Eerst even dit: de registratie en het bijhouden van onze identiteitsgegevens gebeurt door de federale overheid. Applicaties zoals Itsme en myID zorgen dan weer voor de online identificatie van de burger en slaan de brug naar de website waar de persoon zich bij wil aanmelden. De apps die deze link mogen maken, worden bepaald door een Koninklijk Besluit van 2017, herhaalde staatsecretaris voor Digitalisering Mathieu Michel (MR), vorige week in de Kamer naar aanleiding van een debat over het incident. In dat KB staat nauw omschreven welke de procedure is om een erkenning te krijgen.
Ondanks de beweringen van Michel dat wij de Europese regels qua cyberveiligheid volgen, is niets minder waar omdat het desbetreffend KB door hem nooit werd geactualiseerd of gelijk werd getrokken met de Europese cyberverplichtingen. Om identificatiediensten Europees te kunnen aanbieden, zijn verschillende strikte procedures nodig waaronder een audit door een Conformity Assessment Body. myID slaagde dus wel voor de Belgische normen, maar mag zijn diensten nergens elders aanbieden in Europa. Itsme mag dat wel.
2017 is op vlak van cyberveiligheid natuurlijk een eeuwigheid geleden. Ondertussen hebben we in ons land al verschillende grote hacks meegemaakt op onze overheid, waaronder de departementen Defensie en Binnenlandse Zaken. Staatssecretaris Michel kan zich dan ook niet achter een achterhaald KB blijven verschuilen. Het is zijn taak om het beveiligingsniveau op te trekken.
Lakse mindset
Hoe wist men dat de nieuwe app onveilig was? Daarvoor gaan de pluimen naar het Cybersecurity Centrum België (CCB) dat op eigen initiatief de veiligheid van het systeem van myID naging, daags na de lancering. Dat moest de staatssecretaris schoorvoetend op mijn vragen in de commissie toegeven. Al na enkele pogingen van het CCB bleek dat externen zich toegang tot het systeem konden verschaffen. Dat betekent dat de hacker zich de identiteit van een andere persoon zou kunnen toe-eigenen. Een catastrofale beveiligingsfout met mogelijk verstrekkende gevolgen. Stel dat je daarmee aanpassingen kan doorvoeren in het register van ondernemingen, medische gegevens kan inkijken, vervalste belastingfiches kan uploaden, attesten kan uitreiken of zelfs financiële transacties kan initiëren.
Dat het CCB, een overheidsinstantie nota bene, op eigen initiatief en pas ná de lancering de veiligheid controleerde, in plaats van door de staatssecretaris vóór de erkenning te worden gevraagd om dat te doen, illustreert de lakse mindset van deze regering op het vlak van cyber.
China
Maar het probleem zit dieper. In een veranderende wereld moeten we ook beslissingen uit het verleden in vraag durven stellen. Waar ons land in 2017 koos voor een open systeem, waarbij elke onderneming die bepaalde stappen doorloopt toegang kan krijgen tot de identiteitsgegevens van onze burgers, kiezen andere Europese landen voor een totaal andere oplossing. Daar krijgt slechts één bedrijf, dat nauwlettend wordt gecontroleerd en opgevolgd, toegang tot het systeem via een openbare aanbesteding die om de paar jaar wordt hernieuwd. Een dergelijk systeem is natuurlijk veel veiliger.
Niets minder dan het correct functioneren van onze moderne maatschappij staat of valt met het veilig omspringen met onze identiteitsgegevens.
Zonder de bestaande speler Itsme te willen voortrekken: de kans dat dat bedrijf bijvoorbeeld in handen van Chinese investeerders zou komen, is bijzonder klein als je kijkt naar wie de aandeelhouders zijn. Namelijk de Belgische telecomoperatoren, een consortium van banken en de Belgische overheid zelf als grootste aandeelhouder. Met nieuwe privéspelers zonder publiek-private samenwerking heb je die garantie alleszins niet.
Visie en durf
Wat de staatsecretaris duidelijk mist is visie en durf om het systeem te evalueren en aan te passen aan de huidige realiteit. Daarnaast is de gehele mindset van 'security first' ondergeschikt aan zijn idee om de burger eerst en vooral toegang te verlenen tot zijn data. Normaal zou je verwachten dat het omgekeerde waar zou zijn. Ik kan niet genoeg benadrukken hoe belangrijk een veilige toegang tot onze identiteitsgegevens wel is en hoe cruciaal het is dat, wie deze gegevens beheert, dat op een absoluut veilige manier doet. Niets minder dan het correct functioneren van onze moderne maatschappij staat of valt met het veilig omspringen met onze identiteitsgegevens. We moeten de garantie eisen dat dit op de absoluut meest veilige manier gebeurt.