DigiNotar niet alleen schuldig

DigiNotar had direct aan de bel moeten trekken toen het internetbeveiligingsbedrijf een maand geleden ontdekte dat er mogelijk hackers in het systeem hadden gezeten. Dat het bedrijf dat naliet, betekent nu zijn doodvonnis.

Van Brouwershaven inventariseerde dit weekend met zoekrobots hoeveel websites een certificaat van DigiNotar hebben. Met name de overheid maakt gebruik van DigiNotar, zo blijkt. Zo’n 800 overheidswebsites, zowel landelijk als gemeentelijk, zijn beveiligd via DigiNotar, bijvoorbeeld die waarmee mensen inloggen met hun Digid om hun belastingaangifte te doen. Een nog hoger beveiligingsniveau hebben de persoonsgebonden certificaten. Zo’n vijfduizend mensen hebben een persoonsgebonden certificaat via DigiNotar om de website van het ministerie van justitie op te komen, nog eens negenduizend fiscaal intermediairs doen belastingaangifte voor hun klanten met hulp van de certificaten van DigiNotar. En dan zijn er ook nog negenhonderd notariskantoren die werken met certificaten van DigiNotar om gegevens over onroerendgoedtransacties door te sturen naar het Kadaster. “Het is, zeg maar, een digitaal paspoort zodat de overheid weet dat het daadwerkelijk die persoon is die inlogt”, zegt Van Brouwershaven. “Vaak is de sleutel er in de vorm van een usb-stick of een pasje.”(
Stilhouden van hacken is einde bedrijf – Trouw
)

Einde van het bedrijf, ja! En wat gebeurt er met de overheid en dit kabinet die dit hebben laten gebeuren? Er moeten steeds meer gegevens van ons burgers vastgelegd. Overal moeten camera’s alles vastleggen, liggen die ook bij zo’n soort waardeloos bedrijf?
Ik heb het lang tegen kunnen houden omdat ik niet naar het buitenland ging, maar ook mijn vingerafdrukken zijn afgenomen en opgeslagen omdat ik een paspoort nodig had voor een notaris. Ik heb ze grommend afgestaan. En dan komt er zo’n bericht naar buiten? De overheid verplicht ons tot van alles, besteedt het dan uit en kan zo lekker de schuld aan anderen geven. Waarom is er bij zo iets belangrijks geen controle? Te moeilijk? Burgers – die vanwege hun kleur een gevaar voor de samenleving op kunnen leveren – controleren op straat kunnen ze wel, maar gewoon verantwoordelijkheid nemen voor allerlei privégegevens die ik af móet staan en die ze opslaan, kunnen ze niet! En dat maakt me razend! Stelletje incompetente klunzen! Weg ermee!

Donner komt hier niet mee weg voor mij, van niets weten ontslaat hem voor mij niet van de plicht het te móeten weten. Hij is verantwoordelijk voor alle gegevensopslag van mij als Nederlander, die moet hij ook nemen. Het zo maar overlaten aan een bedrijf zonder controles in te bouwen is onverantwoordelijk. Om nog maar te zwijgen wat het voor gevolgen kan hebben voor de Iraanse vluchtelingen.
Waar blijven de Kamervragen hierover? Ik ga maar weer eens schrijven naar Kamerleden.

17 gedachten over “DigiNotar niet alleen schuldig”

  1. De overheid heeft helemaal geen diginotar nodig om lekke websites te maken. Zo zijn mijn gegevens hier in de gemeente ook open en bloot beschikbaar voor iedereen. Inloggen kan hier nl naar keuze met digid, maar ook met het openbare BSN. Heb ik ze al meerdere malen op gewezen dat ze de wet overtreden, de eerste keer twee jaar geleden. Het gedeelte van het inloggen hebben ze uitbesteed aan een bedrijf dus ze “kunnen er niets aan doen”. Nog fraaier dus. Mijn gegevens liggen op straat door toedoen van een louche bedrijf en ambtenaren die even niet weten hoe ze dit op moeten lossen.

  2. “Om nog maar te zwijgen wat het voor gevolgen kan hebben voor de Iraanse vluchtelingen.”
    Die kan ik even niet volgen, leg ’s uit ajb? Verder woord voor woord mee eens.

  3. Dit is een heel moeilijk probleem en ik weet nog steeds niet wat ik er van moet vinden. Natuurlijk had meer toezicht wellicht eerder inzicht geboden in de puinhopen van de beveiliging van Diginotar. Maar of dat nou dan ook meteen de “schuld” van minister Donner is? Kan meer toezicht dit in de toekomst helpen voorkomen? Gezien de aard van de materie waag ik dat te betwijfelen. Diginotar mag terecht een heleboel verweten worden, maar de staat, die immers al veel te lang alles van waarde uitbesteedt aan private ondernemingen, zal behoudens van een spontaan inzicht, dat dat een denkfout was – maar dat zal niet gebeuren – volgens mij weinig aan de zaak kunnen veranderen.

