Je meet in dit geval natuurlijk altijd twee dingen, namelijk de hoeveelheid identiteitsfraude, maar ook de bereidheid om te melden en de bekendheid van het middel. De groei komt wel overeen met andere rapporten (zoals van het Centraal Bureau voor de Statistiek, enkele maanden geleden). Dat laat echter een veel groter aantal gevallen zien. Het preciese getal is me even ontschoten, maar uitgerekt over een gemiddelde levensverwachting kwam het er op neer dat statistisch gezien iedere Nederlander 2 of 3 keer mag verwachten 'aan de beurt' te zijn.
Dat is een fors probleem. Identiteitsfraude staat hoog op de lijst van nachtmerries, niet zozeer vanwege de financiële schade, maar vanwege de Kafkaeske toestanden waartoe het vaak leidt. Het loskoppelen als je het zo wil noemen van het slachtoffer worden en daarna nog een keer slachtoffer worden van de genoemde toestanden staat dan ook hoog op de prioriteitenlijst voor me. Maar even los daarvan speelt er nog iets. Hoewel het ook voorkomt dat mensen uit persoonlijk gewin aan identiteitsfraude doen, is de hoge vlucht naar we uit onderzoeken weten vooral vanwege de financiering van weinig frisse zaakjes. Drugshandel, kp-industrie, illegale wapenhandel, illegale ivoor- en andere goederenhandel, terrorisme. Een venijnig detail is dat mede daardoor veel van de onder de "veiligheid gaat voor privacy" identificatie veel erger is dan alleen maar een homeopatisch kwakzalversmiddel, het is als financieringsbron van een grootte waarvan de kwaadwillenden in hun stoutste dromen nooit aan hadden kunnen denken tegen de makers gekeerd...
Voorkomen heeft daarom een bijna net zo hoge prioriteit als een snelle genezing. We weten als professionals hoe we dat moeten doen. De kunst is om gehoor te krijgen. Zo maar een bloemlezing:
- Beperking. Allerlei nutteloze identificatie die er niet meer is, kan niet misbruikt worden.
- Compartimentering. Een van de grootste knelpunten is dat alles via (vaak volstrekt onbeveiligde) kopietjes paspoort gaat. Daarom kan een simpele autohuur leiden tot fraude met een bankrekening of mega aankoop aan de andere kant van de wereld. Dat maakt het zo kwetsbaar. Een breuk moet niet tot een totaal doorscheuren leiden. Dat heet fail safe.
- Doelbinding. Zoiets simpels als het over een kopie heenschrijven waar het voor is, is geen medicijn voor alle kwalen, maar in ieder geval is het al beter dan niets.
- Authenticatie vs. Autorisatie. Wat wil je bereiken. Dat je weet wie iemand is, of dat iemand bevoegd is tot gebruik van de dients? Het laatste kan volstrekt anoniem. Bovendien bewijst authenticatie niet autorisatie.
- Voor de zaken die er echt toe doen, het sterkste authenticatiemiddel en alleen het sterkste authenticatiemiddel. Het allersterkste middel dat ik ken is een fysieke smartcard met PIN passphrase (bijvoorbeeld 8 karakters alfanumeriek, miljoenen mogelijkheden en 3-5 kansen voor de kwaadwillenden, succes!), met daarop public-private keypairs gebaseerd op certificaten en onbreekbare encryptie. Het is niet onbreekbaar, maar het is een enorme bak werk en zeldzaam. Het is ook relatief gemakkelijk te vervangen (fail safe). Waarom klungelen we voor transacties en subsidies van tienduizenden euros of inkomen voor de rest van het leven met wachtwoordjes, publiek bekende getalletjes (BSN) en fotokopieën als we dergelijk krachtige middelen hebben?
Het kost wel wat. Maar het wordt het langzamerhand ook wel waard.