Dat een uitgever van certificaten als DigiNotar hackbaar is, is op zich al kwalijk. Maar DigiNotar kreeg ook pas negen dagen na dato in de gaten dat er wat mis was. Bij de inspectie die daarop volgde, zag men ook nog ten minste één bij de hack op frauduleuze gronden aangemaakt certificaat over het hoofd. Met het certificaat kon de hacker zich voordoen als Google, en Google was begin dit jaar ook al voorwerp van een poging valse SSL-certifcaten te bemachtigen, dus je zou verwachten dat je daar bij een audit meteen naar kijkt.

RSA blijkt begin dit jaar gehackt te zijn met behulp van een aanval op een nog ongedekt lek in Adobe-software. Maar wel eentje die binnengesmokkeld werd via een mailtje dat in de ‘junk’-box terechtkwam, dat van een bron kwam waarvan je een mailtje met die inhoud niet zou verwachten, dat niet persoonlijk gericht was en dat de malware afleverde via een bijlage die zich uiterst ongewoon gedroeg. De reeks stommiteiten die de medewerker die het mailtje opende beging, is gewoon verbijsterend. En dat RSA zijn personeel niet beter opgevoed heeft, is een ICT-beveiligingsbedrijf gewoonweg onwaardig.

Deze incidenten suggereren dat het tijd wordt voor de oprichting van een Internet Inspectie die à la de Inspectie voor de Gezondheidszorg toezicht kan houden op de manier waarop leveranciers van internet- en beveiligingsdiensten opereren. Dat op internationale schaal realiseren is natuurlijk een hele uitdaging, maar de ontwikkelingen lijken weinig keus te laten.