PKI-certificaten: hoeveel digitale ramen en deuren heb jij?

pki-partners-ton oosterwijk-oprichter-eigenaar

De Baseline Informatiebeveiliging Overheid (BIO) verplicht lokale overheden tot het gebruik van PKI-certificaten. Die bieden bij het uitwisselen van vertrouwelijke informatie het hoogste niveau van betrouwbaarheid. “Maar ze staan ook garant voor stress, kommer, kwel en ellende”, waarschuwt Ton Oosterwijk, directeur van PKIpartners. Hoe voorkom je dat verlopen certificaten processen verstoren?

De Informatiebeveiligingsdienst IBD schetst in zijn ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023-2024’ een naar eigen zeggen ‘somber beeld’. Zo ontvangt de dienst steeds meer meldingen van de gijzeling van gemeentelijke processen door ransomware.

Betaalt een gemeente het losgeld niet? Dan aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.

Ook constateert de dienst dat ketens steeds verder uit het zicht raken, en daardoor ook de risico’s die horen bij de uitbesteding van taken. “Gemeenten zijn in de afgelopen twee jaar regelmatig geconfronteerd met incidenten die ontstaan zijn bij derden, waarbij de gevolgen in de eigen gemeente merkbaar waren.” Een gevolg kan zijn dat de uitgifte van paspoorten of de betaling van uitkeringen vertraging oploopt.

 

Digitale paspoorten

De Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) zijn het ‘vertrekpunt’ voor gemeenten die hun cyberweerbaarheid willen vergroten.
Voor een veilige uitwisseling van gegevens tussen computers stelt de BIO onder andere het gebruik van PKI-certificaten verplicht. De aanstaande BIO 2.0 heeft het dan over Organization Validated-certificaten voor openbaar webverkeer van gevoelige gegevens, en over vertrouwde OV-certificaten of private PKIoverheid-certificaten bij intern webverkeer van gevoelige gegevens.

Een Public Key Infrastructure-certificaat werkt als een digitaal paspoort waarmee de identiteit van een persoon, organisatie of apparaat is te verifiëren en de vertrouwelijkheid en integriteit van gegevens zijn te waarborgen.

Het maakt daarvoor gebruik van een asymmetrisch cryptografisch systeem met een publieke en een private sleutel. Iedereen kan met de publieke sleutel gegevens versleutelen, maar alleen de eigenaar van het certificaat heeft de private sleutel voor het weer ontsleutelen van de gegevens.

“PKI-certificaten bieden het hoogste niveau van betrouwbaarheid en zorgen daarmee voor een rechtszekere digitale maatschappij”, stelt Oosterwijk. Een PKI-certificaat wordt onder gecertificeerde omstandigheden uitgegeven door een Certificate Authority (CA). Voordat het certificaat wordt uitgegeven, verifieert deze betrouwbare derde partij de identiteit van de aanvrager van het certificaat aan de hand van een gecertificeerd proces. “In Nederland is KPN de absolute marktleider met een zeer lange geschiedenis als CA voor de lokale overheid.”

 

85 digitale deuren en ramen

Er is volgens Oosterwijk wel een grote ‘maar’: het beheer van een certificaatlandschap kan een behoorlijk uitdaging zijn. En zorgen voor ‘stress, kommer, kwel en ellende’. “PKI-certificaten zijn beperkt geldig, en kunnen binnen een IT-infrastructuur op één maar ook op veertig plekken staan.” Denk dan aan servercertificaten, beroepscertificaten of persoonlijke certificaten. “Soms worden die beheerd door eigen mensen, en soms door externen.”

Het is dan volgens Oosterwijk lastig om het overzicht te behouden. “Ik kom gemeenten tegen die wel 85 ‘digitale deuren en ramen’ hebben. Oftewel 85 certificaten waar de gemeentenaam in staat, zonder dat ze dat zelf weten. Maar cybercriminelen weten precies hoe ze een certificaatlandschap in kaart moeten brengen. Daar auditen ze op.”

