daar zou ook wel eens jouw bank bij kunnen zitten. Is jouw e-mail wachtwoord net zo lang als dat van je bank? Je hebt het, hopelijk, niet in je webbrowser opgeslagen toch?

[voetnoot] Een systeem dat, naast volledige authenticatie "van de persoon", ook anonieme authenticatie ondersteunt, valt best te realiseren in een "elektronisch paspoort". Vergelijkbaar met nu een nickname en wachtwoord is het voor veel diensten, maar ook voor jouzelf, essentieel dat je telkens opnieuw kunt aantonen dat je nog steeds hetzelfde individu bent, ook al ben je verder anoniem.

2) Steeds meer mensen zullen zich realiseren dat ook hun smartphone feitelijk een enorme sleutelbos bevat, en dat het noodzakelijk is dat je die sleutelbos goed beschermt. Want ook daarmee kan een identiteitsdief jou heel veel schade toebrengen. Een belangrijk wapen is het versleutelen van al het geheugen in die smartphone, en het gebruiken van een degelijk wachtwoord voor het unlocken. Helaas beperkt dat in enorme mate het gebruiksgemak van zo'n toestel voor andere zaken. We zullen ons, hopelijk, steeds meer afvragen of het wel zo'n goed idee is om zoveel afhankelijkheden in zo'n klein kastje te stoppen.

3) De overheid (ook provincies en gemeenten) moet ophouden haar websites via http aan te bieden. Ook om het goede voorbeeld te geven, maar vooral omdat dit steeds noodzakelijker zal blijken te zijn, moet dit uitsluitend https worden. Teveel modem/routers zijn lek en DNS zelf is te onbetrouwbaar (zoals deze week nog bleek met een groot aantal nieuwssites). En teveel sites zijn nu http en "springen pas naar https" als dat strikt noodzakelijk is. Probleem: op dat moment is de gebruiker helemaal niet meer bezig met het controleren of zij/hij op de bedoelde site zit, en bovendien weet een sporadische bezoeker helemaal niet dat de verbinding vanaf dat moment geauthenticeerd en versleuteld had moeten zijn.

4) De overheid, bedrijven en organisaties moeten verstandiger namen kiezen voor hun websites. Het vermoeden dat als je een leuke domainname bedenkt, iedereen dat wel zal onthouden, is ontzettend naïef. Het probleem is namelijk het omgekeerde: als een aanvaller een site bouwt die op de jouwe lijkt, maar een iets andere naam heeft (vooral als deze zich een hoge score in de Google zoekmachine weet te verweven), kun je niet van jouw bezoekers verwachten dat ze echt van nep kunnen onderscheiden. Ik heb het al vaker aangekaart: noem een site www.digid.overheid.nl en iedereen snapt van wie die site is. DNS, hoewel niet perfect, helpt daarbij, en https doet de rest.

5) Man-in-the-Middle aanvallen zullen toenemen. We surfen massaal op open WiFi netwerken zonder ons wat van de risico's aan te trekken. Daarnaast blijven internetdiensten (servers) en clients veel te lang verouderde encryptie ondersteunen, zoals MD5, SHA1, RC4, SSLv2 en SSLv3. Ik voorspel dat onze gemakzucht en oude meuk in 2015 een hoop (onnodige) stress gaat opleveren. Daarnaast, veel te veel mensen zien het nut van het vervangen van http door https nog niet in, hopelijk gebeurt dat snel. d.w.z. voordat er echt veel ongelukken gebeuren.

Conclusie
Ik kan nog veel meer issues noemen, maar mijn bijdragen zijn (meestal) al veel te lang. Ik hoop dat steeds meer mensen, en vooral beleidsmakers, inzien dat we op een ravijn afstormen. En dat we ons in de materie moeten verdiepen (ja, ook jij, beleidsmaker), en bijtijds maatregelen moeten nemen.

Preventief kun je die maatregelen al niet meer noemen, maar door deze voorspelling eind november te publiceren, geef ik jullie een maand voorsprong. Mijn advies: benut december 2014 om je verder in te lezen en alvast tijd in je agenda van 2015 te reserveren, namelijk voor het thema identiteitsdiefstal!
Reacties (29)
29-11-2014, 13:10 door [Account Verwijderd]
[Verwijderd]
29-11-2014, 15:07 door Anoniem
Een uitstekende voorzet van je Erik, waar imho alleen het volgende nog aan ontbreekt:

Als dit probleem ons werkelijk boven het hoofd gaat groeien, dan schiet waarschijnlijk iedere technische oplossing tekort.
En er is hiervoor maar één echte oorzaak aan te wijzen: een toenemend verrotte, zelfzuchtige samenleving met een "ieder voor zich" -mentaliteit, die zulke grote vormen heeft aangenomen, dat het merendeel om zijn medemens niets meer geeft. Immers er is altijd een medemens die plaatsvervangend moet lijden onder de misdaden van een identiteitsdief...

Als er op grote schaal personen zijn die het niets meer kan schelen wat je andere mensen voor leed aandoet,
dan nadert de samenleving op deze aardbol zijn einde, en zijn dood en verderf zaaiende oorlogen niet meer van de lucht,
en vooral ook de misdadige schuldigen zullen daar uiteindelijk aan ten onder gaan.

Weet dan wel dit: mensen kiezen er uiteindelijk zelf voor of ze die kant op willen!
Want óf je kiest uitsluitend en alleen voor jezelf en voor je eigen belang en een ander kan de pot op,
óf je kiest voor een zo eerlijk mogelijke samenleving waar je elkaar dienstbaar bent, en elkaar opbouwt
zodat iedereen binnen bepaalde grenzen nog een behoorlijk vrij en gelukkig leven kan leiden.

Als je verstandig bent en voor het laatste kiest, dan waag je het dus niet om zulke rottigheid uit te halen,
en dan doe je er alle liefdevolle moeite voor (in de eerste plaats als ouders, en zo mogelijk ook als samenleving)
om je kinderen met een gezonde mentaliteit op te voeden. (hopelijk zijn er nog voldoende mensen die verstandig zijn?!)
Dit heeft misschien niets meer met computertechniek te maken, maar wel alles met veiligheid van mensen!
29-11-2014, 17:04 door Anoniem
Dit is best een leuk beginnetje, maar als je gaat doordenken wat sommige van de maatregelen behelzen dan kom je op een verschuiving van het probleem uit, en niet een fundamentele oplossing. Wel brengt deze verschuiving met zich mee dat er moeite moet worden gedaan en offers gebracht, en dus is het eenzelfde soort exercitie als bijvoorbeeld post-9/11 vliegveldbeveiliging: Een hoop geschreeuw, verrekte weinig wol, maar het kale feit dat het niet helemaal geen wol is wordt "op de balans genomen" als gewin voorgesteld, en de kosten ongezien op de koop toegenomen worden.

En dat terwijl methoden om met vrij weinig middelen en moeite (voor de burger) een veel beter resultaat te boeken gewoon bestaan en zeker academisch al bekend zijn. Dus we kunnen het veel beter doen dan we doen en zelfs dan wat dit voorstelt.

De sleutel is heel in het kort: Ten eerste je hebt flexibiliteit van interfaces nodig --wat je ook doet aan het einde van de rit moeten burgers nog steeds per handgeschreven brief kunnen communiceren met bijvoorbeeld de overheid, maar ook per gpg-email, digid-website, willekeurig welke app deze week populair is, en zo meer, en als dat meer werk voor de overheid of willekeurig welk bedrijf kost dan is dat maar jammer, dat winnen ze maar terug met efficiency elders in hun organisatie, maar val daar de buitenstaander niet mee lastig-- en ten tweede je moet groots inzetten op helder krijgen wat je nou eigenlijk bereiken wil. "Je naam graag" is makkelijk maar vaak volstrekt onnodig. We moeten dus uitvogelen wat echt belangrijk is en voor iedere toepassing een (reeks van mogelijke) oplossing(en) verzinnen die naar gelang de behoeften van de klant ingezet kunnen worden. Dat dit processen een stuk ingewikkelder kan (en zal) maken dan de rigide papieren processen die we halfslachtig zo'n beetje gepseudoautomatiseerd hebben lossen we maar op met echte automatisering. Iets wat de industrie vooralsnog vreemd is, maar wat we nu doen is zoals terecht opgemerkt niet houdbaar. En ten derde moeten we inderdaad veel meer op authorisatie inzetten, en niet beginnen met identificatie en daar alles aan op willen hangen.

