Als we de experts van de Computable-topics Internet, Overheid en Security mogen geloven, is het afgelopen voor certificatenleverancier Diginotar. Het Beverwijkse beveiligingsbedrijf werd in juli 2011 gehackt, waarna er valse SSL-certificaten in omloop kwamen. Diginotar zweeg in eerste instantie, wat hen nu veel kritiek oplevert. Schending van het vertrouwen en imagoschade zullen volgens de experts het einde betekenen van Diginotar.
Gert Jan Timmerman, hoofd Kenniscentrum, Info Support
De toekomst van Diginotar ziet er heel somber uit. De fouten die daar gemaakt zijn, de slechte beveiliging en de ontbrekende procedures, kunnen niet zonder gevolgen blijven. De slechte naam die deze organisatie in de markt gekregen heeft, zullen toekomstige klanten afschrikken en er zullen nog wel wat schadeclaims volgen.
Voor een ‘trusted third party' is het beveiligen van de root-certificaten het allerbelangrijkste. Als ze dat niet voor elkaar krijgen, hebben ze geen bestaansrecht. De hele organisatie moet daar op gericht zijn en alle procedures moeten daaromheen opgebouwd zijn. Root-certificaten mogen nooit zomaar via het netwerk benaderd en misbruikt kunnen worden.
Wat bij Diginotar gebeurd is, is een schande voor Nederland, vooral omdat deze organisatie nauw gelieerd was aan de Nederlandse overheid. Wat hieruit verder gebleken is, is dat de Nederlandse overheid haar procedures en documentatie ook niet op orde heeft. De overheid weet niet welke certificaten waar gebruikt worden en heeft geen procedures om snel aan nieuwe certificaten te komen. Dat Microsoft een week moet wachten met het verwijderen van de betreffende root-certificaten, omdat anders de overheid niet door kan werken, zegt al genoeg. Dit betekent dat heel Nederland een week lang met onbetrouwbare certificaten geconfronteerd kan worden, terwijl dat niet nodig was geweest.
Jack Cobben, senior engineer, Cliënt ICT groep
In mijn ogen is de toekomst van Diginotar voorbij. Deze afgang zullen ze nooit en te nimmer te boven komen. Het vertrouwen van zowel de overheidsinstanties als de meeste mensen in beveiligingsland is weg. Vooral als je als uitgever van certificaten je eigen beveiliging van je systemen laat slingeren, dan ben je niet serieus met je vak bezig. Als je alle berichten moet geloven, hebben ze geen antivirus (beleid), slecht wachtwoordbeleid en geen goede controle op de systemen. Dit zijn maar een paar onderdelen welke je minimaal in orde moet hebben.
Een root CA moet het vertrouwen hebben van de klant en de eindgebruikers, wil je jouw certificaten aan de man brengen. Zonder vertrouwen kun je het vergeten. Zelf zou ik nu (en in de toekomst) geen enkel certificaat van Diginotar nog vertrouwen. Dit geldt ook voor het moederbedrijf Vasco Data Security. Mijn advies is: stoot het bedrijf af en communiceer dit. Vasco kan beter eieren voor zijn geld kiezen en Diginotar laten voor wat het is.
Mijn aanbeveling zou zijn om te controleren welke certificaten door Diginotar getekend zijn en er zeker van te zijn dat binnen de browsers die je bedrijf gebruikt Diginotar op de ‘blacklist' staat. Licht je gebruikers in en laat ze zien waar ze kunnen checken waar je kan zien door wie het certificaat getekend is. Laat ook gebruikers van bijvoorbeeld Gmail hun wachtwoord wijzigen (na controle van het SSL-certificaat!).
Peter Foppen, sales engineer, Comstor
Een organisatie die certificaten uitgeeft, drijft op vertrouwen. De certificate authority (zoals Diginotar) garandeert dat de organisatie die een certificaat aanvraagt, is wie hij zegt dat hij is. Via de media heb ik ook begrepen dat er ook sleutels intern bij Diginotar gekopieerd zijn (wat een doodzonde is). Ik denk dat Diginotar het niet zal overleven. Misschien zullen ze onder een andere naam verder gaan, maar als dit publiekelijk uitlekt, dan zal altijd dit schandaal aan Diginotar of aan de doorstart blijven kleven. Dat het moeder bedrijf Vasco openlijk afstand neemt van Diginotar zegt eigenlijk wel genoeg.
Klaas Piet Meindertsma, partner, CSI
Het is erg moeilijk om een echte risico-inschatting te kunnen maken. Het lijkt erop dat we informatiebeveiliging toch nog niet serieus genoeg nemen. Voor Diginotar zal het doek wel vallen als zelfstandige organisatie. De negatieve publiciteit raak je als bedrijf moeilijk kwijt. Vertrouwen komt te voet en gaat te paard. Overigens is het bijzonder hoeveel impact het op het maatschappelijk verkeer heeftwanneer zo een kleine organisatie omvalt. Een bedrijf zou eigenlijk niet meer in de risicosfeer mogen doen dan ze financieel kan dragen. Denk aan de brand Chemi-pack en de kernramp in Japan. Ze verdienen geld zo lang het goed gaat maar als het fout gaat moet de maatschappij ervoor op draaien.
