V&A: Bescherming van de privacy en veiligheid van gegevens bij een toenemend aantal digitale identiteiten

Het vaststellen van de gebruikersidentiteit en het beschermen van gegevens behoren tot de belangrijkste basisprincipes van cyberbeveiliging, maar nu organisaties steeds vaker op de proef worden gesteld door datalekken, is de oude combinatie van gebruikersnaam en wachtwoord niet langer toereikend. Veel bedrijven hebben multifactorauthenticatie en andere hulpmiddelen toegevoegd om de beveiliging te verbeteren, en er zijn er nog meer op komst.

"We moeten concepten als gegevensprivacy en veiligheid heroverwegen, en in sommige gemeenschappen vindt die heroverweging al plaats," zegt Joni Brennan, voorzitter van de Digital Identification and Authentication Council of Canada ( DIACC ). Het Canadese samenwerkingsverband van openbare en particuliere leden streeft naar een economisch voordelig nationaal kader voor digitale identiteit dat zowel de privacy als de veiligheid verbetert.

"Veel over identiteit gaat over het verifiëren van stukjes gegevens over jou," zegt Brennan, voormalig uitvoerend directeur van Kantara Initiative , een Amerikaanse trusted-identity groep. "Identiteit duikt overal op. Mensen noemen het misschien geen identiteit, maar het is data en het gaat over jou."

Als gegevens de nieuwe olie zijn, zoals het populaire gezegde luidt, is het belangrijk te onthouden dat een olielek giftig kan zijn, merkt Brennan op. De groei in het gebruik van apparaten en het aantal mensen dat thuis werkt tijdens de COVID-19 pandemie heeft het werk van beveiligingsprofessionals dringend vooruitgeholpen, zegt ze.

"Telkens wanneer we een nieuwe dienst proberen te gebruiken, wordt ons gevraagd een nieuwe account aan te maken. En elke keer dat we een nieuwe account maken, elke keer dat we gegevens delen met een derde partij, creëren we meer complexiteit met betrekking tot privacy- en beveiligingstechnologie en -beleid," zegt Brennan.

In dit interview met Mimecast-medewerker Mercedes Cardona spreekt Brennan over nieuwe identiteitstechnologieën, nieuwe denkwijzen rond gegevensbescherming en hoe privacy en veiligheid deel uitmaken van dezelfde familie.

Opmerking van de redactie: Dit is het derde in een reeks interviews met vooraanstaande deskundigen op het gebied van cyberbeveiliging uit de academische wereld, onderzoeksinstellingen en de particuliere sector.

Mimecast: Naarmate meer van ons leven verbonden raakt met meer apparaten en identiteiten, moeten we dan opnieuw nadenken over wat we beschouwen als dataprivacy en hoe we dat afdwingen? Kunnen we ooit 100% veilig zijn?

Joni Brennan: Privacy en beveiliging zijn verwant aan elkaar; het zijn familieleden. Misschien staan familieleden soms op gespannen voet met elkaar, maar ze maken deel uit van dezelfde familie en ze werken samen. Als we privacy en gegevensbescherming opnieuw bekijken als integraal onderdeel van data empowerment, begint het ecosysteem er een beetje anders uit te zien.

Ik kijk uit het raam bij mijn bureau, en ik heb rolgordijnen die voor het raam naar beneden komen. De manier waarop tegenwoordig over gegevensbescherming of privacy wordt gedacht, is vaak alsof er een grote muur voor mijn ramen wordt gebouwd. Wij gaan een grote muur voor uw raam optrekken, en dat zal bescherming bieden. En dat soort bescherming kan goed zijn, maar ik geef echt de voorkeur aan de rolgordijnen die ik heb boven een muur. Ik kan ze omhoog of omlaag trekken, en ik kan ze een beetje draaien. Ik heb een heleboel keuzes over wie er naar binnen kijkt of wat ik deel en met welk doel.

