Diepgaand artikel: Verlies van controle door EDIW


Dit artikel is geschreven voor het EU-parlement om de risico's van de Europese portemonnee voor digitale identiteit (EDIW) te beperken.

Samenvatting

De EU-Commissie heeft een voorstel tot wijziging van de huidige eIDAS-verordening gepubliceerd, waarvan de meest in het oog springende verandering de invoering van een Europese portemonnee voor digitale identiteit (EDIW)1 is. Met deze EDIW kunnen personen geverifieerde identiteitsgegevens opslaan en deze gegevens aan publieke en private partijen verstrekken, bijv. voor identificatie, authenticatie of het aanmaken van gekwalificeerde handtekeningen/zegels, zowel online als offline. Elke EU-lidstaat (LS) moet minstens één EDIW aanmelden2, maar het is zeer waarschijnlijk dat er nog veel meer op de markt zullen komen. Veel private partijen worden geconfronteerd met het feit dat ze verplicht zijn om elke aangemelde EDIW te accepteren die een persoon kiest voor identificatie en authenticatie. Deze partijen hebben echter geen controle over de beveiligingsfuncties van deze apps. Zij zullen dit zien als een groot beveiligingsrisico in vergelijking met de bedrijfseigen apps die ze momenteel gebruiken en beheren. In dit artikel onderzoeken we de risico's die gepaard gaan met verbindingen tussen apparaten en het gedrag van apparaten en doen we twee voorstellen die kunnen bijdragen aan het oplossen van deze risico's.

Het doel van dit document is om toelichting te geven op de huidige discussies over de nieuwe wijziging van eIDAS. Beveiligingsspecialisten en specialisten in Self Sovereign Identity (SSI) van ABN AMRO, ING en TNO hebben namens het Partnership for Cyber Security Innovation (PCSI) dit diepgaande artikel geschreven voor het EU-parlement om de risico's van de EDIW te beperken.

Inleiding

Veel organisaties hebben hun eigen app ontworpen en/of laten maken voor hun klanten (individuen), zodat ze veilig calculaties kunnen uitvoeren en veilig gebruik kunnen maken van de elektronische diensten van de organisatie. Dit wordt weergegeven in figuur 1.

Figuur 1: Apps worden geleverd door de organisaties die op hun functionaliteit vertrouwen

Daar zijn goede redenen voor: het stelt organisaties niet alleen in staat om beveiligings- en privacykenmerken te definiëren en te controleren, maar ook om een hogere mate van zekerheid te hebben over wie de app gaat gebruiken. Alle garanties die een organisatie nodig heeft (bijv. bevestiging dat de gebruiker de verwachte persoon is) zijn ontworpen en ingebouwd in de app en vallen daarom onder de controle van de organisatie. Apps hebben meestal veel andere ingebouwde zekerheden, zodat men erop kan vertrouwen dat een app correct handelt namens de authentieke gebruiker. In feite is de app ontworpen als een verlengstuk van de organisatie op het mobiele apparaat van de gebruiker.

Verwachte impact van gewijzigde EU-verordening

Het wijzigingsvoorstel van de EU kan deze situatie veranderen in de situatie die is weergegeven in figuur 2. De figuur laat zien dat de app die wordt gebruikt om te communiceren met de organisatie nu door derden wordt beheerd en geleverd en niet door de organisatie zelf. Uiteraard is het de bedoeling om veilige EDIW's te hebben die op de juiste manier gecertificeerd zijn [artikel 6 quater]3. Dit is afhankelijk van certificeringsprogramma's die nog moeten worden opgezet (waarschijnlijk via het Agentschap van de Europese Unie voor cyberbeveiliging, ENISA) en de organisaties die de daadwerkelijke certificering uitvoeren. Deze organisaties moeten geaccrediteerd zijn en door de lidstaten voor die taak zijn aangewezen. 