Michaël van Leeuwen, juridisch adviseur, ICTRecht
De certificaten van Diginotar worden niet meer geaccepteerd (bijvoorbeeld door Microsoft en Mozilla). Daarnaast heeft de overheid haar vertrouwen in Diginotar opgezegd en is het operationeel beheer ten aanzien van de PKI Overheid-certificaten door de overheid overgenomen. En dat is nog niet alles, want ook het Openbaar Ministerie en de Opta hebben een onderzoek naar Diginotar ingesteld. De toekomst van Diginotar ziet er dan ook niet rooskleurig uit. Diginotar kan de overeenkomsten, die hij met zijn afnemers heeft gesloten, niet langer nakomen. Diginotar pleegt hiermee een wanprestatie en kan dus door allerlei afnemers (waaronder de overheid) civielrechtelijk aansprakelijk worden gesteld. Verder is het mogelijk dat het Openbaar Ministerie overgaat tot vervolging (dit leidt in de praktijk misschien tot een boete) en van de Opta kunnen ze een last onder dwangsom krijgen of zelfs een verbod om nog langer certificaten uit te geven (als de uitgifte al niet is gestagneerd). Bij een bedrijf als Diginotar draait alles om vertrouwen. Dat vertrouwen in nu ernstig geschaad en dat is funest voor zo'n bedrijf.
Diginotar is een dochter van Vasco. Misschien dat Vasco in financiële en juridische zin nog iets zou kunnen betekenen voor zijn dochter. Maar de naam is nu zo beschadigd dat ik het somber inzie. Een faillissement komt voor Diginotar heel dichtbij…
Cor Rosielle, cto, Outpost24 Benelux
Ik denk dat Diginotar geen toekomst meer heeft en ook andere CA's moeten oppassen dat zij niet in hetzelfde schuitje terechtkomen. Een kerneigenschap waar een CA (certificate authority) over moet beschikken, is betrouwbaarheid. Deze kan alleen worden verkregen door volkomen onafhankelijk te zijn van de partijen die het vertrouwen moeten geven en bovendien zeer zorgvuldig te werken. Door de berichtgeving in de media, ongeacht of die juist is of niet, is het vertrouwen in Diginotar zo ernstig geschonden, dat Diginotar geen toekomst meer heeft. Als de berichten juist zijn, dan verdienen zij dat ook niet. Zij hebben dan onvoldoende zorgvuldigheid betracht in hun kritieke bedrijfsprocessen (het verstrekken van de certificaten) en onvoldoende slagvaardig gereageerd toen zij ontdekten dat er iets mis was. Wellicht willen zij nog een poging wagen onder een andere naam, maar een naamsverandering alleen zal het vertrouwen niet herstellen. Vertrouwen komt te voet en gaat te paard.
Ik geloof overigens niet dat Diginotar de enige CA is met dergelijke problemen. Omdat afnemers noch op tijdrovende of complexe procedures voor verificatie zitten te wachten, noch op hoge prijzen voor certificaten, wordt aanschaf van certificaten te laagdrempelig gehouden. Als gevolg daarvan zal ook het niveau van de veiligheid die de certificaten verstrekken laag zijn.
Michiel Broekhuijsen, architecture consultant, Andarr
Persoonlijk denk ik dat Diginotar het niet gaat redden: de negatieve berichtgeving heeft tot te veel reputatieschade geleid. Het rapport van Fox-IT laat zien dat men niet in staat is geweest basale beveiligingsmaatregelen te nemen. Het gaat niet om een high-tech aanval uitgevoerd door een buitenlandse mogendheid, maar om een ‘normale' hacker. Deze affaire leidt wel tot twee essentiële vragen: 1) in hoeverre is het mechanisme van certificaten nog te vertrouwen? 2) hoe kan het dat een bedrijf als Diginotar niet in staat is om basale beveiligingsmaatregelen te nemen en te treffen?
Het principe van certificaten is simpel, maar de implementatie is complex en ondoorzichtig. Het legt te veel vertrouwen in een zogenaamde onafhankelijke derde partij (CA en RA's), waarvan jij als gebruiker niet in staat bent om te bepalen in hoeverre deze partij te vertrouwen is. Met vertrouwen bedoel ik de intentie en competentie om goed met je gegevens om te gaan. Ik zou als gebruiker graag zelf in staat willen zijn om te bepalen welke van deze onafhankelijke partijen ik mijn vertrouwen gun. Dus als ik een website bezoek, wil ik in staat zijn meerdere partijen te benaderen om na te gaan of deze website (of iets vergelijkbaars) inderdaad de website is die ik voor ogen heb. Het huidige systeem van certificaten staat dit niet toe. Terug naar PGP is gezien de schaalbaarheid niet mogelijk. Een mogelijk interessante alternatieve ontwikkeling is het convergence-project, die een eerste aanzet is tot de hiervoor beschreven oplossing.
Maarten Hartsuijker, security consultant, Classity
Of Diginotar kopje onder gaat, is natuurlijk volledig afhankelijk van de bereidheid van grote klanten zoals NOvA, de notarissen en de overheid om het bedrijf te blijven vertrouwen en steunen. Het zou ongepast zijn om voor deze klanten te spreken. Daarnaast zijn de zakken van moederbedrijf Vasco ongetwijfeld diep genoeg om een tijdje zonder winst te overleven. Als Vasco de dienstverlening als strategisch beschouwt, zouden ze het kunnen herlabelen en de kennis binnen het bedrijf opnieuw in kunnen zetten.
Maar verdienen ze het om te overleven? Iedereen kan een keer gehackt worden. Gelet op de grote hoeveelheid beveiligingsfouten in software die wij gebruiken, is dat bijna geen schande meer, mits je hierover op een goede en eerlijke manier richting je klanten communiceert. Maar als we het rapport van Fox-IT lezen, kun je eigenlijk wel stellen dat ze een beetje om deze hack hebben gevraagd en daarnaast zeer slordig met de opvolging zijn omgegaan. Dit is gedrag dat zeer ongepast is voor een bedrijf dat leeft van het vertrouwen dat in ze wordt gesteld.
