NIS2: overheid, practice what you preach

NIS2 PKIpartners

Eigenlijk zegt de visual álles. NIS2 is hot. Niet voor niets zien we dit onderwerp meer in de media voorbijkomen. Dit niet te missen thema gaat niet alleen effect op de betrokken professionals, maar ook op de beroepsverenigingen krijgen. 

Weerbare digitale overheid

Omdat we bij PKIpartners graag vóór de muziek uitlopen, volgen we regelmatig online webinars over bovenstaand onderwerp en aanverwante thematieken. Zo bekijk je in deze video wat de impact van NIS2 op jouw organisatie is en vind je hier veel van hetgeen je moet weten over NIS2 -NCTV. 

Korte samenvatting?  


Graag wijzen we je op de website weerbaredigitaleoverheid.nl, waar je allerlei interessante sessies kunt volgen. Heb je daar geen tijd voor? Of wil je graag een korte recap van de voor jou belangrijke zaken? Neem dan even contact met ons op. We praten je graag inhoudelijk bij over de voor jouw relevante zaken. We kijken uit naar je bericht! 

Verslag congres Post-Quantum Cryptography

PKI Consortium PKIpartners

Op het congres Post-Quantum Cryptography, waar we op 7 en 8 november jl. in Amsterdam aanwezig waren, hoorden we interessante kost.  

Er werd door diverse inspirerende sprekers stilgestaan bij Quantum Computing. En ook bij wat de effecten zijn op het beveiligen van verbindingen en apparaten (van telefoons en treinen tot satellieten). Wij als toehoorders kregen een interessant kijkje in de (nabije!) toekomst en dit vergezicht was slechts een deel van hetgeen we leerden tijdens deze twee dagen. 

Omdat het bijna onmogelijk is om hetgeen op deze dag gezegd is op een juiste manier kort samen te vatten, delen we deze video waar je de opening van het congres kunt bekijken. Dat geeft een beeld van het niveau dat er, zonder uitzondering, gehanteerd werd door door een flinke hoeveelheid internationale sprekers. Vanuit de hele wereld waren er mensen aanwezig, een totaal van maar liefst 1200 online en 250 fysiek in de zaal.    

Er worden zeer veel bijeenkomsten georganiseerd op het gebied van security, privacy, informatieveiligheid en niet in de laatste plaats over informatiebeschikbaarheid. Veel ervan hebben we bezocht. Maar aan al die bijeenkomsten, congressen en seminars zat altijd een commerciële of politieke kant of een andersoortig, niet-belangeloos aspect. 

Post-Quantum Cryptography: belangeloos in woord en daad

Dit congres was kosteloos voor de aanwezigen: het werd bekostigd door de industrie, wetenschap, onderzoeksinstituten en Nederlandse overheidsdienstverleners. 

Logius (het PKIoverheid deel) was prominent aanwezig in de rol van co-gastheer, maar duidelijk zonder “wij van de overheid”. Ze organiseerden dit mede omdat men het belang van dialoog en netwerken onderstreept. En niet in alleen in woord, maar ook in daad. Andere sprekers waren van onder andere TNO, Centrum Wiskunde & Informatica (CWI), Rijksinspectie Digitale Infrastructuur, Entrust, Utimaco, Thales, Qualcomm, NIST, Banco Santander, D-Trust, Bundesamt für Sicherheit in der Informationstechnik (BSI), L’Agence nationale de la sécurité des systèmes d’information (ANSSI), NXP, Cloudflare, Accenture, Primekey en nog vele anderen.

Wat is Quantum computing? 

Quantumcomputers zijn krachtige computers die gebruikmaken van principes uit de kwantummechanica, een tak van de natuurkunde. In tegenstelling tot klassieke computers die bits gebruiken (0 of 1), maken kwantumcomputers gebruik van kwantumbits of qubits, die tegelijkertijd 0 en 1 kunnen zijn. Deze eigenschap stelt kwantumcomputers in staat om complexe berekeningen veel sneller uit te voeren dan traditionele computers. Ze hebben het potentieel om problemen op te lossen die voor klassieke computers onpraktisch of onmogelijk zijn, zoals het kraken van bepaalde vormen van cryptografie. Hoewel kwantumcomputers nog in ontwikkeling zijn, vertegenwoordigen ze een spannende nieuwe benadering van informatieverwerking. 