Figuur 2: Onder eIDAS 2 worden apps niet langer geleverd onder controle van vertrouwende partijen

De vraag is of men erop kan vertrouwen dat een lidstaat de nodige stabiliteit biedt, op de juiste wijze certificeringsinstanties aanwijst (of accrediteert4) en EDIW's op de juiste manier aanmeldt. De afgelopen jaren hebben we gezien dat lidstaten ‘gouden paspoorten’ verkopen, waardoor de waarde van het EU-burgerschap en het verblijf in de EU afneemt. We hebben ook gezien dat een lidstaat zijn standpunt veranderde van conformeren aan de EU-wetgeving naar “het negeren van zijn verplichtingen uit hoofde van de EU-wetgeving”5.

In combinatie met [artikel 12 ter (2)]6, waardoor veel private partijen worden verplicht om elke aangemelde EDIW te accepteren en te vertrouwen die door een individu wordt gekozen als sterk authenticatiemiddel, kan dit worden gezien als een groot veiligheidsrisico. Het is onduidelijk of het moeilijk zal zijn voor een partij om een malafide portemonnee te ontwerpen, een aangewezen en geaccrediteerde certificeringsinstantie te vinden die bereid is deze te certificeren en de portemonnee aan te laten melden.

Vertrouwende partijen die dergelijke risico's onaanvaardbaar vinden, worden geconfronteerd met het probleem dat ze te maken kunnen krijgen met tientallen EDIW's die niet aan hun interne eisen voldoen. Eigenlijk zouden ze dergelijke EDIW's niet moeten vertrouwen, maar ze kunnen ze niet controleren en zijn verplicht om ze te accepteren. Het accepteren van een dergelijke EDIW brengt voor een vertrouwende partij het risico met zich mee dat ze interactie hebben met frauduleuze7 of anderszins malafide EDIW's, en er is weinig of niets dat ze kunnen doen om dat te voorkomen. Het is de ultieme nachtmerrie van CISO's, compliance officers, fraudeafdelingen, opsporingsfunctionarissen op het gebied van witwassen en criminaliteit, enz., en uiteindelijk de hele raad van bestuur.

Kortom, het probleem is dat het EU-voorstel partijen dwingt om tientallen verschillende componenten te accepteren voor het uitvoeren van beveiligingsoperaties (authenticatie), waarover deze partijen geen controle hebben. Dit legt een aanzienlijke en voortdurende druk op hun capaciteit om risico's, fraude, compliance, enz. te beheren.

Analyse

Partijen gebruiken informatietechnologie (IT) om de bedrijfs-/informatieprocessen te ondersteunen waarmee hun doelstellingen worden gerealiseerd. Als er niet op IT vertrouwd kan worden, kunnen de resultaten van deze processen ongeldig worden en mogelijk tot ernstige schade leiden. Elke positieve of negatieve afwijking van wat als resultaat wordt verwacht, is een risico8. Aangezien elke partij haar eigen doelstellingen heeft, heeft ze ook een bepaalde reeks risico's (haar risicoprofiel) die ze moet beheren9. Normaal gesproken laten partijen een IT-component certificeren om de risico's af te dekken, of ze kiezen ervoor een IT-component te gebruiken die al gecertificeerd is voor hun specifieke risicoprofiel en waarvoor het relatief eenvoudig is om de resterende risico's te beheren (d.w.z. de risico's die niet gedekt zijn door de certificering).

Het huidige EU-voorstel biedt partijen niet de mogelijkheid om naar eigen inzicht een certificeringsregeling of IT-componenten te kiezen. Gezien het standpunt van de EU lijkt het niet haalbaar om partijen te laten kiezen welke EDIW's ze wel of niet aanvaarden, aangezien dit ertoe zou kunnen leiden dat individuen meerdere EDIW's moeten hebben, omdat verschillende partijen verschillende keuzes maken over welke EDIW's ze aanvaarden.

