Notities ter voorbereiding van de ronde tafel DigiNotar

De volgende tekst is geschreven aan de kamerleden van de vaste kamercommissie Binnenlandse Zaken bij de hoorzitting over DigiNotar.

Toen ik enkele minuten na een Twitter-bericht van een Iraniër werd gebeld dat er iets speelde bij DigiNotar was voor mij evident dat dit een incident van een fors kaliber was. Meteen was duidelijk dat als het verhaal waar zou blijken er mensenlevens in Iran op het spel stonden. Pas later die nacht werd duidelijk dat ook Nederland via PKI Overheid betrokken was en dat hier wel eens gevolgen voor het maatschappelijk verkeer zouden zijn. Ter verduidelijking: dat is collateral damage bij deze inbraak en zeker niet de hoofdzaak. Dat het wel hoofdzaak is geworden heeft alles met de falende incident response te maken.

 Het belangrijkste signaal dat er iets helemaal mis is, was het eerste signaal. Een inbraak in de systemen van DigiNotar zou eigenlijk geen probleem kunnen zijn. De omgeving om certificaten te verstrekken is immers volledig gescheiden van de rest van het bedrijfsnetwerk. Dat er toch een certificaat is verstrekt van enig kaliber kan twee dingen betekenen. Het meest waarschijnlijke was eerst een inside job van iemand die een derde partij helpt. Dat is ook het meest waarschijnlijk, omdat een nepcertificaat ook verborgen moet  blijven in administraties. Als tweede scenario zou het zo kunnen zijn dat DigiNotar op meerdere punten steken heeft laten vallen. Die optie was initieel niet waarschijnlijk om zes redenen:

  1. Dit bedrijf is afkomstig uit het notariaat dat een reputatie heeft op het gebied van uiterst precies zijn;
  2. Het is ondenkbaar dat de omgevingen verbonden zijn en er leek geaudit te zijn door zowel de OPTA als PWC;
  3. Binnen de internetgemeenschap is het gebruikelijk dat mensen met een hack van dit kaliber naar buiten treden;
  4. Het betreft waarschijnlijk één certificaat;
  5. DigiNotar is onderdeel van een beveiligingsbedrijf Vasco Data Security dat zich specialiseert in online toegang tot systemen en dus bekend is met de techniek. Daarnaast behoort zo’n onderneming met de mores bekend te zijn;
  6. De AIVD erkende onderzoek te doen. Alhoewel dit argument op zichzelf geen harde indicator is. Dit argument speelt slechts in een bredere context een rol.

 

Niet veel later werd duidelijk dat er meer certificaten in het geding waren. Daarbij ging het iedere keer om certificaten voor websites met communicatie mogelijkheden, het distribueren van programmatuur en blogs die vaak kritisch over de Iraanse regering zijn. De signatuur is helder en opeens is ook helder dat het kennelijk om een volume aan certificaten gaat. Nog iets later bleken veel certificaten ook al eerder te zijn ingetrokken. De optie van een niet gescheiden omgeving was realistisch. In die context was duidelijk dat iedere garantie over PKI Overheid compleet niet op feiten gebaseerd kon zijn. Dat beeld werd versterkt door het advies van DigiNotar om beveiligingsalarmen van de webbrowser maar te negeren. Frustrerend voor al die mensen die jarenlang mensen opvoeden in verantwoord internet gebruik en gewoon ronduit gevaarlijk. Dit bedrijf probeert niet alleen Nederlanders maar ook de gedupeerden in Iran vooral gerust te stellen zonder dat daar reden voor is.

 

De communicatie vanuit het Rijk bestond uit verkondigen dat er geen aanleiding was bezorgd te zijn om PKI Overheid. Een statement dat op niets anders gebaseerd is dan op een optimisme zonder enige grondslag. Sterker nog: het toont een compleet onbegrip van de werking van certificaten. Dit is een vertrouwensbranche. Dat vertrouwen wordt gegeven door de gebruikers en door de leveranciers van webbrowsers. Het is geen opeisbaar recht, maar zo werd het wel ingezet. Er waren ook overheden die het advies van DigiNotar ook hebben overgenomen: negeer de alarmbellen.

 

Inmiddels werd ook duidelijk dat het toezicht compleet heeft gefaald. Opvallend – en dat zien we vaker – is dat audits vooral heel procedureel zijn gericht. Daarbij wordt nog altijd vertrouwd op de ogen van de betrokkene die moet ‘slagen’ voor de audit. Wanneer de Douane op Schiphol mij vraagt of ik iets heb aan te geven en ik zeg nee dan mag ik niet doorlopen. Er wordt in mijn koffer gekeken. Bij DigiNotar is evident nooit in de koffer gekeken, totdat Fox IT langs kwam. Toen bleek er wel heel veel mis te zijn op het meest basale niveau.

