DEN HAAG – De overheid heeft al de maand voor de inbraak bij DigiNotar leveranciers van beveiligingscertificaten gewaarschuwd voor gerichte inbraken. Maar de waarschuwing was volgens DigiNotar ook ‘geruststellend’.

Dat blijkt na bestudering van de opmerkingen van betrokkenen aan de Onderzoeksraad voor Veiligheid, die met het rapport zijn vrijgegeven.

Zij reageren op de conceptversie van het rapport over het onderzoek naar de hack op Diginotar.

Eerdere aanvallen

Uit de reacties blijkt dat het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in zowel mei als juni waarschuwingen had gestuurd naar certificaatdienstverleners die PKI/Overheid-certificaten uitgeven. Het verantwoordelijke onderdeel, Logius, stuurde de waarschuwing ook naar Diginotar, waarna betrokken medewerkers een aantal internetadressen blokkeerden om zo aanvallen te stoppen.
 
Voor Diginotar was dat ook voldoende, omdat het bedrijf gecontroleerd was op beveiliging. “Het bedrijf zag dit, mede omdat interne en externe audits geen aanleiding gaven om te vermoeden dat de beveiliging niet in orde was, niet als een unieke situatie”, schrijft de Onderzoeksraad dan in hun rapport. Duidelijk is ook dat Diginotar in het verleden wel penetratietesten heeft laten uitvoeren om te kijken of hacken van de technische omgeving mogelijk was.

Ook blijkt nu dat de aanvallen al eerder zijn begonnen. Op 1 juni 2011 blijkt de hacker al bezig te zijn geweest met aanvallen, die een voorbereiding voor de uiteindelijke hack op Diginotar blijken te zijn geweest.

Geruststellend

Er was volgens de compliance officer ook geen reden om zich zorgen te maken. “Er wordt geen melding gemaakt dat de waarschuwing tevens een geruststelling inhield namelijk dat de inschatting van Logius was dat deze aanvallen ‘niet op Nederland waren gericht’”, schrijft hij aan de Onderzoeksraad.
 
Maar volgens de onderzoekers is dat een inschattingsfout. “De bedoelde waarschuwing, in het bezit van de Onderzoeksraad, kan redelijkerwijs niet worden opgevat als een geruststelling”, pareert de raad.

Verplicht melden

Dat bleek terecht, want uiteindelijk werd er met succes ingebroken bij Diginotar. De onderneming besloot dit niet bij de overheid te melden. In eerste instantie dacht de Onderzoeksraad dat de melding niet verplicht was, maar stelde die visie later bij. Uit de reacties blijkt nu ondubbelzinnig dat dit volgens contracten wél had gemoeten. In het algemeen is dit een regel die geldt voor het uitgeven van PKI-overheidscertificaten.
 
BZK heeft ook geen goed woord over voor de nalatigheid van Diginotar op beveiligingsgebied. “Hieruit blijkt dat Diginotar aan zeer basale veiligheidseisen waaraan elke professioneel bedrijf zich, ongeacht welke dienstverlening zij uitvoert, te houden heeft, niet voldaan heeft”, sneert een ambtenaar dan ook.

Geavanceerde hack

In augustus 2011 werd bekend dat een hacker erin was geslaagd in te breken bij Diginotar. Hij slaagde erin valse certificaten aan te maken. In ieder geval is het certificaat van Google nagemaakt en voor de Iraanse markt ingezet. Hierdoor dachten Iraniërs bijvoorbeeld veilig naar Gmail te surfen, terwijl in feite de verbinding afgeluisterd werd.

Leger

De compliance officer verwijt juist de overheid nalatigheid toen de hack publiek werd. “Er wordt niet ingegaan over de rol die de overheid (bijvoorbeeld AIVD, GOVERT en Logius) speelt bij een grootschalige aanval van een vreemde mogendheid”, schrijft hij aan de Onderzoeksraad. “In het fysieke domein kan de burger of onderneming rekenen op bescherming van het leger. Bij het trekken van de parallel naar het Internet zou de overheid in deze situaties een actievere rol moeten spelen. In de Diginotar casus heeft de overheid alleen geïnformeerd.”
 
Dat de gevolgen van de hack ook wel eens zouden kunnen uitstralen op het hele PKI/Overheidsstelsel is dan ook volgens de compliance officer de schuld van Logius. “Blijkbaar was Logius niet in staat om de technologie leveranciers gerust te stellen over de andere deelnemers van het PKI Overheid stelsel”, stelt hij dan ook.

Schuld overheid

Overigens hamert de Onderzoeksraad diverse malen op het tekortschieten van de overheid. Volgens Logius was het niet de taak om op detail op de uitvoering van certificaatuitgifte toe te zien.
 
Maar de raad geeft ze daarin geen gelijk en wijst erop dat onvoldoende verantwoording wordt genomen: “Logius blijft zichzelf - ook in de reactie op het conceptrapport - omschrijven als derdelijnstoezichthouder. Dit past naar het oordeel van de Onderzoeksraad, niet bij de verantwoordelijke positie die Logius heeft.”
 
Donderdag presenteerde de Onderzoeksraad hun rapport. Daarin signaleren de onderzoekers dat er een gebrek aan kennis rond digitale beveiliging is bij bestuurders. Zij adviseren dat de overheid gaat voldoen aan beveiligingstandaarden die ze zichzelf opleggen en dat er kennis over beveiliging gaat worden opgebouwd.