Vijf prangende vragen over de kwestie Diginotar
Volgende week organiseert de Tweede Kamer een hoorzitting over het DigiNotar-debacle. Half juni hebben hackers bij DigiNotar toegeslagen waarna ze vervalste certificaten voor tal van sites hebben uitgegeven. De aanvallers hebben ze kunnen gebruiken om Iraanse internetters om te leiden naar bijvoorbeeld een nepsite van Gmail, waarna ze mogelijk inloggegevens of communicatie hebben kunnen onderscheppen. Op 30 augustus stelde ik hier al vragen over aan de ministers van Binnenlandse en Buitenlandse zaken. In de nacht van 3 september j.l. maakte minister Donner bekend dat de overheid het vertrouwen in Diginotar had opgezegd.
Waarom werden alarmbellen niet gehoord?
Zowel in 2009 als in maart 2011 en in juni j.l. hadden alarmbellen moeten rinkelen. Turkse en Iraanse hackers sloegen in mei en juni 2009 al toe. Dit werd ontdekt door Mikko Hypponen, hoofdonderzoeker van beveiligingsbedrijf F-Secure. In maart 2011 werd het bedrijf Comodo gehackt. Dit bedrijf levert, net als Diginotar, certificaten. Deze zaak lijkt erg op de hack bij Diginotar. Bovendien eiste zeer recent dezelfde hacker de verantwoordelijkheid op.
Hoe hebben betrokkenen in het Diginotar-debacle gereageerd op de hack bij Comodo? Of werd dit alarm niet gehoord? Welke maatregelen heeft het ministerie toen genomen voor het geval de PKI-overheidscertificaten ooit gecompromitteerd zouden worden? Heeft Govcert vragen gesteld hierover? Was dit aanleiding voor OPTA om eens te polsen bij de bedrijven die onder haar toezicht stonden? Was er sprake van falend toezicht?
Hoe heeft de controle zo slecht kunnen zijn?
Uit het rapport van Fox-It blijkt dat het bedrijf geen antivirussoftware had draaien op de servers en dat er slechte wachtwoorden gebruikt werden. Ook bleek het opsporingssysteem voor hacks niet effectief te zijn. Het leek net of er op de servers een grote sticker zat met de tekst: ‘Ahmedinijad kom maar binnen met je knecht’.
Wat was de rol van OPTA, in Nederland verantwoordelijk voor toezicht op de markt voor elektronische handtekeningen. En wat was de rol van IT-auditors PricewaterhouseCoopers en BSI die audits hebben gedaan?
Wat is hierover gecommuniceerd met de overheid? Op basis van welke risico-inventarisatie heeft de aanbesteding plaatsgevonden? Welke aanbevelingen en afspraken zijn naar aanleiding van die audits gemaakt?
Waarom reageerde de overheid zo laat?
De eerste hack ontdekte het bedrijf eind juli, maar DigiNotar informeerde gedupeerden pas toen alles eind augustus via een Iraanse dissident naar buiten kwam. Waarom duurde het vervolgens een volle week voordat maatregelen zijn genomen en het vertrouwen in DigiNotar door de overheid werd opgezegd? Wist de overheid net als DigiNotar dat certificaten in Iran werden misbruikt? Heeft de overheid de eerste dagen druk uitgeoefend op browsermakers om DigiNotar te blijven vertrouwen? Waarom moest Govcert hierover van haar Duitse collega’s horen en had het zelf alarmbellen niet horen rinkelen? Lagen er noodplannen klaar om snel en adequaat te handelen?
Wie loopt gevaar?
Aan welke gevaren staan Iraanse internetgebruikers specifiek door deze blunders bloot? Wat zijn de gevolgen voor Iraanse bloggers en mensenrechtenverdedigers? Doordat DigiNotar een hack een maand lang heeft verzwegen, heeft het Iraanse regime uitgebreid de tijd gehad om te zien wie zij zijn.
Is het uitgesloten dat Iran of enige andere partij erin kan zijn geslaagd om zich toegang te verschaffen tot vertrouwelijke communicatie van de Nederlandse overheid? Welke vitale instanties in Nederland lopen daarbij gevaar en welke gevolgen heeft dat? Welke stappen heeft de overheid gezet om zich daarvan te vergewissen? Hoeveel schade heeft deze zaak veroorzaakt?
Hoe nu verder?
Het is belangrijk om een goed beeld te krijgen wat de gevolgen zijn van deze kwestie. Moeten we nu niet eindelijk zorgen voor een meldplicht bij datalekken? Waar moet de regie liggen om adequaat te reageren en zoveel mogelijk veiligheid en privacy te waarborgen? Wat zijn de consequenties van deze zaak voor de dienstverlening en het interne functioneren van de Nederlandse overheid, klanten van DigiNotar en andere leveranciers van certificaten? Welke stappen worden gezet om ervoor te zorgen dat digitale ondertekening van veel belangrijke elektronische documenten beter is beveiligd? Zijn er niet teveel CA’s en moet dat niet beter en anders worden geregeld? Moet de controle en onafhankelijk toezicht niet fors verbeterd worden? En kan de rol van gebruikers en bijbehorende transparantie niet worden vergroot?
Dit zijn mijn meest prangende vragen over de kwestie Diginotar, ik ben benieuwd naar de vragen en aanvullingen die jullie hebben.