De moderne wereld is op een ingrijpende manier verbonden via internet en netwerken. Apparaten zijn alomtegenwoordig¹ De grens tussen persoonlijke en zakelijke verbindingen vervagen.² Mensen zijn steeds vaker en langer online.³ En de snelheid van digitale transformatie neemt toe, waardoor het aantal verbindingen tussen bedrijven, mensen en dingen nog meer stijgt.⁴

Het moge duidelijk zijn dat in deze realiteit digitaal vertrouwen essentieel is. Essentieel voor het bouwen en deelnemen aan onze verbonden wereld, en essentieel voor het verder uitbreiden ervan. Digitaal vertrouwen is noodzakelijk om ons de zekerheid te bieden dat de dingen die we online doen – interacties, transacties en bedrijfsprocessen – veilig zijn.

Doordat het aantal verbindingen exponentieel stijgt, is het noodzakelijk dat digitaal vertrouwen een integraal onderdeel is van IT-architecturen, die zelf ook steeds complexer worden. Cloudservices, hybride workloads en de samenvoeging van IT en OT hebben ertoe geleid dat er veel meer met elkaar is verbonden dan vroeger. DevOps- en CI/CD-workflows hebben de grenzen tussen traditionele IT-activiteiten en ontwikkeling doen vervagen. Werken op afstand, dat een flinke boost heeft gekregen door de pandemie, heeft de manier veranderd waarop bedrijven toegang bieden en hun systemen inrichten. En zero-trust netwerkarchitecturen hebben eraan bijgedragen dat er veel meer moet worden geauthenticeerd en beveiligd.

Deze uitbreiding van het aantal verbindingen kun je ook zien als het verdwijnen van de traditionele buitengrens van het bedrijf. Dat dwingt bedrijven ertoe digitaal vertrouwen te beschouwen als een wezenlijk onderdeel van IT – een gebod dat vanaf het hoogste niveau moet worden opgelegd. Bedrijven zijn de hoeders van digitaal vertrouwen; niet alleen voor hun eigen interne medewerkers en activiteiten, maar juist ook voor hun klanten, partners en de gemeenschappen waarin ze actief zijn.

Het fundament onder digitaal vertrouwen

Het fundament onder digitaal vertrouwen bestaat uit drie hoofdelementen:

1. authenticatie van de identiteit van individuen, bedrijven, machines, workloads, containers en services, enzovoort;
2. integriteit, oftewel de zekerheid dat een object niet is gemanipuleerd;
3. encryptie, waardoor gegevens beveiligd worden verzonden.

Aan de hand van deze elementen kunnen we vaststellen of een website veilig is, een e-mail echt is, een handtekening onder een document geldig is, software niet gecompromitteerd is, een software-image in de cloud deugdelijk is en een individu is wie hij of zij beweert te zijn. De drie elementen worden ter beschikking gesteld met behulp van digitale certificaten, waarmee cryptografische sleutelparen worden gekoppeld aan identiteit. Met deze Public Key Infrastructure (PKI) kunnen bedrijven zorgen voor vertrouwde identiteit, integriteit en encryptie van en tussen mensen, systemen en dingen.

Maar PKI is slechts de basis. Laten we eens kijken naar de bouwblokken van digitaal vertrouwen, om een zo compleet mogelijk beeld te krijgen van wat het nu eigenlijk betekent om een vertrouwensinitiatief te starten.

Digitaal vertrouwen: de bouwblokken

Digitaal vertrouwen is afgeleid van vier essentiële onderdelen: normen, compliance en uitvoering, vertrouwensbeheer en vertrouwensketens.

Normen: Normen definiëren wat vertrouwen inhoudt voor een technologie of bedrijfstak. Zo werd in 2005 het CA/Browser Forum opgericht met verschillende deelnemers (certificeringsinstanties, makers van browsersoftware en andere applicaties) die gebruikmaken van X.509 v.3 digitale certificaten voor TLS/SSL, codeondertekening en S/MIME.⁵ Dit forum definieert de normen waaraan certificeringsinstanties moeten voldoen om te waarborgen dat ze vertrouwen bieden. Ook zijn er nog andere forums en consortiums (zoals NIST, IETF, CableLabs, CI+, Matter) die soortgelijke doelen voor bedrijfstakken en certificaten nastreven.

Compliance en uitvoering: Compliance en uitvoering zijn de activiteiten waarmee vertrouwen wordt gewekt. Compliance (ook wel naleving genoemd) omvat de beleidsregels en audits waarmee wordt geverifieerd dat operationele activiteiten worden uitgevoerd in overeenstemming met de normen die zijn gesteld door een instantie. Uitvoering vindt primair plaats in datacenters, waar de status van certificaten wordt geverifieerd aan de hand van OCSP en andere protocollen.

Vertrouwensbeheer: Bedrijven bouwen steeds meer op het levenscyclusbeheer van certificaten en andere software voor het beheer van vertrouwen. Deze software voorkomt onderbrekingen als gevolg van verlopen certificaten, beperkt ongeautoriseerde activiteiten door naleving van het beveiligingsbeleid van het bedrijf af te dwingen, en vermindert de administratieve last van het beheer van certificaten en andere bedrijfsidentiteiten dankzij automatisering van zakelijke processen.

Vertrouwensketens: Bedrijven hebben behoefte aan manieren om vertrouwen uit te breiden naar complexe aanvoerketens en ecosystemen. Voorbeelden hiervan zijn het waarborgen van de continuïteit van vertrouwen gedurende de hele levenscyclus van een apparaat, in een complete aanvoerketen of bij het vaststellen van de herkomst van digitale rechten in een contentcommunity.

Deze vier bouwstenen, die zijn gebaseerd op PKI, leveren samen het vertrouwen dat we nodig hebben voor onze activiteiten in de digitale wereld.

Digitaal vertrouwen als wezenlijk onderdeel van IT

Het strategische belang van digitaal vertrouwen behelst meer dan het maken en gebruiken van digitale certificaten. Het is een integraal onderdeel van beveiliging en risicobeheer, en beschermt het bedrijf tegen cyberbedreigingen. Het is een onmisbaar onderdeel van digitale transformatie, omdat het bedrijven in staat stelt kritieke processen online uit te voeren en nieuwe typen verbindingen tussen organisaties te realiseren. En het is essentieel voor onze verbonden toekomst. Bedrijven die nu strategisch investeren in digitaal vertrouwen zijn de wegbereiders voor een veilige, verbonden toekomst.

DigiCert is de partner voor digitaal vertrouwen van vele toonaangevende bedrijven.