  4. @3: De ‘aanslag’ vond plaats op 11 juli!! Voor de tussenliggende periode is Donner zeer beslist verantwoordelijk voor de beslissing om het stil te houden.
    De piratenpartij heeft alvast maar de relevante vragen aan de minister gesteld: http://welingelichtekringen.nl/15165-11-vragen-aan-minister-donner.html.

    11 juli refereert overigens aan Srebrenica. Dat schijnt het motief te zijn van de hacker: http://www.moetenwenietwillen.nl/2011/09/hack-diginotar-is-vergelding-voor-srebrenica/

  5. @4 – Dat is dan een misverstand mijnerzijds. Ik dacht dat Diginotar het stil gehouden heeft, ook zogezegd voor de minister…

  6. @5: Dan nog is hij daar verantwoordelijk voor. Maar hij wist het al minimaal een aantal dagen.

    @2: Ah, nou zie ik ook het antwoord op m’h eigen vraag aan Keira, onder vraag 8 van de piratenpartij:
    “Als gevolg van het verzwijgen van een serieus beveiligingsprobleem door de certificaten-partner van de Nederlandse overheid is het internetverkeer van Iraanse dissidenten gedurende 6 weken mogelijk onversleuteld zichtbaar geweest voor de Iraanse overheid en geheime diensten. [.]”
    Daar ga ik vooralsnog niet van uit, dat de Iraanse overheid hierachter zit. (Maar het had gekund, da’s wel zo.)

  7. @6 – Ik erken, dat Donner een zekere verantwoordelijkheid houdt. Het bewust “stil houden” uit #4 lijkt me minder correct, dat impliceert een heleboel, wat zonder verder onderzoek niet echt hard te maken lijkt. Dat men de situatie eerst in de eigen toko helder probeert te krijgen, voordat men een persconferentie belegt, lijkt me begrijpelijk. De reactie van de regering was knullig, “keine Frage”, maar al dat moedwillige, dat men er nu graag “hineininterpretiert” blijf ik uiterst problematisch vinden.
    😉

  8. @all hebben jullie wel gezien hoe mooi ik de lettertjes van de citaatballonnetjes heb aangepast of doe ik hier alles voor jan met de korte achternaam?

  9. jvdheuvel Schreef:

    @all hebben jullie wel gezien hoe mooi ik de lettertjes van de citaatballonnetjes heb aangepast of doe ik hier alles voor jan met de korte achternaam?

    Nu je het zegt: prachtig… 😉

  10. @3 Donner is als minister eindverantwoordelijk. Zijn ministerie moet zorgen dat er dusdanige beveiliging en controle is ingebouwd bij ingehuurde bedrijven dat het veilig is. Het ministerie moet eisen stellen en in dit geval zeker ook controles uitoefenen. Als het zo zou gaan met de voedingsindustrie dan zou de pleuris in Nl uitbreken. Maar dit zijn ‘maar’ gegevens, ja mijn neus. Bij de overheid ben je je gegevens en die waren nu dus door onbevoegden op te halen. Het is al erg genoeg dat ‘bevoegden’ ze op kunnen vragen, en het zal alleen nog maar erger worden. Zolang iedereen zonder reden al maar banger wordt (gemaakt), zal dit alleen maar toenemen in Nederland.
    Ook fijn dat digitale patienten dossier, met zulke niet ingebouwde bescherming.
    Mijn hemel, ik ga me weer opwinden! Stelletje incompetente minkukels!

  11. @2 Zie stuk van Trouw, link in stuk.
    ‘De zaak kwam aan het licht toen een Iraniër een melding kreeg van de browser Google Chrome dat het certificaat op zijn Gmailverbinding niet in de haak was. Google Chrome heeft een extra beveiliging ingebouwd om dit soort nepcertificaten te herkennen. Vermoed wordt dat de Iraanse overheid mailverkeer van dissidenten onderschept met hulp van de Beverwijkse nepcertificaten.’

