Dossier: Diginotar

Gepubliceerd: 
Laatste update: 
16 maart 2012 11:53
16 maart 2012 13:32

'Handelen overheid snel en adequaat in DigiNotar-crisis'

DEN HAAG – Voor de inbraak bij Diginotar heeft de Nederlandse overheid teveel vertrouwd op audits. Na de inbraak is wel adequaat gereageerd.

Foto:  ANP

Dat concludeert de Rijksauditdienst in een onderzoek in opdracht van het Ministerie van Binnenlandse Zaken.

Met audits worden organisaties onderzocht, gecontroleerd en geëvalueerd.

De dienst onderzocht het functioneren van de overheid in de nasleep van de DigiNotar affaire. De conclusie is dat vooral snel en adequaat is opgetreden.

"Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen", stelt de Rijksauditdienst.

"Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging."

Trendbreuk

Eerder werd teveel vertrouwen gesteld in de onderzoeken van auditors, waardoor er onvoldoende beeld was hoe het werkelijk met de beveiliging ging. Pas toen het fout ging kwam de overheid echt in actie, maar vond er wel een trendbreuk plaats.

"De wijze van denken en omgaan met risico’s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen", stellen de onderzoekers.

Gebrekkige audits

Het beeld wordt bevestigd in een onderzoek van Logica waar wordt gecontroleerd dat onvoldoende duidelijk wordt hoe naar de techniek is gekeken of wat nu wel of niet is onderzocht.

"Als een achteraf gebleken kwetsbaarheid door auditors niet gerapporteerd wordt, kan dat betekenen dat zij deze niet hebben gecontroleerd, of dat zij deze wel hebben gecontroleerd maar dat ze geen afwijkingen hebben gevonden", stellen deze onderzoekers.

"Op basis van de auditrapporten is dit onderscheid niet te maken. De auditrapporten bevatten slechts afwijkingen van normen en geen beschrijvingen van uitgevoerde tests of van conformiteiten."

Het toezicht was mager, omdat eens per drie jaar een ‘conformiteitsverklaring’ wordt afgegeven. Dat betekent dat toezichthouders jaarlijks maar heel beperkt kijken. Ook aan het continu in de gaten houden van systemen ontbrak het bij DigiNotar. "Er vindt in het kader van eerstelijns controle geen continue en intensieve monitoring plaats", stelt Logica dan ook.

Lees alles over Diginotar in ons dossier

Door: NU.nl/Brenno de Winter
  • Deel:
  • window.___gcfg = {lang: 'nl'}; (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();

Gerelateerde artikelen

Lees meer over

Vorige artikel Onderzoek Diginotar richt zich op overheid Volgende artikel Staat eist 8,7 miljoen van Diginotar

Eerdere berichten

Gisteren

Eerder

Tech

Het laatste technieuws

Uitleg

Twee experts leggen aan NU.nl uit wat de hack bij Diginotar precies inhoudt, wat de mogelijke gevolgen zijn en hoe het certificatensysteem nu precies in elkaar zit.

Lees verder

Hack

Na de hack bij Diginotar heeft de Nederlandse overheid de samenwerking met het bedrijf opgezegd. Ook heeft het OM een onderzoek aangekondigd.

Twitter

Ook op Twitter wordt veel gesproken over Diginotar. Volg alle berichten via NUlive.

Column

Columnist Walther Ploos van Amstel behandelt deze week de vraag of de hack van Diginotar erger is dan de bankencrisis.

Lees verder