Verschillende landen proberen digitale ID’s in te voeren voor gebruik als identificatie voor verschillende diensten en uiteindelijk, als portemonnees met digitale valuta van de centrale bank (CBDC).
Overal ter wereld is de uitrol echter grotendeels uitgesteld, omdat regeringen bezig zijn de problemen in de systemen weg te werken en de publieke weerstand te overwinnen.
In december 2024 publiceerde de Britse regering plannen om in 2025 een nieuwe wet aan te nemen die pubs, bars en winkels zal toestaan om een digitale ID van een goedgekeurde lijst van uitgevers te accepteren als bewijs van de leeftijd van een klant.
Maar deze vrijwillige optie is nog ver verwijderd van een volledig nationaal digitaal ID-systeem.
Landen als Australië zijn bezig met proefprojecten. Ze zijn van plan om tegen 2030 volledig functionele digitale ID’s uit te rollen.
Het is lastiger in de VS, waar een federaal systeem ontbreekt om zelfs maar met het proces te beginnen. ID’s worden hier namelijk beheerd door individuele staten.
Mobiele rijbewijzen worden bijvoorbeeld slechts in 13 Amerikaanse staten geaccepteerd en er zijn grote infrastructuurverbeteringen nodig om levensvatbare vervangers voor traditionele ID’s te maken.
Naast technische vertragingen, regelgevende uitdagingen en publieke tegenstand, zien we ook generatieve AI-tools en randomisatietools die het makkelijker dan ooit maken voor cybercriminelen om identiteitsdiefstal te plegen en valse identiteiten te creëren. En deze zijn ook steeds lastiger te identificeren.
Techopedia onderzoekt de toename van digitale identiteitsfraude en geeft advies aan bedrijven die afhankelijk zijn van ID als onderdeel van hun taken.
Belangrijkste bevindingen
- Digitale ID’s worden cruciaal voor veilige identificatie, maar worden geconfronteerd met wereldwijde uitrol problemen.
- Een gebrek aan standaardisatie belemmert de grensoverschrijdende adoptie van digitale ID’s en vereist minimaal een nationale uitrol.
- Generatieve AI-tools maken ongecompliceerde aanvallen op jouw identiteit mogelijk, wat de beveiliging bemoeilijkt.
- Biometrische en blockchain technologie verbeteren de ID-beveiliging, maar moeten ook algemeen worden geaccepteerd.
- Bedrijven moeten verdedigingsmechanismen aannemen om evoluerende fraude tactieken te bestrijden.
Waarom is de uitrol van digitale ID’s achtergebleven?
Initiatieven in sommige landen om nationale digitale ID’s in te voeren hebben vooruitgang geboekt. Denk bijvoorbeeld aan India met zijn Aadhaar-systeem, dat in 2009 van start ging en ongeveer 99% van de volwassenen in het land heeft geregistreerd.
Verschillende landen in Afrika ten zuiden van de Sahara hebben biometrische digitale ID-systemen ingevoerd. Deze vallen samen met een toename in het gebruik van smartphones als een manier om mensen te registreren voor toegang tot diensten.
Een van de uitdagingen voor wijdverspreide invoering over de hele wereld is echter een gebrek aan standaardisatie en interoperabiliteit.
Ofer Friedman, Chief Business Development Officer bij het identiteitsverificatie bedrijf AU 10 TIX, heeft dit helpen uitleggen aan Techopedia:
“Elke overheid of regio doet zijn eigen ding op het gebied van standaarden en kaders, dus de oplossingen hebben niet de neiging om met elkaar te ‘praten’, ook al zijn veel markten grensoverschrijdend.”
“Sommige landen zijn meer bezorgd over wat en hoe digitale ID’s moeten bestaan, terwijl andere landen er meer vertrouwen in hebben.” “Veel landen kiezen voor een versnipperde aanpak in plaats van samen te werken aan een uniform, wereldwijd kader.”
“De VS is een perfect voorbeeld, waar een verenigd federaal systeem voor digitale ID’s ontbreekt en individuele staten en particuliere bedrijven experimenteren met oplossingen zoals mobiele rijbewijzen.”
Omdat het veranderen van een identiteits regime voor alle burgers en inwoners een grote onderneming is, gaan overheden op verschillende snelheden over tot de invoering, waardoor fraudeurs meer mogelijkheden krijgen, merkt Friedman op.
“Zonder universele adoptie, interoperabiliteit over de grenzen heen, infrastructuur die zowel publieke als private acceptatie ondersteunt en een verspreid gevoel van vertrouwen in een digitaal identiteit regime, blijft de gefragmenteerde aard van deze inspanningen de vooruitgang tegenhouden,” voegde Friedman toe.
Er zijn verschillende factoren die landen kunnen helpen om digitale ID’s succesvol in te voeren, aldus Friedman:
- Overeengekomen universele standaarden en grensoverschrijdende interoperabiliteit – bij voorkeur wereldwijd of op zijn minst op regionale schaal.
- Een complete werkomgeving die zowel gebruikers-oplossingen als back-end-oplossingen omvat.
- Een invloedrijke pionier, zoals Australië dat leeftijdsgrenzen introduceert om de markt op één lijn te krijgen rond het concept.
