Diginotar is sinds januari 2011 een volle dochter van Vasco Data Security International. Vasco laat Diginotar nu alweer keihard vallen, zo lijkt het. Het merk Diginotar zal daarom denk ik niet bijzonder lang meer bestaan. Vasco zal niet gelukkig zijn met het voormalig management van Diginotar. Zij heeft de overname begeleid terwijl er significante securityrisico’s werden gelopen.
Wat kan Vasco ondernemen om de financiële schade te beperken? Uit de definitieve koopovereenkomst blijkt dat er op de voormalige eigenaren niet meer te verhalen is dan vierhonderdduizend euro. Maar er zijn ook geen inkomsten: de klanten zijn na de recente hack massaal weggelopen. Diginotar is verwijderd uit de webbrowsers, zal voorlopig niet van de blacklist worden gehaald en het is niet ondenkbaar dat afnemers van certificaten de prijs die ze daarvoor betaald hebben, terug willen vorderen. Het is voor Vasco te hopen dat Diginotar het niet zo heeft geregeld dat de moedermaatschappij nu aansprakelijk gehouden kan worden. Een rechter kan daar overigens anders tegenaan kijken en Diginotar alsnog voor nalatigheid veroordelen. Een reservering op de balans zou daarom passend zijn – maar is niet te verwachten bij een bedrijf met een negatief eigen vermogen zoals bij Diginotar na 2009.
Hiermee is het echter nog niet afgelopen. Het bedrijf moet ook nog vrezen voor claims vanuit de Nederlandse overheid en zelfs vanuit Iran. Een simpele rekensom van het aantal
(onderlinge) verbindingen bij de overheid met SS- beveiliging, maal de kosten voor het vervangen van al deze certificaten levert een enorme kostenpost op. En die zal men willen verhalen.
Lang verhaal kort: puur zakelijk schat ik dat het redden van Diginotar een kansloos verhaal is.
Certificaat van onbekwaamheid.
Voor het geval dat Vasco de expertise van Diginotar nog anders wil gaan inzetten, zal dat moeilijk blijken omdat het nu juist de expertise is die momenteel in twijfel wordt getrokken. Als het gaat om vertrouwen is er weinig krediet voor het bedrijf. Het gaat zelfs verder; er is misschien geen vertrouwen meer in het hele certificatensysteem. Niet alleen heeft Diginotar het vertrouwen beschadigd, ook het bedrijf dat de regelmatige security audit heeft uitgevoerd bij Diginotar heeft wellicht steken laten vallen. Het incident bij Diginotar heeft daarmee gevolgen voor de betrouwbaarheid van de hele ceritificatensector en het internet in het geheel.
De hack heeft al een behoorlijk staartje gekregen: GlobalSign heeft het uitgeven van certificaten stilgelegd naar aanleiding van claims van de Diginota- hacker die aangaf ook daar ingebroken te hebben. En VeriSign en Thawte hebben snel een bericht uitgestuurd waarin zij een vergelijkbare claim opvallend resoluut van tafel vegen. Het geeft vertrouwen, die zekere opstelling van VeriSign en Thawte, de reactie van GlobalSign daarentegen doet het ergste vermoeden.
De toekomst van beveiligd internet
Is het vertrouwen terug te winnen? Een geprivatiseerd ketensysteem zoals het nu is, blijkt in elk geval onbeheersbaar. Er gaan nu steeds meer geluiden op – Bits-of-Freedom voorop – voor regulering van die certificaten, heel anders dan nog geen maand geleden toen elke beperking van vrijheid op het internet nog uit den boze was. Ik denk dat die regulering wel goed is, maar of daarmee SSL na dit incident vertrouwen kan herwinnen, is voor mij nog onzeker. Voor de internetgebruiker blijft onduidelijk of zijn of haar informatie misbruikt kan worden en zolang die onduidelijkheid bestaat is voor mij eens en te meer aangetoond: zorg voor beveiliging (encryptie) van gevoelige informatie.
Het maakt dan niet meer uit of het wordt gemaild, naar een 'veilige' website wordt gepost of naar een usb-stick wordt gekopieerd. Een aanvulling is Data Loss Prevention dat oneigenlijk gebruik van gevoelige informatie überhaupt onmogelijk maakt. Kortom: data protection is noodzakelijk. Ter vergelijk: zelfs in een goed beveiligd bedrijfspand bewaar je echt vertrouwelijke documenten in een kluis, alleen toegankelijk voor bevoegden. Bij DignNotar stond de kluis open en ging het alarm niet (tijdig) af.
Neem eigen maatregelen
Niet alleen Certification Authorities (CA) moeten het vertrouwen in SSL herwinnen, ook bedrijven en internetgebruikers moeten initiatieven nemen om hun eigen informatie veilig te stellen. Ik vind het opvallend hoe verontwaardigd er gereageerd is op het ontbreken van virusscanners op servers van Diginotar. Dit is namelijk net zo goed het geval bij veel andere Nederlandse bedrijven, ziekenhuizen en de overheid. Uit de praktijk weten we dat Server Performance vaak belangrijker is dan Beveiliging; dus anti-virus eraf en geen alternatieve maatregelen ervoor in de plaats.
De opdracht van de ict-afdeling is het bewaken van de continuïteit, en de veiligheid is daar in de meeste situaties echt ondergeschikt aan. Het wordt tijd dat de beveiliging van ict prioriteit krijgt en op het hoogste niveau binnen bedrijven en organisaties wordt vertegenwoordigd . Daarnaast is het verstandig om operationele werkzaamheden te scheiden van beveiligingwerkzaamheden om verkeerde belangenafweging te voorkomen.
Mijn dringend advies is gericht aan directie of C-level management van organisaties: toon leiderschap op beveiligingsgebied. Het is niet eng; het beleid dat nu nog ontbreekt, kan in de basis bestaan uit louter a-technische kaders. Het belangrijkste is namelijk dat U, die de verantwoordelijkheid draagt, begrijpt welke keuzes gemaakt worden, deze ook kunt verdedigen en de verantwoordelijkheid ervoor draagt. De rol van een hooggeplaatste functionaris is onmisbaar in IT Security en omhelst het bepalen van beleid en het regelmatig inzien van rapportages die aantonen dat het beleid wordt nageleefd. Deze Security Risk Management (SRM, gebaseerd op ISO27001) beschrijving biedt verdere uitleg: http://www.medusoft.eu/wiki/srm/
Het rapport over de hack bij Diginotar geeft een aantal prachtige handvatten om op dreef te raken. Vraag maar eens om garanties dat alle geconstateerde tekortkomingen bij Diginotar, bij u wel goed zijn geregeld:
– Geen virusscanners op cruciale systemen
– Verouderde software
– Simpele wachtwoorden
– Geen scheiding tussen productie en beheernetwerk
Kortom, ik schat de kansen voor Diginotar niet hoog in. Er zullen ongetwijfeld in de toekomst nog andere schrijnende gevallen aan het licht komen. Hopelijk komt dit niet door basale zaken zoals bij Diginotar het geval is.