Het programma van het GovCERT symposium beloofde boeiend te worden met lezingen van onder meer beleidsmakers, onderzoekers, beveiligingsexperts, hackers en een special agent van de US Secret Service. Erg interessant, maar weinig nieuws.

Een aantal van de sprekers op het symposium Decade of Challenges zijn betrokken bij de oprichting van het National Cyber Security Center (NCSC) en het opstellen van de strategie voor de komende jaren. Iedereen die er iets mee te maken heeft benadrukt het belang van de privaat-publieke samenwerking. Het Openbaar Ministerie zei dat expertise uit het commerciële bedrijfsleven niet langer ingehuurd zal worden, maar op gelijk voet komt te staan. Wij zijn minder lyrisch. Publieke-private samenwerking zorgt er voor dat private bedrijven een rol krijgen die tot nu toe – met een goede reden – voorbehouden was aan de overheid. Bovendien worden belangrijke beslissingen oncontroleerbaar voor parlement en de burger.

Rop Gonggrijp is één van de weinige kritische sprekers. Volgens hem zijn we nu vooral druk bezig met dichten van de gaten, terwijl we er veel beter voor kunnen zorgen dat zulke problemen niet ontstaan. We moeten er voor oppassen niet steeds complexere systemen te bouwen. Die zijn straks niet meer te overzien en te controleren. Hij houdt het publiek voor dat een vergaande publiek-private samenwerking juist niet handig is. Net als Ross Anderson ziet Rop dat commerciële bedrijven onvoldoende aandacht voor beveiliging hebben. De bedrijven incasseren de winst terwijl zij het risico afwentelen op de maatschappij. Willen we onze nationale veiligheid daar afhankelijk van maken?

Hét voorbeeld daarvan is het Diginotar debacle, waarvoor op het symposium veel aandacht was. Terwijl de overheid erg afhankelijk van die certificaten was, verzweeg het bedrijf een inbraak en vele honderden vervalste SSL-certificaten. Erik Akerboom noemde de Diginotar crisis de eerste echte cybercrisis van de Nederlandse overheid. Samen met enkele andere sprekers stelde hij vast dat het niet alleen om veiligheid draaide, maar vooral ook om het terugwinnen van het vertrouwen. Dat is niet zo gek als de overheid eerst roept dat de certificaten te vertrouwen zijn als later blijkt dat de beveiliging een zootje was.

GovCERT vertelde er over hun ervaringen. Diginotar riep de hulp in van Fox-IT, het bedrijf dat de overheid vaak inhuurt als het zelf IT-expertise tekort komt. Terwijl GovCERT, en daarmee de Nederlandse overheid, moeite had helder te krijgen hoe de situatie bij Diginotar nu precies was, mocht Fox-IT niets verklappen door een non-disclosure agreement. Die helderheid kwam pas op vrijdag, nadat GovCERT per ongeluk (!!) was uitgenodigd om aan te schuiven bij een overleg tussen Diginotar en Fox-IT. Dat gesprek gaf aanleiding voor het opzeggen van het vertrouwen in de certificaten en de nachtelijke persconferentie van minister Donner.

Behalve een paar saillante details hebben we weinig nieuws gehoord. We hoopten op meer informatie over de dilemma’s en de achtergronden van de ontmanteling van het Bredolab en Operatie Descartes. Jammer, maar nietemin zeer onderhoudend.