Management

Governance
Oscar Koeroo

Missie geslaagd: webcertificaten overheid tijdens Sinterklaas-weekend vervangen

Geldigheid honderden certificaten stopte op maandag 5 december. 

Oscar Koeroo © KPN Dennis van Zuijlekom
7 december 2022

Geldigheid honderden certificaten stopte op maandag 5 december. 

Honderden overheidsorganisaties hebben op het laatste moment hun aflopende webcertificaten succesvol vervangen. De geldigheid ervan stopte maandag 5 december. Vrijdag hadden zo’n 330 overheidsorganisaties de overstap nog niet voor elkaar, waaronder Defensie en Politie.

Het PKIoverheid-certificaat fungeert bij het bezoeken van een overheidswebsite min of meer als een digitaal paspoort. Certificaten worden gebruikt bij onder meer het bezoeken van beveiligde websites, of het controleren van de elektronische ondertekening. Ook worden webcertificaten gebruikt bij bekijken van versleutelde informatie.

Overheden die deze certificaten nog gebruikten werden maanden geleden al door Logius, de ICT-dienstverlener van het Rijk, gesommeerd om over te stappen naar een marktpartij. Wie certificaten van bedrijfsprocessen niet veiligstelt is namelijk niet meer zeker van continuïteit van dienstverlening. Inmiddels zijn er nog zestig organisaties over die nu te maken hebben met beëindigde webcertificaten.

Sinterklaasgedicht

Oscar Koeroo, CISO van het ministerie van VWS, werkt al sinds 2003 vanuit verschillende achtergronden met de certificaten-technologie en bracht de naderende deadline vorige week onder de aandacht met behulp van een eigen geschreven script. Daarmee kon de voormalig programmeur alle niet vervangen PKIoverheid-certificaten voor zijn eigen organisatie in beeld krijgen. Hij kreeg daarmee ook inzicht in de resultaten buiten zijn eigen organisatie. Dat bleken er meer dan vierhonderd. Koeroo riep de organisaties op Twitter op in de vorm van een Sinterklaasgedicht om in actie te komen.

De actie leverde veel respons op: diverse organisaties hebben in het weekend in de laatste uurtjes hun laatste certificaten alsnog vervangen. “Er zijn achter de schermen daar inderdaad een aantal bedankjes voor binnengekomen”, vertelt Koeroo. “Al zijn er ook organisaties die bewust gekozen hebben voor een late overstap, om zo maximaal rendement uit de dienstverlening te halen.”

Afscheid

Nu de deadline verstreken is kijkt Koeroo tevreden terug op het afscheid van de PKIoverheid-certificaten. “Als we alle certificaten meetellen zijn het er honderdduizenden. Een groot deel daarvan is privaat en wordt nog gewoon gebruikt. Het deel publieke certificaten is nu verlopen”, aldus Koeroo. De verlopen certificaten werden gebruikt als webcertificaten bij websites, API en identificeren bij andere systemen.

Koeroo volgt de ontwikkelingen rondom PKIoverheid-certificaten al jaren. “Ik heb een lange voorgeschiedenis met deze technologie. Ik gaf er les over en ik heb ooit zelf ook een kleine kwetsbaarheid ontdekt, die door een Iraanse aanvaller niet werd uitgebuit.” Overheden zijn nu aangewezen op marktpartijen voor certificaten. Koeroo vindt het na al die jaren ‘ergens wel jammer’ dat deze manier van werken nu voorbij is. “Maar het draaien van zo’n PKIoverheid-omgeving is behoorlijk specialistisch werk. Je moet als organisatie de tijd en aandacht hebben om dat goed te runnen en dat is een flinke opgave”, besluit Koeroo.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.