Gemeenten en ICT, recht en beleid, deel 9
‘Uiteindelijk zijn de gevolgen van dit incident overzichtelijk gebleven’, concludeerde toenmalig minister Donner (Binnenlandse Zaken) begin november over de ‘hack’ bij het ict-bedrijf DigiNotar. Toch was dit incident niet minder dan een ‘wake-up call’. Oók voor de gemeenten. Het kabinet wordt immers niet moe te benadrukken dat eigenaren van informatiesystemen zélf eindverantwoordelijk zijn voor hun eigen veiligheid.
Het kabinet sprak van een ‘nationale crisis’ toen bekend werd dat DigiNotar gecompromitteerd was. Dit was dan ook niet zomaar een ict-bedrijf. Dit was de uitgever van certificaten voor het authenticeren van websites en elektronische transacties van allerlei snit. Het komt erop neer dat zo’n certificaat aantoont dat een website daadwerkelijk is wat men beweert dat het is (het bekende gele hangslotje dat open of dicht staat op de browser). Naast deze SSL-certificaten (Secure Sockets Layer) zijn er nog andere, zoals de PKI-certificaten (Public Key Infrastructure) die de overheid gebruikt in de communicatie met de burger: belastingaangifte, UWV, DigiD. Om maar te zwijgen van ziekenhuizen. Ruim 300 gemeenten waren met 3500 certificaten klant bij DigiNotar.
Groot onderzoek...
De zaak kwam aan het rollen doordat in Iran gebruikers van Gmail bleken te worden bespioneerd met behulp van een gestolen certificaat van DigiNotar. Toch talmde het bedrijf dat te melden. Toen dat begin september eenmaal gebeurde, zegde minister Donner na een nachtelijk crisisberaad DigiNotar meteen op. De reden voor deze drastische reactie was de dreigende ‘aantasting van het vertrouwen in veilige communicatie, waardoor risico’s ontstonden voor de bedrijfsvoering van de overheid en de maatschappij’.
Het probleem met DigiNotar bleef dan ook niet beperkt tot mogelijke Iraanse dissidenten, hoe ernstig op zich ook. Er bleken 532 certificaten gecompromitteerd te zijn, in de week van 19 tot 28 juli vorig jaar alleen al 333. Het ijlings te hulp geroepen onderzoeksbureau Fox-IT constateerde dat DigiNotar de meest elementaire beveiligingsmaatregelen had verslonsd.
DigiNotar werd op 29 september door de Rechtbank Haarlem failliet verklaard. Maar wat er nu precies is misgegaan vergt een uitvoeriger antwoord. De kamerleden Gesthuizen (SP) en El Fassed (GL) vroegen om een parlementair onderzoek. Dat kreeg brede steun maar werd toch aangehouden omdat er al het nodige op de rails is gezet.
De Onderzoeksraad voor Veiligheid onderzoekt de beveiliging van bestaande informatie- en ict-systemen in zijn algemeenheid. De ministeries van Binnenlandse Zaken en Economische zaken, Landbouw en Innovatie verzorgen een evaluatie van PKI-Overheid en het stelsel van gekwalificeerde certificaten. Er komt een audit van de reactie van de PKI-organisaties. EL&I onderzoekt de veiligheid van voorzieningen in het kader van de Digitale Agenda. Twee brainstorms van de nieuwe Cyber Security Raad worden gebruikt voor het verder aanscherpen van de Nationale Onderzoeksagenda Digitale Veiligheid. Tenslotte doet de Inspectie Openbare Orde en Veiligheid van Binnenlandse Zaken afzonderlijk onderzoek naar de ‘crisisbeheersingsaspecten’ van de DigiNotar-affaire.
De maand na de DigiNotar-crisis werd uitgeroepen tot ‘Lektober’: een actie waarin onderzoeksjournalist Brenno de Winter elke dag op Webwereld.nl een ict-privacylek onthulde. De aandacht trok niet in de laatste plaats een megalek bij vijftig gemeenten en gemeentelijke diensten. Als gevolg sloot het Rijk tientallen gemeenten af van DigiD. Het lek maakte het mogelijk sessiebestanden van DigiD op te halen. Iemand die kwaad wil kan daarmee namens een andere burger handelingen bij de betrokken gemeente uitvoeren. Of het daadwerkelijk zover is gekomen, werd niet gezegd. Maar dat zoiets het vertrouwen in overheids-ict geen goed doet, is duidelijk.
