PKI-certificaten: hoeveel digitale ramen en deuren heb jij?

pki-partners-ton oosterwijk-oprichter-eigenaar

De Baseline Informatiebeveiliging Overheid (BIO) verplicht lokale overheden tot het gebruik van PKI-certificaten. Die bieden bij het uitwisselen van vertrouwelijke informatie het hoogste niveau van betrouwbaarheid. “Maar ze staan ook garant voor stress, kommer, kwel en ellende”, waarschuwt Ton Oosterwijk, directeur van PKIpartners. Hoe voorkom je dat verlopen certificaten processen verstoren?

De Informatiebeveiligingsdienst IBD schetst in zijn ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023-2024’ een naar eigen zeggen ‘somber beeld’. Zo ontvangt de dienst steeds meer meldingen van de gijzeling van gemeentelijke processen door ransomware.

Betaalt een gemeente het losgeld niet? Dan aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.

Ook constateert de dienst dat ketens steeds verder uit het zicht raken, en daardoor ook de risico’s die horen bij de uitbesteding van taken. “Gemeenten zijn in de afgelopen twee jaar regelmatig geconfronteerd met incidenten die ontstaan zijn bij derden, waarbij de gevolgen in de eigen gemeente merkbaar waren.” Een gevolg kan zijn dat de uitgifte van paspoorten of de betaling van uitkeringen vertraging oploopt.

 

Digitale paspoorten

De Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) zijn het ‘vertrekpunt’ voor gemeenten die hun cyberweerbaarheid willen vergroten.
Voor een veilige uitwisseling van gegevens tussen computers stelt de BIO onder andere het gebruik van PKI-certificaten verplicht. De aanstaande BIO 2.0 heeft het dan over Organization Validated-certificaten voor openbaar webverkeer van gevoelige gegevens, en over vertrouwde OV-certificaten of private PKIoverheid-certificaten bij intern webverkeer van gevoelige gegevens.

Een Public Key Infrastructure-certificaat werkt als een digitaal paspoort waarmee de identiteit van een persoon, organisatie of apparaat is te verifiëren en de vertrouwelijkheid en integriteit van gegevens zijn te waarborgen.

Het maakt daarvoor gebruik van een asymmetrisch cryptografisch systeem met een publieke en een private sleutel. Iedereen kan met de publieke sleutel gegevens versleutelen, maar alleen de eigenaar van het certificaat heeft de private sleutel voor het weer ontsleutelen van de gegevens.

“PKI-certificaten bieden het hoogste niveau van betrouwbaarheid en zorgen daarmee voor een rechtszekere digitale maatschappij”, stelt Oosterwijk. Een PKI-certificaat wordt onder gecertificeerde omstandigheden uitgegeven door een Certificate Authority (CA). Voordat het certificaat wordt uitgegeven, verifieert deze betrouwbare derde partij de identiteit van de aanvrager van het certificaat aan de hand van een gecertificeerd proces. “In Nederland is KPN de absolute marktleider met een zeer lange geschiedenis als CA voor de lokale overheid.”

 

85 digitale deuren en ramen

Er is volgens Oosterwijk wel een grote ‘maar’: het beheer van een certificaatlandschap kan een behoorlijk uitdaging zijn. En zorgen voor ‘stress, kommer, kwel en ellende’. “PKI-certificaten zijn beperkt geldig, en kunnen binnen een IT-infrastructuur op één maar ook op veertig plekken staan.” Denk dan aan servercertificaten, beroepscertificaten of persoonlijke certificaten. “Soms worden die beheerd door eigen mensen, en soms door externen.”

Het is dan volgens Oosterwijk lastig om het overzicht te behouden. “Ik kom gemeenten tegen die wel 85 ‘digitale deuren en ramen’ hebben. Oftewel 85 certificaten waar de gemeentenaam in staat, zonder dat ze dat zelf weten. Maar cybercriminelen weten precies hoe ze een certificaatlandschap in kaart moeten brengen. Daar auditen ze op.”

Als een certificaat ongemerkt verloopt of om een andere reden niet meer voldoet, kunnen de gevolgen aanzienlijk zijn. Oosterwijk: “Certificaten zijn onderdeel van een vitale infrastructuur. Als de paspoortverbinding door een verlopen certificaat eruit ligt en burgers geen paspoort kunnen aanvragen, staat Nieuwsuur dezelfde dag nog op de stoep. De ophef is dan groot. Dat is precies wat een slecht beheer van certificaten teweeg kan brengen.”