Dit plaatst partijen die onderworpen zijn aan verplichte acceptatie van EDIW's in de weinig benijdenswaardige positie dat ze bijvoorbeeld de lijst met aangemelde EDIW's en hun specifieke vertrouwensniveaus moeten bijhouden, zoals:

  • waargenomen tekortkomingen10 in de certificeringsregeling 
  • risico's in verband met de aanwijzing en accreditatie van certificerende partijen 
  • de processen van de lidstaten voor het aanmelden, opschorten en herstellen, en intrekken van EDIW's 
  • en last but not least: de processen waarmee partijen (die geen lidstaat hoeven te zijn) afzonderlijke portemonnees uitgeven aan individuen (of organisaties11)

Risico's

Er kunnen nog geen specifieke risico's worden vastgesteld omdat er nog geen echte EDIW's zijn, de certificeringsregeling nog niet is ingevoerd en er ook nog geen processen zijn voor accreditatie, aanmelding, enz. De verwachting is echter dat elk kwaadaardig onderdeel van een EDIW zal worden gebruikt voor de gebruikelijke doelen, zoals fraude, het witwassen van geld, identiteitsvervalsing, enz.

Een specifieke aanvalsvector volgt uit [artikel 6 bis (2)], waarin staat dat EDIW's niet alleen door een lidstaat kunnen worden uitgegeven (aan elke natuurlijke persoon of rechtspersoon), maar ook door elke andere partij, op voorwaarde dat een lidstaat hiertoe opdracht geeft of de uitgifte ervan door die lidstaat wordt erkend. Dit houdt de weg open voor lidstaten om de aanmelding van portemonnees uit te besteden, zonder de noodzakelijke toezicht binnen het certificeringsproces.

Andere aanvalsvectoren kunnen ontstaan door de manier waarop EDIW's worden gebruikt. Het is bijvoorbeeld bekend dat mensen elkaars telefoon gebruiken (stellen/partners/jongeren staan erom bekend dat ze dit doen). De technische basis die vertrouwende partijen de zekerheid geeft dat de persoon die de EDIW in zijn bezit heeft ook daadwerkelijk de eigenaar is van de identiteitsgegevens in die portemonnee, is eigenlijk heel dun. Zij is in zeer grote mate afhankelijk van de toegangscontrole van de gebruiker op de EDIW: een EDIW kan afhankelijk zijn van de pincode of de biometrische toegangsmiddelen die alleen de fabrikant controleert. Het is onduidelijk welke gevolgen dit zou kunnen hebben voor de vertrouwende partijen, en of deze dezelfde zijn voor elke aangemelde EDIW. Dit geldt niet alleen voor de identificatie- en authenticatiefunctie, maar ook voor het aanmaken van gekwalificeerde handtekeningen.

Opties voor het omgaan met risico's
Standaard risicobeheer, zoals ISO 31000 en ISO 27005, maar ook ENISA, biedt verschillende opties voor het omgaan met risico's:

  1. De risico's accepteren, d.w.z. niets doen en omgaan met de gevolgen als de risico's zich voordoen. 
  2. De risico's vermijden, d.w.z. niets doen waardoor het risico werkelijkheid zou kunnen worden. 
  3. De risico's wijzigen, d.w.z. de kans verminderen dat de risico's zich voordoen. 
  4. Het risico overdragen aan een derde, bijvoorbeeld door een verzekering af te sluiten of door de noodzakelijke beveiligingsactiviteiten uit te besteden aan een betrouwbare derde.

Opties 1 en 2 zijn niet realistisch: de risico's zijn te groot om te accepteren en het niet accepteren van EDIW's is in strijd met de verordening.
Optie 4 is momenteel niet erg realistisch. Een dergelijke verzekering is er nog niet en zal er waarschijnlijk ook nooit komen. En de mogelijkheid om lidstaten aansprakelijk te stellen voor schade die voortvloeit uit hun acties met betrekking tot EDIW's is momenteel een onwaarschijnlijk vooruitzicht.