 

Voor de toekomst zal de bestaande praktijk echt een onderdeel van de controles moeten vormen. Het rapport schetst een vernietigend beeld van een bedrijf dat compleet lak moet hebben gehad aan regels. Een gemakzucht die daadwerkelijk mensenlevens in Iran in gevaar heeft gebracht. Niet alleen bij het dagelijkse werk, maar ook bij de omgang met het beveiligingsincident. Daarbij is het goed te beseffen dat het onbestaanbaar is dat een lek, waarvan op 28 juli duidelijk werd dat dit honderdduizenden keren gebruikt werd vanuit Iran en dat het dus helemaal verkeerd zit, geheim wordt gehouden. Dat was een moment dat het er echt op aankwam. DigiNotar liet het compleet afweten. Cynisch zijn dan de woorden van directeur Tony de Bos als politicus: “Het leven in een democratie is niet vanzelfsprekend. In andere delen van de wereld geven mensen hun leven om hun samenleving democratischer te maken. Ik vind het leven in een democratie een groot voorrecht waar ik graag mijn steentje aan bijdraag.”

 

Toen duidelijk werd dat ook PKI Overheid in gevaar was, kreeg ik een e-mail in handen waaruit ondubbelzinnig bleek dat Nederland niet klaar is voor een incident van dit kaliber. Of de decentrale overheden in kaart willen brengen welke certificaten er zijn, waarvoor ze gebruikt worden en wat uitval zal betekenen. Standaard zaken die binnen de ICT-beveiliging geregeld horen te zijn in een Business Continuity Plan. Maar de bittere realiteit is dat over het draaiend houden van kritieke infrastructuur onvoldoende is nagedacht. Er zijn geen reserve certificaten aangeschaft, nooit is nagedacht over versnelde migratie en er is al helemaal geen beeld of en wat de gevolgen zijn bij uitval.

 

Dus in paniek moeten overheden het zelf maar uitvoeren. Let wel: dit falen trekt een zware wissel op de mensen in vooral kleinere gemeenten. De ICT-mensen verzuipen daar in het werk en de veranderingen die Den Haag aan ze oplegt. Nu wordt ze gevraagd plannen te maken voor een situatie, waarvoor ze niet zijn opgeleid en wat ze eigenlijk niet kunnen. Zestien dagen na het begin van het incident zijn er gemeenten nog steeds aan het zoeken naar de oplossing. Er is nog steeds geen deugdelijk uitleg gegeven van het incident en de gevolgen. Nog altijd begrijpen sommige decentrale overheden maar half wat er aan de hand is. Ook de communicatie laat het afweten.

 

Via bronnen is mij ook duidelijk geworden dat intern de technische kennis bij Govcert wel aanwezig is, maar dat het voeren van regie gewoon niet tot de skillset behoort. De organisatie staat ver van de dagelijkse praktijk en de realiteit af. Bovendien heeft het een vijandsbeeld gecreëerd waar de burger onderdeel van is. Crisismanagement bij deze organisatie laat het dan ook afweten. Deze week wees IBM mij op het bestaan van een team dat kijkt of NATO ook bij digitale oorlogsvoering kan helpen in noodgevallen. Misschien geen gekke gedachte om vanuit het buitenland ook hulp te aanvaarden. Immers internet kent geen grenzen. Inmiddels is duidelijk dat zeker vijftien keer eerder de veiligheid van de staat in het geding is geweest bij security incidenten. In een aantal gevallen ging het om een targetted attack. Het is evident dat op een open netwerk geen zaken thuis horen die dermate cruciaal zijn. Ook hier schort het aan voldoende regie.

 

Bij de Nederlandse overheid heerst een techno-optimisme, vertelde een onderzoeker aan het Rathenau Instituut mij. Daarin heeft hij gelijk. Incidenten zijn schering en inslag. We slaan zoveel gevoelige gegevens op zonder over beveiliging na te denken dat ik wekelijks een scoop heb van weer een overheids-gelieerde organisatie die gevoelige gegevens onbeveiligd opslaat. Standaard software haalt dit naar boven zonder dat daar nog enige intelligentie aan te pas komt. Iedereen kan dit dus doen. Zoiets praat je niet goed dat ‘niets 100 procent veilig’ is, want dit zijn voorbeelden dat het 100 procent onveilig is. Er zijn goede standaarden in de industrie om een minimaal niveau van beveiliging neer te leggen. Dat zou een beginpunt kunnen zijn.