 

KPN en PKIpartners: gezamenlijke kennisdeling wérkt.

Certificatenboekhouding 

“Lokale overheden zijn op zoek naar zekerheden, en hebben de hulp nodig van betrouwbare partners”, weet Gert Heyblom, Commercial Product Manager Identity bij KPN Security. “KPN biedt die zekerheid en betrouwbaarheid. En als ‘voorkeursagent lokale overheid’ van KPN kan PKIpartners lokale overheden helpen bij het beheer van het complete certificaatlandschap.”

“Nog te vaak worden hier geautomatiseerde processen voor bedacht”, stelt Oosterwijk. In de praktijk werken die vaak niet. “Mailtjes over het verlengen van certificaten komen bijvoorbeeld aan bij mensen die niet meer werkzaam zijn binnen de organisatie of een andere functie hebben gekregen. Maar iemand moet het wel oppakken. Die certificaten verlopen, en vervolgens kunnen burgers geen paspoorten aanvragen.”

PKIpartners pakt de zaken daarom anders aan. Oosterwijk: “Als bijvoorbeeld een applicatiemanager een certificaat nodig heeft, vragen wij dat aan bij KPN en registreren het certificaat in ons boekhoudsysteem. We houden bijvoorbeeld bij welk certificaat op welke digitale applicatie zit, wie de applicatiebeheerder is, onder welk telefoonnummer die beheerder is te bereiken en naar wie we moeten escaleren als het certificaat gaat verlopen. Die informatie houden we ook up-to-date.”

 

Behoefte aan duidelijke informatie

“Maar er is in de markt ook gewoon behoefte aan kwalitatieve en duidelijke informatie”, vult Heyblom aan. “Neem nou een term als ‘domain validated certificate’. Die zegt de meeste mensen helemaal niets. We moeten weg van dat universitaire taalgebruik, en de vertaalslag maken naar wat je ermee kunt. KPN vertelt de markt ook niet hoe glasvezeltechnologie werkt, maar wel wat het je biedt.”

“Tijdens het Congres Overheid 360° op 7 juni zullen KPN en PKIpartners op de beursvloer aanwezig zijn. Bij de stand van PKIpartners (34) kunnen gemeenten en andere lokale overheden zich daarom ook bij ons inschrijven voor een quickscan.”

> Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren?
> Neem dan
vrijblijvend contact met ons op. 

Bron: website KPN

‘We zijn weer in control over ons certificaatbeheer’, Rijk Meuleman, CISO en adviseur informatievoorziening gemeente Zuidplas*  

*Ten tijde van dit interview was Rijk Meuleman CISO van gemeente Zuidplas;
per 1 augustus 2023 is hij CISO bij Gemeente Gouda.

‘We zijn weer in control over ons certificaatbeheer.’ Dat zegt Rijk Meuleman, bij gemeente Zuidplas werkzaam als adviseur informatievoorziening en daarnaast Chief Information Security Officer  (CISO), dus verantwoordelijk voor informatiebeveiliging.

Deze Zuid-Hollandse gemeente is op 1 januari 2010 ontstaan door een fusie van de gemeenten Moordrecht, Nieuwerkerk aan den IJssel en Zevenhuizen-Moerkapelle. Het is een groeigemeente die inmiddels een kleine 50.000 inwoners kent.

Eén is géén

‘Er was binnen onze organisatie slechts één persoon verantwoordelijk voor het certificaatbeheer: en dat was ik. Bovendien had ik geen diepgaande specialistische kennis over dit onderwerp, want ik deed het er zo’n beetje bij. En dat voelde niet meer goed, omdat het een heel belangrijk aandachtspunt is.

Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners.

Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners. Dat was de situatie destijds en vanuit die invalshoek hebben we gekeken of we er op die manier mee door wilden gaan. Dat antwoord was nee. ‘Eén is geen’ zeiden we hier gekscherend, doelend op slechts één persoon die verantwoordelijk was. Dat maakt je kwetsbaar als gemeente.’

Wat was de aanleiding om voor verandering te gaan? 

