Door de inbraak bij DigiNotar was een groot deel van de overheidscommunicatie in een klap onbetrouwbaar. Dan denk je natuurlijk meteen: dat moet een geavanceerde inbraak zijn geweest. Maar niets is minder waar: DigiNotar liet zelfs de meest basale beveiligingsmaatregelen achterwege. Een schoolvoorbeeld van digitaal amateurisme.
Uit het rapport van security bedrijf Fox-IT van 5 september blijkt dat de beveiliging bij DigiNotar ver onder de maat was. Basale maatregelen werden door DigiNotar niet in acht genomen: er werden geen virusscanners gebruikt, de wachtwoorden waren makkelijk te kraken, een logboek ontbrak, de software werd niet geüpdate en alle systemen van DigiNotar functioneerden binnen één domein (zodat toegang tot dat domein toegang tot alle systemen mogelijk maakte). En er is bewijs gevonden dat ook de systemen voor overheidscertificaten gekoppeld waren aan dit algemene domein (dit is de reden waarom Donner om vrijdagochtend half twee een persconferentie gaf).
Dit roept vragen op over of hoe de overheid om moet gaan met het uitbesteden van deze taken en de controle op de veiligheid bij de bedrijven. De overheid zou meer waarborgen kunnen inbouwen, zodat zij niet alleen afhankelijk is van de papieren waarheid van de audits, maar ook zelf kan zien of de procedures daadwerkelijk worden gevolgd.
Bovendien bleek uit de brief van minister Donner aan de Tweede Kamer dat DigiNotar al op 19 juni op de hoogte was van de inbraak. Het bedrijf heeft de inbraak geheim gehouden en geen contact opgenomen met de Nederlandse overheid. De Nederlandse overheid werd hierover pas op 29 augustus geïnformeerd door Duitsland.
Het is natuurlijk onacceptabel dat een bedrijf als DigiNotar deze inbraak wekenlang geheim kon houden. Dit soort inbraken vallen weliswaar niet onder de meldplicht datalekken, maar als het gaat om dit soort infrastructuur, waar de vertrouwelijke communicatie van zoveel bedrijven en personen in het geding is, is het wellicht een idee daarnaast een soort ‘meldplicht inbraken’ in te stellen. Ook zou de overheid zelf meer waarborgen in kunnen bouwen, zodat zij niet alleen afhankelijk is van de papieren waarheid van de audits, maar ook zelf kan zien of de procedures daadwerkelijk worden gevolgd.
Toch zijn dit niet meer dan tijdelijke oplossingen. Het certificatensysteem moet op de schop, want we stellen ons vertrouwen in honderden bedrijven en we weten niet of die dat vertrouwen wel waard zijn. Een duurzame, robuuste oplossing is nodig. Hierover binnenkort meer op onze blog.
Sebastiaan
Niet alleen certificaten zijn een groot gevaar.
Wat zou er gebeuren als een Anti-Virus fabrikant ten prooi valt aan hackers? Hoeveel organisaties stellen hun netwerk volledig open voor die anti-virus software? Hoe lang voordat dat ontdekt wordt?
Ben
Was DigiNotar op 19 juni al op de hoogte van de kraak? Ik dacht dat die pas in juli was gedaan?
Nog één typfoutje: geüpdatet i.p.v. geupdate 🙂
Ot van Daalen
@Ben: Nee, het is (helaas) geen typfout. Het is moeilijk te geloven, maar in de brief aan de kamer staat wel degelijk 19 juni. Die andere typfout hebben we aangepast.
Daniel
Na dit hele gedoe ben ik gewisseld van browser. Normaal werk ik vanuit Safari maar Convergence.io is alleen beschikbaar als Firefox-extensie.
Het is een aardige stap in de richting van een distributed PKI-systeem en zou zelfs het self-signed probleem kunnen oplossen omdat de ondertekende root CA niet meer van echt belang is, het enige wat nog boeit is dat een meerderheid van notaries op het internet hetzelfde certificaat zien voor die host enzovoorts.
Het is echt bijzonder triest dat het zo gegaan is bij DigiNotar, de arrogantie en onbeschoftheid van het bedrijf in deze situatie is echt onwerkelijk.
Willem56
De overheid als klant van Diginotar is nu zeer verbaasd over de kwaliteit van de beveiliging bij Diginotar.
Maar zoals met alle klant leverancier relaties, De kwaliteit van de leverancier wordt bepaald door de klant.
De overheid spreekt Service levels en procedures af en behoord audits te doen.
Een bedrijf als Fox-it er achteraf naar toesturen is dan dus te laat, een minister die niet permanent controleert of de primaire processen veilig geborgd zijn moet eens goed na gaan denken over zijn eigen positie.