Wat is post-quantumcryptografie? 

Post-quantumcryptografie is als het ontwikkelen van nieuwe sloten die zelfs tegen supersnelle inbrekers met toekomstige, zeer krachtige computers bestand zijn. Het gaat om het bedenken van geheime codes die niet kunnen worden gekraakt door de rekenkracht van kwantumcomputers. Dit is belangrijk omdat kwantumcomputers bestaande beveiligingsmethoden kunnen ondermijnen. Het doel is ervoor te zorgen dat onze digitale gegevens veilig blijven, zelfs als kwantumcomputers in de toekomst realiteit worden. Post-quantumcryptografie is als het toekomstbestendig maken van onze digitale sleutels en sloten. 

Voor ons als PKIpartners heeft het opdoen van deze kennis maar één doel. Namelijk om het weer te delen. 

Post-Quantum Cryptography: de link met PKIpartners 

Quantum Computing, dat als geavanceerd vakgebied binnen de informatica de principes van de kwantummechanica gebruikt om bepaalde soorten berekeningen veel efficiënter uit te voeren dan klassieke computers, gaat impact maken op de hele wereld. Ook op het gebied van certificaten. Daarom volgen we de ontwikkelingen nauwgezet én houden we je op de hoogte.  

Dit artikel is alvast bedoeld als bewustworder. Je kunt de term maar een keer gehoord hebben. Heb je in tussentijd vragen? Neem dan contact met ons op, dan praten we je bij over de voor jou relevante ins en outs.  

‘Nederland was klaar voor de digitale rijbewijsfoto’, Ron Tuinenburg en Bob Willems, oprichters de Pasfoto-organisatie

Ron-Tuinenburg-de-Pasfoto-organisatie-PKIpartners-

Ron Tuinenburg, oprichter de Pasfoto-organisatie  

Al 1,6 miljoen digitale pasfoto’s hebben ze gemaakt voor hun klanten binnen de diverse marktsegmenten. Ontmoet de mannen achter de Pasfoto-organisatie, een bedrijf dat via meer dan duizend (!) locaties in Nederland veilig, snel én online, digitale pasfoto’s levert van medewerkers, leden, supporters of burgers. In dit artikel staan we stil bij de pasfoto voor het rijbewijs wanneer mensen dit online verlengen. Omdat ook de Pasfoto-organisatie, net als PKIpartners, volop te maken heeft met online (rechts)zekerheid en alles wat daarmee samenhangt, geven we ze graag een welverdiend podium in onze PKIupdate van deze maand.   

Bob Willems, oprichter de Pasfoto-organisatie 

Bob Willems, oprichter de Pasfoto-organisatie  

Digitale pasfoto’s voor verschillende doeleinden  

Bob Willems vertelt: ‘Wat we in basis doen is het volgende. We maken en leveren digitale pasfoto’s voor verschillende doeleinden. Dat kan gaan om een pasfoto voor de verlenging of vernieuwing van een rijbewijs, een pasfoto voor een seizoenkaart of een medewerkerspasfoto voor een pas die toegang tot het bedrijfspand van grote corporate organisaties geeft.’  

Gouvernementeel id: een toekomst vol groei  

Ron Tuinenburg vult aan: ‘Onze dienstverlening is ontstaan vanuit het verleden waarin we grote Nederlandse, commerciële bedrijven als klant hadden. Omdat we niet tevreden waren over onze schaalbaarheid, zijn we ons op de documenten gaan richten die uitgegeven worden door de overheid. Denk dan aan paspoorten, rijbewijzen en identiteitskaarten. Dat is inmiddels alweer zo’n 10 jaar geleden. Door onze focus te verleggen van commercie naar overheid, dus naar gouvernementeel id, hebben we onszelf in staat gesteld om stevig te groeien. Binnen dat werkveld worden immers structureel veel pasfoto’s gemaakt op jaarbasis.’  

De overeenkomst: digitale veiligheid  

‘De overeenkomst met PKIpartners is helder: ons raakvlak gaat vooral over digitale (rechts)zekerheid & veiligheid. Want met het digitaal aanleveren van pasfoto’s heb je daar ook mee te maken; het is een stuk veiliger dan de papieren versies waar nog altijd mee gewerkt wordt’, vervolgt Ron. ‘Verder hebben we, net als dat bij PKIpartners het geval is, te maken met een hoge mate van (rechts)zekerheid & security. Kijkend naar Security: we zijn nu met een grote stap bezig om alle pasfotomakers te laten inloggen in onze applicatie op eIDAS-niveau. En ook dat gebeurt met certificaten. Onze historie met Ton, de oprichter en eigenaar van PKIpartners, gaat al ver terug. In het verleden hebben we diverse projecten samen opgepakt.  

Digitale verzending naar overheid  

Bob: ‘Binnen ons aanbod blijft de rol van de bekende pasfotograaf overigens hetzelfde als voorheen, met dat verschil dat de foto niet meer geprint wordt, maar digitaal verzonden naar de RDW. In de digitale keten zijn uiteraard een aantal belangrijke checks ingebouwd die garanderen dat de persoon op de foto ook écht de persoon is die aangeeft dit te zijn. Wanneer er bepaalde informatie onjuist is, dan kan deze persoon zijn rijbewijs en hopelijk in de toekomst de identiteitskaart dus ook niet online verlengen. Kortom, de veiligheid van de Nederlandse burger wordt door deze aanpak verder vergroot. En datzelfde geldt voor de medewerker van Burgerzaken: hij of zij is immers niet meer chantabel.’  

Positieve user experience burger vergroot  

Ron: ‘De positieve user experience voor de burger is bovendien een stuk toegenomen, want nu voorkom je situaties waarin een pasfoto op het gemeentehuis wordt afgekeurd waarna de burger opnieuw de gang naar de fotograaf moet maken. En door deze digitaliseringsslag is de security veel beter, ook omdat de foto op het document in kwaliteit toegenomen is.’ ‘Klopt’, vult Bob aan, ‘het is immers geen subjectieve beoordeling van een persoon meer die bepaalt of een foto voldoet, maar dit wordt onafhankelijk en steeds op exact dezelfde manier vastgesteld door een systeem dat vanuit enen en nullen werkt.’  

Eindeloos geduld, bergen energie én veel doorzettingsvermogen  

Bob vervolgt: ‘Dat we nu staan waar we staan maakt ons gepast trots, want het heeft veel tijd, energie én inbreng van kwaliteit gekost om zover te komen. Want werken met de overheid is niet alleen prettig en interessant vanwege de enorme groeimogelijkheden, het is ook een wereld vol bureaucratie waarin je soms eindeloos geduldig moet zijn en tegelijkertijd veel doorzettingsvermogen aan de dag moet leggen. Dat we, zonder externe investeerders te betrekken, nu op dit punt gekomen zijn is heel mooi.’  

Innovatie loont en de aanhouder wint  

‘Naar de toekomst toe zien we volop kansen voor andere overheidsdocumenten, zoals paspoorten of identiteitskaarten. Want wat met een rijbewijs kan, kan uiteindelijk ook met overige documenten’, besluit Ron. ‘En als je dan beseft dat er op dit moment al meer dan 90% van de Nederlandse gemeentes aangesloten zijn, dan kún je niet anders dan constateren dat de toekomst van de Pasfoto-organisatie er hoopvol uitziet.’  

Verregaande digitalisering: de mens tussen afhankelijkheid en bewuste keuzes in. 

verregaande digitalisering: de mens tussen afhankelijkheid en bewuste keuzes in.

In de snel evoluerende digitale wereld van vandaag is er een opmerkelijke trend die niet te missen is: nagenoeg alles wordt gedigitaliseerd. Van onze dagelijkse communicatie en entertainment tot onze transportmiddelen en zelfs onze huizen: alles lijkt verbonden te zijn met het wereldwijde web. Maar wat betekent dit voor ons als individuen en als samenleving? Is de digitale revolutie een zegen of brengt ze ons in een staat van een afhankelijkheid waar we ons nog niet volledig bewust van zijn? 

