Overheid waarschuwde DigiNotar al voor hack
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft in zowel mei als juni waarschuwingen gestuurd naar certificaatdienstverleners voor PKIoverheid. Het verantwoordelijke onderdeel, Logius, stuurde de waarschuwing ook naar DigiNotar, waarna DigiNotar-medewerkers een aantal internetadressen blokkeerden om zo aanvallen te stoppen.
Voor DigiNotar was dat voldoende, omdat het bedrijf gecontroleerd was op beveiliging. “Het bedrijf zag dit, mede omdat interne en externe audits geen aanleiding gaven om te vermoeden dat de beveiliging niet in orde was, niet als een unieke situatie”, schrijft de Onderzoeksraad in het rapport. Duidelijk is ook dat DigiNotar in het verleden wel penetratietesten heeft laten uitvoeren om te kijken of hacken van de technische omgeving mogelijk was.
Geen reden tot zorgen
De gehoorde compliance officer van DigiNotar vond de waarschuwingen voor gerichte inbraken geen reden om zich zorgen te maken. Hij zag het ook als een geruststelling, omdat ‘de inschatting van Logius was dat deze aanvallen niet op Nederland waren gericht’, schrijft hij aan de Onderzoeksraad. Maar volgens de onderzoekers is dat een inschattingsfout. “De bedoelde waarschuwing, in het bezit van de Onderzoeksraad, kan redelijkerwijs niet worden opgevat als een geruststelling”, pareert de raad. Dat bleek terecht, want in augustus 2011 werd met succes ingebroken bij Diginotar, dat besloot dit niet bij de overheid te melden.
Ook blijkt nu dat de aanvallen al eerder zijn begonnen. Op 1 juni 2011 blijkt de hacker al bezig te zijn geweest met aanvallen, die een voorbereiding voor de uiteindelijke hack van DigiNotar blijken te zijn geweest.
'Overheid juist nalatig'
De compliance officer van DigiNotar verwijt de overheid nalatigheid toen de hack publiek werd. “Er wordt niet ingegaan op de rol die de overheid - bijvoorbeeld AIVD, GOVERT en Logius - speelt bij een grootschalige aanval van een vreemde mogendheid”, schrijft hij aan de Onderzoeksraad. “In het fysieke domein kan de burger of onderneming rekenen op bescherming van het leger. Bij het trekken van de parallel naar het Internet zou de overheid in deze situaties een actievere rol moeten spelen. In de DigiNotar-casus heeft de overheid alleen geïnformeerd.”
Hij vindt het de schuld van Logius dat de gevolgen van de hack uitstralen op het hele PKIoverheid-stelsel. “Blijkbaar was Logius niet in staat om de technologieleveranciers gerust te stellen over de andere deelnemers aan het PKIoverheid-stelsel”, stelt hij.
Ook de Onderzoeksraad hamert diverse malen op het tekortschieten van de overheid. Volgens Logius was het niet haar taak om in detail op de certificaatuitgifte toe te zien.
Te weinig bewust van risico's
Donderdag presenteerde de Onderzoeksraad het rapport. Hierin concluderen de onderzoekers dat overheden niet in kunnen staan voor de veiligheid van digitale gegevens van burgers, omdat ze die veiligheid niet in alle gevallen op orde hebben. Bestuurders zijn zich te weinig bewust van de risico's en missen kennis op dit vlak, maar acute veiligheidsproblemen zijn er niet, concluderen de onderzoekers.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee