Honderden security-experts slaan alarm over EU-plan waarmee alle internetverkeer valt te onderscheppen
Honderden wereldwijde cybersecurity-experts, onderzoekers en wetenschappers hebben een open brief ondertekend waarin alarm wordt geslagen over de inmiddels bijna definitieve tekst van de Europese eIDAS-verordening. De vrees is onder meer dat regeringen een achterdeurtje krijgen om burgers online in de gaten te kunnen houden. Al sinds september 2018 regelt de eIDAS-verordening dat overheidsorganisaties Europees erkende inlogmiddelen moeten accepteren in hun digitale dienstverlening. In de verordening staat onder meer dat dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur gebruikt worden bij onder meer elektronische handtekeningen, zegels, tijdstempels een website-authenticatie.
Nu er een update in de verordening is voorgesteld (artikel 45), zijn er echter grote zorgen ontstaan bij experts, onderzoekers en wetenschappers. Ze vinden dat het voorstel de mogelijkheden van regeringen uitbreidt om zowel hun eigen burgers als inwoners in de hele EU in de gaten te houden, omdat er mogelijk technische middelen worden toegestaan die versleutelde berichten kunnen onderscheppen en bestaande toezichtsmechanismen kunnen ondermijnen. De bom barstte toen er een voorstel werd gedaan om in de verordening alle EU-lidstaten de mogelijkheid te bieden om zogenaamde Qualified Website Authentication Certificates (QWAC’s) uit te gaan geven. Internetbrowsers verwerken certificaten om hun verbinding met servers te beveiligen en te authentiseren volgens bestaande wereldwijde afspraken over veiligheid en vertrouwelijkheid, maar met QWAC’s krijgen lidstaten de mogelijkheid en bevoegdheid om zelf certificaten te maken en te plaatsen. Daarbij wordt het met het voorstel ook nog eens mogelijk dat er een verbod komt voor browsers om QWAC’s te weigeren.
De non-profitorganisatie The Internet Society, dat opkomt voor een veiliger internet, schrijft in een analyse dat met QWAC’s de betrouwbaarheid van de browsers kan worden ondermijnd, en dat er bovendien verbindingen tot stand kunnen worden gebracht die de bestaande wereldwijde afspraken voor browserverbindingscertificaten vermijden. Het zou voor gebruikers ook niet duidelijk zijn dat ze te maken hebben met een ander type certificaat dan gebruikelijk. The Internet Society schrijft verder dat als de QWAC’s eenmaal geïmplementeerd zijn, ze misbruikt kunnen worden door overheden die “die niet dezelfde bestuursprincipes nastreven als de EU”, omdat het browser-ecosysteem namelijk mondiaal en niet EU-gebonden is. De certificaten kunnen zo voor veel ellende zorgen. “Hetzelfde mechanisme kan bijvoorbeeld worden gebruikt om een ‘government root’-certificaat in te voegen, en daarmee toegang te krijgen tot alle browsersessies die met die certificaten zijn beveiligd. Dit vormt een ernstige bedreiging voor de grondrechten, inclusief die van EU-burgers die met die landen communiceren, en vormt een cybersecurity-dreiging voor de EU.”
Michiel Steltman, directeur van Stichting Digitale infrastructuur Nederland (SIDN), schrijft in een LinkedIn-bericht dat hij de voorgestelde wijziging in eIDAS “amper kan geloven.” Hij haalt daarbij onder meer de Diginotar-crisis aan, waardoor Iran de mogelijkheid kreeg om valse certificaten aan te maken voor bekende websites en zo internetverkeer kon ‘afluisteren’. Dat lukte omdat de certificaten niet als “ongeldig” worden herkend door browsers. “De kans op incidenten was destijds klein. Maar omdat de veiligheid niet kon worden gegarandeerd moesten zowel de overheid, infra partijen, webmasters als gebruikers hun voorzorgsmaatregelen nemen. Het was een nationale crisis. Wat er hier nu gebeurt is dat die effecten van de Diginotar hack in een EU wet wordt vastgelegd als optie.” Volgens Steltman krijgen lidstaten met het voorstel een opening om HTTP en TLS-encryptie te omzeilen en Man-In-The-Middle-aanvallen uit te voeren, aan de hand van eigen geplaatste certificaten.
https://www.agconnect.nl/tech-en-toekomst/europa/brandbrief-over-europees-plan-dat-privacy-in-gevaar-brengt
Zie hierover ook:
- Google hekelt certificaatplan Brussel: brengt privacy en security in gevaar – Security.NL
- Internetbedrijven slaan alarm over certificaatplan Europese digitale identiteit – Security.NL
Kabinet stemt in met voorstel voor Europese digitale identiteit
Het demissionaire kabinet heeft tijdens de laatste vergadering van de Raad van de EU ingestemd met het compromisvoorstel voor een Europese digitale identiteit. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Vanuit een speciale wallet-app voor smartphones en ‘andere apparaten’ moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen worden verplicht om de nieuwe Europese digitale identiteit te accepteren. “De uitkomst van de onderhandelingen is in lijn met de Nederlandse inzet”, aldus de staatssecretaris. “Op alle punten waar uw Kamer haar zorgen over heeft uitgesproken zijn waarborgen opgenomen in het definitieve compromisvoorstel. Er is in samenwerking met gelijkgestemde lidstaten voor gezorgd dat de voor Nederland belangrijke punten zijn opgenomen in het akkoord.”
Zo is er volgens Van Huffelen in het compromisvoorstel geen sprake van een uniek Europees identificatienummer, noch van een Europese identiteit. Lidstaten geven de identiteit zelf uit. Verder is er een overweging in het voorstel opgenomen waarin nog eens wordt onderstreept dat gebruiks- en gebruikersgegevens niet voor andere doeleinden verwerkt mogen worden dan voor het leveren van walletdiensten.
Het Europees Parlement en de Raad moeten formeel nog over dit voorstel stemmen op basis van gekwalificeerde meerderheid.
https://www.security.nl/posting/815830
Digitale euro: Toezichthouders uiten ernstige privacyzorgen
Na twee lange jaren aan onderzoek is de Europese Centrale Bank (ECB) de volgende fase gestart van de digitale euro. Deze fase, waarin de puntjes op de “i” zullen worden gezet, zal nog eens twee jaar in beslag nemen. Europese data toezichthouders maken zich echter zorgen en willen duidelijkere privacyregels.
Lees verder op: Digitale euro: Toezichthouders uiten ernstige privacyzorgen (crypto-insiders.nl)
Gegevens ggz-patiënten met privacyverklaring door softwarefout toch gedeeld
Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten. Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie over bijvoorbeeld angststoornissen, agressieproblemen, alcohol- en drugsgebruik, depressies en seksuele problemen. Een systeem waar zorgverleners gebruik van maken gaf door ‘een probleem in de programmatuur’ aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan. Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens.
