Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Meerdere identiteiten kweken

 

Computable Expert

Lex Borger
Principal Consultant, I-to-I. Expert van Computable voor het topic Security.

Ik heb wel eens lopen fantaseren over hoe gemakkelijk het eigenlijk moet kunnen zijn een tweede identiteitsschaduw te maken met dezelfde menselijke eigenaar. Je zou dan meer moeten spreken van een dubbele identiteit in plaats van een fictieve identiteit.

Bruce Schneier fantaseert op zijn blog dat identiteiten gekweekt kunnen worden. Hij schetst een scenario waarbij in 25 jaar tijd een aantal fictieve identiteiten naar volwassenheid en goede kredietstatus gekweekt worden, om vervolgens door een ander 'aangenomen' te worden. Op micro-niveau een slachtofferloze misdaad, als je dit vergelijkt met identiteitsfraude met 'echte' identiteiten.

Er zijn gevallen bekend van honden die een identiteit kregen en van mensen die ongevraagd een tweede identiteit kregen, bijvoorbeeld door een ongebruikelijke naamswijziging bij een huwelijk. Er zijn altijd instanties die aannemen dat je de naam van je echtgenoot overneemt.  Als je een lange adem hebt, kun je met goede planning een extra identiteit maken. Een kind met dubbele identiteiten laten opgroeien lijkt mogelijk, zeker als daar een buitenlandse identiteit bij zit. Overheden controleren hun onderdanen in het buitenland nauwelijks. Iemand die (illegaal) onder de identiteitsradar van de maatschappij zit kan later zo'n een gekweekte identiteit overnemen. Dat gaat pas fout als meerderen dezelfde identiteit aannemen, zoals bijvoorbeeld 36 man achter hetzelfde sofi-nummer.

Fictieve identiteiten zijn op te sporen door te eisen dat mensen in persoon op komen dagen aan het loket. Bij mensen met meerdere identiteiten werkt dit niet, omdat de menselijke eigenaar wel degelijk aan de balie kan verschijnen, zolang ze maar niet 'samen' aan de balie hoeven te komen.  Onze identiteit kan uiteindelijk prima een eigen leven gaan leiden zonder ons.

Een echte oplossing voor dit probleem hebben we helaas nog niet, één ding is zeker: die zal niet technisch zijn, daarvoor is het te veel mensenwerk.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2699937). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Een beetje identiteitscontroleur omvat in zijn installatieprocedure een aantal biometrics, zoals irisscanner, fingerprints, body heatmaps en brainwavespectrumanalyse.

Je bent een knappe jongen als je daarmee een tweede identiteit weet te cree�ren in de systemen die daardoor bewaakt worden... Natuurlijk, in je fanastie lukt alles... ;-)

Iedere biometric begint met een registratieproces. De eerste 'enrollment' is hierbij cruciaal. Als ik daar ??n keer een ander geregistreerd krijg, lukken andere registraties daarna prima.

Het enige wat eventueel wat moeilijker wordt is de overgave van de identiteit naar een ander persoon. Maar in mijn droom heeft een hacker daar geen problemen mee. ;-)

Ieder stukje inzet van techniek - ook biometrie - heeft zijn specifieke zwakke plekken... (Iedere inzet van mensen trouwens ook.)

Lijkt mij een serieuze business te worden. je ziet dat al in computergames gebeuren. Mensen kweken personages die dan met een bepaald niveau of persoonlijkheid te koop gezet worden. Hoe hoger hoe duurder natuurlijk.

In het echt kun je natuurlijk allerlei technologi?n bedenken om dat tegen te gaan zoals Vermeij al opmerkt, maar dat zal een bijzonder dure operatie worden om dat voor de hele mensheid te doen. Dus waarschijnlijk niet realistisch. Misschien moeten we nu al vanuit gaan dat we dat niet tegen houden en dus ermee moeten leven, sterker nog, gebruik van maken.

Als je er verder over nadenkt is het namelijk ook helemaal niet zo erg, zolang je er in jouw ontwerp ook maar niet vanuit gaat dat een identity en een persoon 1:1 is. Dat zou pas een cruciale ontwerpfout zijn.