Want laten we wel wezen, automatisering is tot nu toe vooral uitgelopen op een paar laffe gebruiksmodelletjes waar uit naam van de kompjoeters weetsjewel iedereen in slechtzittende mallen is gedrukt. Willen we dit echt oplossen dan moeten oude standaardaannames hard op de schop en moet de automatisering de belofte van de flexibiliteit waarvan we allemaal weten dat de techniek die mogelijk maakt leren ook te waar te maken. En dat dus zonder dat dit risico oplevert voor de eindgebruiker zijn identiteitsgegevens.

Dus dit is een leuk geprobeerd lijstje practische aanwijzingen, maar lang niet fundamenteel genoeg om zoden aan de dijk te zetten. Ik neem je verder niets kwalijk want het is al beter dan menig organisatiekundige heeft vermogen te bedenken de laatste twintig jaar, terwijl dit toch duidelijk een probleem was en ging worden. Maar als we echt het probleem willen oplossen dan moeten we veel dieper en fundamenteler het probleem onderkennen en over aanpak gaan nadenken.


1GYYopciYLMZB1mUTgZta7WpgMa78Smwt3
29-11-2014, 17:17 door mcb
Door Erik van Straten:
6) Alle burgers hebben, minstens Europese-Unie-breed, een betrouwbaar elektronisch identificatie- en authenticatiemiddel nodig waarbij vooraf goede procedures zijn getest en geïmplementeerd voor uitgifte en verlies/diefstal situaties.
Dit zit er aan te komen.
De overheid wil immers naar eID (https://www.security.nl/posting/373118/Kabinet+wil+werkende+elektronische+identiteit+in+2015) als vervanging voor digid.
Dit systeem zou wel eens kunnen werken voorop gesteld dat het aan alle veiligheidseisen voldoet en correct is geimplementeerd.
Overigens heb ik erg veel negatieve reakties op o.a. deze site gelezen maar die zijn (denk ik) eerder vanwege het (niet geheel onterechte) gebrek aan vertrouwen in de overheid en de slechte reputatie van hun ict projecten dan aan het idee op zich.
Zoals vaker gesteld, alles staat of valt met de implementatie.

Het zou kunnen werken.
Ik woon een paar jaar in Noorwegen en hier hebben we al zo'n systeem.
Inloggen met je BSN (dat is gebaseerd op je geboortedatum en wordt dus niet als geheim beschouwd), pw en een RSA-achtige token.
Voordat je dit kan aanvragen heb je je met paspoort bij verschillende instanties (banken (daarvan krijg je je token), belastingkantoor en politie) moeten legitimeren.
Zo'n beetje alle overheidsinstellingen zijn hierop aangesloten. Dus (bijna) alle overheidszaken zijn online te regelen.

Voordat iedereen stijl achterover slaat over privacy issues, de databeschermings- en privacywetten zijn hier veel strenger dan in NL. Toezichthouders doen ook erg moeilijk. Datagraaien gaat stuk minder makkelijk.

Identiteitsdiefstal zal hier moeilijker gaan.
Je zal eerst moeten aantonen dat je je token kwijt bent en via de bank (daar worden ze uitgegeven) een nieuwe moeten aanvragen. Aangezien ze al een kopie van je pp hebben, en kunnen zien wanneer je voor het laatst met token hebt ingelogt, en je adres wordt gecontroleerd via het bevolkingsregister (dat weer wordt beheerd door de belastingdienst), zal iemand met slechte bedoelingen heel erg veel moeite moeten doen.
Als je nooit een token had gehad (60% van de bevolking er een heeft), ben je of te jong, te oud of je hebt nooit een bankrekening gehad.
Mochten er belangrijke wijzigingen zijn (al dan niet door jezelf aangegeven), word je daar electronisch over geimformeerd.
29-11-2014, 17:22 door mcb
Door Anoniem 15:07:
En er is hiervoor maar één echte oorzaak aan te wijzen: een toenemend verrotte, zelfzuchtige samenleving met een "ieder voor zich" -mentaliteit, die zulke grote vormen heeft aangenomen, dat het merendeel om zijn medemens niets meer geeft.
Helaas is dit de oorzaak van alle wereldproblemen.

Beveiliging, of het gaat om een land, gebouw, personen of je prive-servertje, blijft kat-en-muis-spel tussen degene met goede en minder goede bedoeling.
29-11-2014, 18:20 door Anoniem
Inderdaad, dat klopt wat je daar schrijft. De kern van de zaak is dat veel bedrijven zelf bepalen op welke grond ze iemands
identificatie voldoende vonden en dan bindende contracten gaan sluiten, waarbij dan later blijkt dat de identiteit vals was
en de echte eigenaar van de ID aansprakelijk gesteld wordt.
Dat kan natuurlijk niet. Het bedrijf bepaalt op welke manier iemand voldoende geidentificeerd is, dan draagt ook het
bedrijf het risico als het fout gaat. Wapperen met "we hebben hier een copie van uw rijbewijs" dat is irrelevant, dat betekent
niet dat ik geidentificeerd ben vind ik. Dus dan moeten zij dat ook maar vinden. Of de rechter.
Het zou helpen als dit wettelijk is vastgelegd, zodat de consument beter beschermd is tegen ID diefstal, en de bedrijven
beter gaan opletten.
30-11-2014, 03:54 door Anoniem
Gewoon met je DigiD account unieke codes aanmaken voor iedere dienst waarbij je je moet identificeren. Dan krijgt die winkel of dienst toegang tot persoonlijke informatie afhankelijk van welke rechten je aan de toegangscode hebt verbonden (bijvoorbeeld alleen je naam en leeftijd). En die codes / machtigingen tot persoonlijke informatie kun je ook weer intrekken.

Net zoiets als die app wachtwoorden van gmail.
30-11-2014, 07:38 door Anoniem
Er zijn een aantal Bill Gates-jes en Steve Job-jes in onze samenleving. Die weten heel handig de touwtjes van de politicimarionetten te bewegen. Wij burgers zijn de betatesters.

(Dat we langzaam helemaal uitgekleed worden met de ene crisis na de andere als excuus schijnt noodzakelijke bijzaak te zijn)
30-11-2014, 13:45 door Anoniem
Door mcb:Voordat iedereen stijl achterover slaat over privacy issues, de databeschermings- en privacywetten zijn hier veel strenger dan in NL. Toezichthouders doen ook erg moeilijk. Datagraaien gaat stuk minder makkelijk.

Ik ken ook mensen in Noorwegen en die zijn er wel over te spreken. In Letland (of was het een van de andere Baltische staten) hebben ze iets vergelijkbaars en ook daar hoor ik goede geluiden van.

Ik hoor echter ook dat je belastingaangifte in Noorwegen niet geheim is. Iedereen kan van zijn buurman de aangifte opvragen. Omdat dat mogelijk is, zit er initieel natuurlijk ook veel beveiliging achter om te voorkomen dat jouw buurman jouw aangifte kan wijzigen.

Peter
30-11-2014, 16:51 door mcb
Door Anoniem:
Ik hoor echter ook dat je belastingaangifte in Noorwegen niet geheim is. Iedereen kan van zijn buurman de aangifte opvragen. Omdat dat mogelijk is, zit er initieel natuurlijk ook veel beveiliging achter om te voorkomen dat jouw buurman jouw aangifte kan wijzigen.