Dan blijft eigenlijk alleen optie 3 over, en er zijn verschillende manieren om die te implementeren. Eén manier is om een campagne te starten (mogelijk een publicatiecampagne) tegen het gebruik van EDIW's. Een andere mogelijkheid zou zijn om mensen te ontmoedigen om een EDIW te gebruiken (waar de organisatie geen vertrouwen in heeft). Dit kan gedaan worden door hen het leven onnodig moeilijk te maken als ze besluiten hun EDIW te gebruiken. Dergelijke praktijken worden al vaak gebruikt door organisaties, bijvoorbeeld wanneer ze om ‘toestemming’ vragen voor het gebruik van bepaalde soorten cookies. Ongeacht de gekozen methodes zullen ze hoogstwaarschijnlijk het doel van EDIW's ondermijnen: wijdverbreid gebruik van digitale identiteit en attesteringen door de hele EU.

Voorstellen

Wij hebben twee voorstellen die kunnen bijdragen aan het oplossen van de beschreven problemen, die vooral worden veroorzaakt doordat organisaties worden gedwongen om EDIW's te accepteren waarover ze geen controle hebben, en doordat hen de autonomie wordt ontnomen om hun eigen risicoprofielen te beheren met betrekking tot de functionaliteiten van EDIW's, zoals identificatie, authenticatie, ondertekening, enz.

1.    Meerdere certificeringsregelingen toestaan
Het eerste voorstel is een uitbreiding van [artikel 6 ter] (zoals geformuleerd in de derde herziening van het eiDAS 2-voorstel onder Tsjechisch voorzitterschap), waarin wordt vereist dat “vertrouwende partijen geregistreerd moeten zijn in de lidstaat waar zij gevestigd zijn, en de lidstaat in kennis moeten stellen van de diensten die zij voor EDIW's willen gebruiken”. Het volgende is voorgesteld: 

  • de EU houdt een lijst bij van aangemelde certificerings- en accreditatieregelingen die zijn goedgekeurd door de lidstaten (en misschien ook door anderen, zoals ENISA)
  • vertrouwende partijen worden geregistreerd in hun lidstaat en kunnen ook een verwijzing naar een of meer van dergelijke certificerings- en accreditatieregelingen registreren [artikel 12 ter] 
  • vertrouwende partijen hoeven alleen EDIW's te accepteren die zijn gecertificeerd volgens een systeem dat zij als acceptabel hebben geregistreerd. Een vertrouwende partij die niet expliciet ten minste één dergelijke regeling heeft geregistreerd, moet alle EDIW's accepteren

Een certificeringsregeling kan andere en/of aanvullende vereisten hebben, zoals vereisten met betrekking tot de authenticatiemethoden waarmee onder andere banken hun vereisten voor Strong Customer Authentication (SCA) kunnen afdwingen. Er zijn verschillende technische oplossingen om dit te bereiken zonder de privacyvoordelen te ondermijnen, in tegenstelling tot de huidige gangbare praktijk om de metadata van het apparaat te verzamelen.

Hoewel dit voorstel de zorgen wegneemt die voor veel organisaties relevant zijn, realiseren we dat het ook uitnodigt tot nieuwe discussies, omdat dit het grensoverschrijdend gebruik van EDIW's kan belemmeren. We verwachten echter dat er genoeg welwillende fabrikanten zullen zijn die bereid zijn om te certificeren volgens de meeste – zo niet alle – van dergelijke aangemelde regelingen.

Een ander aandachtspunt is het creëren en onderhouden van ‘aangepaste’ certificerings- en accreditatiesystemen. Wij geloven dat organisaties die onaanvaardbare risico's zien, zoals banken, andere financiële instellingen, maar ook organisaties in de gezondheidszorg, enz., door hun aanpak van vergelijkbare problemen al over de bestuurlijke structuren beschikken om de taken van het creëren en onderhouden van certificerings- en accreditatieschema's die de doelen van hun leden dienen op zich te nemen. Door veel gebruik te maken van bestaande kaders is het mogelijk om regelingen en praktijken te hergebruiken.

