Honderden security-experts slaan alarm over EU-plan waarmee alle internetverkeer valt te onderscheppen

Honderden wereldwijde cybersecurity-experts, onderzoekers en wetenschappers hebben een open brief ondertekend waarin alarm wordt geslagen over de inmiddels bijna definitieve tekst van de Europese eIDAS-verordening. De vrees is onder meer dat regeringen een achterdeurtje krijgen om burgers online in de gaten te kunnen houden. Al sinds september 2018 regelt de eIDAS-verordening dat overheidsorganisaties Europees erkende inlogmiddelen moeten accepteren in hun digitale dienstverlening. In de verordening staat onder meer dat dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur gebruikt worden bij onder meer elektronische handtekeningen, zegels, tijdstempels een website-authenticatie.

Nu er een update in de verordening is voorgesteld (artikel 45), zijn er echter grote zorgen ontstaan bij experts, onderzoekers en wetenschappers. Ze vinden dat het voorstel de mogelijkheden van regeringen uitbreidt om zowel hun eigen burgers als inwoners in de hele EU in de gaten te houden, omdat er mogelijk technische middelen worden toegestaan die versleutelde berichten kunnen onderscheppen en bestaande toezichtsmechanismen kunnen ondermijnen. De bom barstte toen er een voorstel werd gedaan om in de verordening alle EU-lidstaten de mogelijkheid te bieden om zogenaamde Qualified Website Authentication Certificates (QWAC’s) uit te gaan geven. Internetbrowsers verwerken certificaten om hun verbinding met servers te beveiligen en te authentiseren volgens bestaande wereldwijde afspraken over veiligheid en vertrouwelijkheid, maar met QWAC’s krijgen lidstaten de mogelijkheid en bevoegdheid om zelf certificaten te maken en te plaatsen. Daarbij wordt het met het voorstel ook nog eens mogelijk dat er een verbod komt voor browsers om QWAC’s te weigeren.

De non-profitorganisatie The Internet Society, dat opkomt voor een veiliger internet, schrijft in een analyse dat met QWAC’s de betrouwbaarheid van de browsers kan worden ondermijnd, en dat er bovendien verbindingen tot stand kunnen worden gebracht die de bestaande wereldwijde afspraken voor browserverbindingscertificaten vermijden. Het zou voor gebruikers ook niet duidelijk zijn dat ze te maken hebben met een ander type certificaat dan gebruikelijk. The Internet Society schrijft verder dat als de QWAC’s eenmaal geïmplementeerd zijn, ze misbruikt kunnen worden door overheden die “die niet dezelfde bestuursprincipes nastreven als de EU”, omdat het browser-ecosysteem namelijk mondiaal en niet EU-gebonden is. De certificaten kunnen zo voor veel ellende zorgen. “Hetzelfde mechanisme kan bijvoorbeeld worden gebruikt om een ‘government root’-certificaat in te voegen, en daarmee toegang te krijgen tot alle browsersessies die met die certificaten zijn beveiligd. Dit vormt een ernstige bedreiging voor de grondrechten, inclusief die van EU-burgers die met die landen communiceren, en vormt een cybersecurity-dreiging voor de EU.”

Michiel Steltman, directeur van Stichting Digitale infrastructuur Nederland (SIDN), schrijft in een LinkedIn-bericht dat hij de voorgestelde wijziging in eIDAS “amper kan geloven.” Hij haalt daarbij onder meer de Diginotar-crisis aan, waardoor Iran de mogelijkheid kreeg om valse certificaten aan te maken voor bekende websites en zo internetverkeer kon ‘afluisteren’. Dat lukte omdat de certificaten niet als “ongeldig” worden herkend door browsers. “De kans op incidenten was destijds klein. Maar omdat de veiligheid niet kon worden gegarandeerd moesten zowel de overheid, infra partijen, webmasters als gebruikers hun voorzorgsmaatregelen nemen. Het was een nationale crisis. Wat er hier nu gebeurt is dat die effecten van de Diginotar hack in een EU wet wordt vastgelegd als optie.” Volgens Steltman krijgen lidstaten met het voorstel een opening om HTTP en TLS-encryptie te omzeilen en Man-In-The-Middle-aanvallen uit te voeren, aan de hand van eigen geplaatste certificaten.
https://www.agconnect.nl/tech-en-toekomst/europa/brandbrief-over-europees-plan-dat-privacy-in-gevaar-brengt
Zie hierover ook:

  • Google hekelt certificaatplan Brussel: brengt privacy en security in gevaar – Security.NL
  • Internetbedrijven slaan alarm over certificaatplan Europese digitale identiteit – Security.NL

Kabinet stemt in met voorstel voor Europese digitale identiteit

Het demissionaire kabinet heeft tijdens de laatste vergadering van de Raad van de EU ingestemd met het compromisvoorstel voor een Europese digitale identiteit. De Europese Commissie presenteerde in 2021 plannen voor de invoering van een digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Vanuit een speciale wallet-app voor smartphones en ‘andere apparaten’ moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen worden verplicht om de nieuwe Europese digitale identiteit te accepteren. “De uitkomst van de onderhandelingen is in lijn met de Nederlandse inzet”, aldus de staatssecretaris. “Op alle punten waar uw Kamer haar zorgen over heeft uitgesproken zijn waarborgen opgenomen in het definitieve compromisvoorstel. Er is in samenwerking met gelijkgestemde lidstaten voor gezorgd dat de voor Nederland belangrijke punten zijn opgenomen in het akkoord.”

Zo is er volgens Van Huffelen in het compromisvoorstel geen sprake van een uniek Europees identificatienummer, noch van een Europese identiteit. Lidstaten geven de identiteit zelf uit. Verder is er een overweging in het voorstel opgenomen waarin nog eens wordt onderstreept dat gebruiks- en gebruikersgegevens niet voor andere doeleinden verwerkt mogen worden dan voor het leveren van walletdiensten.

Het Europees Parlement en de Raad moeten formeel nog over dit voorstel stemmen op basis van gekwalificeerde meerderheid.
https://www.security.nl/posting/815830

Digitale euro: Toezichthouders uiten ernstige privacyzorgen

Na twee lange jaren aan onderzoek is de Europese Centrale Bank (ECB) de volgende fase gestart van de digitale euro. Deze fase, waarin de puntjes op de “i” zullen worden gezet, zal nog eens twee jaar in beslag nemen. Europese data toezichthouders maken zich echter zorgen en willen duidelijkere privacyregels.

De datatoezichthouders European Data Protection Board en de European Data Protection Supervisor hebben in een gezamenlijk statement gereageerd op de plannen van de ECB. Ze deden ook enkele voorstellen over de aanstaande ‘central bank digital currency’ (CBDC) van Europa. Ze willen graag verbeterde mechanismen zien die de persoonlijke data van gebruikers beschermen. Het huidige plan van de ECB implementeert bijvoorbeeld singulaire datapunten per gebruiker. De data toezichthouders stellen een herziening hiervan voor. Ze vragen zich af of singulaire datapunten per gebruiker nodig zijn. Als alternatief stellen ze een decentrale bewaring van deze data voor.

Een ander onderdeel van het plan van de ECB is dat alle transacties onderworpen worden aan anti-witwas en anti-terrorisme regels. De twee Europese data toezichthouders prefereren “minder extreme maatregelen”. Ze geven de voorkeur aan een zogenaamde ‘privacy drempel’ voor online transacties. Transacties met een waarde onder deze drempel moeten niet worden onderworpen aan deze anti-witwas en anti-terrorisme maatregelen, vinden de data toezichthouders. Ze doelen op ‘dagelijkse transacties van lage waarde’ maar noemen geen specifieke drempelwaarde.

Critici van een digitale euro maken zich het meeste zorgen over privacy implicaties. Een Europese CBDC zou namelijk alle financiële vrijheid wegnemen bij gebruikers. Dit zijn dus terechte zorgen als het aan de twee Europese data toezichthouders ligt. Het is nu aan de ECB om de adviezen van de data toezichthouders te beoordelen en zo nodig te implementeren.

Digitale euro: Toezichthouders uiten ernstige privacyzorgen (crypto-insiders.nl)

Gegevens ggz-patiënten met privacyverklaring door softwarefout toch gedeeld

Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten. Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie over bijvoorbeeld angststoornissen, agressieproblemen, alcohol- en drugsgebruik, depressies en seksuele problemen. Een systeem waar zorgverleners gebruik van maken gaf door ‘een probleem in de programmatuur’ aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan. Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens.

https://www.security.nl/posting/815721