Peter
Dat klopt deels. En is volgens mij een van de weinige uitzonderingen op de privacywetten.
Alleen het verzamelinkomen (na verekening van toeslagen, bijtellingen en aftrekposten) is in te zien. Wijzigen kan alleen door de belastingplichtige en belastingdienst.
Sinds een paar jaar moet je met je BSN inloggen om het van anderen te kunnen zien en krijgt sinds dit jaar degene die opgevraagd wordt hier automatisch een melding van.
Er zijn ook geluiden om het inzien helemaal af te schaffen.
30-11-2014, 18:49 door Anoniem
Door mcb: De overheid wil immers naar eID (https://www.security.nl/posting/373118/Kabinet+wil+werkende+elektronische+identiteit+in+2015) als vervanging voor digid.
Wat mij betreft een natte droom van raamstaarders die dat liefst in het geniep doen want horen wat de burger ervan vindt dat hoort er niet bij. Oh wacht ze zijn al druk aan het klussen achter de schermen, precies in het geheim. Wekt vertrouwen, niet?

Dit systeem zou wel eens kunnen werken voorop gesteld dat het aan alle veiligheidseisen voldoet en correct is geimplementeerd.
Overigens heb ik erg veel negatieve reakties op o.a. deze site gelezen maar die zijn (denk ik) eerder vanwege het (niet geheel onterechte) gebrek aan vertrouwen in de overheid en de slechte reputatie van hun ict projecten dan aan het idee op zich.
Zoals vaker gesteld, alles staat of valt met de implementatie.
Laten we wel wezen, we hebben het over een partij die over dat implementeren moet presideren die een lange, lange lijst van complete faalprojecten op de naam heeft staan, en eigenlijk nauwlijks echte succesverhalen. Plus chronische problemen de eigen ambtenaren de relevante regels op te laten volgen, terwijl dat zeg maar het hele eieren eten van die job is.

Dan heeft het eigenlijk geen zin meer nog met "mits correct geimplementeerd" en "mits betrouwbare partij" te noemen, je weet namelijk heel zeker dat de kans miniem is dat je zelfs maar een van die twee krijgt, laat staan de vereiste twee.

Ik woon een paar jaar in Noorwegen en hier hebben we al zo'n systeem.
Inloggen met je BSN (dat is gebaseerd op je geboortedatum en wordt dus niet als geheim beschouwd), pw en een RSA-achtige token.
Voordat je dit kan aanvragen heb je je met paspoort bij verschillende instanties (banken (daarvan krijg je je token), belastingkantoor en politie) moeten legitimeren.
Zo'n beetje alle overheidsinstellingen zijn hierop aangesloten. Dus (bijna) alle overheidszaken zijn online te regelen.
Dat is leuk. Nouja, niet echt leuk. Waarom is bijvoorbeeld de bank de facto onderdeel van de overheid geworden?

Maar kan ik ook alles nog offline regelen als ik dat wil? Als niet, dan is het wat mij betreft een complete faal.
(Een faal waar onder andere het VK met hun "digital by default" alsook de ivoren kaasstolp gericht op afstuurt.)

Voordat iedereen stijl achterover slaat over privacy issues, de databeschermings- en privacywetten zijn hier veel strenger dan in NL. Toezichthouders doen ook erg moeilijk. Datagraaien gaat stuk minder makkelijk.
Dat is een begin. Maar ook zulke systemen worden vaak op functie en niet op robuustheid gebouwd en met alleen regeltjes krijg je dat laatste er niet zomaar gratis bij. Dus of het ook werkelijk een acceptabel robuust systeem is kun je niet van zo'n beschrijving af zien.

Identiteitsdiefstal zal hier moeilijker gaan.
Je zal eerst moeten aantonen dat je je token kwijt bent en via de bank (daar worden ze uitgegeven) een nieuwe moeten aanvragen. Aangezien ze al een kopie van je pp hebben, en kunnen zien wanneer je voor het laatst met token hebt ingelogt, en je adres wordt gecontroleerd via het bevolkingsregister (dat weer wordt beheerd door de belastingdienst), zal iemand met slechte bedoelingen heel erg veel moeite moeten doen.
Is wel een redelijk kostbare aanpak, in de zin van privacy. Kunnen we echt niet beter?

Plus dat als bijvoorbeeld je huis afbrandt en daarmee ook dat token in vlammen opgaat je er vooral nog een probleem bij hebt. Hoe los je dat op?
30-11-2014, 23:54 door Anoniem
Het is een gordiaanse knoop.
Het begon er al mee dat je een domein kunt claimen welke andermans (bedrijfs)naam kan bevatten. En er in handelen...
Het vrije internet, is een onveilig internet.
Een autofabrikant moet een veilige auto leveren, daar is na 100 jaar botsen een beetje zicht op.
Software waar je op wilt vertrouwen. Na 20 jaar Windows, gaan we de kant op van specifieke apps en wie weet bevestigen over 10 jaar we wel via videocall officiële stukken.
Wij willen te snel; stel dat de softwarefabrikant volledig verantwoordelijk wordt voor de gevolgen van fouten en verkeerd gebruik dan zou er nog geen digitale GBA zijn. We accepteren slechte software.
En er is geen goede back-up. Een massieve EMP (elektromagnetische Pulse) legt steeds meer plat.
Wie heeft er nog een papieren back-up? Bitrot gaat het probleem worden.
01-12-2014, 07:35 door Anoniem
Toen ik het artikel las was het eerste dat in mij opkwam "Met dit probleem hebben toch alle landen te kampen?"
Waarom moet ieder land het wiel uitvinden? Is dit nou niet net een probleem dat 'Europa' moet aanpakken?

Als ik dan in de reacties lees dat in Noorwegen al het een en ander bestaat, dan gebruik je dat toch als uitgangspunt?
Je leert van wat daar fout is gegaan en neemt over wat er goed blijkt te gaan.
Als ieder land dit zelf aan gaat pakken krijgen we weer een regenboog aan oplossingen met alle mogelijke vormen van incompatibiliteit van dien.

Daarnaast geldt bij dit probleem ook dat andere landen de dupe kunnen worden van identiteitsfraude in een ander land.
Met vrij verkeer van goederen en personen binnen Europa lijkt mij een Europese oplossing gewenst.
01-12-2014, 10:10 door Anoniem
Door Anoniem: Toen ik het artikel las was het eerste dat in mij opkwam "Met dit probleem hebben toch alle landen te kampen?"
Waarom moet ieder land het wiel uitvinden? Is dit nou niet net een probleem dat 'Europa' moet aanpakken?
Het probleem is een beetje dat als je het nu aan bijvoorbeeld Europa overlaat, je een "oplossing" uitgerold gaat krijgen die 25 keer alles verkeerd doet en die vervolgens nooit meer te verbeteren is want "Europa weetjewel".

Je bent dus voorlopig beter af twintig of veertig landen het wiel opnieuw te laten uitvinden en dan over een jaar of vijftig de beste stukken eruitzoeken en die samen te voegen.

Dat is vooral omdat er te weinig mensen met kunde en visie in de politiek rondlopen; Europa verergert dat alleen maar want niet alleen zitten daar alleen nog maar overbetaalde en belastingvrije compleet wereldvreemde ambtenaren en politici hun ding te doen, ze hebben ook absoluut geen belang bij enig systeem waar de burger bij gebaat is.

De kern is dan ook, simpelgezegd, dat is dat het model (of zo je wil de modellen) waar de ambtenarij vanuitgaan, die de interactie tussen burger en overheid vorm geven, niet geschikt zijn voor de komende veel meer verelektroniseerde wereld, en dat vooralsnog de enige open mogelijkheid van vooruitgang is recht-toe-recht-aan herverelectronisatie van die verouderde modellen. Op de lange termijn gaat dat de burger veel meer pijn doen dan alle kosten die je nu hoegenaamd kan besparen door op technische schaalvoordelen in te zetten.