VanMoof: een sprekend voorbeeld 

Een voorbeeld dat de kwetsbaarheid van deze digitale afhankelijkheid illustreert, is het verhaal van fietsenfabrikant VanMoof. Deze fabrikant biedt ‘slimme’ fietsen aan, die via de smartphone kunnen worden vergrendeld en ontgrendeld. Klinkt handig, toch? Maar hier schuilt een diepere kwestie: om deze functie te gebruiken, ben je afhankelijk van de smartphone die gekoppeld is aan de fiets ie weer gekoppeld is aan de certificaatservers van VanMoof. Wat als die servers falen, worden gehackt of als het bedrijf, zoals nu gebeurd is, het bedrijf bijna failliet ging. Plotseling kunnen gebruikers van deze ‘slimme’ fietsen zich buitengesloten voelen van hun eigen vervoermiddel. En in het ergste geval ís dat ook zo: want het ontgrendelen van deze fietsen werkt via de certificaatservers van VanMoof of aanverwanten. Dit brengt ons bij de kern van het digitaliseringsdebat: beseffen mensen wel echt wat er met hun gegevens en digitale afhankelijkheden gebeurt? 

Al filosoferend: hoe afhankelijk zijn we van certificaten geworden? 

Het is essentieel om te begrijpen dat digitalisering niet slecht is. Het heeft ons leven op talloze manieren verbeterd, van efficiëntere communicatie tot toegang tot ongekende hoeveelheden informatie. Slimme huishoudelijke apparaten kunnen ons leven gemakkelijker maken, maar we moeten ons bewust zijn van de implicaties. Als we onze huizen volproppen met slimme apparaten, van thermostaten tot koelkasten, creëren we een omgeving die afhankelijk is van een constant functionerend digitaal ecosysteem. Dit kan geweldig zijn, zolang alles goed gaat. Maar wat als er een storing is, een beveiligingslek of zelfs een aanval door kwaadwillende hackers? 

Grote innovaties gaan gepaard met grote maatschappelijke veranderingen  

In het geval van digitalisering is het van essentieel belang dat we niet alleen accepteren wat er gebeurt, maar ook dat we bewuste keuzes maken en scherp blijven.  

Graag geven we je enkele overwegingen mee:  

Informatiebewustzijn: we moeten ons bewust zijn van welke informatie we delen en met wie. Bedrijven en platforms verzamelen vaak gegevens over ons gedrag en gebruiken deze voor uiteenlopende doeleinden. Het is aan ons om te begrijpen wat er met onze gegevens gebeurt en welke invloed dit kan hebben op ons leven. 

Digitale hygiëne: net zoals we fysieke hygiëne belangrijk vinden, is het onmisbaar om aandacht te besteden aan onze digitale hygiëne. Sterke wachtwoorden, regelmatige software-updates en antivirusprogramma’s kunnen ons beschermen tegen digitale bedreigingen. 

Alternatieven overwegen: we nodigen je uit om na te denken over alternatieve oplossingen voor digitale afhankelijkheden. Als een slimme thermostaat essentieel is geworden in ons huis, moeten we ook nadenken over wat we zouden doen als deze plotseling niet meer werkt. En over wat de oorzaak is van het niet meer werken. Heb je een alternatief achter de hand of kun je bij voorbaat een slimmere keuze maken?  

Educatie en regulering: in de ideale wereld besteden overheden en onderwijsinstellingen veel meer aandacht besteden aan digitale geletterdheid en de ethiek van technologie. Daarnaast is regulering nodig om ervoor te zorgen dat bedrijven verantwoord omgaan met onze gegevens en digitale afhankelijkheden. 

Kortom, digitalisering is een onvermijdelijke kracht in onze moderne samenleving, maar we mogen niet nalaten om zélf kritisch na te (blijven!) denken over de gevolgen ervan. Het is van vitaal belang dat we in regie blijven over ons digitale leven, bewuste keuzes maken en ons überhaupt bewust zijn van de risico’s. Alleen dan kunnen we de vruchten plukken van deze digitale revolutie zonder onszelf volledig over te leveren aan de grillen van het huidige én volgende digitale tijdperk. 

Even door filosoferen? Graag! 

 

Beste CISO, hoe heb jij je vakantievervanging geregeld? 

CISO PKIpartners

Nu het nog altijd volop vakantieperiode is, ontvangen we door de dag heen meerdere afwezigheidsmeldingen vanuit e-mailprogramma’s.
Je kent ze wel, de standaard out-of-office replies die er ongeveer zo uitzien:

Beste relatie,

Ik ben van-dan-tot-dan afwezig. Voor dringende zaken kunt u contact opnemen met mijn collega die-en-die.

Met vriendelijke groet,
Die-en-die

Geen probleem, je stuurt een mail naar de betreffende collega. En wat schetst je verbazing? Je krijgt het volgende antwoord van de collega die die-en-die vervangt.

Beste relatie, 

Dank voor je bericht. Helaas kan ik je mail niet lezen, ik ben met vakantie van 24 juli tot en met 11 augustus. Als ik weer aan het werk ben zal ik je mail zo snel mogelijk beantwoorden. (en als het echt bont gemaakt wordt; dan wordt er terugverwezen naar de eerste die-en-die).

Met vriendelijke groet,
De andere die-en-die

Nu zal het in veel gevallen niet zo erg zijn dat een mail niet direct opgevolgd wordt en je niet meteen een antwoord krijgt.

Maar in sommige gevallen, zeker wanneer je spreekt over certificaat vernieuwing, kan het antwoord niet te lang wachten.

  • Geen week.
  • En al zeker geen twee weken of langer.
  • Want het verlopen vindt plaats; net als het verlopen van een identiteitsbewijs.
    Het is er nog wel; het is alleen niet meer te gebruiken.
  • En net als met het vernieuwen van een identiteitsbewijs, is er sprake van een doorlooptijd met vaak afhankelijkheden van medewerkers bij leveranciers die je applicatie(s) beheren.

 

Alles draait om bewustzijn

Uiteindelijk gaat het, ook met dit soort verantwoordelijkheden, om bewustzijn. Om bewust met je vak bezig zijn en nadenken over hoe het certificaatbeheer binnen jouw organisatie verloopt als je zelf enige tijd afwezig bent.

Er zijn voorbeelden van gemeentes bekend waar geen legitimatiebewijzen meer konden worden aangevraagd door burgers omdat het betreffende website-certificaat niet op tijd verlengd was.

Dit kennen we ook maar al te goed met de SBR-certificaten voor de koppeling met Digipoort of de beroepsgebonden certificaten voor notariaat. Als die laatste niet tjdig vernieuwd is kan het zelfs zover gaan dat er niet aan een wettelijke termijn voor mutaties Kamer van Koophandel of Kadaster kan worden voldaan.

Heb je niet in beeld hoe dit binnen jouw organisatie is geregeld? Wil je dit goed regelen maar weer je niet goed waar te beginnen? Neem contact met ons op.

We hebben al veel bedrijven, organisaties, gemeentes en andere (semi)-overheden geholpen met het borgen van hun certificaatbeheer, -aanvragen en – verlengingen.

En we beloven je één ding: dat gaat heel wat verder dan nadenken of de persoon die je vervangt tijdens je vakantie, niet zelf afwezig is.

‘PKIpartners heeft voor ons hét verschil gemaakt’, Walter Hart, Managing Partner bij EP&C Patent Attorneys

Walter-Hart-EPC-Patent-Attorneys-vertelt-op-PKIpartners

‘Octrooien worden verleend door de overheid. Dat is een ingewikkeld proces, daarom leggen bedrijven dat graag in handen bij bedrijven zoals wij dat zijn.’

Aan het woord is Walter Hart, Managing Partner bij EP&C Patent Attorneys, een toonaangevend octrooibureau dat werkt aan intellectueel eigendom.

De betrokken octrooigemachtigden helpen innovatieve ondernemers met het beheer van hun intellectueel eigendom. Dat bestaat niet alleen uit een octrooiaanvraag of modelbescherming, maar ook uit het bewaken van rechten, het afhandelen van beschuldigingen van inbreuk en het meedenken over innovaties.

Dit doet een octrooigemachtigde

‘Een octrooigemachtigde, zoals ik dat ook ben, is iemand die technisch geschoold is: het gros van onze collega’s heeft aan de TU gestudeerd. Tegelijkertijd is het ook een juridisch vak.

Wanneer je in dit vak begint dan start je vanuit de technische invalshoek, waarna je een opleiding volgt die ongeveer vijf jaar duurt. Daarin word je omgevormd tot een hybride professional die zowel juridisch als technisch onderlegd is. In de praktijk betekent dit dat we het octrooirecht beheersen, maar ook aanverwante rechtsgebieden zoals model-, auteurs- en merkenrecht.

