Wildgroei leidt tot desinvesteringen en blokkeert innovatie

17-12-2018

Waarom de logistieke sector een
digitale identiteitskeuze moet maken!

Een droom binnen de transport- en logistieke sector is het ‘Physical Internet’, Hiermee vinden goederen zelf de beste weg naar hun eindbestemming, door slimme inzet van data. Om deze droom waar te maken is eensgezindheid over onze digitale identiteit cruciaal. Laten we hiervoor nú een keuze maken.

Wie bent u online en wat mag u? Om toegang te krijgen tot data moet u zichzelf online steeds identificeren als persoon, onderneming, werknemer, gemachtigde of IT-systeem. Dat gaat op de meest uiteenlopende manieren. Tal van partijen – vaak concurrenten – bieden zeer verschillende oplossingen, gebaseerd op een breed scala aan onderliggende technologieën.

Een wirwar van verificatiesystemen,
inlogmethodes en authenticatieoplossingen

Wie heb ik tegenover mij?

Laten we hier eens dieper op ingaan. De basale vraag is: met wie heb ik te maken? Wie heb ik tegenover mij? Personen hebben een paspoort waarmee zij zich identificeren: aantonen diegene te zijn die ze beweren te zijn. Desnoods met tussenkomst van een notaris, als u het zeker wilt weten.

Online bestaan er voor privépersonen verschillende soorten digitale ‘paspoorten’. Voor ondernemingen en hun medewerkers of IT-systemen daarentegen, is het veel minder duidelijk. Op het gebied van zakelijke ‘digital identity’ komen we een wirwar van verificatiesystemen, inlogmethodes en authenticatieoplossingen tegen.

Wie is die chauffeur?

Stel, u heeft een warehouse waar verschillende vervoerders over de vloer komen. Wie zijn de chauffeurs van de vervoerder die u of uw businesspartner heeft ingehuurd? Zijn zij werkelijk gekwalificeerd om uw terrein te betreden? Bezitten ze de juiste diploma’s, kennen ze de veiligheidsinstructies en huisregels?

Nu huren grotere warehouses beveiligingsbedrijven in die dat aan de poort controleren. En in contracten wordt de aansprakelijkheid netjes uitgesloten. Is dat adequaat, efficiënt? Of is dit slechts windowdressing. Hoe gaat het als straks autonome vrachtwagens aankomen bij het warehouse ?

Voor-aanmelden zonder authenticatie,
speelt kwaadwillenden in de kaart

Verificatie, authenticatie en check

Het gaat niet alleen om dus verificatie van identiteit, maar ook om authenticatie en check hierop. Is iemand wie hij zegt dat hij is en welke bevoegdheden, vaardigheden en licenties bezit hij? Kortom, wat is zijn ‘digital identity’? Belangrijk, want als we bijvoorbeeld digitaal gaan voor-aanmelden, zonder grondige authenticatie en check, dan spelen we kwaadwillenden in de kaart. Denk aan de drama’s die dagelijks plaatsvinden met vrachtuitwisselingssystemen. Nepvervoerders met valse ID’s weten ladingen te bemachtigen en gaan er vervolgens mee vandoor. Dit alleen al geeft duidelijk de noodzaak aan voor een goed beveiligd uniform logistiek ‘digital identity’-systeem.

100 inlogs

Hoe kunnen we zo’n systeem realiseren? Het eenvoudigste is om aan te sluiten op hoe het nu gaat. Laten we eens kijken of dat kan. Op dit moment heeft een zakelijke internetgebruiker gemiddeld honderd verschillende inlogaccounts2. Deze goed managen, is een kunst op zich. Verandert u wachtwoorden regelmatig? En wie in uw onderneming hebben er (nog) toegang tot uw systemen? U zult waarschijnlijk versteld staan! Bedenk dat de bijbehorende accountgegevens ‘versplinterd’ zijn in verschillende systemen. En hoe zit het met de datakwaliteit? Voortborduren op bestaande authenticatiemethodes is – eufemistisch gesteld – in elk geval een uitdaging.