 

Ik roep een aantal voorbeelden van ernstig beveiligingsfalen of techno-optimisme in herinnering: De vingerafdruk in het paspoort. Er wordt gewerkt met onvoldoende betrouwbare technologie. Opslag wordt al gedaan, voordat duidelijk is hoe uiteindelijk systemen vorm krijgen. Over privacybezwaren wordt niet of nauwelijks nagedacht;

 

Er heerst een sfeer van miskennen van problemen bij de overheid. Het College Bescherming Persoonsgegevens wordt nog wel eens genegeerd als het om adviezen en aanwijzingen gaat. Bij een debat over de aanpak van cybercriminaliteit werd in de kamer gegrapt over het ontbreken van een advies van het CBP met de opmerking ‘dat geloven we zo wel’. Voor de Rijkspas wordt zelfs geprocedeerd om vooral maar meer gegevensverwerking te gaan doen dan het CBP wettelijk vindt kunnen. Gelukkig is dat beeld van alles kan maar worden opgeslagen iets aan het kantelen ten gunste van een ontluikend bewustzijn van risico. Maar als er een meldplicht datalekken komt dan zal de CBP-organisatie met 80 man dit niet aankunnen. Effectieve handhaving is wel een absolute must, want zonder serieuze strafrechtelijke dreiging is DigiNotar-gedrag de norm.

 

Toen professor Bart Jacobs van de Radboud Universiteit, autoriteit op het gebied van gegevensbeveiliging, waarschuwde voor de problemen met de OV-chipkaart werd hij weggehoond. Zelf heb ik mogen ervaren dat het blootleggen van een groot falen in diezelfde kaart leidt naar een diep op mijn priveleven ingrijpend strafrechtelijk onderzoek. Niet de directie van Trans Link Systems die het parlement evident foutief heeft geïnformeerd staat ter discussie. Een beeld dat structureel is, want bij het blootleggen van basale lekken werk ik met een hacker (Pompiedompiedom) die uit angst voor represailles zijn echte naam niet durft te geven. De man heeft waarschijnlijk inmiddels wel tienduizenden mensen behoedt voor identiteitsdiefstal. In plaats van een beloning moet hij in anonimiteit leven. De demonstratie van PVV-kamerlid Brinkman bij de provincie Noord-Holland is dan ook een moedige daad. Want om de misstand te bewijzen heeft hij wel computervredebreuk gepleegd. De gemeente Amsterdam, zelf wel vaker in het nieuws met falende beveiliging, deed aangifte tegen GeenStijl-medewerker Bert Brussen toen zij zelf wachtwoorden bleken te publiceren en een stadsdeel dat liever niet gemeld zag.

 

Als bij een aanbesteding rond het verzenden van SMS-berichten beveiligingseisen in het geheel ontbreken dan verkoopt de landsadvocaat dat in de rechtszaal door te stellen dat eisen rond beschikbaarheid hetzelfde is als gegevensbescherming. Privacy- en beveiligingsbezwaren bij het Elektronisch Patiënten Dossier zijn lang genegeerd. Bij stukken van een Wob-verzoek  aan het CBP zat ook een post-it van Jacob Kohnstamm die geïrriteerd schreef dat hij met de houding van het ministerie van VWS wel klaar is. Omwille van de omvang van dit schrijven, zal ik u verdere voorbeelden besparen.

 

Er heerst een techno-optisme om intensieve opslag van gevoelige gegevens te doen, de veiligheid van de staat te riskeren en de problemen te onderschatten. Als het misgaat ontbreekt het aan een fatsoenlijk plan B, regie en kunde om goed te communiceren. De cybersecurityraad, de strategie die is neergelegd en de meldplicht datalekken (als deze in het strafrecht komt) zijn een begin van een oplossing. Meer bevoegdheden opeisen en burgers rechten afpakken gaat hierbij niet helpen. Sterker nog dat vergroot de problemen alleen maar. Een echte oplossing zit meer in het beter coördineren van incidenten, echt voorkomen ervan en een zeer nederige zelfkritische houding. De huidige stappen zie ik als los zand, ongeschikt om een gecoördineerde aanval echt aan te kunnen.

 

Als de overheid serieus wil aanvaarden dat er naties zijn die digitale techniek inzetten om ons aan te vallen, dan is het moment aangebroken eerst een heel kritisch zelfonderzoek te doen. Ook moet serieus worden overwogen of ons land niet excuses aan het Iraanse volk heeft te maken voor het onnodig in gevaar brengen van levens. Nederland wil een land met een kenniseconomie zijn en om dat te kunnen zullen we moeten stoppen onszelf continu belachelijk te maken met onkundigheid. Voor mij als technologisch-bewust burger is het tenenkrommend om te zien dat bij herhaling echt kundige mensen worden geridiculiseerd ook als de motieven niets anders dan dienend aan het Nederlands algemeen belang. Het is echt tijd voor kritisch zelfonderzoek waarbij er geen heilige huisjes mogen zijn.

pixelstats trackingpixel
Be Sociable, Share!

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>