Dus in principe heb je gelijk maar in de huidige praktijk is dat nog meer garantie op hel-op-aarde dan verschillende systemen die naastelkaar gebruikt moeten worden. Niet alles wat technisch kan of wenselijk is, is ook practisch wenselijk of mogelijk, zeker niet zodra er politiek bij komt kijken.
01-12-2014, 11:27 door Anoniem
Door Anoniem: Ik ken ook mensen in Noorwegen en die zijn er wel over te spreken. In Letland (of was het een van de andere Baltische staten) hebben ze iets vergelijkbaars en ook daar hoor ik goede geluiden van.

Ik hoor echter ook dat je belastingaangifte in Noorwegen niet geheim is. Iedereen kan van zijn buurman de aangifte opvragen. Omdat dat mogelijk is, zit er initieel natuurlijk ook veel beveiliging achter om te voorkomen dat jouw buurman jouw aangifte kan wijzigen.

Peter
Ik ben veel in Noorwegen geweest en heb afgelopen zomer toevallig 10 dagen doorgebracht in Letland voor m'n job. Ik kan dus uit ervaring zeggen dat de situatie daar in niets te vergelijken is met de situatie in Nederland.

Beide landen zijn extreem dunbevolkt, waar er in Nederland >400 inwoners per km2 zijn, is dat in Letland 34 per km2 en in Noorwegen zelfs maar 17 per km2.
Noorwegen in een zorgstaat, met enorme financiële middelen (gespaarde opbrengsten uit olie- en aardgaswinning resulteren in meer dan een miljoen euro per hoofd v/d bevolking). De fysieke afstand tussen burger en overheid is, zeker buiten de steden, enorm groot. Om die afstand te verkleinen MOET de overheid wel inzetten op digitale communicatie.
Het systeem daar heeft behoorlijke beperkingen, om misbruik te voorkomen. Tevens is er weinig armoede in Noorwegen, wat een drastische invloed heeft op de criminaliteitscijfers.

In Letland is de situatie weer héél anders dan in Noorwegen, dat is namelijk een voormalige Soviet-staat.
De overheid daar staat nog in de kinderschoenen, en heeft geen middelen om op iedere hoek een ambtenaar weg te zetten.
De bevolking in Letland geeft (LETTERLIJK!) helemaal niets om privacy, daar is nog veel te veel armoede voor.
De gemiddelde Let wil een warme winterjas, stabiele nutsvoorzieningen en vooral nooit meer honger lijden.
Tevens heeft Letland te maken gehad met omvangrijke digitale aanvallen, waarbij een club van ong. 150 burgers, allen werkzaam in de ICT, het land vrijwillig beschermt tegen dat soort praktijken. Het is reeds voorgekomen dat alle buitenlandse internet-verbindingen werden verbroken om die aanvallen te pareren... Dat diezelfde mensen toegang hebben tot allerlei vetrouwelijke gegevens wordt daarom voor leif genomen; beter een nieuwsgierige Let dan een bemoeizuchtige Rus, is het devies...

Ook is het systeem daar niet opgezet met veiligheid in het achterhoofd, daar komt de overheid / de experts ook vierkant voor uit. Zo kun je bijvoorbeeld wel inzien wie inzage heeft gehad in je medisch dossier, maar kan niemand ooit garanderen dat die logs integer zijn. Maar dat doet verder ook niet veel ter zake, het is voor "economen" helemaal niet interessant om gegevens te verzamelen van mensen die hun geld niet (kunnen) uitgeven aan futiliteiten.

Naar mijn mening is de situatie in ons (decadente) kikkerlandje dan ook, nogmaals, héél anders dan in bovengenoemde landen. Het gaat hier om macht van de overheid, angst zaaien, verdeel en heers -> terrorisme, criminaliteit, belastingontduiking, racisme, illegaliteit, etc. En om kostenbesparing natuurlijk, een Nederlander moet geld opbrengen en mag niets kosten natuurlijk!
Het heeft in ieder geval vrij weinig te maken met "noodzaak e/o service," zoals in Letland en Noorwegen.


Door Erik van Straten: In toenemende mate doen (cyber-) criminelen zich voor als andere individuen, maar ook als nepvertegenwoordigers van bedrijven en andere organisaties.
Tsja, ga je je daartegen wapenen met de volgende ondoorzichtige, verplichte invoering van een onbetrouwbaar systeem?
Wie wordt daar beter van? De Burger of het bedrijfsleven?
Even terug naar de basis, het internet is helemaal niet ontworpen om allerlei vertrouwelijke zaken via af te handelen!
Dan kun je wel digitale pleisters plakken, ik zie dat echter als symboolpolitiek.

Als je zo "snugger" bent om heel je hebben en houden over het WWW te knallen, kan ik geen medelijden hebben met het slachtoffer. Darwin in actie...
Ik ben geen gelovig mens, maar luiheid & gemakzucht (decadentie) zijn al vaker de reden geweest van de ondergang van een sociale maatschappij. Zolang we hier alleen maar denken in centjes, gemak en korte-termijn-oplossingen, trek ik gewoon m'n eigen plan.
Ik hoop dan ook dat die eID o vrijwillige basis wordt ingevoerd, al betwijfel ik dat...


Ik zie meer heil in het strafbaar maken van (onbedoeld) lekken van persoonlijke data.
Wordt een DB gehakt? Niet alleen de dader, maar vooral ook de beheerder van die DB aansprakelijk stellen voor een `symbolisch bedrag` van €10,- per Rechtspersoon, moet je opletten hoe goed beveiliging geregeld gaat worden...
Dat die schade verhaalt moet kunnen worden op de dader vind ik verder geen probleem, dat verhoogt wellicht de dramatisch lage pakkans.

Ofwel, stel de Wettelijke kaders van de digitale omgeving nu eens gelijk aan de fysieke wereld, desnoods via de VN of zo.
Maar wat je ook doet, laat je alstublieft niet leiden (lijden) door angst...

En wat betreft je insteek m.b.t. MitM (op bijv WiFi); VOORLICHTING!!! + wederom, Darwin in actie.
01-12-2014, 12:08 door mcb
Door Anoniem 07:35: Toen ik het artikel las was het eerste dat in mij opkwam "Met dit probleem hebben toch alle landen te kampen?"
Waarom moet ieder land het wiel uitvinden? Is dit nou niet net een probleem dat 'Europa' moet aanpakken?
Dat staat leuker op je CV.

Dat is ook de reden waarom veel projecten duurder zijn dan nodig.
Als je op je CV kan zetten dat jij het project hebt geleid en verantwoordelijk was voor het initiele ontwerp, staat dat leuker dan "idee gekopieerd en geimplementeerd".
Vandaar dat er vaak (grote) budgetoverschrijdingen zijn omdat er tegen problemen aan gelopen wordt die men niet had voorzien.
Als men meer denk aan het algemeen belang denkt dan aan zijn CV en dus wel extra info in wint, hadden op die problemen geanticipeerd kunnen worden en waren budgetoverschrijdingen een stuk lager of zelfs niet aanwezig.
01-12-2014, 13:26 door Erik van Straten
Dank voor alle reacties, goede discussie zo! Ik ga even in op één reactie, op enkele andere reacties probeer ik binnenkort te reageren.

01-12-2014, 07:35 door Anoniem: Toen ik het artikel las was het eerste dat in mij opkwam "Met dit probleem hebben toch alle landen te kampen?"
Waarom moet ieder land het wiel uitvinden? Is dit nou niet net een probleem dat 'Europa' moet aanpakken?
Dat gebeurt ook, onze "Steely Neelie" heeft daar flink voor geknokt. Zie bijv. http://ec.europa.eu/digital-agenda/en/trust-services-and-eid.
01-12-2014, 14:22 door Anoniem
Goed stuk. Het bericht heeft zeker merites, maar je preekt voor de verkeerde doelgroep op security.nl.
Technische maatregelen zullen niet helpen tegen dwaasheid.

