Authenticatie bij Rechtspraak
Onlangs keurde de hoogste bestuursrechter de manier van inloggen voor het ondertekenen van uitspraken bij de Rechtspraak grotendeels af. De echte pijn zit niet in de uitspraak van de Raad van State, maar in de plots zichtbare nieuwe pijnpunten van het KEI-project dat al 200 miljoen euro verslond. De inzet is fors: de betrouwbaarheid onze nationale jurisprudentie.
Het gebeurt zelden dat het administratief functioneren van rechtbanken inzet is van een hoger beroep. De Afdeling Bestuursrechtspraak van de Raad van State is gevraagd te beslissen of de digitale handtekening op rechtbankuitspraken rechtsgeldig zijn. De kwestie speelt in een zaak tussen een asielzoeker en de Immigratie en Naturalisatiedienst (IND). Maar het is de Rechtspraak die zich verdedigt tegen de aantijging dat de digitale handtekening niet voldoet aan de norm voor het digitaal ondertekenen van uitspraken: de meerfactor-authenticatie.
Eigen realiteit
Volgens de Rechtspraak voldoet de norm wel. De eerste factor wordt geboden met de Rijkspas, die bij toegangspoortjes wordt ingezet om de rechtbank binnen te komen. Als tweede factor voert de Rechtspraak aan het inloggen op het systeem met gebruikersnaam en het wachtwoord. Het toegangssysteem heeft geen enkele verbinding met het zaaksysteem, waardoor een identiteitsclaim voor dat laatste systeem niet met twee factoren wordt geverifieerd.
Volgens de Rechtspraak hoeft het verifiëren van zo’n claim niet in hetzelfde systeem te gebeuren. Verder mag er tijd zitten tussen de beide authenticatiemethodieken. Dat laatste onderbouwt ze met een trainingshandboek de CISSP (Certified Information Systems Security Professional). Dat een cursushandboek van een Amerikaanse non-profit organisatie de basis van het betoog van de Rechtspraak vormt en niet een daadwerkelijke Europese beveiligingsnorm, zoals het door ENISA en het Nederlandse Forum Standaardisatie uitgedragen STORK-raamwerk is het eigenlijke ict-probleem hier: een eigen invulling van de digitale handtekeningen. Daarbij is bewust gekozen om rechtbanken vrij te stellen van de eIDAS-verordening op dit gebied. De Rechtspraak creëert een eigen ict-realiteit. In plaats van de digitale handtekening cryptografisch te borgen – zoals gebruikelijk – is een ondertekende uitspraak een PDF-bestand, met op de plek van de ondertekening de naam van de ondertekenaars. Als iedereen heeft getekend, maakt het zaaksysteem een controlegetal aan in een database. Het blijft onduidelijk hoe is geborgd wanneer op een later moment in de database wijzigingen worden gemaakt of hoe een audittrail werkt. Uit de beschikbare documentatie blijkt niet dat hiervoor maatregelen zijn genomen.
Verstrekkende gevolgen
Door het ontbreken van een cryptografische borging kunnen externe partijen geen digitale verificatie uitvoeren. Hoe problematisch dat in de praktijk is, ontdekte advocaat Gonny Meijering, die deze zaak aanbracht. Een rechter gelastte de vrijlating van een cliënt uit vreemdelingendetentie, maar dat weigerde de instelling op basis van een niet toetsbare PDF. Vrijlating volgde de volgende dag toen er met de rechtbank was gebeld om de authenticiteit van de uitspraak te bevestigen.
Naast de problemen rond dit individu speelt er een ander pijnpunt. Uitspraken zijn namelijk niet alleen voor de procespartijen op dat moment van belang. Ze vormen bij elkaar jurisprudentie die verifieerbaar juist moet zijn. In de toekomst kan dat specifiek voor een persoon, object, bedrijf of bestuursorgaan van belang zijn, maar ook als basis voor een geheel andere procedure. Je wilt dan geen ingewikkelde discussies over de uitspraak zelf.
Demonstratie fraude
De implementatie digitaal tekenen wordt nog opmerkelijker als de Rechtspraak een cursusvideo in de procedure inbrengt. In de video legt een vrouw uit hoe digitaal ondertekenen werkt. Daarvoor heeft zij drie tabbladen openstaan in Microsoft Internet Explorer. Op het eerste tabblad is zij ingelogd als een administrateur die de beslissing digitaal uitspreekt. Op het tweede tabblad is zij aangemeld als de rechter die ondertekent, terwijl ze op het derde tabblad de identiteit van de tweede rechter aanneemt. In haar eentje geleidt zij met succes een conceptuitspraak naar een dubbel ondertekende en uitgesproken zaak.
Dat één persoon meervoudig als anderen aangemeld kan zijn, logenstraft de effectiviteit van de toegangspas als tweede factor. Maar het legt nog een ander probleem bloot. Administratieve systemen worden soms anders gebruikt dan waarvoor ze zijn ontworpen. Het scenario opent een mogelijkheid dat een administratief medewerker namens de rechter met zijn of haar inloggegevens tekent.
Tijdens de zitting toont een rechter hoe hij ‘zijn’ digitale handtekening onder een echte uitspraak zet. “Voor ik teken lees ik altijd de uitspraak door”, stelt de magistraat en scrolt door een pdf-bestand snel naar beneden. Zonder te lezen stopt hij onderaan, valt stil, scrolt omhoog, wordt weer stil en vraagt dan aan de administrateur: “Hoe sluit ik dit [Adobe Acrobat] ook alweer?” Na het sluiten van de reader legt hij gespannen verder uit hoe hij in de webinterface een ondertekening zet. Het wekt niet de indruk van iemand die dit dagelijks doet.
Gemiste kansen
De zaak ademt onbegrip uit en het onvoldoende doorgronden van basisbeveiligingsprincipes. Door niet aan te sluiten bij bestaande nationale en Europese normen, open standaarden en afspraken kiest de Rechtspraak voor een bijzondere positie met hun zienswijze op de ‘digitale handtekening’. Implementatie van een zelf uitgevonden wiel is onnodig duur en complex. Bovendien grijpt de Rechtspraak naast de voordelen van echte digitale handtekeningen, zoals een hoge mate van zekerheid rond de authenticiteit van de ondertekenaars en integriteit van de uitspraak.
De digitale handtekening is slechts één uit een lange reeks van features, die past in een administratieve flow. Het lijkt er sterk op dat de Rechtspraak bestaande processen 1-op-1 heeft gedigitaliseerd, zonder daarin complexe zaken als identiteitsmanagement, authenticatie en cryptografie mee te nemen. Met een cursushandboek en een toegangspas krijg je geen betrouwbare digitale handtekening, zelfs niet met een budget 200 miljoen euro.
Brenno de Winter was als technisch expert betrokken bij de zaak.
