Guide to classifying e-services to Levels of Assurance: a good first step

A Dutch government body responsible for establishing open standards for elektronic exchange (Forum Standaardisatie) published a guide for government service providers to help them classify e-services to Levels of Assurance. They use the EU STORK Quality Authentication Assurance levels for this, which classify authentication solutions in four levels. Since Novay was responsible for defining these levels in the EU STORK project, and we’ve helped several clients in applying STORK levels, we read this guide with great interest. In the below text we discuss the Levels of Assurance concept, and give our opinion on the guide.

The shortest summary is the same as the title of this blog post: we consider this guide a first good step to establish a best practice for classifying e-service to Levels of Assurance. We however also discuss some limitation and possible extentions.

This blog post was written jointly with my colleague (and editor of the STORK deliverable that defines the STORK levels) Bob Hulsebosch. It is also posted at the Novay website. For non-Dutch speakers, try Google translate.

Handreiking betrouwbaarheidsniveaus voor overheidsdiensten: een nuttige eerste stap

Door Bob Hulsebosch en Maarten Wegdam

Het Forum Standaardisatie, i.s.m. eHerkenning, is eind vorig jaar gekomen met eenhandreiking betrouwbaarheidsniveaus voor elektronische overheidsdiensten. Het gaat hierom om de betrouwbaarheid van de authenticatie waarmee iemand toegang krijgt tot die diensten. Het gaat meestal om vier niveaus, en wordt in Nederland onder meer gebruikt door eHerkenning (business-2-government afsprakelstelsel). In Europa gebruikt men vaak de in het Europese STORK project gedefinieerde Quality Authentication Assurance levels. Deze zijn, met Novay als auteur namens MinBZK, in 2009 vastgelegd en zijn gebaseerd op de Levels of Assurance standaard van NIST (SP 800-63). Bovenstaande standaarden leggen vast hoe een authenticatie-oplossing te classificeren op een betrouwbaarheidsniveau. Echter hoe te bepalen welke betrouwbaarheidsniveau nodig is voor een dienst bleef onderbelicht. Bovengenoemde handreiking voor betrouwbaarheidsniveaus moet juist hierin voorzien, en dus e-dienstverleners in de overheidssector helpen om te bepalen welk betrouwbaarheidsniveau nodig is voor hun dienst. In deze blogpost geven we ons beeld over deze materie.

Introductie betrouwbaarheidsniveaus

Om de betrouwbaarheid van een authenticatie-oplossing en daarmee de identiteit van de gebruiker te bepalen worden zowel technische (bv smartcard is veiliger dan gebruikersnaam/wachtwoord) als organisatorische (bv online aanvragen van het middel of fysiek komen afhalen) aspecten meegenomen.

Het concept van betrouwbaarheidsniveaus wint de laatste jaren sterk aan populariteit omdat het hergebruik van identiteiten van andere partijen kan faciliteren. Als een dienstverlener een identiteit wil hergebruiken die een gebruiker heeft gekregen van een andere partij (de identity provider), is het immers wel nodig op een gestandaardiseerde manier de benodigde betrouwbaarheid aan te geven (interoperabiliteit), zeker als er potentieel vele externe identity providers zijn (schaalbaarheid). Een dienstverlener moet kunnen specificeren welk betrouwbaarheidsniveau nodig is, en moet dit kunnen doen zonder allerlei implementatiedetails te verschaffen.

Kortom, gestandaardiseerde betrouwbaarheidsniveaus dragen bij aan interoperabiliteit en schaalbaarheid bij met name hergebruik van identiteiten. Dit standaardiseren is overigens niet triviaal, immers technologie ontwikkelt zich en er zitten altijd grijze zones in het classificeren van een specifieke oplossing. Bijvoorbeeld, de interpretaties verschillen of DigiD basisovereenkomt met STORK niveau 1 of 2. Andere beperkingen zijn dat het indelen een (typisch) vier discrete niveaus ten kosten gaat van een stuk nuance, en dat het onduidelijk kan zijn of externe identity providers wel conform het betrouwbaarheidsniveau handelen (audits zijn niet zaligmakend, zoals het DigiNotar drama ons weer geleerd heeft). Ook gaat een afweging welke authenticatie-oplossing te gebruiken verder dan de betrouwbaarheid; met name kosten en gebruikersvriendelijkheid zijn aspecten die ook meegenomen dienen te worden.

Wat voegt de handreiking toe?