Als een certificaat ongemerkt verloopt of om een andere reden niet meer voldoet, kunnen de gevolgen aanzienlijk zijn. Oosterwijk: “Certificaten zijn onderdeel van een vitale infrastructuur. Als de paspoortverbinding door een verlopen certificaat eruit ligt en burgers geen paspoort kunnen aanvragen, staat Nieuwsuur dezelfde dag nog op de stoep. De ophef is dan groot. Dat is precies wat een slecht beheer van certificaten teweeg kan brengen.”

 

KPN en PKIpartners: gezamenlijke kennisdeling wérkt.

Certificatenboekhouding 

“Lokale overheden zijn op zoek naar zekerheden, en hebben de hulp nodig van betrouwbare partners”, weet Gert Heyblom, Commercial Product Manager Identity bij KPN Security. “KPN biedt die zekerheid en betrouwbaarheid. En als ‘voorkeursagent lokale overheid’ van KPN kan PKIpartners lokale overheden helpen bij het beheer van het complete certificaatlandschap.”

“Nog te vaak worden hier geautomatiseerde processen voor bedacht”, stelt Oosterwijk. In de praktijk werken die vaak niet. “Mailtjes over het verlengen van certificaten komen bijvoorbeeld aan bij mensen die niet meer werkzaam zijn binnen de organisatie of een andere functie hebben gekregen. Maar iemand moet het wel oppakken. Die certificaten verlopen, en vervolgens kunnen burgers geen paspoorten aanvragen.”

PKIpartners pakt de zaken daarom anders aan. Oosterwijk: “Als bijvoorbeeld een applicatiemanager een certificaat nodig heeft, vragen wij dat aan bij KPN en registreren het certificaat in ons boekhoudsysteem. We houden bijvoorbeeld bij welk certificaat op welke digitale applicatie zit, wie de applicatiebeheerder is, onder welk telefoonnummer die beheerder is te bereiken en naar wie we moeten escaleren als het certificaat gaat verlopen. Die informatie houden we ook up-to-date.”

 

Behoefte aan duidelijke informatie

“Maar er is in de markt ook gewoon behoefte aan kwalitatieve en duidelijke informatie”, vult Heyblom aan. “Neem nou een term als ‘domain validated certificate’. Die zegt de meeste mensen helemaal niets. We moeten weg van dat universitaire taalgebruik, en de vertaalslag maken naar wat je ermee kunt. KPN vertelt de markt ook niet hoe glasvezeltechnologie werkt, maar wel wat het je biedt.”

“Tijdens het Congres Overheid 360° op 7 juni zullen KPN en PKIpartners op de beursvloer aanwezig zijn. Bij de stand van PKIpartners (34) kunnen gemeenten en andere lokale overheden zich daarom ook bij ons inschrijven voor een quickscan.”

> Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren?
> Neem dan
vrijblijvend contact met ons op. 

Bron: website KPN

‘We zijn weer in control over ons certificaatbeheer’, Rijk Meuleman, CISO en adviseur informatievoorziening gemeente Zuidplas*  

*Ten tijde van dit interview was Rijk Meuleman CISO van gemeente Zuidplas;
per 1 augustus 2023 is hij CISO bij Gemeente Gouda.

‘We zijn weer in control over ons certificaatbeheer.’ Dat zegt Rijk Meuleman, bij gemeente Zuidplas werkzaam als adviseur informatievoorziening en daarnaast Chief Information Security Officer  (CISO), dus verantwoordelijk voor informatiebeveiliging.

Deze Zuid-Hollandse gemeente is op 1 januari 2010 ontstaan door een fusie van de gemeenten Moordrecht, Nieuwerkerk aan den IJssel en Zevenhuizen-Moerkapelle. Het is een groeigemeente die inmiddels een kleine 50.000 inwoners kent.

Eén is géén

‘Er was binnen onze organisatie slechts één persoon verantwoordelijk voor het certificaatbeheer: en dat was ik. Bovendien had ik geen diepgaande specialistische kennis over dit onderwerp, want ik deed het er zo’n beetje bij. En dat voelde niet meer goed, omdat het een heel belangrijk aandachtspunt is.

Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners.

Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners. Dat was de situatie destijds en vanuit die invalshoek hebben we gekeken of we er op die manier mee door wilden gaan. Dat antwoord was nee. ‘Eén is geen’ zeiden we hier gekscherend, doelend op slechts één persoon die verantwoordelijk was. Dat maakt je kwetsbaar als gemeente.’

Wat was de aanleiding om voor verandering te gaan? 

‘Op een gegeven moment kreeg ik een mailing van KPN en zij gaven aan om eens contact met PKIpartners te zoeken als je serieus met je certificaatbeheer aan de slag wilde. Dat is voor mij de aanleiding geweest om contact met ze op te nemen. Mijn primaire doel was om de continuïteit van alles wat met certificaten te maken had 100% te borgen. We hadden op dat moment niet echt het gevoel dat we één en ander onder controle hadden en dat konden we ons niet meer veroorloven. Mij werd al snel duidelijk dat PKI er wél op een professionele manier voor kon zorgen dat de continuïteit van certificaten voor Zuidplas gewaarborgd zou worden.’

Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente.

‘Dat gaf me bovendien rust, omdat ik er niet meer alléén verantwoordelijk voor was. Ontzorgen is binnen dat kader voor ons als Zuidplas een belangrijk woord. Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente. Ze leggen duidelijk en transparant verantwoording af over wat ze doen, want wij blijven als gemeente natuurlijk wel zelf eindverantwoordelijk.’

Wat maakte dat voor PKIpartners uiteindelijk gekozen werd? 

‘Zoals gezegd werd PKIpartners geadviseerd door KPN en dat gaf vertrouwen. We hadden nog niet eerder van het bedrijf gehoord en dat een grote, landelijk bekende partij als KPN hen aanraadde was uiteraard een duidelijke pré. Direct vanaf het eerste contact was bovendien helder dat ze over veel specialistische kennis beschikken op dit gebied. De specialisten aldaar kwamen heel betrouwbaar over. En dat is ook wat de praktijk uitwijst: ze komen hun afspraken na en luisteren goed naar de problemen en wensen van ons als klant. Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig. De samenwerking verloopt informeel. Na de coronaperiode, waarin we noodgedwongen veel via online meetings werkten, werd gemakkelijk de overstap naar persoonlijk bezoek richting onze locatie gemaakt. En dat persoonlijke, dat werkt heel goed.’

Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig.

‘Zij regelen alles: van de aanvraag en/of de vervanging van onze certificaten, een kleine dertig stuks. Ook houden ze bij wanneer een certificaat gaat verlopen. Dan nemen ze zelf contact op met de partij die het certificaat installeert. Dat zij rechtstreeks contact hebben met onze dienstleveranciers is bijzonder prettig. Bovendien adviseert PKI ons over welk certificaat we als gemeente af moeten nemen. Afhankelijk van de gegevens kun je soms volstaan met een voordeliger certificaat.’

Wat is het grootste voordeel dat deze samenwerking tot nu toe gebracht heeft? 

‘We hebben het gevoel weer in control te zijn op dit belangrijke onderdeel. Ik kan dit steeds terugkerende issue ein-de-lijk met een gerust hart loslaten. Dit wordt bevestigd door de uitgebreide rapportage die wordt opgeleverd, overigens volledig conform BIO, de Baseline Informatiebeveiliging Overheid. De toelichting die hierbij verstrekt wordt is bovendien in helder Nederlands geschreven en dus ook goed te lezen door collega’s en/of bestuurders die wat minder in de materie zitten. Dat maakt het voor mij gemakkelijk om een en ander uiteen te zetten binnen de gemeente.’

In hoeverre komt het eindresultaat overeen met dat wat je verwacht had? 

‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKI. Dat had ik natuurlijk vooraf ook gehoopt, maar het is altijd afwachten of mooie woorden ook daadwerkelijk in diezelfde daden omgezet worden.

‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKIpartners.

Maar ik kan niet anders zeggen dan dat ze hun beloften wel degelijk hebben waargemaakt. En dat bovendien nog altijd doen.’

Wat kun je, los van de oplossing die ze bieden, zeggen over de samenwerking? 

‘Het contact is heel prettig. PKIpartners is altijd bereid mee te denken, ook als een onderwerp niet exact tot hun opdracht behoort. Je merkt aan alles dat ze passie hebben voor hun vak. Die energie, die spat er echt van af. Als ik het bedrijf in drie woorden zou moeten beschrijven dan komen termen als betrouwbaar, dienstverlenend en constructief in me op. En dat zijn precies de termen die een gemeente belangrijk vindt.’

Aan wie zou je het bedrijf/product/dienst aanbevelen? 

‘Aan collega-gemeenten en gemeenschappelijke regelingen die twijfels hebben over eigen kennis en continuïteit op het gebied van certificaatbeheer en op dit onderdeel ontzorgt willen worden.

Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.

Zeker als je het gevoel hebt niet of niet volledig in control te zijn. Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.’

Welke tips heb je voor anderen die een dergelijke oplossing overwegen? 

‘Ga vooral het gesprek met PKIpartners aan en bedenk goed of de risico’s ten aanzien van het certificaatbeheer voor jou, vanuit de manier waarop het op dit moment ingeregeld is, acceptabel zijn’, besluit Rijk.
Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren? Neem dan vrijblijvend contact met ons op. 

 

 

‘Nederland digitaal veiliger maken. Dat is wat ik wil’, Ronald Driehuis, IT-auditor en Functionaris Gegevensbescherming

PKIpartners-Inergy

Ronald Driehuis, IT-auditor en Functionaris Gegevensbescherming


‘Wij controleren gemeenten op het naleven van wet- en regelgeving in de bredere zin van het woord. Certificaten zijn daar een onderdeel van. We komen ze bijvoorbeeld tegen bij DigiD-aansluitingen.’

Aan het woord is Ronald Driehuis, IT-auditor bij Inergy, een bedrijf dat onafhankelijke, gecertificeerde auditors aanbiedt die je bijstaan met een audit op je systemen en processen.

‘Bijna iedere gemeente in Nederland heeft een eigen DigiD-aansluiting. Deze aansluitingen zijn beveiligd met digitale certificaten. Uiteraard zie je in het gemeentelandschap nog meer gebruik van verschillende typen certificaten, al vallen deze helaas niet altijd onder audits die we uitvoeren’, vervolgt Ronald. ‘Ik zeg helaas omdat ik van mening ben dat het onderdeel certificaten meer aandacht mag hebben dan dat het nu krijgt.

Het DigiD-certificaat: daarbij gaan we er bij wijze van spreken vanuit dat als een soort wonder dit certificaat op de server terecht komt. Maar het hele proces hieromtrent, ook rondom onder meer beheer, verdient veel meer focus.

Neem nu bijvoorbeeld het DigiD-certificaat: daarbij gaan we er bij wijze van spreken vanuit dat als een soort wonder dit certificaat op de server terecht komt. Maar het hele proces hieromtrent, ook rondom onder meer beheer, verdient veel meer focus. Zo kijken we bijvoorbeeld wel of het certificaat veilig is en naar de encryptie, maar het beheer blijft een ondergeschoven kindje. Zo zit het beheerproces bijvoorbeeld niet in de audits die we afnemen. En dat is écht een gemiste kans.’

Beheerproces certificaten uiterst belangrijk

‘Wanneer een burger bijvoorbeeld op de website van een gemeente komt, en het certificaat van die website is niet verlengd, dan kunnen de burgers geen gebruik meer maken van de online dienstverlening. Denk bijvoorbeeld aan het aanvragen van een paspoort of het maken van een afspraak. Daar moet je natuurlijk niet aan denken als gemeente. Daarom is het beheerproces zo belangrijk, zodat je in elk geval op tijd bent met verlengen’, aldus Ronald.