Het gedrag is wel verklaarbaar. Als je de regeltjes niet zo nauw neemt, kun je natuurlijk veel efficiënter beheren, sneller schakelen en dus goedkoper zijn dan je concurrent. Beveiliging kost nu eenmaal tijd en geld. Het zou een zeer goed signaal naar de markt zijn als de klanten dit bedrijf laten vallen en in zee gaan met bedrijven die zich altijd wel netjes aan de regels hebben gehouden. Ceo's zijn zich er dan in één keer van bewust dat slechte beveiliging het einde van het bedrijf kan betekenen. En dat besef zal de beveiliging van CSP's op de lange termijn zeer ten goede komen.
Martijn Bellaard, strategy consultant, Wortell
Diginotar is finished. Wat er gebeurd is vind ik een grote blunder. Certificaten worden gebruikt door bedrijven om aan te tonen dat we op de juiste website zitten en alles te vertrouwen is. Dat vertrouwen berust op het vertrouwen dat wij stellen in een bedrijf als Diginotar. Nu blijkt dat dit vertrouwen onterecht was. We kunnen ‘hen' niet vertrouwen. Voor Diginotar betekent dit zeker het einde. Hun ict-beleid klopte van geen kanten. Ik zie in praktijk dat zo een beleid samen gaat met de mentaliteit van een ict-afdeling. Wat je ziet bij Diginotar is iets wat ik binnen meer organisatie terug zie. Vaak heeft het te maken met een kennistekort van de beheerafdeling.
Organisaties als Microsoft en Firefox hebben Diginotar al uit de lijst met vertrouwde certification authorities gehaald. Dit heeft tot gevolg dat vanaf dit moment browsers een waarschuwing zullen geven voor certificaten van Diginotar. Daarnaast zullen andere applicaties, die gebruikmaken van een Diginotar-certificaat, het risico lopen niet langer te functioneren. Ze hebben nog een lange weg te gaan voordat een bedrijf, zoals Microsoft, hen weer wil vertrouwen. Laten we positief zijn en er vanuit gaan dat binnen een jaar Diginotar dit voor elkaar krijgt. Dan zullen ze daarna weer het vertrouwen van het publiek moeten terugwinnen. Het slimste wat Diginotar kan doen is stoppen met het uitgeven van certificaten.
Daarnaast zie ik ook problemen voor overige certificate authorities. Wie zegt mij dat zij wel te vertrouwen zijn? Dat ze niet net zo lek zijn als Diginotar? De discussie over certificaten en certificate authorities moet nog gestart worden. Persoonlijk ga ik deze discussie met grote interesse volgen.
Kelvin Rorive, principal consultant, Strict
Diginotar zal het niet redden als certificate provider, denk ik. Zeker nu bekend is dat er nalatig is gereageerd en dat uit onderzoek van Fox-IT blijkt de beveiliging ronduit slecht was geïmplementeerd. Een root CA is het hoogste onderdeel in de vertrouwensboom van certificaten, het fundament van het hele systeem. Het bedrijf zal mijns inziens nooit meer het vertrouwen terugwinnen dat nodig is om een betrouwbare CA-provider te zijn.
Overigens vind ik ook dat de overheid hier wel een steek heeft laten vallen. Uitbesteden ontslaat de overheid niet van de verantwoordelijkheid. De overheid zou op zijn minst van Diginotar periodiek een rapportage moeten ontvangen, of nog mooier een onafhankelijke audit moeten laten uitvoeren. Denk hierbij bijvoorbeeld aan een penetrationtest en check of beveiliging ‘in control' is, zoals beschreven in ISO27001. Allemaal waarborgen waarmee de overheid haar verantwoordelijkheid goed neemt. Hiermee zou eerder bekend moeten zijn geworden dat de beveiliging niet op orde zou zijn bij Diginotar. In het geval deze rapportages er wel zijn, dan wordt het natuurlijk een interessant vraagstuk richting regievoering van de overheid. Is de overheid dan ook nalatig geweest door niet goed te reageren op de rapportage?
Een aanbeveling voor verbetering voor Diginotar is het onafhankelijk aantoonbaar maken dat ze ‘in control' zijn over haar risico's en bedreigingen en dit ook openbaar publiceren. Door volledige openheid kan mogelijk wat vertrouwen teruggewonnen worden, maar zoals al gezegd verwacht ik onvoldoende herstel om weer het CA van PKI Overheid onder te brengen.
Chris Buijs, senior product manager, ApplianSys
Ik denk niet dat Diginotar dit gaat overleven. De Nederlandse regering en wat softwarebedrijven (Google, Mozilla, Microsoft, etc.), hebben publiekelijk het doodvonnis al getekend. Ik denk ook dat het de certificatenwereld op z'n kop zet, omdat er flink wat commerciële belangen op het spel staan. Maar misschien waait het ook zo maar over, omdat het onderwerp redelijk complex is en de meeste mensen het gewoonweg niet kunnen of willen begrijpen. Ik hoop eigenlijk dat dit de drijfveer is om DNSsec en certificaten in DNS te zetten, te beveiligen en beschikbaar te maken.
Alex de Joode, ecurity officer, LeaseWeb
Ze hebben hun klanten niet juist en onvolledig ingelicht toen ze de security breach ontdekten. In de trust business is dat een doodzonde. De overheid is nu over naar Getronics PinkRoccade en de andere klanten zullen ook wel vertrekken.
