Overheid werkt identiteitsfraude in de hand:
"Vraagtekens bij veilig
09/11/2008 20:55
Stichting Onderneem Duurzaam
Weert - Dhr. W. Kamminga, veiligheidsexpert op het gebied van digitale gegevensverwerking zet grote vraagtekens bij de bescherming van de persoonsgegevens en daarmee de medische gegevens op de manier waarop de overheid nu het Elektronisch Patiëntendossier (EPN) wil invoeren. "De wijze waarop de medische wereld met het 'geheime' medische dossier gaat communiceren is door derden ongetwijfeld te kraken. Het wordt dezelfde ramp als met de OV-chipkaart of met de veiligheid van creditcards en bankkaarten. Het is namelijk de oude manier om veel gegevens van de houder via de kaart over het net te sturen en zo toegang te krijgen. Gegevens worden te pas en te onpas over het net verstuurd en zijn daarmee door criminelen te kapen en te misbruiken. Ik waarschuw de overheid hier al jaren voor, maar niemand luistert." Kamminga is directeur van het bedrijf LEGID bv (Legal Identity) dat zich als enige toelegt op het voorkomen van digitale identiteitsfraude.
Systeem voorhanden
Kamminga heeft samen met collega Jaap Bril en de TU Eindhoven een systeem ontwikkeld dat het mogelijk maakt te bewijzen dat jij jij bent, ongeacht voor welk elektronisch slot je staat en zonder dat er via het Internet privacy gevoelige gegevens uitgewisseld worden. Er wordt slechts een vraag gesteld om een elektronische sleutel voor het betreffende slot te krijgen en bij autorisatie wordt deze sleutel zodanig elektronisch versleuteld dat uitsluitend de aanvrager deze sleutel kan uitpakken. "Eigenlijk is het simpel! We zorgen er voor dat er geen gegevens over het Internet gaan die het hacken waard zijn. Het hacken kunnen we toch niet uitsluiten", aldus Kamminga, algemeen directeur van LEGID.
LEGID maakt daarvoor gebruik van een smartcard met daarop een processor en voorzien van PKI-Overheid certificaten. De betreffende kaart kun je aanvragen bij het zusterbedrijf ESG, de electronische signatuur. Dit bedrijf is een Certified Service Provider onder PKI-Overheid en registreert de kaart en de certificaten op de persoon. "Door de gebruiker zelf een pincode tussen 6 en 16 cijfers te laten verzinnen wordt daarmee de kaart een persoonlijke kaart, die je conform de wet moet behandelen als zijnde je paspoort. Bij gebruik van de kaart wordt deze en de persoon online gevalideerd bij een door de Overheid gecertificeerd Trustcentrum."
Om de sleutel uit te kunnen pakken (de gevraagde dienst te krijgen) wordt naar de persoonlijke pincode gevraagd! Fraude bij transacties is alleen dan mogelijk als je doelbewust jouw pincode hebt afgestaan.
Het systeem is uitgebreid getest op hackbaarheid bij de Universiteit van Aken. Met de huidige technologische ontwikkelingen is dat nog niet mogelijk gebleken.
Bewustwording
Volgens Kamminga begint er "gelukkig bewustwording te ontstaan, ook binnen de Overheid, om iets aan de digitale fraude te doen. Een van de mogelijkheden is om met dezelfde kaart en een extra certificaat een rechtsgeldige digitale handtekening te zetten onder digitale documenten. De Overheid stimuleert het gebruik daarvan bijvoorbeeld door het gebruik van E-factuur, de elektronische factuur met een PKI-Overheid handtekening. Maar ook bij belastingaangiftes zal door de Belastingdienst steeds meer verplicht worden onder DigiD de PKI-Overheid handtekening te gebruiken.
Ook het verzegelen van websites behoort inmiddels ook tot mogelijkheden door het gebruik van de LEGIDkaart. Het kopiëren dan wel namaken van de Website door derden, is dan niet meer mogelijk!
Infosecurity
Het systeem (kaart en kaarthouder) is geregistreerd onder de naam MijnDing(R) en zal met al zijn mogelijkheden in de stand van ESG/LEGID gepresenteerd worden op de beurs Infosecurity die op woensdag 12 en 13 november in Utrecht wordt gehouden.
http://www.legid.eu