PKI-certificaten: hoeveel digitale ramen en deuren heb jij?
De Baseline Informatiebeveiliging Overheid (BIO) verplicht lokale overheden tot het gebruik van PKI-certificaten. Die bieden bij het uitwisselen van vertrouwelijke informatie het hoogste niveau van betrouwbaarheid. “Maar ze staan ook garant voor stress, kommer, kwel en ellende”, waarschuwt Ton Oosterwijk, directeur van PKIpartners. Hoe voorkom je dat verlopen certificaten processen verstoren?
De Informatiebeveiligingsdienst IBD schetst in zijn ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023-2024’ een naar eigen zeggen ‘somber beeld’. Zo ontvangt de dienst steeds meer meldingen van de gijzeling van gemeentelijke processen door ransomware.
Betaalt een gemeente het losgeld niet? Dan aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.
Ook constateert de dienst dat ketens steeds verder uit het zicht raken, en daardoor ook de risico’s die horen bij de uitbesteding van taken. “Gemeenten zijn in de afgelopen twee jaar regelmatig geconfronteerd met incidenten die ontstaan zijn bij derden, waarbij de gevolgen in de eigen gemeente merkbaar waren.” Een gevolg kan zijn dat de uitgifte van paspoorten of de betaling van uitkeringen vertraging oploopt.
Digitale paspoorten
De Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) zijn het ‘vertrekpunt’ voor gemeenten die hun cyberweerbaarheid willen vergroten.
Voor een veilige uitwisseling van gegevens tussen computers stelt de BIO onder andere het gebruik van PKI-certificaten verplicht. De aanstaande BIO 2.0 heeft het dan over Organization Validated-certificaten voor openbaar webverkeer van gevoelige gegevens, en over vertrouwde OV-certificaten of private PKIoverheid-certificaten bij intern webverkeer van gevoelige gegevens.
Een Public Key Infrastructure-certificaat werkt als een digitaal paspoort waarmee de identiteit van een persoon, organisatie of apparaat is te verifiëren en de vertrouwelijkheid en integriteit van gegevens zijn te waarborgen.
Het maakt daarvoor gebruik van een asymmetrisch cryptografisch systeem met een publieke en een private sleutel. Iedereen kan met de publieke sleutel gegevens versleutelen, maar alleen de eigenaar van het certificaat heeft de private sleutel voor het weer ontsleutelen van de gegevens.
“PKI-certificaten bieden het hoogste niveau van betrouwbaarheid en zorgen daarmee voor een rechtszekere digitale maatschappij”, stelt Oosterwijk. Een PKI-certificaat wordt onder gecertificeerde omstandigheden uitgegeven door een Certificate Authority (CA). Voordat het certificaat wordt uitgegeven, verifieert deze betrouwbare derde partij de identiteit van de aanvrager van het certificaat aan de hand van een gecertificeerd proces. “In Nederland is KPN de absolute marktleider met een zeer lange geschiedenis als CA voor de lokale overheid.”
85 digitale deuren en ramen
Er is volgens Oosterwijk wel een grote ‘maar’: het beheer van een certificaatlandschap kan een behoorlijk uitdaging zijn. En zorgen voor ‘stress, kommer, kwel en ellende’. “PKI-certificaten zijn beperkt geldig, en kunnen binnen een IT-infrastructuur op één maar ook op veertig plekken staan.” Denk dan aan servercertificaten, beroepscertificaten of persoonlijke certificaten. “Soms worden die beheerd door eigen mensen, en soms door externen.”
Het is dan volgens Oosterwijk lastig om het overzicht te behouden. “Ik kom gemeenten tegen die wel 85 ‘digitale deuren en ramen’ hebben. Oftewel 85 certificaten waar de gemeentenaam in staat, zonder dat ze dat zelf weten. Maar cybercriminelen weten precies hoe ze een certificaatlandschap in kaart moeten brengen. Daar auditen ze op.”
Als een certificaat ongemerkt verloopt of om een andere reden niet meer voldoet, kunnen de gevolgen aanzienlijk zijn. Oosterwijk: “Certificaten zijn onderdeel van een vitale infrastructuur. Als de paspoortverbinding door een verlopen certificaat eruit ligt en burgers geen paspoort kunnen aanvragen, staat Nieuwsuur dezelfde dag nog op de stoep. De ophef is dan groot. Dat is precies wat een slecht beheer van certificaten teweeg kan brengen.”
KPN en PKIpartners: gezamenlijke kennisdeling wérkt.
Certificatenboekhouding
“Lokale overheden zijn op zoek naar zekerheden, en hebben de hulp nodig van betrouwbare partners”, weet Gert Heyblom, Commercial Product Manager Identity bij KPN Security. “KPN biedt die zekerheid en betrouwbaarheid. En als ‘voorkeursagent lokale overheid’ van KPN kan PKIpartners lokale overheden helpen bij het beheer van het complete certificaatlandschap.”
“Nog te vaak worden hier geautomatiseerde processen voor bedacht”, stelt Oosterwijk. In de praktijk werken die vaak niet. “Mailtjes over het verlengen van certificaten komen bijvoorbeeld aan bij mensen die niet meer werkzaam zijn binnen de organisatie of een andere functie hebben gekregen. Maar iemand moet het wel oppakken. Die certificaten verlopen, en vervolgens kunnen burgers geen paspoorten aanvragen.”
PKIpartners pakt de zaken daarom anders aan. Oosterwijk: “Als bijvoorbeeld een applicatiemanager een certificaat nodig heeft, vragen wij dat aan bij KPN en registreren het certificaat in ons boekhoudsysteem. We houden bijvoorbeeld bij welk certificaat op welke digitale applicatie zit, wie de applicatiebeheerder is, onder welk telefoonnummer die beheerder is te bereiken en naar wie we moeten escaleren als het certificaat gaat verlopen. Die informatie houden we ook up-to-date.”
Behoefte aan duidelijke informatie
“Maar er is in de markt ook gewoon behoefte aan kwalitatieve en duidelijke informatie”, vult Heyblom aan. “Neem nou een term als ‘domain validated certificate’. Die zegt de meeste mensen helemaal niets. We moeten weg van dat universitaire taalgebruik, en de vertaalslag maken naar wat je ermee kunt. KPN vertelt de markt ook niet hoe glasvezeltechnologie werkt, maar wel wat het je biedt.”
“Tijdens het Congres Overheid 360° op 7 juni zullen KPN en PKIpartners op de beursvloer aanwezig zijn. Bij de stand van PKIpartners (34) kunnen gemeenten en andere lokale overheden zich daarom ook bij ons inschrijven voor een quickscan.”
> Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren?
> Neem dan vrijblijvend contact met ons op.
Bron: website KPN
Onderzoek
Lokale overheden gebruiken veelal onbetrouwbare web certificaten.
Lees hier meer en download het rapport.