Door de inbraak bij DigiNotar was een groot deel van de overheidscommunicatie in een klap onbetrouwbaar. Dan denk je natuurlijk meteen: dat moet een geavanceerde inbraak zijn geweest. Maar niets is minder waar: DigiNotar liet zelfs de meest basale beveiligingsmaatregelen achterwege. Een schoolvoorbeeld van digitaal amateurisme.

Uit het rapport van security bedrijf Fox-IT van 5 september blijkt dat de beveiliging bij DigiNotar ver onder de maat was. Basale maatregelen werden door DigiNotar niet in acht genomen: er werden geen virusscanners gebruikt, de wachtwoorden waren makkelijk te kraken, een logboek ontbrak, de software werd niet geüpdate en alle systemen van DigiNotar functioneerden binnen één domein (zodat toegang tot dat domein toegang tot alle systemen mogelijk maakte). En er is bewijs gevonden dat ook de systemen voor overheidscertificaten gekoppeld waren aan dit algemene domein (dit is de reden waarom Donner om vrijdagochtend half twee een persconferentie gaf).

Dit roept vragen op over of hoe de overheid om moet gaan met het uitbesteden van deze taken en de controle op de veiligheid bij de bedrijven. De overheid zou meer waarborgen kunnen inbouwen, zodat zij niet alleen afhankelijk is van de papieren waarheid van de audits, maar ook zelf kan zien of de procedures daadwerkelijk worden gevolgd.

Bovendien bleek uit de brief van minister Donner aan de Tweede Kamer dat DigiNotar al op 19 juni op de hoogte was van de inbraak. Het bedrijf heeft de inbraak geheim gehouden en geen contact opgenomen met de Nederlandse overheid. De Nederlandse overheid werd hierover pas op 29 augustus geïnformeerd door Duitsland.

Het is natuurlijk onacceptabel dat een bedrijf als DigiNotar deze inbraak wekenlang geheim kon houden. Dit soort inbraken vallen weliswaar niet onder de meldplicht datalekken, maar als het gaat om dit soort infrastructuur, waar de vertrouwelijke communicatie van zoveel bedrijven en personen in het geding is, is het wellicht een idee daarnaast een soort ‘meldplicht inbraken’ in te stellen. Ook zou de overheid zelf meer waarborgen in kunnen bouwen, zodat zij niet alleen afhankelijk is van de papieren waarheid van de audits, maar ook zelf kan zien of de procedures daadwerkelijk worden gevolgd.

Toch zijn dit niet meer dan tijdelijke oplossingen. Het certificatensysteem moet op de schop, want we stellen ons vertrouwen in honderden bedrijven en we weten niet of die dat vertrouwen wel waard zijn. Een duurzame, robuuste oplossing is nodig. Hierover binnenkort meer op onze blog.