Enige opmerkingen:
niet netwerkgerelateerd
ad 1, 2 Veel succes met simpele transacties mbt veel goederen en diensten. Ga maar naar een ander bedrijf, roept men dan.
ad 3, 4 de Kamer van Koophandel is een gedrocht dat in als oogmerk heet om winst te meken.
ad 5 De ACM is er NIET voor de consument.
ad 6 Europabreed een initiatief, dat betekend iets dat traag duur faalt en gemaakt ondersteund moet worden door een gedrocht als KPN Ordina.

Ik word te droevig als ik verder moet typen over dit onderwerp en laat het er maar dus bij. Dat is wat de dwaze volksvertegenwoordigers ook willen; die krijgen voldoende informatie van lobbygroepjes.
01-12-2014, 17:03 door Anoniem
Heeft de redactie problemen met bijdragen waar GD onder staat en tiny's bevatten..???
Gisteren compliment aan de schrijver gegeven + belangrijke info, oa. over de dataverkopers
van de KvK.
Kennelijk niet door de censuur gekomen...
01-12-2014, 20:54 door Anoniem
Op het moment wanneer er een aanvraag wordt gedaan met jouw identiteit moet er een systeem zijn die jouw aanvraag doorstuurt naar jouw telefoon door middel van een sms of een token (IDAlert). Elke keer wanneer er iets wordt aangevraagd met een paspoort/identiteitskaart (BSN) moet er een melding naar je DigiD (toekomst app), Google Auth of SMS gestuurd worden of je deze aanvraag accepteert. Zodra je dit niet accepteert kan de procedure niet verder in behandeling genomen worden.
01-12-2014, 21:14 door Anoniem
Door Anoniem: Heeft de redactie problemen met bijdragen waar GD onder staat en tiny's bevatten..???
Gisteren compliment aan de schrijver gegeven + belangrijke info, oa. over de dataverkopers
van de KvK.
Kennelijk niet door de censuur gekomen...
Dat zou mooi zijn, URL-verkorters horen niet op security.nl thuis naar mijn nederige mening, daar hebben we Tw@tter voor uitgevonden (of was het andersom?).
01-12-2014, 23:07 door Erik van Straten - Bijgewerkt: 01-12-2014, 23:10
29-11-2014, 15:07 door Anoniem: Als dit probleem ons werkelijk boven het hoofd gaat groeien, dan schiet waarschijnlijk iedere technische oplossing tekort.
En er is hiervoor maar één echte oorzaak aan te wijzen: een toenemend verrotte, zelfzuchtige samenleving met een "ieder voor zich" -mentaliteit, die zulke grote vormen heeft aangenomen, dat het merendeel om zijn medemens niets meer geeft.
Hoewel de meeste landgenoten graag een dikkere portemonee hebben dan gemiddeld (en je kunt discussiëren over wat "eerlijk" is), is slechts een klein deel zó hufterig dat ze daar identiteitsdiefstal voor inzetten.

29-11-2014, 17:04 door Anoniem: Dit is best een leuk beginnetje, maar als je gaat doordenken wat sommige van de maatregelen behelzen dan kom je op een verschuiving van het probleem uit, en niet een fundamentele oplossing.
[...]
Maar als we echt het probleem willen oplossen dan moeten we veel dieper en fundamenteler het probleem onderkennen en over aanpak gaan nadenken.
Daar heb je wellicht gelijk in. Echter, we hebben -op korte termijn- pragmatische, werkbare en veiliger oplossingen nodig. Een doorsnee PC of smartphone met multi-purpose besturingssysteem is voor "zwaardere vraagstukken" domweg te onveilig om, als intermediair, de identiteit van een gebruiker te bevestigen. Omdat te weinig mensen dit in (willen) zien, en men er dus geen geld voor over heeft, buitelen leveranciers met "military grade" (snake oil) oplossingen over elkaar heen, en laat de grote meerderheid zich graag foppen. Toch meen ik dat er wel oplossingen bestaan om identiteitsdiefstal te helpen pakken, en waar dat niet mogelijk is, voor vangnetten te zorgen.

29-11-2014, 18:20 door Anoniem: Het bedrijf bepaalt op welke manier iemand voldoende geidentificeerd is, dan draagt ook het bedrijf het risico als het fout gaat.
De argumenten van Erik Westhovens in http://www.opgelicht.nl/uitzending/2014/1043/ waren, helaas, onvoldoende hard (ook ik heb kritiek op het X.509 certificaat van digid.nl, maar als hij denkt dit binnen een week te kunnen namaken, moet hij dat vooral doen, dan haalt hij de wereldpers). Echter, een aantal van de slachtoffers (aan het woord in die uitzending), moet, naar verluidt, een geldbedrag aan onze overheid terugbetalen, dat onze overheid zelf, onterecht, aan criminelen heeft uitgekeerd. Als het klopt wat deze personen in die uitzending beweren, vind ik dit schandalig, temeer daar het volgens Logius maar om een zeer klein percentage DigiD gebruikers gaat.
Als je ziet hoeveel computers als zombie onderdeel uitmaken van een botnet, ook in Nederland, mag je er m.i. -als overheid- niet zomaar vanuit gaan dat iedere Nederlander volwaardig en probleemloos aan de digitale maatschappij kan deelnemen. Als fatsoenlijke overheid hoor je daar m.i. een vangnet voor te bieden.

30-11-2014, 03:54 door Anoniem: Gewoon met je DigiD account unieke codes aanmaken voor iedere dienst waarbij je je moet identificeren.
Hoe meer diensten er aan een DigiD gekoppeld worden, hoe interessanter het voor criminelen wordt om accounts te kapen. En, hoe meer websites er komen die je via DigiD laten authenticeren, hoe groter de kans dat er sites bij zitten die gekaapt kunnen worden. Waarmee de DigiD credentials van gebruikers kunnen worden ontvreemd, al dan niet via social engineering (http://i.imgur.com/IALiSn7.png).

30-11-2014, 07:38 door Anoniem: Wij burgers zijn de betatesters.
Maar daar staan we wel zelf bij. Ik nodig iedereen uit, waar nodig, zijn mond open te doen.

30-11-2014, 23:54 door Anoniem: We accepteren slechte software.
Ik niet klakkeloos. Het zou best wel eens kunnen helpen als meer mensen klagen. Vanavond heb ik naar Radar gekeken waarin iedereen verbaasd leek dat een CE keurmerk geen kwaliteitsgarantie is (net als een digitaal-, een ISO 9001 of een ISO 27001 certificaat dat niet is). De boodschap was echter wel goed: kom op voor je rechten!

01-12-2014, 07:35 door Anoniem: Is dit nou niet net een probleem dat 'Europa' moet aanpakken?
Zeker (maar dat schreef ik ook). Zie ook mijn vorige en volgende bijdrage.

01-12-2014, 11:27 door Anoniem: Ik ben veel in Noorwegen geweest en heb afgelopen zomer toevallig 10 dagen doorgebracht in Letland voor m'n job. Ik kan dus uit ervaring zeggen dat de situatie daar in niets te vergelijken is met de situatie in Nederland. [...]
Interessante vergelijking! Qua inkomen zal de gemiddelde Noor wellicht boven de gemiddelde Nederlander zitten, maar er zijn zoveel meer Nederlanders dat onze "markt" vermoedelijk veel interessanter is voor cybercriminelen.
01-12-2014, 11:27 door Anoniem: En wat betreft je insteek m.b.t. MitM (op bijv WiFi); VOORLICHTING!!!
De vraag is hoe. Met een filmpje kom je er niet (vooral niet als je de getoonde MitM software bestaat uit vallende groene letters en cijfers). Mijn ervaring is dat mensen niet geloven dat het zo eenvoudig is, totdat je laat zien dat je hun eigen data voorbij ziet komen.
Nb. de meeste mensen denken dat je phishing mails herkent aan spelfouten, dat het afzenderafdres in e-mail niet of moeilijk te vervalsen is, en dat je PC pas besmet kan raken als je een echt foute website bezoekt - pas nadat je ergens op klikt. Er is nog veel werk te doen.

