Voor verschillende diensten dienen we ons te identificeren. Er zijn veel processen die alleen in werking kunnen en mogen worden gezet als we overtuigd zijn van de identiteit van een persoon. De digitale revolutie heeft ons hierbij veel gebruiksgemak gebracht, maar heeft eveneens veel uitdagingen opgeleverd. Eén van die uitdagingen ligt in de wijze waarop wij ons digitaal identificeren, en het gemak waarmee hier misbruik van gemaakt kan worden. En als er dan misbruik van is gemaakt, hoe identificeren we dan de dader?
Digitale Identificatiemethoden- Enkele risicogebieden en vragen
Als maatschappij vinden we het heel belangrijk om tientallen niet na te maken veiligheids- en echtheidskenmerken te verwerken in identiteitsdocumenten. Vervolgens nemen echter verschillende bedrijven genoegen met een scan of kopie van dit identiteitsdocument, waar (zo goed als) geen enkel authenticiteitskenmerk meer op zichtbaar is. Bovendien is het eenvoudig om digitaal aanpassingen te maken aan bestanden, afbeeldingen en dus ook identiteitsgegevens.
Het is handig om digitale formulieren en documenten te ondertekenen met een digitale afbeelding van een handtekening. Maar hoe betrouwbaar is een digitale handtekening nog als iedereen een afbeelding van een handtekening digitaal kan uitknippen en onder een ander document kan plakken?
Afgelopen jaar heb ik zelfs een contract afgesloten met mijn stem. Twee keer ‘ja’ zeggen over de telefoon was voldoende om een nieuw telefoonabonnement af te sluiten. Ofwel, ik heb me geïdentificeerd en een contract ‘ondertekent’ met alleen mijn stem. Maar hoe kan degene aan de andere kant van de lijn dan beoordelen of het stemgeluid wat hij waarneemt, bij mij hoort?
En dan nog een tweetal vraagstukken over identificatie met behulp van biometrische gegevens. Hoe nauwkeurig worden de referenties vergeleken met de ter identificatie aangeboden vingerafdruk, irisscan of ander biometrisch kenmerk? Op welke wijze worden onze biometrische kenmerken in referentiebestanden vervaardigd en beveiligd? Wat gebeurd er met onze bestanden, is de vraag die 50% van de deelnemers, aan de Biometrie bijeenkomst van het Platvorm voor Informatie Beveiliging (PvIB), stelde toen ik ze vroeg zich digitaal te identificeren bij de aanvang van mijn lezing.
Tips om fraude met digitale identificatiemiddelen te voorkomen
Het digitaal aanpassen van documenten – identiteitsbewijzen, contracten– laat altijd sporen na. Zowel digitaal als zichtbaar op het document. Zeker wanneer een kopie of scan middels digitaal ‘knippen en plakken’ wordt bewerkt. Hoe netjes het ook wordt uitgevoerd, met een nauwkeurig onderzoek, kunnen de wijzigingen worden ontdekt.
Bij handtekening vergelijkend onderzoek wordt als stelregel gehanteerd dat ‘wanneer twee handtekeningen exact met elkaar overeenkomen, er altijd tenminste één niet authentiek is’. Niemand kan immers uit eigen (spier)beweging twee keer exact dezelfde lijnen produceren.
Onderzoek aan spraak om toegang te verkrijgen, dient tot de in- of uitsluiting van de persoon die het opgenomen geluid produceert. De spraakkenmerken van dit individu moet dan wel in een referentiebestand zijn opgeslagen. De hoeveelheid en de kwaliteit van deze referentiebestanden is vaak de beperkende factor in onderzoek met de vraag ‘hoe waarschijnlijk het is’ dat een specifieke spreker een opname heeft ingesproken.
De digitale wereld ontwikkelt zich en we moeten hier in mee. Als daarbij gebruiksgemak en risicobeperking speerpunten zijn, en tijd en accuratesse de beperkende factoren, lijkt een combinatie van meerdere (digitale) identificatiemethoden onmisbaar om daadwerkelijk identificatie mogelijk te maken. Ik ben groot voorstander van de combinatie iets wat je Weet (pincode, wachtwoord), iets wat je Bent (biometrie, en iets wat je Hebt (pinpas, ID-Kaart, paspoort). Als de referenties dan ook nog op de goede manier zijn verkregen en opgeslagen, kan minder makkelijk misbruik worden gemaakt en kunnen we efficiënter onderzoek naar deze integriteitsschendingen uitvoeren.