Het Openbaar Ministerie is een feitenonderzoek gestart naar aanleiding van de digitale inbraak bij Diginotar. Ook is de landsadvocaat bij de zaak betrokken. Bekeken wordt of Diginotar aansprakelijk kan worden gesteld voor nalatigheid. Uit het onderzoek van Fox-IT blijkt dat het authenticatiebedrijf er een potje van heeft gemaakt: verouderde software, gebrek aan redundantie, makkelijk te achterhalen wachtwoorden en het ontbreken van voldoende anti-virussoftware.
Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft in een Kamerbrief een uiteenzetting gegeven van de achtergronden en de gevolgen van de digitale inbraak bij Diginotar. Bij de brief zit een vernietigend rapport van ict-beveilingsbedrijf Fox-IT, dat in opdracht van Govcert, het cyber crime-team van de rijksoverheid, de digitale inbraak heeft onderzocht. Fox-ITconstateert in het rapport dat de netwerkinrichting en de beveiligingsprocedures van Diginotar niet toereikend waren om een succesvolle hack tegen te houden.
Kraken
Het digitale forensisch onderzoeksbureau uit Delft vond tijdens zijn recherche dat op de bedrijfskritische servers van Diginotar malware stond die normaliter door anti-virussoftware opgemerkt en opgevangen had moeten worden. Daarnaast opereerde een aantal kritische componenten niet goed gescheiden van elkaar. Alle CA-servers (CA = Certificate Authority) maakten deel uit van één Windows-domein waardoor ze allemaal toegankelijk waren met één verkregen gebruikersnaam/wachtwoord-combinatie. Het wachtwoord was bovendien eenvoudig te kraken, ondervonden de onderzoekers van Fox-IT. Volgens het bedrijf waren de servers, die dan wel weer in een goed fysiek beveiligde en geklimatiseerde computerzaal stonden, bereikbaar via het gangbare management-lan.
Een andere bevinding van Fox-IT is dat de software die Diginotar op zijn publieke webservers had staan, verouderd was en niet gepatched. Antivirus-software was hier afwezig. Wel draaide er een inbraakpreventiesysteem, maar die gaf na de inbraak geen sjoege. Onduidelijk is nog waarom dit systeem niet reageerde op de inbraakpogingen van de vermoedelijk Iraanse hackers. Tot slot concludeerde Fox-IT dat er geen beveiligde centrale network logging was geregeld.
Niet melden
Uit de Kamerbrief van Donner blijkt dat, nadat het kabinet op 2 september 2011 signalen kreeg dat de PKI Overheid-certificaten van Diginotar mogelijk gecompromitteerd waren door de inbraak bij Diginotar, het Openbaar Ministerie en de landsadvocaat zijn ingeschakeld. Diginotar zelf heeft op maandag 5 september aangifte gedaan van de gepleegde digitale inbraak.
Het kabinet heeft inmiddels het vertrouwen opgezegd in Diginotar. Het neemt het het authenticatiebedrijf kwalijk dat het noch op 19 juni 2011, nadat het voor het eerst een inbraakpoging op het spoor kwam, noch in een later stadium de overheid op de hoogte stelde van de beveiligingsproblemen. Pas nadat Govcert werd ingelicht door zijn Duitse evenknie Cert-Bund over mogelijke problemen met de authentieke certificaten van Diginotar op 29 augustus jongstleden kreeg de Nederlandse overheid een eerste indicatie van de problemen, meldt minister Donner.
Als de tekortkomingen zo talrijk en zo ernstig zijn kunnen ze nauwelijks in korte tijd zijn onstaan. Je vraagt je af of de overheid in het verleden ooit een audit van Diginotar heeft uitgevoerd; en zo ja, wanneer dan wel.
Die tent is dus failliet…
Wat mij nu weer verbaasd is dat ná de digitale inbraak een ict-beveiligingsbedrijf opdracht krijgt e.e.a. te onderzoeken. Blijkbaar is er in het verleden geen (half)jaarlijkse audit uitgevoerd. Voor een dergelijk cruciaal bedrijf toch een must.
Bekeken wordt Dignotar aansprakelijk kan worden gesteld voor nalatigheid en de overheid in deze dan?
Dit hele Diginotar gebeuren bewijst maar eens de kwetsbaarheid van een rotte schakel. Dat de rotte schakel hier de leverancier van de beveiligings certificaten betreft is ten hemel schreiend. Hoe kan het dat dit bedrijf zijn zaken niet op orde had? Hoe bestaat het dat er anti-virussoftware werd gebruikt?