  12. @10 – Ik begrijp heel goed dat je je opwindt. Maar ik vraag me heel erg stellig af, of de overheid in haar huidige vorm überhaupt de mogelijkheden heeft, om permanente controle uit te oefenen op een certificaatverstrekker. Daar dienen ongetwijfeld lessen voor de toekomst uit getrokken worden. En mij zul je niet horen beweren, dat het alleen “maar” gegevens zijn. Mij zul je – maar dat maakt mijn eigen positie alleen maar slechter 😀 – wel horen beweren, dat 100% safe beveiliging van digitale gegevens een volstrekte illusie is. Dit verhaal is uitgegroeid tot de ramp, die het is, omdat Diginotar de hacks niet gemeld heeft. Daar ligt het probleem. Dat zijn de “schuldigen”, hoewel de hacker(s) ook wel iets van de schuld op zich mogen nemen. De staat heeft gereageerd, zoals we dat van de staat gewend zijn, dom en log. Maar vooral dát dus: dom en log. Trek daar lering uit, roep nieuwe controleinstanties in het leven, maar maak jezelf vooral niet wijs, dat het NOOIT meer zal gebeuren…
    😉

  13. @7: Het woordje ‘schuldig’, in bovenstaande kop, is wel voorbarig idd. Maar dat hij het stil heeft gehouden, is een feit. Dat kan een afweging zijn, maar daarbij neem je risico’s (voor derden n.b.) voor lief. En inzien dat-ie daar wel eens tekst en uitleg over mag geven is er ook al niet bij. Da’s toch niet bepaald netjes, en ook niet erg pro-actief.

    @8: Ziet er strak uit, zeer erkentelijk.

    @11: Ik vind het een beetje een wilde theorie, maar zoals gezegd: het had gekund. Dat soort risico’s meende hij dus te kunnen nemen, teneinde…. ? Tja, daar moeten we maar naar raden, waarom hij het niet meteen naar buiten bracht en ook geen maatregelen nam.

  14. @13 De inschatting, dat Donner meer tekst en uitleg dient te geven, onderschrijf ik volledig! En daarna kan het ook best zo zijn, dat de “grotere” schuldvraag nog herzien moet worden. Afgaande op het relatief weinige wat ik nu van de situatie begrijp, lijkt het me, zogezegd, zinvol om enige verbale kalmte te bewaren op dit vlak, van Donner nadere toelichting te eisen & dan pas de messen te slijpen…
    😉

  15. @14 Nee, ik bewaar geen kalmte. Mij worden vingerafdrukken afgenomen, mij wordt om mijn paspoort gevraagd, dat wordt gekopieerd en opgeslagen, er gaan allerlei gegevens van mij in allerlei bestanden. Als mensen en instanties dat willen doen, is het minste dat ik verwacht dat ze zorgen voor voldoende bescherming. En dan niet zoiets als bij dit bedrijf laten gebeuren. Dat kan en mag niet! Dit is kleuterschoolniveau van beheer.
    Het ministerie is hier volledig verantwoordelijk voor. Natuurlijk, alles kan gehackt worden, Daar hoor je me niet over, zo naief ben ik niet.
    Maar wat ik ze wel kwalijk neem is dat dit door een bedrijf is gedaan dat is ingehuurd en niet is gecontroleerd door de overheid. Hier moeten protocollen voor gemaakt worden en er moeten controleurs komen. Er moet gekeken worden, constant of dit bedrijf zorgvuldig werkt. En als er nieuwe technieken bekend zijn, dan moeten die herzien en aangepast worden. Steeds weer. Zoals het nu is gegaan, te droevig voor woorden. Nogmaals, kleuterschoolniveau. En dat voor een overheid die steeds meer gegevens van ons wil opslaan, nou lekker veilig.
    😥

  16. @16 – Ben het veel meer met je eens, dan je klaarblijkelijk denkt. 😉 MAAR: de controlemechanismen, als die er nog niet zijn, kunnen natuurlijk enkel voor de toekomst uitkomst bieden. Dat de staat naïef is geweest, is overduidelijk. Dat de staat herhaling moeilijker dient te maken: idem. VOORKOMEN kan dit niet worden. Digitale gegevens, die in een netwerk van buitenaf toegankelijk zijn, zijn per definitie onveilig!
    Mijn devies: snel lessen trekken uit deze puinhoop, iets fanatieker beveiligen en wachten tot de volgende hacker een backdoor gevonden heeft. Zal namelijk zeker gebeuren. Lang op zoek gaan naar potentiële schuldigen en de schuld heen en weer schuiven helpt in deze niemand. Maar dat is zogezegd allemaal IMHO! 😉

  17. Keira Schreef:

    @14 Nee, ik bewaar geen kalmte. Mij worden vingerafdrukken afgenomen…

    Nou, een geruststelling: die worden niet bewaard door de nederlandse overheid maar door een frans bedrijf (wapenfabrikant) dus dat is vast een stuk veiliger.

Reacties zijn gesloten.