Trendbreuk
Het Rijksauditbureau publiceerde 8 maart zijn onderzoeks- rapport "DigiNotar: handelde de overheid adequaat?" (nr. 161). Het antwoord luidt bevestigend. Maar dit betreft wél "een trendbreuk". Vóór DigiNotar was er teveel goed vertrouwen. Geen risico-analyse over de ketenpartners heen, onvoldoende zicht op het aantal PKI-certificaten in omloop, onheldere toezichtscriteria.
...groot onderhoud?
De laatste episode illustreert dat de lessen van DigiNotar moeten worden gezien in een breder verband, met name de Nationale Cyber Security Strategie die minister Opstelten (Veiligheid en Justitie) begin vorig jaar lanceerde. Ook daarin staat de factor vertrouwen hoog genoteerd. De strategie heeft twee institutionele pijlers. De Cyber Security Raad is een platform voor strategisch overleg met deelnemers variërend van de coördinator terrorismebestrijding tot wetenschappers. Een nieuw Cyber Security Centrum is 1 januari van dit jaar van start gegaan en herbergt voortaan mede de bestaande beveiligingsorganisatie van de overheid Govcert.
Speciaal van belang voor de gemeenten zijn de initiatieven die de VNG ontplooit met KING, het Kwaliteitsinstituut Nederlandse Gemeenten (zie kader). Er zit ook een juridische stok achter de deur. De Algemene wet bestuursrecht (Awb) stelt de eis van vertrouwelijkheid en betrouwbaarheid aan elektronische communicatie van de overheid met de burger. Maar dat is een open norm die niet nader is ingevuld, noteerde Marga Groothuis in het blad Computerrecht. Zij beveelt daarvoor de Handreiking authenticatie digitale overheidsdiensten van het Forum Standaardisatie aan.
VNG-KING
Voor gemeenten ondersteunt de VNG met KING:
- Methoden voor het verhogen van efficiency en effectiviteit
- Standaardisatie van architectuur, waaronder processen, berichten, registraties en ketenuitwisseling (GEMMA)
- Gelijksoortige implementaties van (NUP)bouwstenen
- Ict-samenwerking in ketens en tussen gemeenten in de vorm van shared service centra en een gemeenschappelijke basisinformatievoorziening (de Basisgemeente)
- Bevordering van het opdrachtgeverschap naar leveranciers KING heeft expertise op het gebied van e-dienstverlening en GEMMA in huis die de gemeente hierbij kunnen helpen. KING werkt hierbij nauw samen met Logius, Govcert (nu het Nationale Cyber Security Centrum), ketenpartners en de ministeries.
Opmerkelijk is de reactie van het kabinet op een vraag uit de Tweede Kamer of het certificaatsysteem eigenlijk niet herzien moet worden. Ondanks de DigiNotar-kraak is ‘vooralsnog niet aangetoond dat het certificatensysteem als geheel onvoldoende betrouwbaar is’. Toch waren er vorig jaar al herhaalde alarmsignalen over het commerciële certificatensysteem, inclusief prominente aanbieders als Verizon en Comodo. De verspreiders van het beruchte Stuxnet-virus gebruikten een gehackt certificaat. Volgens Eurocommissaris Kroes is de moeilijkheid dat er geen overeenstemming is over alternatieve technologieën. Wel gaat zij bij de komende herziening van de Richtlijn elektronische handtekening na hoe het toezicht op de certificatiebedrijven kan worden vergroot.
Veenbrand
De rode draad in dit verhaal is: vertrouwen. Of veeleer ‘cyberwantrouwen’, zoals het lid van de Cyber Security Raad professor Corien Prins het al vóór de DigiNotar-hack noemde. Zij komt op tegen de hardnekkige neiging het steeds maar te hebben over incidenten terwijl het eerder gaat om een doorsmeulende veenbrand. De overheid gaat dieper liggende oorzaken zoals een gebrek aan transparantie en verantwoording, ook bij de eigen ict-systemen, uit de weg. Maar ‘kwetsbaarheid moet je actief zoeken’. Een goede les.
Abonneer u op BNG Magazine via onderstaande knop.
Stuur uw artikel naar de redactie van BNG Magazine en wij nemen vervolgens contact met u op.