Wij, de mensen, gebruiken gegevens niet op de manier waarop ze kunnen en moeten worden gebruikt. We geven mensen niet de controle over gegevens die over hen gaan. Door de mensen meer controle te geven over de gegevens die over hen worden verzameld, kunnen de veiligheids- en privacymaatregelen efficiënter worden, omdat we de controle hebben over welke informatie wordt gedeeld, wanneer en met welk doel.

Ik denk dat dat de grote ontbrekende schakel is - wij als burgers en consumenten hebben nog geen toegang tot of controle over de informatie die over ons wordt verstrekt, of die gegevens nu bij de overheid berusten of bij instellingen als banken of telecommunicatieaanbieders.

Mimecast: Hoe bemiddel je die spanning tussen de gebruikerservaring en veiligheid?

Brennan: Deze digitale identiteitsruimte kent veel verschillende spanningen die met elkaar en over elkaar heen werken. Dat komt omdat identiteit - gegevens over mij - iets is waar ik over nadenk als een horizontale praktijk; bijna elke sector heeft een goede digitale identiteit nodig. Als het om de bouw gaat, wil je weten of je bouwvakkers de juiste referenties hebben om op de bouwplaats te zijn en het werk te doen waarvoor je ze nodig hebt. In de gezondheidszorg wilt u weten of het de juiste dokter is, of het de juiste patiënt is, of zij toegang hebben tot die informatie, of het juiste ziekenhuis. Als het om een hotel gaat, wilt u er zeker van zijn dat de persoon die de lift repareert ook echt van het bedrijf is dat u heeft ingehuurd en gekwalificeerd is om de lift voor u te repareren. Als het om bankzaken gaat, is het: "Ben ik wie ik beweer te zijn of probeer ik te frauderen?"

Wij moeten deze spanningen aanvaarden en omarmen. Wij moeten met en door deze spanningen heen werken. Een deel ervan is de noodzaak om ons te concentreren op de basisvereisten voor oplossingen. Het is heel gebruikelijk voor organisaties om alleen te kijken naar point-to-point oplossingen en te zeggen: "OK: punt A, punt B. Laten we het daar tussenin oplossen."

De uitdaging is dat er een fundamentele kwestie is die moet worden aangepakt. Dat probleem is het volgende: Er zijn gegevens over mij in vele systemen, maar vaak heb ik geen toegang tot die gegevens en kan ik er geen gebruik van maken. Die gegevens kunnen een rijbewijs of een paspoort zijn, of dat ik een gecertificeerde informatiebeveiliger ben, of dat ik een patiënt ben, of dat ik een arts ben.

Mimecast: Toen blockchain een modewoord was, werd er wel eens gesproken over het creëren van op blockchain gebaseerde tokens die je persoonlijke gegevens draagbaar zouden maken. Zou dat onze volgende digitale vingerafdruk kunnen zijn?

Brennan: Er is duidelijk vooruitgang geboekt op het gebied van toepassingen voor blockchain of voor gedistribueerde grootboektechnologieën en voor op toestemming gebaseerde netwerken, alsook voor een op een netwerk gebaseerde aanpak die zelf-soevereine identiteit wordt genoemd. Wat netwerken betreft, zien we dat er een klein aantal netwerken bestaat en zal ontstaan.

Wij geloven niet dat één enkele oplossing de vele uitdagingen op het gebied van digitale identiteit zal oplossen. Als beveiligingsmensen moeten wij op de hoogte blijven van de verschillende trends en innovaties naarmate die zich ontwikkelen.

Wij zien de waarde in van internationale industriële normen die zich ontwikkelen met het oog op de vaststelling van een gemeenschappelijk model voor de wijze waarop gegevens worden gecreëerd en uitgewisseld. Er is bijvoorbeeld een industrienorm van het World Wide Web Consortium [W3C] in ontwikkeling voor iets dat " verifieerbare referenties " heet. Binnen het W3C is de verifieerbare referentie een interessante ontwikkeling, omdat het de bedoeling is een gemeenschappelijk model op te zetten voor gegevens die worden uitgegeven en gebruikt door verschillende netwerken die zijn gebaseerd op verschillende technologieën met verschillende bestuursmodellen. Dit zou een gemeenschappelijk gegevensmodel kunnen zijn waarvan een blockchain-achtig netwerk gebruik zou kunnen maken. Dit soort gegevens zou ook kunnen worden gebruikt door meer gevestigde industriestandaarden, waaronder OpenID, of in andere technologieën.

