Digitaal vertrouwen is moeilijk te bereiken – Zijn gekwalificeerde vertrouwensdiensten een oplossing?
Een populair gezegde luidt: "Het duurt jaren om vertrouwen op te bouwen, seconden om het te beschadigen, en voor altijd om het te herstellen."
Hoewel ik het hier niet helemaal mee eens ben, is het idee niet verkeerd. In het echte leven wordt het vertrouwen tussen twee partijen in de loop van een bepaalde periode opgebouwd, afhankelijk van verschillende factoren. Heeft u zich ooit afgevraagd waarom u sommige mensen in eerste instantie meer en anderen minder vertrouwt, ook al heeft u ze nog nooit ontmoet? Er is een gecompliceerde reeks factoren die onze gedachten beïnvloeden: het uiterlijk van de persoon, het stemgeluid, de titel of de rang, enz. Vertrouwen wordt in de loop van de tijd opgebouwd, maar kan binnen enkele ogenblikken verloren gaan.
Dit vormt een probleem in de digitale wereld. De factoren waarop we vertrouwen om te beslissen of we iemand of iets moeten vertrouwen, zijn heel anders dan in de echte wereld. We kunnen niet oordelen op basis van het uiterlijk als we de ander niet zien, we kunnen niet oordelen op basis van het stemgeluid als we de ander niet horen, en titels en rangen zijn al bedrieglijk genoeg in de echte wereld. Online zijn we vaak gedwongen om binnen enkele seconden te beslissen of we een andere partij kunnen vertrouwen. Dit in tegenstelling tot het echte leven, waar we de tijd kunnen nemen om na te gaan of de andere partij echt te vertrouwen is. Het gebrek aan informatie waarop we normaal gesproken ons vertrouwen baseren en de druk om snel een beslissing te nemen, leidt vaak tot beoordelingsfouten. Die fouten kunnen aanzienlijk zijn – en duur. U kunt bijvoorbeeld het slachtoffer worden van een phishingaanval of een andere vorm van fraude, iets wat de afgelopen jaren als een zeer kritisch punt online naar voren is gekomen.
Afbeelding 1: Uit het rapport van Proofpoint uit 2019 "State of Phish". Hoewel we een lange weg hebben afgelegd om online voorzichtig te leren zijn, is phishing een steeds groter wordend probleem.
Introductie van eIDAS
De ernst van de vertrouwenskwestie is beleidsmakers en economen niet ontgaan. In een studie in 2011 stelde de Europese Unie vast dat een gebrek aan vertrouwen tussen handelaar en koper een van de belangrijkste factoren is die het succes van e-commerce in de weg staan. Er werden veel stappen ondernomen om dit probleem te verhelpen, waaronder de oprichting van de eenheid "eGovernment and Trust" en de daaropvolgende lancering van de verordening voor elektronische identificatie, authenticatie en vertrouwensdiensten (u vindt meer informatie over eIDAS in een vorige blog). eIDAS werd van kracht in juli 2016 en bestaat dus al wel een tijdje. Heeft het echt geholpen bij het oplossen van de problemen met digitaal vertrouwen?
Voordat we verdergaan met het analyseren van de implementatie van eIDAS is het belangrijk te vermelden dat ik de grote delen van de wereld waar eIDAS niet van toepassing is niet ben vergeten. Er zijn vele andere vertrouwensrichtlijnen over de hele wereld opgesteld, die van toepassing zijn op specifieke industrieën en landen. Een voorbeeld hiervan is de oprichting van het CA/Browser Forum voor openbare CA's – met inbegrip van GlobalSign – dat de uitgifte van publiek vertrouwde SSL/TLS-certificaten regelt. Een ander voorbeeld van regelgeving, die echter alleen van toepassing is op een bepaald land en niet op een wereldwijde industrie, is het Japanese Certification Authority Network (JCAN), dat een lijst van betrouwbare vertrouwensdiensten in Japan bijhoudt. We zullen later zien hoe de invoering van eIDAS deining heeft veroorzaakt in het wereldwijde netwerk van vertrouwensregelingen, maar laten we eerst eens kijken naar de initiële invoering van eIDAS.
Wat hebben we geleerd over vertrouwen sinds eIDAS?