- Wijdverspreide acceptatie door overheden en particuliere dienstverleners. Zonder deze elementen zal de adoptie gefragmenteerd blijven, waardoor het volledige potentieel van digitale ID’s wordt beperkt. Landen van de Europese Unie hebben bijvoorbeeld proef-programma’s gelanceerd voor versleutelde digitale identiteit ‘wallets’.
- Bruikbaarheid door middel van wijdverspreide identiteit wallets die een eenvoudige, vertrouwde gebruikerservaring bieden.
Prioriteit geven aan veiligheid en interoperabiliteit op regionaal niveau zou een belangrijke stap voorwaarts betekenen. Daarnaast kunnen de tests van schaalbare en veilige digitale ID-systemen in Afrika inzicht bieden in hoe regio’s met uitdagingen de adoptie succesvol kunnen aanpakken.
“Universele standaarden zijn er nog niet, maar we zien wel echte vooruitgang met de laatste richtlijnen voor digitale identiteit van het National Institute of Standards and Technology (NIST) (SP 800-63 Revision 4), die een balans proberen te vinden tussen beveiliging en het daadwerkelijk bruikbaar maken van deze systemen.
“Ze richten zich op een aantal cruciale gebieden, zoals het voorkomen van dat authenticatie kan worden gephisht en het bieden van bescherming tegen geavanceerde social engineering-aanvallen. “Maar er is nog steeds werk aan de winkel,” aldus Friedman.
“We hebben drie belangrijke dingen nodig: Ten eerste moeten deze ID’s grensoverschrijdend werken – geen uitzonderingen”. Ten tweede hebben we robuuste beveiligingsprotocollen nodig, vooral rond biometrie, aangezien de persoonlijke gegevens van de meeste mensen al gecompromitteerd zijn door verschillende inbreuken. Ten derde hebben we brede acceptatie nodig.”
“De standaarden bestaan op papier, maar iedereen zover gekregen om ze daadwerkelijk te implementeren?” “Dat is de echte uitdaging.”
Zouden wijdverspreide digitale ID’s AI-gestuurde fraude voorkomen?
Digitale ID’s kunnen effectieve bescherming bieden tegen AI-gestuurde fraude door sterkere, gestandaardiseerde identiteitsverificatie maatregelen te introduceren.
Ze bevatten biometrische gegevens zoals vingerafdrukken, gezichtsherkenning en irisscans, waardoor het moeilijker wordt voor AI-gegenereerde synthetische identiteiten om verificatiesystemen te omzeilen.
Dit komt doordat generatieve AI moeite heeft met het effectief dupliceren van fysieke kenmerken als het gaat om biometrische scans. Het is belangrijk om af te stappen van statische identiteiten zoals geboortedata, adressen en ID-nummers van de overheid, omdat deze gemakkelijk gecompromitteerd kunnen worden.
Daarnaast kunnen veel digitale ID-systemen worden gebouwd op blockchains of andere gedecentraliseerde platformen zonder een single point of failure en ze kunnen cryptografische technieken gebruiken, zoals publiek-private sleutelparen en digitale handtekeningen, om de identiteit van een individu te verifiëren. Dit voorkomt geknoei en imitatie door AI-tools.
Multi-factor authenticatie, of real-time en continue identiteitscontrole, zoals toetsaanslagpatronen en muisbewegingen, kunnen ook AI-gestuurde geautomatiseerde pogingen om de beveiliging te doorbreken detecteren.
“Het is niet alleen AI op zich die de aanzienlijke toename van fraude mogelijk maakt. “Het is de opkomst van verpakte ‘oplossingen’ die massaproductie van imitatie, ontwijking en doel specifiek maatwerk mogelijk maken.”
“Zonder deze oplossing-pakketten zouden AI-tools een lange lijst van moeren en bouten blijven die veel tijd en moeite kosten om effectief te implementeren,” aldus Friedman.
“De nieuwste AI-fraude platforms bieden IDFaas (ID Fraud as a Service), uitgebreid met randomisatie en andere algoritmes.
“Met dergelijke tools kunnen fraudeurs eindeloze variaties van valse identiteiten genereren – elk uniek en bijna onmogelijk te detecteren met traditionele methoden.”
“In tegenstelling tot oudere methoden van identiteitsvervalsing, die vaak vertrouwden op sjablonen, heeft generatieve AI identiteitsfraude veranderd in een grootschalige, industriële operatie waarbij geen twee vervalsingen identiek zijn,” voegde Friedman toe.
“Organisaties die vertrouwen op verouderde tools voor identiteitsverificatie zijn bijzonder kwetsbaar voor deze geavanceerde aanvallen.”
Fraudeurs maken gebruik van verschillende hiaten, waaronder de beschikbaarheid van persoonlijke informatie op sociale mediaplatforms en het Dark Web, de menselijke neiging om bekende gezichten en stemmen te vertrouwen en de moeilijkheid om hoogwaardige deepfakes te detecteren en de mogelijkheid die aanvallers nu hebben om aanvallen in een communicatiestroom te injecteren in plaats van dat ze moeten proberen camera’s voor de gek te houden.