2.    Verplichte attesteringen van identiteitsgegevens ondersteunen met betrekking tot het type EDIW 
Het tweede voorstel is om te eisen dat EDIW's niet alleen attesteringen van attributen (‘certificaten’) bevatten die betrekking hebben op de houder van EDIW's, maar ook van certificaten die betrekking hebben op specifieke typen EDIW's, waaronder individuele EDIW's die bijvoorbeeld op een mobiel apparaat zijn geïnstalleerd. Dergelijke certificaten kunnen dan op verzoek (en met toestemming) worden getoond aan een vertrouwende partij, zodat deze kan beoordelen of de specifieke EDIW die wordt gebruikt wel of niet voldoet aan de certificeringsregeling die de vertrouwende partij heeft geregistreerd. Dit zou bijvoorbeeld betekenen dat aan een EDIW certificaten kunnen worden afgegeven waaruit blijkt dat aan specifieke regelingen is voldaan12

Figuur 3: Apps kunnen worden gecertificeerd aan de hand van verschillende normatieve kaders voor verschillende domeinen

Figuur 3 illustreert de genoemde basisprincipes. Een partij die een EDIW-app produceert, kan een geaccrediteerde auditor (certificeringsinstantie) vragen om de app te certificeren of type-certificeren aan de hand van een bepaalde regeling of een reeks regelingen. Dit resulteert in een certificaat voor de app (of het type app) dat aantoont dat de app voldoet aan de certificeringsregeling(en), zoals gedefinieerd door wat in de figuur de ‘governing authority’ wordt genoemd, de organisatie die de juiste certificerings- en accreditatieregelingen onderhoudt.

In de toekomst kan het vermogen van EDIW's om te reageren op verzoeken om certificaten over zichzelf ook worden gebruikt om hun beveiliging verder te verbeteren. Een voorbeeld hiervan is ondersteuning voor attestering van integriteit op afstand13. Het idee hierachter is dat geïnstalleerde apps kwetsbaar kunnen zijn voor aanvallen waarmee hun functies worden veranderd. Er bestaat technologie waarmee een veilige ‘vingerafdruk’ van een app kan worden gemaakt op het moment van installatie, waarna deze vingerafdruk kan worden geregistreerd bij een of meer externe services (die door verschillende partijen kunnen worden beheerd). Als de app vervolgens een verzoek ontvangt om gegevens of attribuutattesteringen te leveren, wordt er opnieuw een veilige ‘vingerafdruk’ afgenomen. De vingerafdruk wordt vervolgens naar een of meer van de services gestuurd, die antwoorden met een kortstondig certificaat dat aangeeft of de code van de app onbedoeld (of anderszins) is gewijzigd, in welk geval de integriteit van de app niet langer kan worden vertrouwd. De app kan het certificaat gebruiken om zijn integriteit, tijdelijk of permanent, te bewijzen aan de vertrouwende partij.

Conclusies

De EU-Commissie heeft een voorstel tot wijziging van de huidige eIDAS-verordening gepubliceerd, waarvan de meest opvallende verandering de invoering van een Europese portemonnee voor digitale identiteit (EDIW) is. Met deze EDIW kunnen individuen gegevens voor identiteitsverificatie opslaan om deze vervolgens aan publieke en particuliere partijen te verstrekken, bijv. voor authenticatie of om gekwalificeerde handtekeningen/zegels te maken, zowel online als offline. Elke lidstaat is verplicht om ten minste één zo een EDIW aan te melden en de verwachting is dat er nog veel meer zullen toetreden tot deze markt.

Een groot probleem is dat diverse private partijen verplicht zijn om elke aangemelde EDIW die een gebruiker opgeeft te accepteren als een sterk authenticatiemiddel. Deze partijen hebben echter geen controle over de beveiliging van deze EDIW's, hun certificering, de certificeringsinstanties en hun accreditatie, of de daadwerkelijke uitgifte van deze EDIW's.

Wij concluderen dat zonder verdere wijzigingen het waarschijnlijk is dat private partijen zullen proberen te voorkomen dat EDIW's op grote schaal worden gebruikt, wat niet de bedoeling is van de EU.