Frank Tamminga, technisch consultant, Caesar Groep
SSL-certificaten zijn gebaseerd op een vertrouwensrelatie. Degene die het certificaat krijgt, wordt vertrouwd door de uitgever (die op zijn beurt weer wordt vertrouwd door zijn uitgever). Wat bij Diginotar is gebeurd is een grove schending van vertrouwen. Nooit hadden deze certificaten het licht mogen zien. Dit had nooit mogen gebeuren. Het is goed dat er uiteindelijk snel actie is ondernomen, al is de kans dat er in Nederland iets mee gebeurd was bijzonder klein. Alle ophef over DigID en gemeenten is volledig overtrokken, daar was helemaal niets mee aan de hand.
Al met al vind ik dat Diginotar het vertrouwen in één klap volledig is kwijtgeraakt. Er zal vast een nieuwe speler op deze markt komen, maar de naam Diginotar is wat mij betreft besmeurd. Ik heb geen zicht op de procedures bij certificaatverstrekkers, maar het lijkt mij dat wanneer iemand een certificaat probeert te krijgen voor een domein dat al geregistreerd is, er toch ergens alarmbellen moeten afgaan.
Seth van der Meer, sales director Benelux, Astaro
Gaat Diginotar kopje onder of overleven ze dit? Er is hier sprake van imagoschade wat een enorme bedreiging is voor de bedrijfscontinuïteit van het bedrijf. De bedrijfsreputatie staat nu onder zware druk en de media zitten er bovenop. Op internet zullen deze negatieve berichten jarenlang rond blijven zwerven. Ze hebben nauwelijks controle over hun eigen communicatie en zijn dus niet ‘in control', wat funest zal zijn. Ik vrees dat dit einde oefening is voor Diginotar. Ik mag wel hopen dat deze zaak de overheid, maar ook ondernemend Nederland, heeft wakker geschut. Ik zie in mijn dagelijkse werk namelijk nog steeds dat de beveiliging bij veel overheidsinstanties en bedrijven onder de maat is. Beveiliging van een netwerk is een expertise die dagelijkse aandacht vraagt en wat je het beste aan een expert kunt overlaten.
Sebastiaan Hooft, ondernemer, strategist en bestuurder
Van een beveiligingsbedrijf als Diginotar mag je verwachten dat ze transparant communiceren over veiligheidslekken en integer met dit soort zaken omgaan. Tot op de dag van vandaag blijkt nergens uit dat zij de situatie serieus nemen; de website is niet aangepast op de huidige crisis en moederbedrijf Vasco hult zich in een stilzwijgen. Als deze PR-misser representatief is voor de technische kennis binnen het bedrijf, dan houd ik mijn hart vast. Mijn verwachting is dan ook dat Diginotar snel zal worden verkocht of een stille dood sterft. Deze negatieve PR overleef je niet.
Wat betreft de overheid blijkt maar weer eens dat het privacyvraagstuk nog steeds geen hoge prioriteit heeft. Hoe kan het gebeuren dat zoveel ambtenaren collectief voor een beveiligingsbedrijf kiezen met zulke slechte procedures? Waarom is er niet opgelet? Welke verrassingen staan ons nog meer te wachten? Welke overheidsinstantie gaat nu eens toezicht houden op de wijze waarop wij in goed vertrouwen onze persoonlijke gegevens met de overheid delen?
Martijn Elzinga, adviseur, believe IT consulting
Faam komt te voet en gaat te paard… Als het verkopen van vertrouwen je core business is, dan lijkt mij dat er geen toekomst is voor het merk/bedrijf Diginotar. Zoals Swa Franzen het beschrijft:
Getting hacked, being reluctant to report the hack, being slow in detecting the hack, being slow in responding to the hack, not being willing or able to provide clarity about the impact of the hack, … all are tremendously damaging to that trust.
Verder verwacht ik dat klanten van Diginotar hun te maken kosten en/of schade zullen gaan claimen. Dat is een reëel bedrijfsrisico. Voorlopig is het nu een staatsbedrijf geworden. Wat ik in de markt merk is dat Diginotar-klanten overstappen en niet afwachten wat er vanuit de overheid geregeld gaat worden. Volgens de berichten die ik gevolgd heb is de rol van de Nederlands overheid in deze affaire wellicht ook een interessant artikel op zichzelf?
Op de langere termijn verwacht ik misschien nog wel wat gekke berichten, zoals ongewilde transacties met telebankieren bijvoorbeeld, (puur hypothetisch) doordat er mogelijk plug-ins voor Firefox via een man in the middle attack zijn geïnjecteerd. Je denkt dat je een betrouwbare en officiële plug-in download, maar je krijgt extra ‘features'. Speculatie, maar ik zou er niet van staan te kijken.
Berend van Bemmel, ict-architect, Van Bemmel ICT Management & Advies
Ik denk dat deze affaire het einde betekent van Diginotar. Gezien de grove nalatigheid op het gebeid van beveiliging die in het rapport van Fox-IT geconstateerd worden, mag je er wel vanuit gaan dat de oveheid Diginotar aansprakelijk zal stellen voor de geleden schade. Ook zal de overheid geen zaken meer met ze doen en al hun root CA-certificaten zijn onbetrouwbaar en ingetrokken. Ook overige klanten zullen geen zaken met deze club meer willen doen. Die winkel kan je dus wel sluiten. Ik denk dat er ook nog wel effecten zullen zijn voor moeder bedrijf Vasco, zowel in aansprakelijkheid, maar ook de gevolgen van reputatieschade. Die hadden het net goed voor elkaar toen concurrent RSA gehackt was, nu zitten ze met Diginotar toch een beetje in hetzelfde schuitje.
Uiteindelijk denk ik dat de Nederlandse overheid haar eigen certificaten zal moeten gaan beheren. Onderbrengen van de basis van je trust-systeem bij commerciële instellingen is gewoon geen goed idee. Daar zal altijd een afweging tussen zakelijke belangen en veiligheid gemaakt worden, en dat betekent ongewenste compromissen. Daarbij is het niet zo moeilijk om een goede CA op te zetten, je moet alleen niet vergeten om antivirussoftware te installeren en de boel een beetje te patchen. Het is ook eigenlijk te beschamend voor woorden allemaal.
Rhett Oudkerk Pool, oprichter en ceo, Kahuna
Of Diginotar dit overleeft, lijkt me een reeds beantwoorde vraag. Moeder Vasco heeft zijn handen al van de onderneming afgetrokken. Diginotar is maar 2 procent van de omzet, de betaalde tien miljoen zullen ze gewoon afboeken, denk ik. Voor een CA is het een must om opgenomen te zijn in de browser. Zonder dat geen bestaansrecht. PKI Overheid was een grote klant, dus klappen genoeg.
Niek IJzinga, NL Security Practice Leader, Logica
Diginotar gaat dit niet overleven. PKI is een kwestie van vertrouwen. Die is zodanig geschonden dat herstel niet meer mogelijk is. Verder wijzen allerlei signalen op het einde van Diginotar. De overheid heeft de operationele gang van zaken overgenomen. De eigenaar (Vasco) is duidelijk afstand aan het nemen. Klanten van Diginotar zijn nu aan het overstappen naar andere leveranciers. Dat is uiteraard verstandig.
Het is belangrijk dat vertrouwen wordt hersteld door transparantie, heldere communicatie en een rationele benadering. De Diginotar-hack is natuurlijk een belangrijke gebeurtenis. De feitelijke risico's voor de Nederlandse overheid en het bedrijfsleven zijn mijns inziens echter zeer beperkt. Het is het comfortabele gevoel, wat menigeen wellicht ten onrechte had, dat een enorme deuk heeft opgelopen. Ik ben bang dat we nu van de overheid en politiek een soort overreactie krijgen. Meer/ander toezicht zou wellicht op zijn plaats zijn, maar PKI in handen van de overheid is niet veiliger dan in handen van het bedrijfsleven.
Eddy Willems, security evangelist, G Data/Eicar/Amtso Global
Diginotar is wat mij betreft een verloren zaak. Beveiliging is gebouwd rond het basisgegeven ‘vertrouwen'. Diginotar heeft dit volledig verspeeld op verscheidene manieren, waarbij ontzettend slechte communicatie één puntje is. Maar dat was wat mij betreft niet het belangrijkste. Iets waarvoor ik al meer dan tien jaar waarschuw: installeer overal een antivirus of securitypakket, zelfs op (zwaarbelaste) servers en patch het besturingssysteem en veel gebruikte programma's (zoals Adobe, Java, etc.). De hacker had het wellicht veel moeilijker gehad.
Ik zie diezelfde problemen zeer regelmatig in kleine maar zelfs in veel grote bedrijven nog steeds opduiken en ze liggen altijd aan de basis van veel problemen. Als de hardware het niet aankan, dan moet men werkelijk meer investeren en daar bestaat geen ‘sorry' voor. Veiligheid en vertrouwen komen op de eerste plaats, zeker in een CA. Persoonlijk heb ik ook mijn twijfels over het hele certificaten-gebeuren, maar dat is een andere zaak.
Erwin Koster, ict-manager, Calibris
Uit de recente ontwikkelingen rond Diginotar blijkt dat de overheid slecht toeziet op de informatiebeveiliging van haar eigen burgers. Je vraagt je af waarom de Opta heeft toegestaan dat inloggegevens via de reguliere post worden verstuurd. Je vraagt je af waarom Govcert niet heeft toegezien op een periodieke audit bij Diginotar. Die werden daar toch jaarlijks gehouden?
De opmerking van minister Donner illustreert het naïeve beeld bij de overheid: ‘Internet is een internationaal verschijnsel.' Bescherm daarom de informatie van je eigen burgers zoals je het land beschermt. Niet door het uit handen te geven, maar door zelf de regie te voeren en toe te zien op de beveiliging van de websites en informatie die burgers moeten kunnen vertrouwen.
Donny Maasland, support en security specialist, Nod32
Ik denk en hoop dat Diginotar dit niet gaan overleven. Een organisatie welke vertrouwen verkoopt en zulke enorme blunders begaat, kan zich maar beter niet meer met beveiliging gaan bezighouden. Er is nu wat bekend over de gevolgen van de hack, maar wie weet wat er onder water allemaal nog meer is gebeurd of gaat gebeuren. Als je deze hack combineert met de hack op de NetNames DNS-servers, heeft een hacker de macht om al het verkeer van gebruikers om te leiden, te onderscheppen en aan te passen, zonder dat eindgebruikers hier ook maar iets aan kunnen doen.
Als je dan op de Pastebin-uiting van de ‘Comodo-hacker' leest dat Diginotar niet de enige CA is waar hij/zij volledige toegang tot heeft, wil ik niet eens beginnen met nadenken over de mogelijke gevolgen die dit heeft. Als dit echt waar is, laat het één van de meest fundamentele beveiligingsmethodes op internet schudden op zijn grondvesten. Uiteindelijk kan deze hack er misschien wel voor zorgen dat we op zoek moeten naar een nieuwe manier van certificeren.
Dick van Gaalen, programma manager business technology, HP Nederland
Ik zie de Diginotar-kwestie als een goed voorbeeld van het verschijnsel dat de ict-beleidsvorming en -aansturing nog steeds teveel gericht is op ‘binnen' in plaats van op ‘buiten'. Dat gaat nog tot een hoop vallen en opstaan leiden bij de overgang naar cloud computing. Men heeft in dit geval ongetwijfeld veel tijd besteed aan het evalueren van de technische robuustheid van de te gebruiken certificaten en heel weinig tijd aan de organisatorische robuustheid van het instituut dat ze uitgeeft.
Het doet mij sterk denken aan de eerste klanten van digitale archiveringssystemen die indertijd veel tijd besteedden aan de houdbaarheidstermijn van de te gebruiken opslagmedia en volledig over het hoofd zagen dat de continuïteit van de leverancier eigenlijk veel belangrijker was. Veel is hier overigens niet aan te doen, daar het een verschijnsel is dat hoort bij een branche die nog steeds razendsnel verandert en daardoor nog steeds dagelijks aan het experimenteren is.
Erik van Veen, sr. manager technical sales organisation, Symantec Nederland
Een certificatie-authoriteit geeft certificaten uit. Technisch een koud kunstje. Gemiddelde tweede jaars informaticastudenten kunnen dat. De waarde van een certificaat zit hem echter in de waarde die je hecht aan de reputatie van uitgevende partij. Het is die partij waar je jouw vertrouwen in stelt. Als de reputatie van die partij waardeloos is, is het certificaat ook waardeloos. Hoe bouw je reputatie op? Daar komt veel bij kijken, maar een belangrijke factor is je geschiedenis. Behaalde resultaten in het verleden zijn geen garantie voor de toekomst, maar toch!
Een andere factor is: als het dan misgaat, hoe ga je daar mee om? Ben je transparant in je escalatieprocedure? Als ik geskimd ben en een telefoontje krijg van de bank dat ze het ontdekt en verholpen hebben, hangt menigeen nog opgelucht op ook. Als je achteraf ontdekt dat er zaken misgegaan zijn en ze zijn nog niet eens verholpen ook, wordt je heel zenuwachtig. Het onderhouden van je reputatie en daarmee samenhangend de kwaliteit van het verificatieproces is geen sinecure. Je hebt een robuuste en flexibele infrastructuur nodig, je moet enorm veel kostbare audits doen en je hebt specialisten nodig die te vertrouwen zijn en steeds weer de processen optimaliseren. De praktijk leert dat dit al gauw een internationaal spel is.
Sinclair Koelemij, operations team leader network solutions en security services, Honeywell Process Solutions
Gaat Diginotar kopje onder? Eigenlijk een overbodige vraag, deze firma zal zijn brood niet meer in de beveiliging kunnen verdienen. Het is niet zo zeer dat ze gehacked zijn, dat kan in principe iedereen overkomen, maar dat ze het vanaf 27 juli 2011 onder de bekende pet hebben gehouden en daarmee de belangen van hun klanten hebben geschaad, is niet te vergeven. Er blijkt nu ook dat ze hun beveiliging niet op orde hebben (geen antivirus, geen segmentatie, geen goed patch management). Gewoon een heel slecht geleid bedrijf, dus einde verhaal voor Diginotar.
John Schattorie, director, Deloitte
Het nut van een certificaat is om de authenticiteit van een website vast te kunnen stellen. Voor de overheid is dit van cruciaal belang om de dienstverlening aan burgers en bedrijven betrouwbaar te kunnen leveren. Diginotar heeft op het gebied van hun belangrijkste bestaansrecht, het leveren van vertrouwen, zodanige fouten gemaakt dat dit het voortbestaan onmogelijk zal maken. Conform het bekende spreekwoord ‘vertrouwen komt te voet en gaat te paard' is de tijd die nodig is om het vertrouwen weer op te bouwen te lang om de continuïteit te waarborgen. Browserleveranciers zoals Microsoft hebben inmiddels een patch uitgevoerd waardoor geen communicatie meer plaats kan vinden met organisaties die certificaten van Diginotar gebruiken. Die organisaties stappen zo snel mogelijk over op het gebruik van andere certificaten en keren niet snel weer terug.
Martijn Duijm, consultant system engineer emea, Fortinet
Ik denk dat deze problemen zorgen dat Diginotar niet overeind blijft. Ik denk dat de meeste bedrijven geen zaken meer willen doen met een beveiligingsleverancier die zo slordig met zijn eigen security omgaat. Helaas zijn ze echt niet het enige bedrijf waarbij zo gedacht wordt. Het is erg moeilijk om in een gebruikersomgeving allerlei barrières op te werpen. Dit creëert veel tegenstand van gebruikers. Helaas gaat in de praktijk dan gebruikersgemak boven beveiliging.
Wat betreft de aanval zelf, wellicht is het goed om aan te geven dat hackers de aanvallen verleggen van de zwaar beveiligde omgevingen naar de bedrijven die deze zwaar beveiligde omgevingen helpen met de beveiliging. In eerste instantie werd RSA gehackt om token-informatie te kunnen reproduceren, zodat zwaar beveiligde systemen benaderd kunnen worden (dus zonder deze te hacken, maar zich voor te doen als normale gebruiker). In het geval van Diginotar zal dit waarschijnlijk meer politieke redenen hebben. De hacker heeft niet Google proberen aan te vallen om de mail te kunnen afluisteren, maar heeft de leverancier van de certificaten gehackt om dit te kunnen doen. Dit soort gedrag is heel natuurlijk, een inbreker kiest ook het huis waarvan een raam openstaat en niet eentje met honderd sloten.
