DEN HAAG – Voor de inbraak bij Diginotar heeft de Nederlandse overheid teveel vertrouwd op audits. Na de inbraak is wel adequaat gereageerd.

Dat concludeert de Rijksauditdienst in een onderzoek in opdracht van het Ministerie van Binnenlandse Zaken.

Met audits worden organisaties onderzocht, gecontroleerd en geëvalueerd.

De dienst onderzocht het functioneren van de overheid in de nasleep van de DigiNotar affaire. De conclusie is dat vooral snel en adequaat is opgetreden.

"Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen", stelt de Rijksauditdienst.

"Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging."

Trendbreuk

Eerder werd teveel vertrouwen gesteld in de onderzoeken van auditors, waardoor er onvoldoende beeld was hoe het werkelijk met de beveiliging ging. Pas toen het fout ging kwam de overheid echt in actie, maar vond er wel een trendbreuk plaats.

"De wijze van denken en omgaan met risico’s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen", stellen de onderzoekers.

Gebrekkige audits

Het beeld wordt bevestigd in een onderzoek van Logica waar wordt gecontroleerd dat onvoldoende duidelijk wordt hoe naar de techniek is gekeken of wat nu wel of niet is onderzocht.

"Als een achteraf gebleken kwetsbaarheid door auditors niet gerapporteerd wordt, kan dat betekenen dat zij deze niet hebben gecontroleerd, of dat zij deze wel hebben gecontroleerd maar dat ze geen afwijkingen hebben gevonden", stellen deze onderzoekers.

"Op basis van de auditrapporten is dit onderscheid niet te maken. De auditrapporten bevatten slechts afwijkingen van normen en geen beschrijvingen van uitgevoerde tests of van conformiteiten."

Het toezicht was mager, omdat eens per drie jaar een ‘conformiteitsverklaring’ wordt afgegeven. Dat betekent dat toezichthouders jaarlijks maar heel beperkt kijken. Ook aan het continu in de gaten houden van systemen ontbrak het bij DigiNotar. "Er vindt in het kader van eerstelijns controle geen continue en intensieve monitoring plaats", stelt Logica dan ook.

Lees alles over Diginotar in ons dossier