We hebben twee voorstellen beschreven die volgens ons kunnen bijdragen aan een oplossing. Een daarvan is om EDIW's door meerdere systemen te laten certificeren en de verplichting te beperken die private partijen dwingt tot acceptatie van EDIW's met regelingen die verwijzen naar hun eigen registratie. Een ander voorstel is dat EDIW's verplichte attesteringen van identiteitsgegevens ondersteunen die niet alleen betrekking hebben op de houder, maar ook op het type EDIW en de individuele EDIW zoals die wordt ingezet, bijvoorbeeld op een mobiele telefoon. Dit zou het mogelijk maken om in de toekomst diensten te creëren die de veiligheid van organisatorische processen en hun betrouwbaarheid verder verbeteren.

1. KU Leuven heeft drie blogs gepubliceerd waarin de veranderingen worden samengevat: de eerste geeft een algemeen overzicht, de tweede richt zich op elektronische identificatie en gegevensbescherming, en de derde geeft een overzicht van de nieuwe vertrouwensdiensten in het voorstel 
2. Dit betekent dat elke lidstaat ten minste één EDIW moet goedkeuren voor gebruik binnen zijn rechtsgebied, en dat de Commissie voortdurend een actueel overzicht bijhoudt van alle EDIW's waarop de voorgestelde verordening van toepassing is, vergelijkbaar met het huidige dashboard voor aangemelde vertrouwensdiensten
3. Wanneer we een artikel vermelden (tussen vierkante haakjes, zoals [artikel 6 quater]), gaat het om een verwijzing naar een specifieke bepaling in het voorstel tot wijziging van de huidige eIDAS-verordening
4. De afgelopen decennia hebben grote accountantskantoren in Nederland laten zien dat een accreditatie niet noodzakelijkerwijs de solide garanties biedt die het publiek nodig heeft. Zie: Follow the Money - Voormalig KPMG-topvrouw: ‘De accountantssector wíl niet veranderen’ (2016)
5. Zie: Rechtsstaat: Commissie start inbreukprocedure (europa.eu)
6. Artikel 12 ter (2) luidt als volgt: "Indien particuliere vertrouwende partijen die diensten verlenen krachtens nationaal of Unierecht, sterke gebruikersauthenticatie voor online-identificatie moeten gebruiken, of indien sterke gebruikersauthenticatie vereist is op grond van een contractuele verbintenis, waaronder op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie, aanvaarden particuliere vertrouwende partijen ook het gebruik van Europese portemonnees voor digitale identiteit die overeenkomstig artikel 6 bis zijn afgegeven."
7. In het voorstel wordt de term ‘fraude’ uitsluitend gebruikt voor situaties waarin gebruikers moeten worden beschermd tegen ‘frauduleuze’ vertrouwende partijen. Hier verwijzen we naar organisaties die beschermd moeten worden tegen frauduleuze gebruikers en/of andere partijen
8. ISO 31000, ISO 27000 (en andere ISO-normen) definiëren risico als het "effect van onzekerheid op doelstellingen", waarbij een effect een positieve of negatieve afwijking is van wat wordt verwacht
9. ISO 31000 definieert ‘risicoprofiel’ als "een schriftelijke beschrijving van een reeks risico's". Een risicoprofiel onderzoekt (a) de aard en het niveau van de bedreigingen waarmee een organisatie wordt geconfronteerd; (b) de waarschijnlijkheid dat nadelige gevolgen zich voordoen; (c) de mate van verstoring en de kosten die gepaard gaan met elk type risico; en (d) de effectiviteit van de bestaande controles om deze risico's te beheren (bron: UK Health and Safety Executive)
10. Risico's zijn subjectief: wat een risico is voor de ene partij, is dat misschien niet voor een andere partij. Daarom is de perceptie van gebreken in een certificeringssysteem net zo subjectief: het hangt af van het risicoprofiel (en de risicobereidheid) van een partij
11. Verwacht wordt dat organisaties in staat zullen zijn om EDIW's te hebben
12. Uiteraard moet er ook een geschikte intrekkingsregeling worden toegepast
13. De auteurs kennen een voorbeeld van een dergelijk protocol dat ongeveer tien jaar geleden is ontwikkeld door RDW

Deel deze pagina

Beeldmerk PCSI
PCSI is een samenwerking van
    ABN-AMRO Achmea ASML Belastingdienst ING TNO