‘Op een gegeven moment kreeg ik een mailing van KPN en zij gaven aan om eens contact met PKIpartners te zoeken als je serieus met je certificaatbeheer aan de slag wilde. Dat is voor mij de aanleiding geweest om contact met ze op te nemen. Mijn primaire doel was om de continuïteit van alles wat met certificaten te maken had 100% te borgen. We hadden op dat moment niet echt het gevoel dat we één en ander onder controle hadden en dat konden we ons niet meer veroorloven. Mij werd al snel duidelijk dat PKI er wél op een professionele manier voor kon zorgen dat de continuïteit van certificaten voor Zuidplas gewaarborgd zou worden.’

Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente.

‘Dat gaf me bovendien rust, omdat ik er niet meer alléén verantwoordelijk voor was. Ontzorgen is binnen dat kader voor ons als Zuidplas een belangrijk woord. Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente. Ze leggen duidelijk en transparant verantwoording af over wat ze doen, want wij blijven als gemeente natuurlijk wel zelf eindverantwoordelijk.’

Wat maakte dat voor PKIpartners uiteindelijk gekozen werd? 

‘Zoals gezegd werd PKIpartners geadviseerd door KPN en dat gaf vertrouwen. We hadden nog niet eerder van het bedrijf gehoord en dat een grote, landelijk bekende partij als KPN hen aanraadde was uiteraard een duidelijke pré. Direct vanaf het eerste contact was bovendien helder dat ze over veel specialistische kennis beschikken op dit gebied. De specialisten aldaar kwamen heel betrouwbaar over. En dat is ook wat de praktijk uitwijst: ze komen hun afspraken na en luisteren goed naar de problemen en wensen van ons als klant. Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig. De samenwerking verloopt informeel. Na de coronaperiode, waarin we noodgedwongen veel via online meetings werkten, werd gemakkelijk de overstap naar persoonlijk bezoek richting onze locatie gemaakt. En dat persoonlijke, dat werkt heel goed.’

Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig.

‘Zij regelen alles: van de aanvraag en/of de vervanging van onze certificaten, een kleine dertig stuks. Ook houden ze bij wanneer een certificaat gaat verlopen. Dan nemen ze zelf contact op met de partij die het certificaat installeert. Dat zij rechtstreeks contact hebben met onze dienstleveranciers is bijzonder prettig. Bovendien adviseert PKI ons over welk certificaat we als gemeente af moeten nemen. Afhankelijk van de gegevens kun je soms volstaan met een voordeliger certificaat.’

Wat is het grootste voordeel dat deze samenwerking tot nu toe gebracht heeft? 

‘We hebben het gevoel weer in control te zijn op dit belangrijke onderdeel. Ik kan dit steeds terugkerende issue ein-de-lijk met een gerust hart loslaten. Dit wordt bevestigd door de uitgebreide rapportage die wordt opgeleverd, overigens volledig conform BIO, de Baseline Informatiebeveiliging Overheid. De toelichting die hierbij verstrekt wordt is bovendien in helder Nederlands geschreven en dus ook goed te lezen door collega’s en/of bestuurders die wat minder in de materie zitten. Dat maakt het voor mij gemakkelijk om een en ander uiteen te zetten binnen de gemeente.’

In hoeverre komt het eindresultaat overeen met dat wat je verwacht had? 

‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKI. Dat had ik natuurlijk vooraf ook gehoopt, maar het is altijd afwachten of mooie woorden ook daadwerkelijk in diezelfde daden omgezet worden.

‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKIpartners.

Maar ik kan niet anders zeggen dan dat ze hun beloften wel degelijk hebben waargemaakt. En dat bovendien nog altijd doen.’

Wat kun je, los van de oplossing die ze bieden, zeggen over de samenwerking? 

‘Het contact is heel prettig. PKIpartners is altijd bereid mee te denken, ook als een onderwerp niet exact tot hun opdracht behoort. Je merkt aan alles dat ze passie hebben voor hun vak. Die energie, die spat er echt van af. Als ik het bedrijf in drie woorden zou moeten beschrijven dan komen termen als betrouwbaar, dienstverlenend en constructief in me op. En dat zijn precies de termen die een gemeente belangrijk vindt.’

Aan wie zou je het bedrijf/product/dienst aanbevelen? 

‘Aan collega-gemeenten en gemeenschappelijke regelingen die twijfels hebben over eigen kennis en continuïteit op het gebied van certificaatbeheer en op dit onderdeel ontzorgt willen worden.

Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.

Zeker als je het gevoel hebt niet of niet volledig in control te zijn. Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.’

Welke tips heb je voor anderen die een dergelijke oplossing overwegen? 

‘Ga vooral het gesprek met PKIpartners aan en bedenk goed of de risico’s ten aanzien van het certificaatbeheer voor jou, vanuit de manier waarop het op dit moment ingeregeld is, acceptabel zijn’, besluit Rijk.
Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren? Neem dan vrijblijvend contact met ons op. 

 

 

Ontmoet Anita de Veen: de nieuwste aanwinst van PKIpartners

Anita-de-Veen-PKIpartners

 

‘In een ver verleden ben ik ooit begonnen in de horeca. Vanaf 2000 ben ik bewust administratief werk gaan doen. Ik startte mijn loopbaan bij de omroep waar ik uiteindelijk bij de AVRO, de KRO en de VARA werkte.’

Aan het woord is Anita de Veen, de nieuwste aanwinst van PKIpartners. ‘In 2011 ben ik bij het SecretariaatsBuro in Bussum gaan werken.  Niet lang daarna maakte ik kennis met Ton en Iris. En de klik? Die was er direct.’

Anita de Veen: certificaten saai? Zeker niet!

Inmiddels ben ik volledig voor PKIpartners aan het werk, want het was tijd voor een nieuwe overstap. Ik houd me onder meer bezig met de begeleiding in het proces voor aanvragen en installeren van het certificaten voor onze klanten’, vervolgt Anita. ‘Het is immers een complex proces dat zich bovendien ook veelal digitaal afspeelt. Verder is het aanvragen, installeren en beheren van certificaten niet iets waar je elke dag mee bezig bent.

Vanzelfsprekend maakt al dat werk het voor velen tot een niet zo’n aansprekende bezigheid: mensen bouwen er geen routine in op en dat maakt het complex.’

 

Geduldig, betrouwbaar en empathisch. Althans dat zeggen ze.

‘We helpen onze klanten veelal via Teamviewer, al rijden we ook weleens naar mensen toe als het niet lukt. Heel gericht lopen we stapje voor stapje door het proces. Bij de een kijken we alleen mee, bij de ander nemen we (in geval van Teamviewer) het scherm over en vullen we de relevante velden in.

Het printen van het formulier doet de klant in de regel zelf, maar de overige handelingen zoals bijvoorbeeld de code aanmaken voor het specifieke certificaat, dat doen wij.

We ontzorgen mensen van A tot Z, terwijl ze wél de regie houden omdat ze mee kunnen kijken met wat we doen.

Het betekent dat we de onrust bij ze wegnemen terwijl de controle blijft. Dat vindt men fijn. Geen dag is hetzelfde, en dat is ook wat ik leuk vind aan mijn rol. Mensen omschrijven me als geduldig, betrouwbaar en empathisch. En dat zou wel eens kunnen kloppen: het zijn in elk geval eigenschappen die me goed van pas komen in mijn werk bij PKIpartners.’

 

Ongedwongen en relaxed

‘De manier waarop we met klanten omgaan, tekent de manier waarop we dat intern doen hier. De sfeer is relaxed en ongedwongen. Bovendien zitten we in een mooi, licht kantoor waar we pas net naartoe verhuisd zijn.’

 

Een schone lei én nog lang niet met pensioen

‘Mijn dag is goed als ik alles afgerond heb voor die dag en ik de dag erop met een schone lei kan beginnen. En natuurlijk als ik mensen goed heb kunnen helpen en ze blij zijn met onze service.

Ik vind het contact met mensen sowieso prettig, dus in deze baan voel ik me als een vis in het water. Dat heeft ook te maken met het relatief kleine team waarin we opereren. We kennen elkaar goed en het persoonlijke contact over en weer maakt dat ik me thuis voel hier.

Al vind ik het ook heerlijk om in mijn vrije tijd lange wandelingen over de hei te maken, te reizen en om lekker uit eten te gaan. In dat opzicht ben ik snel tevreden.

Het is heerlijk om een bepaalde leeftijd bereikt te hebben: dat geeft rust en geduld, ook in de omgang met mensen. Al ben ik nog láng niet aan mijn pensioen toe, want er zijn nog zoveel mooie nieuwe dingen te leren’, lacht Anita.