01-12-2014, 14:22 door Anoniem: Goed stuk. Het bericht heeft zeker merites, maar je preekt voor de verkeerde doelgroep op security.nl.
Politici en andere beleidsmakers laten zich zelden door eenlingen overtuigen (we moeten dit samen doen dus), en bovendien doe ik nogal boude uitspraken die ik graag door lezers van security.nl getoetst zien worden. Daar leer ik veel van!

01-12-2014, door Anoniem: Kennelijk niet door de censuur gekomen...
Overkomt mij ook wel eens (bijv. https://www.security.nl/posting/408279/#posting408379). Kennelijk op iemands tenen getrapt. Schouders ophalen en doorgaan :)
01-12-2014, 23:16 door Erik van Straten - Bijgewerkt: 01-12-2014, 23:18
29-11-2014, 17:17 door mcb: De overheid wil immers naar eID (https://www.security.nl/posting/373118/Kabinet+wil+werkende+elektronische+identiteit+in+2015) als vervanging voor digid.
Dat artikel is uit 2013. Uit https://www.security.nl/posting/393076/Plasterk+stopt+ontwikkeling+van+DigiD-kaart:
woensdag 25 juni 2014, 13:32 door Redactie: Plasterk stopt ontwikkeling van DigiD-kaart
[...]
Momenteel wordt nog onderzocht of het mogelijk en wenselijk is om één of meer bestaande wettelijke identiteitsdocumenten, bijvoorbeeld de Nederlandse identiteitskaart en het rijbewijs, als publiek eID-middel geschikt te maken. Via het publieke eID-middel kunnen Nederlanders straks bijvoorbeeld aangifte voor de inkomstenbelasting doen.
Uit https://www.security.nl/posting/402449/Kabinet+besluit+eind+2014+over+invoering+eID-stelsel:
woensdag 17 september 2014, 14:31 door Redactie: Kabinet besluit eind 2014 over invoering eID-stelsel

Het kabinet zal nog dit jaar besluiten over de invoering van het eID-stelsel, waarmee burgers, consumenten en ondernemers straks via één inlogmiddel van hun keuze online zaken kunnen doen met de overheid en het bedrijfsleven. Dat staat in de Rijksbegroting 2015 (https://zoek.officielebekendmakingen.nl/kst-34000-VII-2.pdf) van het Ministerie van Binnenlandse Zaken.

Eind 2014 besluit het Kabinet over de invoering en bekostiging van het eID-stelsel. In 2015 zal het kabinet de Tweede Kamer daarover informeren. Het Kabinet wil dat bij het eID-stelsel zowel publieke als private partijen samenwerken om kosten te besparen. Het is de bedoeling dat binnen het stelsel diverse publieke en private identificatiemiddelen naast elkaar bestaan. Als een identificatiemiddel niet bruikbaar is door storing of uitval kan een ander middel worden gebruikt om in te loggen.
Er was iets met kosten besparen, concessies en security (ik kan er even niet opkomen).

https://www.security.nl/posting/400574/Nigeria+rolt+biometrische+ID-kaart+uit+met+MasterCard

http://www.theregister.co.uk/2014/09/05/banks_could_play_role_as_id_assurance_providers_for_government_services_report_finds/

We're next, let maar op.
02-12-2014, 08:48 door Anoniem
Waar we voor moeten oppassen is dat alle voorgestelde maatregelen om ID fraude te bestrijden en te voorkomen ook weleens tegen kunnen werken. In Nederland leven we nu al in een soort van controle staat en d.m.v. het verplicht gebruik op het Internet van eID zal deze controlestaat alleen maar groeien en ook achter ons toetsenbord gaan plaats vinden want door de absolute controle gaan mensen zichzelf censureren. Is dat dan wat we willen om ons 'veilig' te kunnen voelen? Ik vrees dat velen daar geen probleem mee zullen hebben totdat het systeem zich tegen hun gaat keren maar dan is het te laat.
Moeten we dan maar niets doen? Dat is ook geen antwoord maar ik zie niets in vrijheidsbeperkende maatregelen om iets te bewerkstelligen dat niet alleen maar bij de burger ligt maar zeker ook bij de overheid en bedrijfsleven. Zolang ik overal nog een kopie van mijn legitimatie bewijs moet achterlaten, (geen kopie=geen dienst) en de gegevens van mijn kinderen commercieel worden verhandeld, ofschoon de politiek daarvan op de hoogte is, dan vrees ik dat we nog een hele lange weg te gaan hebben.
De overheid zegt dan wel doodleuk dat we geen kopie van ons legitimatiebewijs moeten afgeven maar ondertussen krijgen wel steeds meer bedrijven toestemming om zo'n kopie te eisen door diezelfde overheid. Moet ik dan straks verplicht op het Internet met mijn e-auschweis inloggen omdat bedrijven en overheden slecht mijn mijn gegevens omgaan?
Beetje de omgekeerde wereld want het probleem van ID fraude ligt niet alleen bij mij maar voor een groot gedeelte bij de overheid en bedrijfsleven. Nog steeds zijn databases online kinderlijk eenvoudig te kraken, ofschoon deze van ISO gecertificeerde bedrijven zijn. Zolang de boetes voor slechte beveiliging niet serieus te noemen zijn gaan we het probleem niet oplossen. Alle bedrijven en instanties, die persoonsgegevens verwerken, zouden jaarlijks verlicht hun systemen moeten laten hack & pentesten. Indien de systemen kwetsbaar blijken te zijn moet daar een boete opvolgen naar gelang de hoeveelheid te verwerken persoonsgegevens. Daarnaast mag een onoplettende burger ook best wel aangepakt worden, indien deze slachtoffer wordt en er kan vrij eenvoudig worden aangetoond dat deze dat had kunnen voorkomen, mag hier ook best een boete voor woorden gegeven. Dat is overigens niet hetzelfde als zeggen eigen schuld dikke bult en zoek het maar lekker uit met je leeggehaalde spaarrekening, want dat moet opgespoord en bestraft worden en de burger behoord zijn eigendom terug te krijgen. Maar daar mag best iets tegenover staan zodat gebruikers beseffen dat ook zij onderdeel uitmaken van een keten in de beveiliging.
02-12-2014, 12:16 door ph-cofi
Kunnen we dan voorspellen dat juist door de komst van het eID een hele nieuwe ronde van straatroven, identiteitsfraude en omgekeerde bewijslast gaat ontstaan?

https://www.security.nl/posting/373118/Kabinet+wil+werkende+elektronische+identiteit+in+2015

Wat me opvalt is dat de overheid één oplossing wil om burgers overal op te identificeren. En daarnaast ook aan het bedrijfsleven deze identificatie wil aanbieden. Alles *makkelijk* met een en hetzelfde identificatiemiddel. Ik weet niet of er in het eID verhaal plaats is voor "iets dat ik weet",zoals een wachtwoord naast "iets dat ik heb", zoals een paspoort met NFC. Ik mis een token of een SMS o.i.d.

Kan ik als burger vanaf volgend jaar met een eID op mijn paspoort en een paslezer achter mijn PC een bestelling doen bij een online drankenwinkel? En wordt deze winkel in staat gesteld om een overheidsregister te raadplegen om mijn identiteit te toetsen en adresgegevens op te halen? Dat lijkt op een gegevenslevering uit de GBA aan een ondernemer. Ik heb als klant niet per se zicht op de geleverde gegevens en moet aannemen dat de overheid mij uitsluitend mijn persoonsgegevens op basis van "need to know" doorgeeft en niet meer dan dat.