Er zullen altijd mensen en organisaties zijn die klaar zijn om nieuwe technologieën toe te passen en organisaties die dat nog niet zijn. En het is de moeite waard op te merken dat we een verschuiving hebben gezien in de trend met betrekking tot het concept van interoperabiliteit. Wat interoperabiliteit betreft, legden we vroeger de nadruk op het gebruik van één technologie die op een voorgeschreven manier werd toegepast. Wanneer we het nu over interoperabiliteit hebben, hebben we het over de mogelijkheid voor verschillende systemen met verschillende netwerken en verschillend bestuur om gemeenschappelijke gegevens te gebruiken en te benutten. Dat is een duidelijke verandering in het concept van de definitie en de waarde van interoperabiliteit.

Technologieën voor identiteitsbeheer zoals blockchain en gedistribueerd grootboek zijn nog een stukje van de puzzel. Nieuwe technologieën zijn een aanvulling op het ecosysteem. Federatieve identiteit en single sign-on zullen nog een hele tijd blijven bestaan. We moeten nieuwe technologie zien als iets extra's en ons richten op leren als een gemeenschap.

Mimecast: Biometrische identiteit wordt daar aan toegevoegd. Wat is de status ervan vandaag?

Brennan: Bij DIACC is biometrie een van de onderwerpen waar we het over hebben. Ik heb een telefoon die ontgrendelt met een gezichtsbiometrie. Ik vind niet dat het [voor mij] de hele tijd werkt. Het is belangrijk voor mij dat deze biometrische gegevens in de telefoon blijven [in mijn vertrouwde module] en niet worden opgeslagen door een derde partij. Dat gezegd hebbende, zullen sommige gemeenschappen het ermee eens zijn dat de biometrische gegevens in de cloud moeten worden opgeslagen. Er moet transparantie zijn over hoe een biometrisch kenmerk wordt gebruikt en opgeslagen.

Toen de pandemie uitbrak en we allemaal maskers gingen dragen, nou, raad eens? Die basale telefoonherkenning is niet meer zo waardevol, en het is moeilijk om het te laten werken. Hoe biometrische gegevens worden gebruikt, kan worden bepaald door de cultuur en door gebeurtenissen - zoals de pandemie.

Je ziet ook organisaties van derden die zonder toestemming het hele internet hebben afgeschraapt op zoek naar gezichtsfoto's. Ze pakken foto's en creëren databases. Dat is een heel beangstigend iets. Het is moeilijk. De biometrische sector zal zich blijven ontwikkelen. We zullen blijven zien dat er goede toepassingen voor komen, en we zullen ook zien dat er slechte actoren op af komen.

Terwijl de biometrische technologie en het gebruik ervan voortschrijden, moet er echt beleidswerk worden verricht. Dat beleidswerk moet worden ondersteund door technologie en ervaren professionals. We weten dat het beleid veel trager evolueert dan de technologie, maar we zien dat de kloof tussen de beleidstoepassing en de operationele realiteit exponentieel toeneemt.

Er is echte coördinatie en inspanning nodig om het beleid inzake ethisch gebruik te codificeren. Geen enkele hoeveelheid normalisatiewerk kan het echte en noodzakelijke harde beleidswerk vervangen. Normen moeten en zullen het beleid informeren, maar normen zullen niet in de plaats komen van de beleidsvorming die dringend moet gebeuren.

Mimecast: We hebben tijdens de pandemie zo veel digitale transformatie met sprongen doorgevoerd. Wat betekent dit voor de controle van de identiteit, aangezien zoveel mensen in de nabije toekomst op afstand zullen blijven werken?