Het leukste aan mijn vak: Nederland digitaal veiliger maken

‘Wat ik het leukste vind aan mijn vak zijn overigens niet per se de controles. We willen vooral klanten hélpen om beter te worden wanneer we zaken opmerken. Dat vind ik het állerleukste: mensen verder helpen. Uiteindelijk wil ik, samen met mijn collega’s, Nederland digitaal een stukje veiliger maken. Als auditor heb je daar, vanuit de mogelijkheden die je rol biedt, prachtig de kans voor. Ook ben ik voor één gemeente Functionaris Gegevensbescherming. Dus ik sta ook met de spreekwoordelijke poten in de klei’, lacht Ronald.

‘Gemeenten hebben het sowieso niet zo gemakkelijk rondom de uitvoering van de AVG, omdat ze ontelbaar veel processen en betrokken burgers hebben.’

‘Gemeenten hebben het sowieso niet zo gemakkelijk rondom de uitvoering van de AVG (Algemene verordening gegevensbescherming), omdat ze ontelbaar veel processen en betrokken burgers hebben. Voor een bedrijf is dat veel gemakkelijker: zij hebben personeel, klanten en leveranciers. Bij een gemeente heb je alleen al te maken met 400 primaire processen die bovendien bijna állemaal met persoonsgegevens werken. Dit betekent dat je ontzettend veel hebt in te richten. Bovendien zijn er maar liefst 3 privacy domeinen, te weten de AVG, de wet Politiegegevens en de BRP (Basis Registratie Personen).’

Aanvraagproces complex

‘De samenwerking met PKIpartners is tot stand gekomen vanuit de audits die we voortaan verplicht moeten ondertekenen met een signing certificate, digitaal dus. Dit betekende dat we certificaten nodig hadden. En in dat aanvraagproces ging zóveel verkeerd, dat ik als gevolg daarvan veel contact had met Ton (red. eigenaar PKIpartners). Als snel merkte ik dat we op één lijn zaten in hoe we dachten, wat we wilden bereiken in de markt, waar we stonden en hoe we aankeken tegen de wereld van certificaten en alles wat daarmee samenhangt.

‘Het is een vakgebied waar je je echt in moet specialiseren.’

Zo vinden we beiden dat certificaatbeheer niet serieus genoeg wordt opgepakt. Er zijn bijvoorbeeld systeembeheerders die het er ‘even’ bij doen. Zij houden dan, vanwege tijd- of kennisgebrek, geen (gedegen) register bij van welke soort certificaten zij hebben, welke encryptiestandaarden daarop zitten, wanneer ze aflopen et cetera. Overall durf ik te stellen dat er nog te weinig kennis is in de markt. Het is een vakgebied waar je je echt in moet specialiseren.’

Besteed certificaatbeheer uit

‘Dat bleek ook wel uit het aanvraagproces van onze certificaten dat PKIpartners voor haar rekening naam. Zij beheren het nu ook en houden voor ons in de gaten wanneer onze certificaten gaan verlopen. Dat is een hele fijne service, want dit betekent dat we er zelf geen omkijken naar hebben terwijl het tóch goed geregeld is. Nu gaat het bij ons maar om een paar certificaten, maar wanneer je aan een gemeente denkt, dan kan dit zomaar om grote aantallen gaan. En de vraag is dan of je dit als gemeente nog allemaal zelf bij moeten willen houden. Ik denk niet dat je dit moeten willen eerlijk gezegd.

‘Beter in handen geven van een partij die hierin gespecialiseerd is, proactief optreedt en bovendien de ontwikkelingen op de voet volgt’

Je kunt het beter in handen geven van een partij die hierin gespecialiseerd is, proactief optreedt en bovendien de ontwikkelingen op de voet volgt. En dat is PKIpartners zeker. Ze willen ook áltijd net dat stapje extra zetten. Zo komen ze binnenkort bijvoorbeeld hun kennis delen tijdens één van de sessies binnen ons Young Professional-programma. En dat is ook voor ons weer bijzonder waardevol. Zo helpen we elkaar steeds een stapje verder in de complexe wereld van certificaatbeheer. Een wereld waarin ik, ondanks mijn tientallen jaren ervaring, nog steeds met veel plezier en interesse mooie nieuwe dingen leer’, besluit Ronald.