Steven Dondorp, managing director, Northwave
Elk securitybedrijf is te hacken, dus Diginotar ook. De vraag is of er een onverantwoord risico in de eigen beveiliging is genomen die bekend had kunnen zijn. Velen veroordelen de beveiliging van Diginotar zonder deze te kennen, gedurende onderzoeken die nog volop in gang zijn. Die overweging zal immers altijd gemaakt moeten worden, omdat anders de kosten voor beveiliging de omzet gaan overstijgen. Is daar geen sprake van, dan blijft het weliswaar een enorm pijnlijk en crisispunt voor de services, maar had het elke CA kunnen overkomen (kijk bijvoorbeeld naar BP en waarom Shell bleef zwijgen).
Certificaatverstrekkers drijven op ‘vertrouwen' als hoogste kwaliteitsnorm. De kwaliteit wordt uiteindelijk gerealiseerd door ‘zelvertrouwen' bij de klanten en gebruikers van het certificaat. Eigenlijk slaat het om naar een verwachting. ‘Ik zie het slotje, dan zal het wel goed zijn.' Wanneer dat vertrouwen ineens ernstig geschaad wordt, valt het principe als een kaartenhuis in elkaar. Voor klanten en gebruikers zal het lang duren voor er weer zelfvertrouwen is opgebouwd. Hoe snel dat gaat is mede bepalend voor de kansen van Diginotar.
Eric van Uden, sales manager, AVM
Diginotar had in de wereld moeten staan voor veilige verbindingen. Door een betrouwbaar certificaat kan je er vanuit gaan dat je met de juiste bron te maken hebt en dat de (persoonlijke) informatie alleen maar terecht komt waar het ook terecht moet komen. Nu blijkt dat de veiligheid van de verbindingen met een server niet meer gegarandeerd kunnen worden door een lek in het systeem. De overheid trekt zijn vingers af van Diginotar. Dit heeft tot gevolg dat er terecht onrust ontstaat over dit bedrijf. Ik verwacht dan ook dat ze het heel moeilijk gaan krijgen indien ze niet op zeer korte termijn het vertrouwen weten te herstellen. Je kunt jezelf ook afvragen of het verstrekken van een certificaat voor een overheidsinstantie wel bij een commercieel bedrijf thuis hoort. Ik neig ernaar om dit niet door een commercieel bedrijf te laten regelen maar door een non-profit organisatie die op de een of andere manier onder controle staat.
Servan Huegen, eigenaar. JobServant
Als de berichtgeving waar is over Diginotar, gaan ze zeker kopje onder. De basis voor een ‘trusted party' die certificaten uitgeeft is… inderdaad vertrouwen! De complete overheid heeft het vertrouwen in Diginotar opgezegd en daarmee het doodvonnis getekend. Een open Wi-Fi-netwerk en het feit dat de omgeving voor aanmaken van de certificaten via het bedrijfsnetwerk verbonden was, zal bij een professionele CA niet mogen voorkomen.
Arnoud Hablous, enterprise sales manager Nederland, Trend Micro
Diginotar zal alles op alles moeten zetten om te overleven. Als ik de voorlopige conclusies van Fox-IT bekijk, dan kunnen we gerust zeggen dat Diginotar een aantal belangrijke fouten heeft gemaakt. Maar de Diginotar-case lijkt niet op zichzelf te staan. Zo wordt nu bekeken of het statement klopt waarin een link wordt gelegd met de Comodo-case, een eerdere hack van certificate authority Comodo. Dat bedrijf is sinds de hack in maart nog steeds in business en bezig met het opnieuw opbouwen van de reputatie.
Diginotar lijkt volledig mee te werken met de diverse instanties, geeft volledige transparantie en heeft het operationele beheer overgedragen aan de overheid. Acties die de indruk moeten geven dat Diginotar schoon schip maakt. Voor alle andere certificate authorities is het nu in elk geval code rood. Kam je beveiliging dan ook met de grootste zorg uit, intensifieer de beveiliging, werk samen met gespecialiseerde partijen, leer van de Comodo- en Diginotar-cases en monitor de infrastructuur met de grootste nauwkeurigheid.
Jerome Waaldijk, regional sales manager Benelux, Blue Coat Systems
Of Diginotar ten onder gaat als gevolg van de fouten die gemaakt zijn valt nog te bezien, wel is het zo dat de grootste klant alsmede het moederbedrijf het vertrouwen in de organisatie hebben opgezegd. Dit gebrek aan vertrouwen en het gebruik van een andere certificaatverstrekker kan in de toekomst een negatieve impact hebben op Diginotar. Een CA moet zo veilig zijn als de zwaarst beveiligde gebouwen zoals Fort Knox. Zeker gezien de hoeveelheid beveiligd dataverkeer die heden ten dagen via het internet plaatsvindt met uiterst gevoelige data.
Wat afgelopen tijd is gebeurd geeft wel aan dat er voor bedrijven en instellingen nog steeds een behoefte is voor een oplossing die de integriteit van een website en hun certificaat kunnen verifiëren alsmede de gebruiker kan begeleiden cq. coachen bij bezoek aan eventueel malafide websites. Daar blijft mijns inziens wel behoefte aan: een onafhankelijk CA voor de overheid, maar dan wel goed beveiligd!
Johan van Gestel, presales consultant Benelux, Netasq
Als beveiligingsleverancier hebben we vanwege Diginotar ook even snel moeten schakelen en hebben we ondertussen een hele hoop extra beveiligingenmaatregelen genomen tegen mogelijke issues. Vanuit Google-hoek heb ik ondertussen de volgende officiële reactie gezien:
‘Our top priority is to protect the privacy and security of our users. Based on the findings and decision of the Dutch government, as well as conversations with other browser makers, we have decided to reject all of the Certificate Authorities operated by Diginotar. We encourage Diginotar to provide a complete analysis of the situation.'
