Met enige verbazing volg ik de ontwikkelingen rondom Diginotar. Verbazing omdat er in Nederland slechts een beperkt aantal partijen zijn die certificaten mogen uitdelen waarbij deze partijen aan een aantal strikte eisen moeten voldoen rondom beheer, onderhoud, inrichten van processen met betrekking tot uitgifte van certificaten, risicomanagement et cetera.
In Nederland is de Opta verantwoordelijk voor het toezicht op de partijen die de certificaten mogen uitdelen. De Opta hanteert de Telecomwet die hier van toepassing is, waarin staat dat tenminste een keer per jaar een audit uitgevoerd zou moeten worden bij partijen die hieronder vallen. Je zou toch mogen verwachten dat bij een audit aan het licht komt dat processen niet in orde zijn wat betreft uitgifte, beheer en beveiliging van certificaten. Zeker, als je de berichten mag geloven, dat er bepaalde opvallende zaken niet op orde waren, zoals het hebben van antivirussoftware. In veel organisaties worden zelfs verschillende soorten antivirussoftware tegelijktertijd gebruikt om zoveel mogelijk risico uit te sluiten. Ook bleken wachtwoorden eenvoudig van opzet te zijn en gemakkelijk te kraken.
Het zijn punten die tot nadenken stemmen. Wetgeving alleen is onvoldoende. Stikte handhaving en scherpe onaangekondigde controles zijn noodzakelijk. De Opta heeft hier een belangrijke rol in. Ook de klant echter heeft in dit handhavings- en controleproces een belangrijke rol: Die zal scherper moeten gaan toezien hoe de leverancier van cruciale certificaten de processen heeft ingericht. De klant zou in een overeenkomst moeten eisen dat deze leverancier eens per jaar een auditrapport van een externe audit-partij overhandigt. Dat is geen luxe, want wanneer het misgaat met de certificaten gaat het mis in veel bedrijfsprocessen.
Voor Diginotar zullen de bovenstaande maatregelen te laat zijn. Diginotar heeft bewezen niet voor de taak gereed te zijn en moet nu boeten. Maar voor de toezichthoudende organisatie Opta, de andere certificaatverstrekkende organisaties en hun klanten zal het een enorme waarschuwing en les moeten zijn.
Helemaal eens met de conclusie. Dat er bij Diginotar is geklungeld is duidelijk. Maar dat het mogelijk was om zo lang zo te klungelen is nog veel zorgwekkender. Zeker als je bedenkt dat er ruim 600 andere CA’s zijn, waar ongetwijfeld ook zwakkere broeders tussen zitten. Niet eenvoudig, maar hoogste tijd om het certificatenmechanisme en de organisatie daaromheen met kennis van zaken te verbeteren.
Wat lief voor de OPTA, geen waakhond maar een slaaphond: een keer per jaar audit door de OPTA bij de CA’s…..en nu mogen ze ook zelf nog eens gaan kijken wat er toch fout was bij Diginotar, weer een slager die zijn eigen vlees keurt…..
Audits zijn niet bestand tegen bedrog. En het is niet handig zoveel belangen op 1 kaart te zetten zonder een plan B te hebben.
Die audits zijn allemaal papieren schijnzekerheden. Opgesteld door managers en directeuren die 0,0 praktisch inzicht hebben. Een bedrijf dat zwakke wachtwoorden heeft, geen virusscanners gebruikt (terwijl een Diginotar manager op deze site op wijst dat dit toch belangrijk is nota bene) en niet regelmatig updates uitvoert moet bij een audit door de mand vallen.
Wat dit aangaat is Diginotar niet de enige in Nederland die zijn zaakjes niet op orde heeft. Ze komen er mee weg omdat het toezicht ontoereikend is.
Security is vaak een sluitpost en wordt als lastig en moeilijk gezien. En dan wordt het voor hackers prijsschieten met een hagelgeweer. Zelfs pubers van 16 weten dan nog in te breken op ‘beveiligde’ sites.
Kortom: papieren tijgers audits bestrijden met nog meer audits? Moeten de organisaties beloond worden die tekort schieten ‘gestrafd worden’ door ze meer werk te bezorgen?
Kijk naar de Sarbanes–Oxley Act. Dat is een wettelijke reactie op accountancy schalen in de USA. En wat heeft het opgeleverd? Veel werk voor accountantskantoren! Juist diegene die gefaald hadden. En de kans dat een dergelijke audit correct een foute situatie kan achterhalen is klein en zeker niet groter geworden door deze act.
Ik zou dan ook nog niet te snel (dergelijke) conclusies trekken!
Oke, Opta is belast met de audits. Maar Opta heeft deze audits weer uitbesteed aan PWC en nog een partij. En die krijgen dus een draaiboek wat er precies geaudit moet worden, en hoe te auditen. En aangezien dit commerciele partijen zijn, zullen deze slechts dat auditen dat in de regels van Opta staat. Vandaar ook dat de Issuing CA die Diginotar had staan voor PKI_overheid certificaten niet gehacked was, die valt namelijk onder de ge-audite systemen. De eigen Root CA was wel gehacked, echter die valt niet onder de systemen die onder de audit vallen.