In een rapport van eind 2017, gepubliceerd door het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA), wordt nader ingegaan op de wijze waarop eIDAS sinds zijn ontstaan in 2016 is ingevoerd. Is het na slechts één jaar met gekwalificeerde vertrouwensdiensten gemakkelijker geworden om het vertrouwen online te verifiëren? Het antwoord: dat is moeilijk te zeggen. 64% van de Trust Service Providers (TSP's) liet weliswaar weten dat ze van plan waren om Qualified Trust Service Providers (QTSP's) te worden. 90% van de kmo's en ondernemingen zag eIDAS ook als een kans om hun bedrijf te laten groeien. In het rapport worden echter ook enkele barrières gesignaleerd, met name het gebrek aan inzicht van burgers en bedrijven in wat vertrouwensdiensten zijn. Een ander probleem was het gebrek aan standaardisatie en een gebrek aan exacte technische en wettelijke specificaties rond vertrouwensdiensten. In combinatie met het feit dat er in veel landen nog steeds verschillende vertrouwensregelingen op nationaal niveau bestaan, worden de zaken verwarrend.
Aan de positieve kant is eIDAS op veel gebieden een belangrijke stap voorwaarts gebleken. eIDAS was in de eerste plaats bedoeld om rechtszekerheid te bieden daar waar de digitale transformatie de zaken aanzienlijk door elkaar zou schudden. Ervoor zorgen dat er een standaard voor elektronische handtekeningen is die hetzelfde niveau van vertrouwen zou geven als handtekeningen in inkt is een uitstekend voorbeeld, maar er zijn nog heel wat andere. Een ander voorbeeld is de authenticatie met gekwalificeerde certificaten waarmee burgers toegang krijgen tot overheidsdiensten die anders persoonlijk een aanvraag zouden moeten indienen, op een fysiek kantoor. eIDAS dient ook als basis voor andere regelgeving die gericht is op het invoeren van meer flexibiliteit in een verscheidenheid aan processen, zonder dat dit ten koste gaat van de veiligheid. Een voorbeeld hiervan is de herziene richtlijn inzake betalingsdiensten (PSD2), die het mogelijk maakt elektronische betalingen vlotter te verwerken en tegelijkertijd te regelen hoe de betrokken partijen worden geauthenticeerd.
Afbeelding 2: Populariteit van verschillende vertrouwensdiensten 1 jaar na de uitrol van eIDAS. Het is niet verwonderlijk dat gekwalificeerde handtekeningen, zegels en tijdstempels het meest populair zijn, omdat ze gemakkelijk te implementeren zijn in digitale transformatieprocessen.
Als u op dit moment buiten de Europese Unie bent, nauwelijks beïnvloed door eIDAS, en u bent nog steeds aan het lezen: ik waardeer uw nieuwsgierigheid en die zal worden beloond. Eerder heb ik al gezegd dat we ook gaan kijken naar de impact die eIDAS buiten de Europese Unie heeft gehad. In een recent rapport van het ETSI werd eIDAS vergeleken met andere vertrouwensregelingen in de wereld. Enkele conclusies:
- Hoewel eIDAS een aantal goede aanknopingspunten biedt met betrekking tot de best practices, het toezicht en de controle, moet het bij de komende herziening in 2020 worden herbekeken en bijgesteld.
- eIDAS moet meer worden gepromoot, maar moet ook andere, reeds bestaande vertrouwensrichtlijnen in acht nemen en nauwkeurig nagaan waar deze oplossingen kunnen bieden voor sommige problemen die door eIDAS nog niet zijn opgelost.
- ETSI-normen op basis van eIDAS kunnen internationaal dienen als model voor de technische implementatie van elektronische handtekeningen met een hoge mate van zekerheid. Zodra de internationale vertrouwensregelingen aan deze technische normen zijn aangepast, kunnen ze via de EU Trust List worden toegevoegd door middel van overbruggingscertificaten of soortgelijke middelen.
Het probleem van het digitale vertrouwen is met eIDAS dus nog niet helemaal opgelost, maar het maakt veel processen wel sneller, comfortabeler en toegankelijker. En dat is een goede zaak, toch? Voor ieder van ons: De accountant, die zijn facturen veel sneller kan verwerken. De oudere dame, die haar nieuwe paspoort online kan aanvragen. En de enthousiaste jonge ondernemer die nu een bedrijf in Duitsland kan starten terwijl hij op afstand werkt vanuit de VS.
Daarom hebben we bij GlobalSign hard gewerkt om veel gekwalificeerde vertrouwensdiensten te kunnen leveren: gekwalificeerde certificaten voor elektronische handtekeningen en zegels, gekwalificeerde tijdstempels, gekwalificeerde website-authenticatiecertificaten (QWAC's) en aanpassingen van zegels en QWAC's die ook voldoen aan de eisen van PSD2. Lees meer op onze website.