Authenticatie is hét middel tegen phising
Phishing is een snelgroeiend probleem, daarover is iedereen het eens. Volgens Gartner ontvingen vorig jaar 57 miljoen Amerikaanse internetgebruikers phishing e-mails en gaf 1,8 miljoen van hen persoonlijke informatie prijs. Uit in april uitgevoerd onderzoek is gebleken dat 76 procent van alle bekende of verdachte phishing-pogingen in de afgelopen zes maanden plaatsvond. Dagelijks worden 38 nieuwe unieke phishing-pogingen geïdentificeerd. Inmiddels staat de teller op 2000 unieke pogingen. Om phishing een halt toe te roepen, is een groep bedrijven - waaronder IBM, Citigroup, eBay, ABN Amro, AT&T Wireless Services en Siebel Systems - gestart met het Trusted Electronic Communications Forum (TECF) zoals Automatisering Gids twee weken terug meldde. Deze groep bedrijven wil - aldus de berichten - standaarden ontwikkelen die deze snel om zich grijpende vorm van internetfraude aan banden kunnen leggen. Vraag is of er op dit gebied meer standaarden nodig zijn of dat het meer gaat om een intensievere benutting van de bestaande mogelijkheden. Die zijn er immers in verschillende maten en soorten, variërend van een relatief eenvoudige internet-tool om links naar dubieuze websites te herkennen, tot geavanceerde token-technologie en PKI-systemen (Public Key Infrastructure). Met deze laatste technologieën kunnen internetgebruikers zich op een betrouwbare manier identificeren op het internet en tevens hun communicatie beveiligen. Zender en ontvanger kunnen er dankzij deze technologieën van op aan dat men is wie men zegt te zijn. De bestaande middelen voor authenticatie worden op dit moment nog relatief weinig toegepast. Bedrijven en organisaties vertrouwen vooralsnog het meest op de traditionele combinatie van gebruikersnaam en wachtwoord. Vraag is hoe lang dit nog mogelijk is. Met de snelle toename van het aantal phishing-meldingen en de wetten van de grote getallen (5 procent van de ontvangers reageert daadwerkelijk op een phishing-mailbericht) is de verwachting gerechtvaardigd dat het moment dichtbij is dat de toegenomen kosten van fraude opwegen tegen de kosten van een brede inzet van authenticatie-middelen voor consumenten. Voor de meest kwetsbare sectoren, financiële dienstverlening en online retail, lijkt dat moment dichterbij dan menigeen denkt. Bedrijven die in deze sector actief zijn en krachtiger authenticatiemiddelen inzetten dan nu gebruikelijk, zullen als bijkomend effect mogen rekenen op beter klantbehoud. Immers: een leverancier die werk maakt van betrouwbare communicatie wordt ook op andere fronten als betrouwbaar beschouwd. In de hele discussie over een veiliger internet mag de rol van de overheid niet onderschat worden. De overheid is door zijn gerichtheid op burgers bij uitstek een partij die het voortouw zou kunnen nemen bij het bevorderen van krachtige authenticatie via internet. In België wordt hier al sinds 2001 aan gewerkt. Toen besloot de regering tot de invoering van een elektronische identiteitskaart voor elke Belg. Deze kaart bevat een foto, het rijksregisternummer en een aantal basisidentificatiegegevens van de eigenaar, zowel in visuele als in elektronisch leesbare vorm. Daarnaast bevat de kaart ook een aantal elektronische sleutels waarmee de burger zich op afstand elektronisch kan authentiseren en een juridische geldige elektronische handtekening kan genereren. Deze mogelijkheden zijn uiteraard nuttig in het kader van dienstverlening door de overheid. Maar deze elektronische authenticatie en elektronische handtekening kunnen ook worden gebruikt in het kader van e-commerce, e-banking, e-business en andere internetgerelateerde activiteiten. België heeft inmiddels alle pilotprojecten met deze elektrische identiteitskaart afgerond en besloten om binnen vijf jaar iedere Belg vanaf 12 jaar te voorzien van de kaart. Het is een initiatief dat aandacht verdient van het Trusted Electronic Communications Forum. Niet alleen omdat het allerlei verschillende mogelijkheden opent voor een veiliger en betrouwbaarder internet, maar vooral omdat het iedere gebruiker van het internet de middelen in handen geeft zich te identificeren. Het is de hoogste tijd voor concrete stappen als we van ‘de Belgen doen het beter’ naar ‘de Belgen voorbij’ van VVD-er Zsolt Szabo willen! Het uur ‘U’ is nu echt aangebroken. Martin Bergonje is country manager Nederland bij Ubizen, wereldwijd toonaangevende leverancier van Managed Security Solutions (MSS).Bijdragen in de rubriek Opinie staan los van de redactionele opvattingen van AG. De redactie behoudt zich het recht voor artikelen te redigeren en in te korten. Bijdragen voor de rubriek kunnen worden gestuurd aan: ag@wkths.nl onder vermelding van ‘opinie’.