Stel nou dat mijn paspoort ooit wordt gestolen (bijvoorbeeld op straat) en ik heb bij allerlei bedrijfswebsites gekozen voor eID als identificatie, dan kan de dief toch met het grootste gemak in mijn naam allerlei diensten bij de overheid aanvragen EN nog wat dranken bestellen op het eigen adres?

Verder ben ik benieuwd naar de wijze van toegangsbeveiliging op het overheidsregister. We hebben gezien dat het bij de EPD niet helemaal goed zat (Henk Krol's "inbraak" op een account van 5 posities met wachtwoord=accountnaam). Een grote rol voor informatiebeveiligers en beheerders, want de gebruikers denken primair aan hun gemak en niet aan de risico's van diefstal.

Ik ben erg benieuwd naar de praktijkgevallen die we gaan krijgen, waarin een burger zonder identificatiedocument moet gaan aantonen dat hij of zij iets *echt niet* gedaan heeft. Dan blijkt ineens dat een IP-adres een identificatiemiddel kan worden.
02-12-2014, 12:37 door Anoniem
Door Erik van Straten:
30-11-2014, 03:54 door Anoniem: Gewoon met je DigiD account unieke codes aanmaken voor iedere dienst waarbij je je moet identificeren.
Hoe meer diensten er aan een DigiD gekoppeld worden, hoe interessanter het voor criminelen wordt om accounts te kapen. En, hoe meer websites er komen die je via DigiD laten authenticeren, hoe groter de kans dat er sites bij zitten die gekaapt kunnen worden. Waarmee de DigiD credentials van gebruikers kunnen worden ontvreemd, al dan niet via social engineering (http://i.imgur.com/IALiSn7.png).
Dat is juist de reden dat ik vierkant tegen een (verplichte) digitale ID ben. 2 factor authenticatie (SMS) is daarbij niet veel meer dan een lapmiddel, me dunkt.
Toegegeven, het is een Salomonsoordeel:
Aan de ene kant staan veiligheid en traceerbaarheid hand in hand, aan de andere kant staan privacy (en dus veiligheid!) en persoonlijke vrijheid.
Ik ben persoonlijk dan ook van mening, dat een digitale identificatie nooit dezelfde waarde zou mogen hebben, als een fysiek ID-bewijs.

Dat neemt natuurlijk niet weg dat een fysiek ID-bewijs net zo goed (wellicht makkelijker zelfs) vervalst kan worden.
Echter, een vervalst paspoort is relatief makkelijk forensisch te onderzoeken, waar een digitale ID-vervalsing, mits uitgevoerd door een 'professional,' zo goed als ontraceerbaar is, vooral vanwege het gebrek aan locatie-gegevens (proxy).
Het gevolg is, zoals je indirect zelf al aangaf, dat de Burger (lees: "het slachtoffer"), vrijwel onmogelijk digitaal misbruik kan aantonen, tegenover het gemak waarmee onschuld t.a.v. fysiek ID-misbruik te bewijzen valt.
Ik kan namelijk niet op 2 plaatsen tegelijk aanwezig zijn (werk en Gemeentehuis bijvoorbeeld), waar ik vanaf iedere locatie, op ieder moment, wel zou kunnen inloggen via DigiD. Mocht de overheid een systeem willen invoeren waarbij fysieke locatiegegevens automatisch worden gekoppeld aan het gebruik van een digitale ID, is het hek van de dam natuurlijk, buiten het feit dat dat technisch niet haalbaar is (proxy).
Over vangnet gesproken... :(

Door Erik van Straten:
01-12-2014, 11:27 door Mij: Ik ben veel in Noorwegen geweest en heb afgelopen zomer toevallig 10 dagen doorgebracht in Letland voor m'n job. Ik kan dus uit ervaring zeggen dat de situatie daar in niets te vergelijken is met de situatie in Nederland. [...]
Interessante vergelijking! Qua inkomen zal de gemiddelde Noor wellicht boven de gemiddelde Nederlander zitten, maar er zijn zoveel meer Nederlanders dat onze "markt" vermoedelijk veel interessanter is voor cybercriminelen.
Merci, maar de situatie in andere landen is maar zeer beperkt relevant tot die in Nederland.
Als er één staat is, waar wij een voorbeeld aan zouden kunnen nemen, is het Duitsland. En laat het nu net de gemiddelde Duitser zijn, die extreem wantrouwig staat tegenover inmenging vanuit de overheid.
De reden daarvoor mag duidelijk zijn, daarom ben ik ook zo teleurgesteld in ons collectieve geheugen :(

Door Erik van Straten:
01-12-2014, 11:27 door Mij: En wat betreft je insteek m.b.t. MitM (op bijv WiFi); VOORLICHTING!!!
De vraag is hoe. Met een filmpje kom je er niet (vooral niet als je de getoonde MitM software bestaat uit vallende groene letters en cijfers). Mijn ervaring is dat mensen niet geloven dat het zo eenvoudig is, totdat je laat zien dat je hun eigen data voorbij ziet komen.
Nb. de meeste mensen denken dat je phishing mails herkent aan spelfouten, dat het afzenderafdres in e-mail niet of moeilijk te vervalsen is, en dat je PC pas besmet kan raken als je een echt foute website bezoekt - pas nadat je ergens op klikt. Er is nog veel werk te doen.
Helemaal mee eens, daarom hamer ik ook zo op voorlichting.
De vraag is of iedere digibeet een ICT'er moet worden, of dat de techniek afgestemd moet gaan worden op de minder ICT-goden. Dat de overheid zelf voor iedere onbenulligheid een aap de wereld in knalt, draagt, mijns inziens, niet bepaald bij aan het kennisniveau van de gemiddelde gebruiker.

Vanuit dat oogpunt vind ik dan ook dat, in den beginne, de Staat aansprakelijk moet worden gehouden bij ID-fraude.
Zij ontwerpen het systeem, en pas als bewezen (rechtszaak dus) is, dat een gebruiker nalatig is geweest, zou deze zelf op moeten draaien voor de schade die is ontstaan door de fraude.
Hetzelfde geldt, naar mijn mening, voor de beheerders van gekraakte DB's.
Natuurlijk is insluipen, inbraak, diefstal en misbruik fout (strafbaar), maar het niet op orde hebben van je eigen zaakjes is minimaal net zo erg. In de huidige situatie is de beheerder zeer lastig aan te klagen wegens nalatigheid, vooral omdat het, in de praktijk, voor een Burger / slachtoffer onmogelijk is, om solide bewijs te verzamelen.
Dat een gemiddelde Rechter weinig weet heeft van ICT, draagt ook niet echt bij aan de essentie van de "sociale Rechtstaat."

Ik zie ook wel in, dat mijn voorstel rechtstreeks ingaat tegen het Rechtsbeginsel dat iemand onschuldig is, tot het tegendeel bewezen is. Daar staat tegenover dat datzelfde beginsel, nu ook niet van toepassing is op de Burger die slachtoffer wordt van fraude, of het nu gaat om banking-trojans of digitale ID-fraude.
Aangezien een beherende organisatie over veel meer middelen beschikt dan een gemiddelde Burger, lijkt het mij niet meer dan redelijk & billijk, om een dusdanige wijziging door te voeren.