Alleen Diginotar aanpakken betekend dat we dit nog vaker gaan meemaken.
Ik durf te stellen dat de IT beveiliging van Diginotar op een veel hoger niveau staat dan de meeste overheids IT domeinen.
Hoeder
Dat Diginotar er een puinhoop van heeft gemaakt is duidelijk. Maar wat zijn dat voor kneuzen bij onze overheid( Donner cs) die dit kennelijk niet upfront de beveiliging afgedicht hebben en er kennelijk geen systeem is dat het gebruik monitort. De overheid geeft wederom blijk van zeer grote incompetentie. Maar ja wat wil met ministers die nog in het tijdperk van de telegraaf leven.
Leo
Wie is Diginotar eigenlijk? Follow the money! Partijvriendje?
Adrian
Laat nu net Fox-IT de meeste boter op haar hoofd hebben! Dit bedrijf is één van de vele Nederlandse bedrijven die allerlei software (lees: spyware) levert aan allerlei dubieuze regimes om haar bevolking in de gaten te kunnen houden.
De BV Nederland heeft haar ICT organisatie blijkbaar niet op orde. Uitbesteden heeft ook geen zin blijkt nu. Wordt het nu niet eens tijd voor een Ministerie van ICT?
Anonymous
@Willem56, 7 Sep / 10:36 am
@Adrian, 7 Sep / 10:41 pm
Beter had ik het niet kunnen verwoorden. De IT van de overheid kenmerkt zich erdoor dat beveiliging en controle als sluitstuk gelden (zowel functioneel als financieel). Men kijkt naar functies, weet niet wat men wil, laat functionaliteit weinig doordacht meermaals aanpassen en aan het eind moet er voor het gevoel toch nog even een sausje van beveiliging overheen. En voor vastgestelde procedures geldt dat die versloft worden tot een schandalig niveau of zelfs vervallen, iedereen weet het niemand doet of zegt iets.
EricF
Zulke rampen kunnen in elk bedrijf gebeuren als intern het beleid en de procedures niet in orde zijn. Daarvoor bestaat ISO certificering: vaststellen dat alle voor de productkwaliteit vereiste beleidsrichtlijnen en procedures aanwezig zijn, en dat het correct functioneren van deze procedures effectief wordt bewaakt. [het ISO-certificeringbedrijf moet natuurlijk zelf ook zo’n certificatie hebben]
De overheid zou de eis moeten stellen dat elke toeleverancier een passsende ISO certificering heeft.
Bovendien is het voor kritische applicaties gewenst dat falen van enig onderdeel zo mogelijk leidt tot “graceful degradation” en niet tot een ramp.
Vraag: is er voor dit type van cyber-security reeds een bestaande ISO certificering, of zou een nieuwe moeten worden toegevoegd?
Wat moeten we beslist niet? Dat de overheid alles in eigen hand gaat nemen. Dan is alle onafhankelijke controle weg: recept voor verdere rampen.
Roland
Vreemd dat gesteld wordt dat dit niet valt onder de meldplicht datalekken. Diginotar levert een product dat bestaat uit geheime sleutels. Het lijkt me een wanprestatie als diginotar er niet in slaagt deze sleutels geheim te houden. Dus een schending van contractuele verplichtingen, en de overheid kan als betalende klant bij deze leverancier verhaal halen. E.e.a. nog afgezien van de morele verplichtingen voortvloeiend uit het beoogde doel van dit soort certificaten.
Anonymous
Vroeger hadden we nog iets als professionalisme en moreel besef. Tegenwoordig gaat het om een houding of we menen wel of niet vallen onder een regeling, in dit geval een meldplicht, en als men na wat kromme argumentatie meent niet onder een plicht te vallen dan hoeft men plotseling helemaal niets te doen? Zo worden onze rechten steeds meer uitgehold naarmate er meer regels komen.
–
De overheid moet gewoon eisen dat de verantwoordelijke topmannen bij Diginotar ontslagen worden omdat ze hun verantwoordelijkheid niet genomen hebben vanuit professionalisme en moreel besef. En anders moet de overheid maar naar een andere certificerende instantie overstappen. En als dat allebei niet kan vanwege afhankelijkheid dan is duidelijk dat dit niet werkt en de overheid moet stoppen dingen te doen die een Diginotsr certificaat nodig maken. PURE LOGICA.
Hoeder
ISO is absoluut geen oplossing. Het beschrijft alleen maar hoe de procedures zijn. Of die juist , volledig ed zijn, daar doet ISO geen uitspraak over. Dus in principe kan ieder ISO gecertificeerd bedrijf, gecertificeerde troep maken.