Brennan: In het begin van DIACC waren de discussies over identiteitsgerelateerde oplossingen en diensten meer gericht op gemak. Nu gaan die discussies over veiligheid in het echte leven - het behoud van die baan of, als bedrijfseigenaar, de mogelijkheid om veilig en efficiënt gebruik te maken van arbeidskrachten van over de hele wereld.

Iets waar beoefenaars van industriële beroepen en beleidsmakers ook rekening mee moeten houden is het woord "responsabilisering". Responsibilisering" is een academisch woord dat erop neerkomt dat iets wat vroeger de verantwoordelijkheid van een autoriteit was, zoals een regering of een bank of iets anders, naar een persoonlijke verantwoordelijkheid wordt verschoven. Sommige van de nieuwere innovaties zijn erop gericht meer verantwoordelijkheid bij de mensen zelf te leggen. Dit kan empowerend werken. Er moeten echter ook vangnetten zijn - of regels en instrumenten - om aan te geven waar iemand bescherming kan verwachten en waar dat niet het geval is.

Er moet rekening worden gehouden met het vermogen van klanten, burgers of cliënten om voldoende digitaal geletterd te zijn om veiligheidsmaatregelen te nemen. De nieuwere modellen voor identiteitscontrole gaan ervan uit dat mensen veel meer verantwoordelijkheid zullen nemen. Die verschuiving in verantwoordelijkheid vereist zakelijke, juridische en technische innovatie. We kunnen er niet op vertrouwen dat burgers, klanten en cliënten volledig verantwoordelijk zijn om privacy- en veiligheidsproblemen alleen aan te pakken.

Mimecast: Zijn er nog andere ontwikkelingen en technologieën die er veelbelovend uitzien in de nabije toekomst?

Brennan: Organisaties die meer willen weten, kunnen onze DIACC vijfjarenstrategie bekijken, die in oktober 2020 werd gepubliceerd. De vijfjarenstrategie biedt een korte inleiding over waar identiteit is geweest en waar identiteit naar toe gaat met betrekking tot real-world adoptie.

DIACC ziet een klein aantal netwerken die nu bestaan of in opkomst zijn. Deze netwerken zijn waarschijnlijk fijn afgestemd op het doel van informatie-uitwisseling en verificatie. Een van deze netwerken is hier in Canada van start gegaan, met gebruikmaking van banken, levensverzekeringen en levensverzekeringsproducten, telecommunicatieaanbieders en aanbieders van netwerkoplossingen - die allen samenwerken in een op consortia gebaseerd ecosysteem.

Ons advies aan professionals, maar ook aan degenen die gewoon geïnteresseerd zijn in identiteit, is om rekening te houden met het bestaan en de opkomst van verschillende netwerken, gebouwd op verschillende technologieën, met verschillende governance- en aansprakelijkheidsmodellen er bovenop. Wat is belangrijker om te overwegen? Niet elk netwerk zal precies hetzelfde tot stand komen.

Een verificatieprogramma zal ons ecosysteem helpen om de processen en praktijken te verifiëren die door netwerken en netwerkactoren zijn ingevoerd. Dankzij een grootschalige samenwerking beschikt Canada over een pan-Canadian Trust Framework , [dat] een procesgebaseerd kader is dat door DIACC is gepubliceerd. En in 2021 lanceren wij wat wij noemen ons " Voilà Verified " programma. Voilà Verified is een programma dat kan worden gebruikt om verschillende technologieën en processen voor identiteitsgerichte diensten en oplossingen te verifiëren.

Het pan-Canadian Trust Framework en Voilà Verified vormen belangrijke stukjes van de puzzel, en het hebben van een PCTF Trustmark zou mensen, bedrijven en overheden helpen. En ten slotte hebben het pan-Canadian Trust Framework en Voilà Verified betrekking op internationale en economische toepassingen. We moeten ervoor zorgen dat mensen, bedrijven en overheden altijd en overal in de wereld privacy- en veiligheidstransacties kunnen verrichten.