Stel dat het lukt een tweede identiteit te creeren (het is wel heel voorzichtig leven gedurende de tijd dat je het opbouwt)wat heb je dan bereikt? Welke grote slag kun je slaan die investeren in het dichten van het gat rechtvaardigt. De meeste mensen in de samenleving zijn per definitie netto bijdragers aan de maatschappij in de vorm van belastingen en verzekeringspremies. Misschien kan ik 10 kinderidentiteiten creeren en een paar jaar kinderbijslag verdienen, maar vroeg of laat loop ik tegen de lamp omdat ik uiteindelijk voor het financiele verkeer een bankrekening nodig heb met adres gegevens. Ik zie vooralsnog niet de voordelen.

In Nederland is het 'kweken' van een dubbele identiteit goed afgedicht. Er dient binnen drie dagen na de geboorte een bewijs te worden overlegd van Arts, Vroedvrouw of Gynacoloog dat het kind is geboren. daarna gaat het kind in de gemeentelijke basis administratie en daarna word zijn digitale identiteit opgebouwd. Het gaat alleen mis op het moment dat mensen vanuit het buitenland komen en daarbij valse of onjuiste gegevens afgeven. Persoonlijke controle is dan de enige methode om dit tegen te gaan.
In de digitale wereld heeft half Nederland al een tweede identiteit. Ik hou zakelijke posts als deze strikt gescheiden van persoonlijke. Door gebruik van een synoniem.

Hoewel het mogelijk is om een 2e identiteit te kweken (fictieve geboorte aangeven bij burgerlijke stand als zijnde aanwezige bij geboorte waarvan vader onbekend is, en je hebt een BSN), is het een lange weg ernaartoe (oppasvader spelen en met het oppaskind naar het consultatieburo enz). Stel dat het allemaal lukt, dan kan een crimineel inderdaad (na zo'n 21 jaar kweken) zijn snode plannen uitvoeren met deze extra digitale identiteit. Die plannen zijn dan hoogstwaarschijnlijk gericht tegen een groot bedrijf of een overheidsinstelling (waar veel geld te halen is). Deze bedrijven en instellingen zullen degelijke identiteitscontroles moeten hebben die beter dan de huidige controles, want men gaat er immers van uit dat er bij een fysiek persoon ook maar 1 digitale identiteit hoort. En dat is nu het echte probleem, hoe verifieer je of een fysiek persoon maar 1 digitale identiteit heeft?

Een tweede indentiteit is wellicht nog makkelijker te realiseren. Ik ben meerdere malen getuige geweest van de slechte koppelingen tussen de veschillende systemen / applicaties bij de (gemeente) overheid en / of processen. De helft van gezinnen kwamen (in de administratie) even in een andere gemeente te wonen. Onbekenden werden ingeschreven op adressen en panden werden gesplitst in apartementen.

Indien deze incidenten kunnen voorkomen kan ik als crimineel kiezen voor het korte traject.

Achterhaal hoe de system zijn gekoppeld. Bekijk de processen en de mensen. Doorzie de zwakheden en voer jezelf in. Ik vraag me af of dit ontdekt wordt.

Verder kan je natuurlijk ook een (stroo) mannetje/ vrouwtje of zelf als uitzendkracht bij de gemeente of een ICT applicatie leverancier van de gemeente aan de slag gaan.
Lukt dit niet kan ik altijd nog uitwijken naar een ander EU land.

Als ik wil hoef ik echt niet 21 jaar te wachten.

Ik geloof best dat het mogelijk is om een tweede identiteit te creeren. Dit zou dan moeten gebeuren bij de eerste registratie en dus bij de geboorte en aangifte op het stadhuis. Maar het beoogde doel is mij niet geheel duidelijk. Als de doelstelling criminele activiteit zou zijn dan vereist dit wel een heel strakke voorbereiding want pas na een jaar of 18 kun je er gebruik van maken. Nog even afgezien van de ambtelijke obstakels die je in de loop der jaren moet omzijlen. Veel interessanter is het voor criminelen om een tweede identiteit aan te nemen waarmee illegale activiteiten kunnen worden uitgevoerd en waarmee het moeilijker wordt voor het Openbaar Ministerie om een strafbaar feit te bewijzen. Het aannemen van een andere identiteit is wellicht nog makkelijker dan er een kweken. Ook gezien het aantal specialistische bedrijven dat zijn broodwinst heeft gevonden in het verifieren van identiteiten in opdracht van bijvoorbeeld financiele instellingen en telecom aanbieders.