Door Erik van Straten:
01-12-2014, 14:22 door Anoniem: Goed stuk. Het bericht heeft zeker merites, maar je preekt voor de verkeerde doelgroep op security.nl.
Politici en andere beleidsmakers laten zich zelden door eenlingen overtuigen (we moeten dit samen doen dus), en bovendien doe ik nogal boude uitspraken die ik graag door lezers van security.nl getoetst zien worden. Daar leer ik veel van!
+1
Daarbij wil ik toevoegen, dat ik niet denk dat een dergelijk opiniestuk, echt gewaardeerd wordt op een site geenstijl bijvoorbeeld... Ik kan me vergissen natuurlijk :p

NB: "Preken?" Zo komt het, op mij althans, niet over.
02-12-2014, 14:02 door Anoniem
Door Erik van Straten:
29-11-2014, 17:04 door Anoniem: Dit is best een leuk beginnetje, [...]
Daar heb je wellicht gelijk in. Echter, we hebben -op korte termijn- pragmatische, werkbare en veiliger oplossingen nodig.
Weet ik niet. Door op pragmatiek te staan loop je het risico het net-iets-betere de vijand van het goede te maken. Om niet uiteindelijk tot zachte heelmeesters te verworden is het wellicht beter om de boel eerst goed te laten ontploffen zodat "de gemiddelde burger" leert waar het probleem zit en er dus meer oor naar echte oplossingen zal komen. Maar daar hangt ook veel van de politiek af, die liever reflexief in de paniek schiet dan echt na te denken. En dus moet iemand anders dat doen. En liefst zo vroeg mogelijk. Dat levert ruimte op om steekhoudende strategien te promoten.

Dat laatste is nog niet wat ik van je zie, terwijl je een van de beteren bent alhier. Met andere woorden, het moet nog beter wil het ook houdbaar blijken voor de lange termijn.

Een doorsnee PC of smartphone met multi-purpose besturingssysteem is voor "zwaardere vraagstukken" domweg te onveilig om, als intermediair, de identiteit van een gebruiker te bevestigen.
Een van de dingen waar je mee moet beginnen is niet alles aan de identiteit op te hangen. Dat is onderdeel van dat modellenverhaal. Daar zijn best interessante truukjes voor mogelijk.

Dat de "doorsnee peecee"-software te brak is om te gebruiken is ook een probleem, en wellicht ook iets waar je eurosubsidie op los zou moeten laten. Ik denk dan aan, bijvoorbeeld, een open source drop-in replacement voor wat er op de doorsnee peecee te vinden is. Krijgen we nog iets terug van al dat door de eurocraten bijelkaar geharkte geld.

Toch meen ik dat er wel oplossingen bestaan om identiteitsdiefstal te helpen pakken, en waar dat niet mogelijk is, voor vangnetten te zorgen.
Begin met die vangnetten. Doordenkertje waarom.


29-11-2014, 18:20 door Anoniem: [...]
[...]
Als je ziet hoeveel computers als zombie onderdeel uitmaken van een botnet, ook in Nederland, mag je er m.i. -als overheid- niet zomaar vanuit gaan dat iedere Nederlander volwaardig en probleemloos aan de digitale maatschappij kan deelnemen. Als fatsoenlijke overheid hoor je daar m.i. een vangnet voor te bieden.
Nog een reden waarom ik regelmatig de handgeschreven brief als lakmoesproef opvoer. Ook omdat het binnen een goed ontworpen (ambtelijk) systeem geen probleem mag zijn en ook de kosten niet mogen zijn om ook daarmee de burger volle toegang tot alle dienstverlening te geven.
02-12-2014, 14:12 door Anoniem
Wel grappig om te constateren dat het onderwerp "Privacy", waar gelukkig al jarenlang organisaties en deskundige individuen van roepen dat het erg belangrijk is en waar de gemiddelde mens van beweert dat hij "niets te verbergen" heeft, nu geleidelijk aan binnenkomt via het onderwerp "Identiteit" en dat de noodzakelijke maatregelen nu gaan komen, als straks het water aan de lippen staat.

Velen zullen nu melden: "We hebben het toch gezegd! Je had moeten luisteren. "
02-12-2014, 14:28 door Anoniem
Door ph-cofi: Wat me opvalt is dat de overheid één oplossing wil om burgers overal op te identificeren. En daarnaast ook aan het bedrijfsleven deze identificatie wil aanbieden. Alles *makkelijk* met een en hetzelfde identificatiemiddel.
Dit is de standaard recht-op-en-neer manier van "kostenbesparend automatiseren". Flexibiliteit? Mogelijkheden bieden? Te moeilijk! Iedereen in één mal. (Vergelijk oude opschepmop over Amerikaanse scheerautomaten.)

Kijk ook hoe goed dat uitpakt met de ov-chipkaart, een unificerend system dat jouw reismogelijkheden definieert door alles wat het niet kan, tot op het punt dat de aloude strippenkaart gewoon flexibeler, goedkoper, makkelijker te gebruiken, en een betere investering is voor de eindgebruiker cq. reiziger.

Waar zo'n ov-chipkaart wel verplicht is voor openbaar vervoergebruik maar nog steeds ruimte laat tot, bijvoorbeeld, meerdere kaarten bij je dragen, gaat een enkele kaart per burger met een veelheid aan functies een gigantisch probleem worden voor eenieder die met technische mankementen of diefstal van het kaartje of wat er dan ook anders nog mis kan gaan geconfronteerd gaat worden.

En dat zijn dan nog de simpele en vrij simpel uit te leggen problemen. Dat kaartje gaat dan je enige toegang zijn tot allerlei databases en als daar iets verkeerd in staat dan sta je daar met je electronische identiteit die ineens een stuk ergere gevolgen blijkt te hebben dan het geheel niet hebben van zo'n electronisch oormerk.

Omdat je weet dat iedereen zo'n ding moet hebben en ook dat het foutenpercentage niet nul gaat zijn, weet je zeker dat er een onderklasse van uitgerangeerde burgers gaat ontstaan die op deze of gene wijze door de gaten in het systeem gedonderd zijn. Hoe alomvattender zo'n systeem hoe moeilijker en kostbaarder en tijdrovender het wordt weer op te krabbelen.

Inderdaad, dat is de impliciete definitie van "makkelijk".

Ik heb als klant niet per se zicht op de geleverde gegevens en moet aannemen dat de overheid mij uitsluitend mijn persoonsgegevens op basis van "need to know" doorgeeft en niet meer dan dat.
Dat is het hele eieren eten ja. "Vertrouwt u ons maar meneertje," dixit opa ivo o. en ome roon p. "want we hebben echt het beste met u voor en doen het allemaal best wel goed hoor. Eerlijk waar want wij zijn toch echt eerlijke en kundige politici hoor."

Merk op dat dit met verantwoording afleggen aan het volk weinig van doen heeft. Transparant is het niet. Je kan de rapportages over het CIOT nakijken. Je weet wel, die database waar telecomboeren verplicht iedere dag alle transactie- en klantgegevens in moeten storten zodat "opsporingsdiensten" een makkelijk plekje hebben om eens fijn te grasduinen in onze communicatiedata. Dat mag natuurlijk niet zomaar, daar zijn regels voor, en daar is dan een rapportje over. Je kan eens kijken hoe de onoverkomelijke transgressies van de regels gerapporteerd worden. Is heel leerzaam.

Verder ben ik benieuwd naar de wijze van toegangsbeveiliging op het overheidsregister.
We hebben het hier over de overheid. Die gaan ervanuit dat ze zelf wel te vertrouwen zijn, of wij als volk het daar nou mee eens zijn of niet. Al de rest volgt uit dat principe. Vergelijk hoe ze dachten dat met het EPD/LSP en de UZI pas (zo'n toepasselijke naam) te gaan doen. Alweer, heel leerzaam.

Ik ben erg benieuwd naar de praktijkgevallen die we gaan krijgen, waarin een burger zonder identificatiedocument moet gaan aantonen dat hij of zij iets *echt niet* gedaan heeft. Dan blijkt ineens dat een IP-adres een identificatiemiddel kan worden.
Dat kun je niet winnen dus wordt je vanzelf een "ik heb het niet gedaan hoor!"-huilende veroordeelde crimineel die door niemand nog serieus genomen gaat worden. Want iedereen weet dat criminelen nogal een handje hebben anderen de schuld te geven van de eigen misdaden. Echt, zo moeilijk is het niet te zien hoe dat gaat lopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.