Beheer van overheidscertificaten

Betrouwbaarheid
De digitale overheid neemt steeds meer taken van de ‘loketten’ over. Door de toenemende digitalisering kunnen de overheid en gemeenten betere dienstverlening aan burgers en bedrijven geven en bovendien efficiënter werken. Twee vliegen in één klap. Maar om de digitale communicatie tot een succes te maken, moet de betrouwbaarheid gegarandeerd zijn. De burger of ondernemer moet zeker weten dat hij te maken heeft met de juiste instantie en andersom moeten ook overheden ervan op aan kunnen dat hun digitale boodschappen afgeschermd zijn en op de juiste bestemming aankomen.

Om de veiligheid en dus betrouwbaarheid te garanderen, werkt de overheid met een aantal toegangsfaciliteiten: DigiD, eHerkenning en PKIoverheid. DigiD en eHerkenning zijn de toegangssystemen om zeker te weten dat je met de juiste persoon of instantie communiceert. Minder bekend is PKIoverheid. Dit is een infrastructuur die beveiligde digitale communicatie mogelijk maakt door middel van certificaten.

Certificaten
Een digitaal certificaat is een computerbestand dat fungeert als digitaal paspoort voor de eigenaar van dat bestand. Een certificaat van PKIoverheid waarborgt de betrouwbaarheid van het berichtenverkeer via e-mail en internet tussen overheid, burgers en bedrijven. Het is dus een veiligheidsgarantie. Daarnaast maakt een certificaat het mogelijk om rechtsgeldige elektronische handtekeningen te plaatsen en berichten te versleutelen om ze zo verder te kunnen verwerken.

Uitgifte en aanvragen certificaten
De uitgifte van de certificaten valt onder de verantwoordelijkheid van de overheid. De uitgifte zelf gebeurt door enkele externe (private) partijen, zogenaamde certificaatverleners (uitgevers). Ook DigiNotar was zo’n certificaatuitgever. De uitgevers beheren het certificaat voor de overheid die het certificaat gebruikt in communicatie met andere partijen. De uitgevers waarborgen de integriteit en authenticiteit van de certificaten. Door het lek bij DigiNotar waren de uitgegeven certificaten niet meer veilig en konden onbevoegden zich identificeren met een vals certificaat (‘vals paspoort’). Daardoor leken plotseling alle certificaten van DigiNotar onveilig en moesten ze vervangen worden door certificaten van andere uitgevers.
Lokale overheden hebben voor hun digitale communicatie ook certificaten nodig. Die vragen ze aan bij de certificaatverleners. Bij de eerste aanvraag is een verklaring nodig van een wettelijk vertegenwoordiger van de organisatie waarin ook een machtiging wordt afgegeven voor het beheren van certificaten. De certificaten kunnen afgegeven worden voor een specifiek persoon (ten behoeve van een digitale handtekening), voor een afdeling of voor het verlenen van digitale diensten. Elk overheidsorgaan heeft een certificaatbeheerder die het aanvragen en het beheer van certificaten onder zijn hoede heeft.

Certificaatbeheer
Die certificaatbeheerder heeft een verantwoordelijke functie. Hij is het aanspreekpunt voor de certificaatuitgever, vraagt (nieuwe) certificaten aan of laat certificaten intrekken. Hij moet ook een goed overzicht hebben van alle aanwezige certificaten, van de bijbehorende certificaatuitgevers, de bijbehorende diensten, de bijbehorende medewerkers en de wachtwoorden. Uiteraard is hij ook verantwoordelijk voor het veilig bewaren van de certificaten zelf en voor meldingen bij een vermissing of gebrek van een certificaat.

Het kritieke punt bij het beheren van al die certificaten zit hem in het bewaren van het overzicht. Veel certificaatbeheerders houden alles bij in een Excel-sheet, maar daar kleven grote risico’s aan. Gelukkig zijn er goede digitale oplossingen in de vorm van een service-register die het beheer van de certificaten structureren en het verloop ervan signaleren. Het belang van een dergelijke oplossing werd nog eens onderstreept bij de problemen met DigiNotar. Plotseling moesten de certificaatbeheerders van alle gemeenten uitzoeken welke certificaten gebruikt werden en voor welke diensten. Met een service-register kunnen ze dat met één klik nagaan.

Totaaloplossingen
Het beheer van certificaten is een belangrijk aspect van het digitale berichtenverkeer tussen de overheden onderling en tussen de overheid en externe partijen. Er komen steeds meer landelijke voorzieningen die elektronisch berichtenverkeer hebben met de lokale overheden, burgers en bedrijven. Een bekend voorbeeld hiervan is Omgevingsloket Online waarbij aanvragen voor omgevingsvergunningen via het centrale digitale loket rechtstreeks in de backoffice van de gemeente terechtkomen. Deze verbindingen werken via de Digikoppeling, de ‘digitale postbode’ voor de overheid. De toenemende dienstverlening via Digikoppeling kent, naast alle pluspunten rondom beveiliging, één risico. Want door de veelheid aan koppelingen die mogelijk worden ontstaat het gevaar van wildgroei aan Digikoppeling-verbindingen. Voordat je het weet, heb je een ‘spaghetti-architectuur’ van koppelingen die het onderhoud en beheer bemoeilijkt. Dat kan verholpen worden door het gebruik van één goede en generieke Digikoppeling- adapter. Deze Digikoppeling en de adapter vormen binnen de ICT-architectuur de schakel tussen de gemeente (met alle diensten) en de buitenwereld (andere overheden, centrale voorzieningen, burgers en bedrijven). Daarmee ontstaat er een heldere structuur die veiliger en beter beheersbaar is: een voorwaarde voor een maximale en betrouwbare kwaliteit van dienstverlening, en dus voor een betrouwbare overheid.

Conclusie
De digitale overheid biedt zo veel voordelen dat we niet meer zonder kunnen. Er is slechts één bedreiging: betrouwbaarheid. Alles moet 24/7 functioneren en alle partijen moeten de zekerheid hebben dat de systemen honderd procent veilig zijn. Er zijn drie plaatsen waar die veiligheid in het gedrang kan komen: bij de certificatenuitgevers, bij de certificaatbeheerders en bij de koppelingen. Het lek bij DigiNotar heeft ons de risico’s bij de certificaatbeheerders nog eens pijnlijk duidelijk gemaakt. Met betrekking tot het beheer speelt de inzet van een service-register een belangrijke rol en voor de Digikoppelingen zelf kan er gebruikgemaakt worden van de Digikoppeling-adapter. Gelukkig zijn er voor alle risico’s dus goede oplossingen. Het is aan de overheid om die oplossingen ook daadwerkelijk te gebruiken.

Jascha Gregorowitsch, directeur Publieke Sector Enable-U

Meer weten?
www.digid.nl
www.eherkenning.nl
www.logius.nl/pkioverheid