Het gaat al heel snel mis.
Je moet ook als zuigeling al aan een behoorlijk aantal maatschappelijke evenementen deelnemen: hielprik, zuigelingenzorg etc. Stel dat je fictief in de GBA zit dan zul je ook moeten voldoen aan de Leerplichtwet en na 5 jaar of zo ergens op een school opdraven. Kortom, vreselijk veel kuilen onderweg en weinig bruggen om ze over te steken. Jammer, zo werkt het niet. Erover filosoferen is ��n ding, realiseren een ander.
Zoals anderen ook al aangaven is de winst minimaal twijfelachtig terwijl om die winst te bemachtigen andere wegen bewandeld kunnen worden die meer (en/of sneller) resultaat lijken op te leveren.
Het roept wel een interessante vraag op. Er zullen waarschijnlijk geen bewezen gevallen bekend zijn. De 'succesvollen' houden zich muisjesstil en de 'slachtoffers' ook. Of.... zou je aan gebrek aan bewezen gevallen kunnen concluderen dat het niet zo'n vaart loopt?

Zelf gebruik ik, net als Erik Westhovens in een eerdere reactie, verschillende e-mailadressen voor zakelijk en priv�-gebruik. Heb ik dan meerdere identiteiten? Nee, ik heb ��n identiteit met verschillende eigenschappen.

Creatie van een tweede, of moet ik zeggen: een volgende, 'schaduw'identiteit vereist een vooropgezet plan dat een bepaald doel veronderstelt. Een dergelijk doel zal, denk ik, vaak in de criminele sfeer liggen. Zeker als er sprake is van het ?opkweken? van een dergelijke identiteit.
Het lijkt makkelijker om een volgende digitale identiteit te cre?ren, zeker als je in staat zou zijn iemand anders? identiteit te stelen. Je bent in feite dan klaar: overheidsregistratie (bijvoorbeeld een BSN), financi?le registratie (bijvoorbeeld creditcard) en ga zo maar door. De hamvraag blijft echter: wat is het nagestreefde doel?

Natuurlijk bestaan er en zijn er maatregelen te bedenken, al dan niet technisch, om zoveel mogelijk te waarborgen dat opgeslagen persoons- en persoonlijke gegevens beschermd zijn tegen oneigenlijk gebruik en misbruik. Of dit voldoende is? In zijn algemeenheid denk ik van wel. Wat niet te voorkomen is, zoals in een eerdere reactie genoemd, zijn menselijke fouten. Fouten in een registratie, foutieve mutaties.

In het artikel stelt de auteur: 'Onze identiteit kan uiteindelijk prima een eigen leven gaan leiden zonder ons.' Ik zou willen stellen dat een identiteit zonder daaraan gekoppeld fysiek persoon niet zelfstandig kan bestaan. Of zou je misschien zelfs kunnen stellen dat een persoon de som van zijn bewijsbare identiteiten is?

Of deze 'schaduwidentiteiten' een echt probleem zijn? Ik weet het niet. Of er oplossingen voor zijn? Ik weet haast wel zeker van niet.

Door toepassing van 'biometrische encryptie' of 'biocryptics', is het mogelijk om aan ieder individu op betrouwbare wijze meerdere (anonieme) pseudo-identiteiten te koppelen. Deze pseudo-identiteiten kunnen ieder een eigen doel dienen, zoals lidmaatschap van een sportvereniging of een account bij een bank, en kunnen zijn gebaseerd op verschillende biometrische modaliteiten (iris, vingerafdruk etc). Hierdoor wordt het heel moeilijk om een identiteit te stelen, en als dat dan eens lukt, heeft dat geen effect op de andere pseudo-identiteiten. Bovendien kan een dergelijke pseudo-identiteit worden herroepen.
Nog steeds blijft het moment van de creatie van de identiteit, waarbij de biocryptische identiteit wordt gekoppeld aan een individu, en het moment van verificatie de meest kritische momenten in het proces. In dit geheel speelt menselijk toezicht een belangrijke rol. Het probleem van het kweken van identiteiten wordt hiermee niet opgelost, maar gemaakte fouten worden minder ingrijpend en eenvoudiger te herstellen.

Ronald Huijgens, Unisys

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×