Wie in uw onderneming hebben
er (nog) toegang tot uw systemen?

Via Facebook?

Vereenvoudigen dan, bijvoorbeeld door in te loggen via Facebook of LinkedIn? Zoals bij veel privé-accounts mogelijk is? Dat is ronduit gevaarlijk. Feitelijk komt het accountbeheer dan in handen van het sociale netwerk. Onlangs nog, werden zo’n vijftig miljoen Facebook-accounts gehackt3. Toch blijft deze authenticatiemethode stevig groeien. De reden daarvan is eenvoudig: gemak voor de consument. Terwijl de dienstverlener of instantie de verantwoordelijkheid graag afschuift naar de ‘zwakste schakel’: de consument. Op de langere termijn is dit systeem niet houdbaar.

eIDAS

De Nederlandse overheid heeft jaren geleden DigiD en eHerkenning geïntroduceerd – en zo heeft ieder EU land zijn eigen systeem. Via de Europese eIDAS-verordening geven al deze nationale systemen toegang tot overheidssystemen binnen de EU. Het bedrijfsleven kan deze systemen ook gebruiken, maar vooralsnog gebeurt dat zelden. We komen het mondjesmaat tegen in B2C-communicatie, bijvoorbeeld voor het inloggen bij een verzekeringsmaatschappij. In B2B zien we deze variant nooit, het is te onbekend en voor de logistieke sector te beperkt. Want alleen de verificatie van de online identiteit is met DigiD en eHerkenning te organiseren. Zaken als diploma’s en (bedrijfs)bevoegdheden zijn niet te koppelen, dus échte authenticatie is niet mogelijk. Laat staan een (realtime) check hierop.

Het bedrijfsleven kan DigiD en eHerkenning
ook gebruiken, maar doet dat zelden

Brancheprotocollen en blockchain

Naast deze bekendere identiteitscontrolesystemenbestaan er tal van technologisch gedreven oplossingen. Vaak heel specifiek van aard. Zo kennen we in de logistiek het iSHARE-afsprakenstelsel, dat uitgaat van een gedecentraliseerd open standaardprotocol. Deze tackelt zowel het vraagstuk van verificatie (wie bent u?) als authenticatie (bent u bevoegd?), via één implementatie. Daarnaast zijn er verschillende blockchain community-initiatieven, zoals Sovrin. Deze gaan uit van een zichzelf regulerende community die de digitale identiteit en betrouwbaarheid kan bevestigen. Moeten we als branche hierin investeren? Ook dat is niet zonder risico. Want wie in de wereld (op de Chinese overheid na, wellicht) is groot genoeg om een digitale identiteit te af te dwingen? De kans op desinvesteringen is levensgroot.

Spaghetti van koppelingen

Hoe dan wel? In de offline wereld accepteren we paspoorten en ID’s, online werken we met tal van identiteitscontrolesystemen, maar zonder duidelijke keuze in de logistiek blijft het aanmodderen. Het doet mij onwillekeurig denken aan de start van gegevensuitwisseling (EDI) in de jaren ‘90. Waardoor alle logistieke dienstverleners nu met een spaghetti van koppelingen zitten omdat er destijds geen keuzes zijn gemaakt. Uiteindelijk is niemand daarbij gebaat, ook de verlader niet.

Wie pakt de handschoen op:
de IRU, industrie, vervoerders, de EU?

Oproep

Wie pakt de handschoen op? De IRU, de industrie, IT dienstverleningen in de logistiek, de vervoerders, de verladers, de geadresseerden of de EU? Het maakt niet uit, als we het maar doen. Ik doe daarom graag een oproep. Laten we de wildgroei indammen, een duidelijke keuze maken, de dure rekening van desinvesteringen voorkomen en vooral zorgen dat onze droom van het Physical Internet er niet door blokkeert.

René Bruijne