Ook algemene rechtsgebieden, zoals verbintenissenrecht en internationaal privaatrecht behoren tot ons kennisgebied.

Maar in de basis zijn we de technisch ingenieur die inhoudelijk op het niveau van de uitvinder mee kan praten over technologie en daarmee een octrooizaak van A tot Z kan behandelen.

Ons vak overlapt, op het gebied van advisering, wel een beetje met dat van octrooiadvocaat. Het leuke van ons werk is onder meer dat het zo afwisselend is: de ene dag ben je bezig met een octrooi voor koffiecapsules, de dag erop met een zaak rondom windturbines op zee ‘, aldus Walter.

 

Over de samenwerking met PKIpartners

Er komt een enorme verandering in ons vak aan, want vanaf 1 juni is het Unified Patent Court (UPC) actief geworden. Deze Europese rechtbank is ingesteld om inbreukproblemen tussen bedrijven op te lossen.

Waar dat nu nog nationaal gebeurt (en je dus per land naar de betrokken rechtbank gaat) wordt dat straks via één rechtbank internationaal geregeld.

Ik durf te stellen dat dit de grootse verandering in 50 jaar is in onze branche. Deze nieuwe rechtbank brengt ook een nieuwe digitale werkwijze met zich mee. En daar kwam PKIpartners in beeld, want om gebruik te kunnen maken van het nieuwe systeem moet je een strikte en nogal complexe registratieprocedure volgen.

Met een pas van een leverancier, speciale kaartlezers en met bepaalde software die bovendien naadloos geïntegreerd moest worden in je bestaande IT-systemen. Kortom, dat was nogal ingewikkeld, mede omdat het UPC onjuiste instructies over de aanpak van deze procedure verstrekte.

Het verliep nogal problematisch allemaal en we hadden iemand nodig die precies wist hoe het zat: vandaar dat we de hulp van PKIpartners hebben ingeroepen. Wij niet alleen overigens, want de samenwerking met hen was zó prettig dat ik ze ook aan andere kantoren, waaronder ook de concurrerende, heb doorgegeven.

De verhoudingen onderling zijn redelijk goed en uiteindelijk doe je het toch samen. Wat bovendien opviel aan PKIpartners was dat men heel persoonlijk te werk ging en erg goed bereikbaar was.

Tijdens onze zoektocht naar een partij die dit voor ons kon regelen hebben we ook andere partijen benaderd. Sommigen namen niet eens hun telefoon op. Toen ik online een advertentie van PKI tegenkwam en ik allerhartelijkst werd verwelkomd én men bovendien diepgaande kennis van zaken bleek te hebben, was ik al gauw overtuigd.’

‘Naast het eenmalig registreren werd ook van ons verwacht dat we onze in te dienen verklaringen rechtsgeldig elektronisch konden ondertekenen.

Ook dat was onbekend gebied voor ons. Deze nieuwe werkwijze moest in een korte tijd opgezet, geleerd en geïmplementeerd worden in onze organisatie en ook daar heeft PKIpartners ons fantastisch bij geholpen. We zijn inmiddels druk bezig met het indienen van alle verklaringen.’

 

PKIpartners leerde ons de juiste taal

‘Als ik de samenwerking in drie woorden samenvat dan denk ik aan termen als: kundig, snel en servicegericht. Met andere partners is het soms lastig omdat we elkaars taal niet spreken, maar in dit geval was het juist andersom.
PKIpartners, en voor mij en mijn collega’s was dat vooral via mijn contact met Ton Oosterwijk, sprak niet alleen onze taal. Het ging verder: men legde uit welke taal we überhaupt moesten willen spreken op dit vlak.

Zo was het digitaal ondertekenen van een document, in dit geval met eIDAS*, voor ons compleet nieuw. Maar nu weten we van de hoed en de rand en zijn we, ook op dit vlak, een goede gesprekspartners. Anderen die een partner zoeken op dit vlak raad ik zeker aan om contact met PKIpartners op te nemen.’

 

*Van de redactie: het UPC stelde als eis dat het inloggen in het Case Management System op basis van een persoonlijk op naam &  beroepsgebonden certificaat moest zijn wat op een token (smartcard/USB stick) moet staan. En dat de documentatie op basis van gekwalificeerde elektronische handtekening moest staan met de zichtbare vermelding van het beroep “octrooigemachtigde”.