Voor een dienstverlener die externe identiteiten wil gaan afnemen helpen de bovenstaande criteria eigenlijk weinig bij de afweging welk niveau vereist is voor een specifieke dienst. De handreiking vult hier de NIST/STORK standaarden aan, door risicogevoelige criteria te bieden voor overheidsdiensten om te bepalen welk niveau nodig is: rechtsgevoeligheid, formele vereisten, opgeven van persoonsgegevens, tonen van persoonsgegevens, verwerking van BSN, juistheid van de gegevens, economisch belang en publiek belang. Je zou het kunnen zien als een menukaart voor een snelle risico-inschatting van een specifieke dienst. Neem bijvoorbeeld het criterium economisch belang: bij een gering belang (~€1000) dan voldoet niveau 2, bij gemiddeld belang (~€10.000) voldoet niveau 3 en bij groot belang (> €10.000) is niveau 4 nodig. Eventuele compenserende maatregelen (correctie factoren)  worden beschreven om een keuze voor een lager (of hoger) betrouwbaarheidsniveau te verantwoorden, bijvoorbeeld als er terugkoppeling plaatsvindt door middel van een bevestigingsbrief kan een lager niveau volstaan.

Aangezien wij vergelijkbare inschattingen hebben gemaakt de afgelopen tijd bij diverse klanten (geen overheidspartijen overigens), en gezien ons STORK verleden, hebben wij de handreiking met belangstelling gelezen. Het gaat te ver voor een blog post om op details op de criteria in te gaan, maar we kunnen wel zeggen dat we geen ‘rare dingen’ zagen. De risicogevoelige criteria komen ook redelijk overeen met de door de Amerikaanse overheid geadviseerde criteria (uit 2003! hier, en met een recente revisie). De Amerikanen beschouwen het toekennen van betrouwbaarheidsniveaus in een breder, procesmatig geheel waarbij, naast een risico-analyse en mapping op betrouwbaarheidsniveaus, ook oog is voor de evaluatie hiervan en het selecteren van een authenticatie-oplossing. Een dergelijke procesmatige aanpak is van meerwaarde voor de e-dienstverlener.

Hieronder wat andere kanttekeningen en aanvullingen op de handreiking, op hoog niveau:

  • E-Overheid specifiek – de criteria zijn opgesteld voor (Nederlandse) overheidsdienstverleners, en zijn voor een significant deel niet van toepassing voor private dienstverleners. Voor het stimuleren van business-2-business eHerkenning lijkt ons een aanpaste versie van de handreiking nodig. Bijvoorbeeld de criteria “verwerking van BSN” en “publiek belang”.
  • Motivatie – een expliciete motivatie voor de criteria ontbreekt, en sommige keuzes zou je ook anders kunnen maken. Mogelijk reflecteert het consensus van een brede groep experts uit het overheidsdomein, dat is ons niet helder. Nuancering hierbij is dat in de praktijk zal blijken dat een dienst voor verschillende criteria op verschillende niveaus uitkomt, het blijft dan zoals de titel ook zegt een handreiking.
  • Machtigingen en machine-2-machine – deze zijn out-of-scope voor de handreiking maar wel erg relevant naar onze mening zijn hoe met betrouwbaarheidsniveaus om te gaan bij machtigingen en machine-2-machine interacties.
  • Risico en kans – de handreiking gaat grotendeels voorbij aan de voor een risicoanalyse veel gebruikte methode waarbij nader benoemde risico’s worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans x Gevolg. Eigenlijk wordt alleen met het gevolg rekening gehouden.
  • Kosten en eHerkenning specifiek – de handreiking gaat niet in op kosten en gebruikersaspecten. Dit is in de context van eHerkenning ook mogelijk minder relevant, immers een overheidsdienstverlener heeft hier toch geen directe verantwoordelijkheid voor, en draagt de kosten ook niet. Wel is het belangrijk te realiseren dat de keuze voor een (te) hoog niveau ten koste kan gaan van het gebruik van de dienst – niet iedere gebruiker zal de kosten willen dragen voor een sterk authenticatiemiddel en gebrek aan gebruiksgemak zal leiden tot minder gebruik van de dienst.

Conclusie

De handreiking is een goede eerste stap om tot een best practice te komen hoe overheidsdienstverleners hun dienst kunnen indelen naar betrouwbaarheidsniveaus. Ook uit eigen ervaring weten we dat er behoefte is aan meer houvast hierin. De volgende stap lijkt ons om het door middel van cases te gaan beproeven, en ervaringen en ontwikkelingen terug te voeren naar de criteria. Verder zou het interessant zijn een analyse te doen hoe buitenlandse overheden hiermee om gaan, en waar de verschillen zitten.

UPDATE 23 feb 2012: de handreiking is verschenen in een ‘mooiere’ versie.

One Response to Guide to classifying e-services to Levels of Assurance: a good first step

  1. […] them determine how secure the authentication solution for patient portals should be, i.e., which levels of assurance is needed. My colleague Mettina Veenstra and myself tried out this new guide on the Dutch […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s