Daarnaast hebben veel serviceproviders de neiging om genoegen te nemen met de minimale verdedigingssystemen die voldoen aan de wettelijke vereisten in plaats van iets meer uit te geven aan geavanceerdere mogelijkheden.
Als sommige organisaties de gebruikerservaring niet goed aanpakken, kan dit de kwaliteit van de detectie beïnvloeden, aldus Friedman, die eraan toevoegt dat marketing beloftes van beveiliging leveranciers ertoe kunnen leiden dat organisaties geloven in onrealistische prestaties.
Hoe kunnen bedrijven zichzelf beschermen tegen AI-identiteitsfraude?
De vraag is niet alleen hoe snel digitale ID’s worden uitgerold, maar ook of de huidige aanpak van identiteitsverificatie geschikt is voor het doel.
Totdat bedrijven en overheden uitgebreide strategieën aannemen die zich aanpassen aan de nieuwe technieken van fraudeurs, zal de strijd tegen AI-gestuurde fraude waarschijnlijk een zware strijd blijven.
Friedman voegde eraan toe:
“Hoeveel bedrijven ken je die een dubbellaagse verdediging hebben? Te weinig. Het zal niemand verbazen dat de meerderheid van de bedrijven niet eens beschikt over een basisbescherming tegen AI-fraude.”
Omdat AI-aanvallen meestal bestaan uit vervalsingen die niet door mensen te onderscheiden zijn, zijn back-office medewerkers waarschijnlijk niet in staat om machinale detectie te detecteren of te bevestigen.
“Er moet ook rekening mee worden gehouden dat, hoewel de eerste technologieën om AI-gestuurde fraude te bestrijden bestaan, veel bedrijven er nog niet in hebben geïnvesteerd, waardoor ze zichzelf wijd openstellen voor deze geavanceerde aanvallen.”
Ongeacht de hoofdoorzaken moeten bedrijven hun verdediging tegen AI-fraude dringend versterken. Alleen vertrouwen op de uiteindelijke implementatie van digitale ID’s kan bedrijven in de tussentijd kwetsbaar maken.
In plaats daarvan moeten ze een aanpak kiezen die onmiddellijke bescherming combineert met oplossingen voor de lange termijn.
Welke praktische stappen kunnen bedrijven nemen om zichzelf te beschermen totdat digitale ID’s worden ingevoerd?
Het is belangrijk om identiteitsverificatie te upgraden en geavanceerde AI-gestuurde systemen te implementeren, zoals gezichtsherkenning of vingerafdrukscanner om je zo te beschermen tegen synthetische identiteiten. Het afdwingen van multifactor authenticatie, bijvoorbeeld wachtwoorden gecombineerd met codes van authenticatie-apps of sms-berichten, kan kwetsbaarheden aanzienlijk verminderen.
Het is belangrijk dat bedrijven opkomende bedreigingen voorblijven door de nieuwste ontwikkelingen op het gebied van AI en cybercriminaliteit tactieken in de gaten te houden en algoritmen voor fraudedetectie regelmatig bij te werken. Zo kunnen ze patronen helpen identificeren die verband houden met synthetische identiteiten.
Friedman zei:
“Bedrijven moeten hun verdediging doorlichten om te begrijpen tegen welke bedreigingen ze zich actief en met welke mate van effectiviteit verdedigen.”
Ook voegde Friedman het volgende nog toe: “Ze zouden een tweelaagse verdedigingsstrategie moeten aannemen die zowel detectie van bedreigingen op casusniveau als detectie op verkeers niveau omvat om georganiseerde fraude bendes en herhaalde patronen van verdachte activiteiten te identificeren.”
“Ik raad alle organisaties ook aan om hun leveranciers te vragen welk type verdediging actief wordt ingezet tegen deep fakes en injecties.” “Tot slot zouden bedrijven moeten controleren op welke bijkomende risicofactoren, vooral apparaat gebonden, hun huidige oplossing controleert.”
Het is ook essentieel dat bedrijven hun werknemers leren om rode vlaggen bij identiteitsfraude te herkennen en regelmatig trainingen geven om hun kennis up-to-date te houden.
Conclusie
Digitale ID’s kunnen een sterke verdediging bieden tegen AI-gestuurde fraude. Ze zijn echter geen op zichzelf staande oplossing en hun effectiviteit hangt af van hoe ze worden ontworpen, geïmplementeerd en wereldwijd worden toegepast.
Universele digitale ID’s kunnen gestandaardiseerde processen voor identiteitsverificatie creëren die het risico van hiaten in verschillende sectoren en landen verkleinen waar fraudeurs misbruik van kunnen maken. Niet alle regio’s beschikken over de technologische infrastructuur om digitale ID-systemen te ondersteunen en de gefragmenteerde wereldwijde invoering laat kwetsbaarheden open voor aanvallers om grensoverschrijdende fraude te plegen.
En hoewel biometrie effectief kan zijn, kan AI in sommige gevallen nog steeds zeer overtuigende synthetische gegevens genereren. Om die reden is een gelaagde beveiliging aanpak essentieel voor uitgebreide fraudedetectie en bescherming.