En met één simpel te kraken wachtwoord van een gebruiker was er binnen te komen?
Dit artikel en de andere over Diginotar, geven een beeld van een stel amateurs die zichzelf flink over het paard getild hebben. Voorop stond het verdienen van geld, en dat met zo weinig mogelijk middelen, zo lijkt het. Ik vermoed dat het scenario ooit begonnen is met een klein netwerkje, dat ongebreideld is uitgebouwd, waar externe koppelingen aan zijn gehangen, en men totaal vergeten is er de juiste toegangsdeuren voor te zetten en men geen benul had wat men eigenlijk levert. Totale ontkening van het belang van je product, ik zou zelfs zeggen minachting van je klanten.
Misschien zit ik er naast met mijn betoog, het zij dan maar zo.
Ineens bekruipt me het gevoel dat de laatste keer dat ik DigiD gebruikte er iemand mee kon kijken. Nee, dat zal wel niet, toch?
Je vraagt je af of hier wel een goed gezamenlijk beeld was van het belang van de dienst voor het “bedrijfsproces” en de risico’s die er waren ten aanzien van de dienst. Waren er afspraken gemaakt over het managen van de risico’s? Ik vermoed dat we hier een gruwelijk voorbeeld zien van een ontbrekend of slecht functionerend servicemanagement proces van zowel de overheid (klant) als Diginotar (leverancier).
Zelfs Vasco (de eigenaar van Diginotar sinds jan van dit jaar) neemt afstand van Diginotar: https://www.computable.nl/artikel/ict_topics/security/4136686/1276896/vasco-wij-zijn-100-procent-diginotarvrij.html
Hebben ze dan geen goede due dilligence gedaan toen ze de tent voor 10 mio kochten ?
Ze hebben destijds Diginotar gekocht om de government sector te betreden. En juist die sector neemt nu afstand van Diginotar ! 10 mio down the drain !
Het OM kan natuurlijk wel een feitenonderzoek gaan doen, maar het lijkt er toch wel sterk op dat de ‘Governance & Compliance’ door BZK richting Diginotar niet op orde was. Zie verder http://www.logius.nl/producten/toegang/pkioverheid/aansluiten/toetreden-tot-pkioverheid/
Vraag is dus in hoeverre de G&C wél op orde is voor andere aangeslotenen.
Hetgeen volstrekt los staat van het OM-onderzoek
Tja, we komen om in het toezicht in Nederland, en nog kan een bedrijf zo lopen prutsen. En dat terwijl de toelatingseisen van PKI Overheid niet mis zijn. (zie http://www.logius.nl/producten/toegang/pkioverheid/) Maar ja, eisen stellen en handhaven valt niet mee, blijkbaar. Daar zal Logius, onderdeel van Min BZK, toch ook even de hand in eigen boezem moeten steken.
Volgens andere sites werden wel degelijk audits uitgevoerd door Price Waterhouse Coopers. Als dat correct is, is het de vraag wat die audits precies voorstellen. Bij welke andere organisaties heeft PWC beveiligingsaudits uitgevoerd, en wat voor ellende zou daar verborgen kunnen liggen?
Deze case zal over 20 jaar nog onderwezen worden op IT opleidingen. Hier zitten zoveel aspecten aan die niet kloppen. Uiteindelijk is alles terug te herleiden naar goed beheer en de discipline om dat te handhaven. Zijn er van te voren beheerprocessen gedefinieerd en zijn die nagekomen? Het toont maar weer eens aan dat outsourcing ook niet alles is. Ben ook wel benieuwd naar het Governance model dat men hiervoor heeft gehanteerd.
Hopelijk zal de overheid hier niet alleen op reageren op de voor haar bekende bestuurlijke wijze. Hopelijk zal zij nu een serieuze poging wagen om IT niet te zien als een commodity wat je even inkoopt, maar als essentieel onderdeel van haar core business. En die core business niet alleen nationaal zien.
Uiteindelijk heeft Nederland op dit vlak ook een internationale verantwoordelijkheid. Want als er een les is die we hieruit moeten trekken: hackers houden zich niet aan landsgrenzen. Dus moet onze overheid en haar IT governance daar op zijn ingericht. En dat geld ook voor onze partners in de EU!