DEN HAAG – Het tappen van Gmail door de Iraanse overheid treft nu nagenoeg alle overheden.  

Het Rijk adviseert andere overheden in kaart te brengen welke dienstverlening uitvalt op het moment dat de beveiligingscertificaten onveilig worden verklaard. Dat kan morgen al gebeuren.

Dat blijkt uit een schrijven van IT-dienstverlener Logius, een onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties dat in handen is van NU.nl.

Tot nu toe heeft de organisatie altijd volgehouden dat er geen reden tot bezorgdheid was voor overheidscertificaten.

Niet vertrouwd

De certificaten dienen voor de beveiliging van websites en geven de garantie dat mensen daadwerkelijk op de authentieke website zijn. Een webbrowser controleert dat bij de waarmerker. Voor Diginotar, een onderdeel van Vasco Data Security, staat die betrouwbaarheid nu ter discussie.

Nadat maandag bekend werd dat Diginotar nepcertificaten heeft uitgegeven en als echt gewaarmerkt, kwam er ook twijfel over certificaten van de Nederlandse Staat. Het bedrijf mag ook certificaten in naam van de Staat uitgeven. Beveiligingsbedrijf Fox IT werkt momenteel aan een rapport dat naar verwachting morgen zal uitkomen.

Inventariseren

Logius stuurde aan het begin van donderdagavond een bericht naar overheden, waarin het advies wordt gegeven om in kaart te brengen wat de gevolgen zijn als de certificaten die door Diginotar zijn uitgegeven niet meer te vertrouwen zijn.

Er moet worden gekeken welke certificaten van Diginotar er zijn, voor welke processen deze worden gebruikt en wat de gevolgen zijn als ze niet meer te vertrouwen zijn. Veel overheden gebruiken beveiligde verbindingen met Diginotar-certificaten voor bijvoorbeeld de Rijksdienst voor het Wegverkeer, de Belastingdienst, DigiD, uitwisseling van gegevens voor uitkeringen, uitwisseling van informatie van internettaps en veel overheidsadministraties.

Bij uitval is het niet mogelijk om zeker te weten dat met de juiste partij informatie wordt uitgewisseld en is de beveiligde communicatie niet meer te vertrouwen. Webbrowsers geven dit met behulp van een waarschuwing aan, waarbij het advies is om niet door te gaan. Hierdoor wordt de beveiligde communicatie effectief onmogelijk, waardoor processen stil liggen.

Nieuwe certificaten

“Dit is zo ernstig dat er gehandeld moet worden”, reageert beveiligingsexpert Hans van de Looy van beveiligingsbedrijf Madison-Ghurkha tegenover NU.nl.

Hij wijst erop dat dit de vooraankondiging lijkt van het definitief opzeggen van het vertrouwen in de overheid in de certificaten die Diginotar heeft ondertekend. Dan zullen er vervangende certificaten moeten worden geregeld. Dat is een tijdrovende procedure, omdat de identiteit van de aanvrager goed gecontroleerd wordt.

Naast Diginotar zijn er ook andere partijen die certificaten namens de Staat der Nederlanden mogen uitgeven. Bronnen bij Logius melden NU.nl dat er morgen topoverleg in de organisatie is. Als dan het vertrouwen wordt opgezegd, kunnen overheden ook bij andere bedrijven hun nieuwe certificaten laten aanmaken.

Wil de overheid niet te veel verstoring oplopen dan moet de vervanging volgens Van de Looy snel worden geregeld. “Het liefst zou je zien dat dit nog dit weekend in orde wordt gemaakt.” 

Ministerie

Het Ministerie van Binnenlandse Zaken en Vasco, het moederbedrijf van Diginotar, reageerden niet op een verzoek om commentaar.