C Y B E R SECU R ITY AAN DE RAND VAN DE DIGITALE AFGROND HEEFT DE OVERHEID IETS GELEERD VAN DE DIGINOTAR-AFFAIRE? ‘Nederland loopt internationaal gezien voor op het gebied van computerbeveiliging’, zo liet staatssecretaris Dijkhoff (Veiligheid en Justitie) begin januari aan de NOS weten. Toch opvallend in een jaar waarin in Nederland het aantal cyberincidenten op computersystemen van bedrijven en overheden fors is gestegen. We lijken niets te hebben geleerd van de DigiNotar-affaire. Tekst: Mary-Jo de Leeuw, Vice President Women in Cyber Security Foundation Foto: ANP/Koen Suyk D igiNotar was een Nederlands bedrijf dat veiligheidscertificaten verstrekte aan bijvoorbeeld banken en webwinkels, maar ook aan een groot aantal websites van de Nederlandse overheid. Overheidswebsites zoals DigiD, de Belastingdienst en de Rijksdienst Wegverkeer (RDW) maken gebruik van veiligheidscertificaten. Zo kunnen ze bezoekers van websites garanderen in een volledig veilige internetomgeving terecht te zijn gekomen. Totdat bekend werd dat digitale inbrekers erin waren geslaagd om grote aantallen valse DigiNotar-certificaten uit te geven. Toen waren die garanties, samen met die digitale inbreker, spoorloos verdwenen. DigiNotar trok vervolgens alle uitgegeven certificaten in. Hierdoor waren vele overheidswebsites dagenlang onbereikbaar met totale chaos en miljoenenclaims tot gevolg. GROOTSCHALIG FALEN De Tweede Kamer, bezorgd over de vele veiligheidsincidenten, dwong een onderzoek naar de affaire af. De uitkomsten waren niet mals: de overheid had geen capaciteit op het gebied van informatieveiligheid en nam op geen enkele wijze E E verantwoordelijkheid. Om die reden moest er een speciale Taskforce worden opgericht om het onderwerp hoog op de bestuurlijke agenda te zetten. Een dergelijke affaire zou daarmee voor altijd tot het verleden behoren. Uit het onderzoek bleek verder dat de overheid zes maanden voor de uiteindelijke ramp gewaarschuwd werd voor het lek. Ze waren dat ‘alleen even vergeten te melden’ aan derden. De inschatting was dat dit lek de overheid op geen enkele 14 BID) in het leven geroepen voor een periode van twee jaar. Een taskforce suggereert brute kracht en een guerrilla-aanpak om de taakomschrijving – zet het onderwerp informatieveiligheid bij bestuurders hoog op de agenda – uit te voeren. Helaas was een Wob-verzoek nodig om antwoord te krijgen op een paar simpele vragen over de kosten en de opbrengsten van een dergelijke taskforce. Uit de antwoorden blijkt dat er bijna vijftig mensen in twee jaar aan het werk zijn geweest, dat er miljoenen euro’s zijn uitwijze zou raken. En daarmee werd de trend van grootschalig falen ingezet! TASKFORCE BID In februari 2013 werd door minister Plasterk (Binnenlandse Zaken en Koninkrijkrelaties) de taskforce Bestuur en Informatieveiligheid Dienstverlening (taskforce
15 Online Touch Home