Momenteel krijgt Diginotar het dus bijzonder hard te verduren en hiermee wordt nogmaals in de verf gezet dat iedereen zich continu bewust dient te zijn van mogelijke intrusions, attacks, hacks en personen, groepen en ondertussen georganiseerde misdaad die met de slechtste bedoelingen persoonlijke en bedrijfsgegevens proberen te onderscheppen.
Maarten Stultjens, business development manager, Bhold
Valse certificaten zijn nog maar het topje van de ijsberg. De publieke verontwaardiging over onrechtmatige toegang tot privacygevoelige gegevens in beheer bij de overheid is terecht, zeker nu het erop lijkt dat die informatie mensenlevens in gevaar kan brengen. We moeten het debat echter niet beperken tot de strikte toegang tot een website; wat achter de website gebeurt, is minstens zo belangrijk.
Waar het publiek geen weet van heeft is hoe slecht wordt omgegaan met het beheer van en de controle op toegang van toegelaten gebruikers. Wat mag iemand, hoe wordt dat beheerd en verantwoord? Twee recente voorbeelden van zogenaamde ‘ghosts' in overheidssystemen illustreren dit. Onlangs bleek dat overleden mensen nog iedere dag van een kernapplicatie gebruikmaken. Als een ander voorbeeld bleek dat toegang tot belangrijke dossiers niet kan worden herleid naar ambtenaren. Beheer- en verificatieprocessen schieten schromelijk tekort waarmee privacyschending en fraude ook achter ‘veilige' certificaten door de overheid niet kunnen worden uitgesloten. Iedere it-audit zal dit manco direct zichtbaar maken. Het zou mooi zijn als de minister ook deze problematiek zou betrekken in het debat over informatiebeveiliging en niet uitsluitend Diginotar als zondebok gebruikt.
Hans Reinhart, business development manager, Terremark
Dat de huidige situatie rond de beveiligingscertificaten verstrekt door Diginotar tot reflectie noopt, is overduidelijk. Naar nu blijkt lijken er lacunes te zitten in de processen dan wel de uitvoering daarvan. Die moeten leiden tot een situatie waarin de klant voldoende garanties heeft met betrekking tot de (ingekochte) veiligheid. Zelfs wanneer de meldplicht voor datalekken, die onderdeel is van het Wetsvoorstel voor de grote wijzigingen van de Telecommunicatiewet, al ingevoerd zou zijn, had het incident kunnen gebeuren.
Om de actuele situatie omtrent het vertrouwen in informatieveiligheid om te buigen, is het daarom belangrijk dat er keteninzicht komt. De klant heeft momenteel te weinig inzicht in waar welke verantwoordelijkheden inzake beveiliging liggen, hoe deze worden uitgevoerd en hoe ze vervolgens getoetst worden. Tegelijk is er vanuit leveranciers, adviserende en controlerende instanties en de overheid niet genoeg aandacht voor of inzicht in de belangen van de klant en gebruiker. Nu is dan ook de juiste tijd om eerste stappen te zetten en de verschillende disciplines samen te brengen om de structuur aan te pakken en het onderlinge vertrouwen in een digitale wereld echt serieus te borgen.
Nienke Ryan, product- en strategiemanager, Nod32
Ik denk dat de toekomst van Diginotar heel onzeker is. Veiligheidscertificaten moeten zorgen voor de beveiliging van websites en systemen. Zij geven je de garantie dat je daadwerkelijk met de authentieke website of systemen communiceert en dat de communicatie veilig verloopt. Nu zijn de certificaten van Diginotar door hackers onbetrouwbaar geworden. Gemeenten leggen bijvoorbeeld sites stil of raden aan om niet in te loggen. Dit heeft een enorme impact op het vertrouwen van de digitale consument, want de certificaten zouden je juist de zekerheid moeten geven dat alles veilig is. Je weet nu niet meer waarop je kunt vertrouwen. Diginotar zal nog lang met onveiligheid geassocieerd worden. Dat is heel schadelijk voor een bedrijf. Diginotar heeft een imago gekregen wat heel moeilijk en misschien wel nooit meer op te poetsen is.
Jan van der Sluis, senior manager identity solutions, Unisys Nederland
Eigenlijk dachten we niet dat het kon gebeuren. Een aantal jaar geleden leek alles op orde: certificaten in een kluis, toegang met bewaker en smartcards, laptops afgeven, paspoort laten zien en dergelijke. Maar ook Diginotar heeft te maken gehad met de groeiende business van een certificaat verstrekker. Je hoeft er niet zoveel voor te doen, en iedereen heeft het nodig. Dus dat betekent: groeiende business. Zou het zou kunnen zijn dat de groei zo sterk geweest is dat er gaten zijn gevallen in de beveiliging van de operaties? Ik kan me nauwelijks voorstellen dat er een andere reden geweest is om een onbeschermd netwerk of niet-virusvrije PC's te hebben. Het incident kwam. Daarna had men alert en professioneel moeten reageren, heeft men dit onderschat of gewoon nagelaten? Ook dit soort procedures moeten worden ge-audit en getest! Nu lijkt het te laat. Ook Fokker maakte goede vliegtuigen, zullen we maar denken.
Marinus Kuivenhoven, senior security specialist, Sogeti Nederland
Vanuit het verleden blijkt dat mensen erg goed zijn in het vergeven dan wel vergeten van problemen bij organisaties. Dat zie je bijvoorbeeld bij de milieuramp veroorzaakt door BP. Maar het is ook heel goed merkbaar bij de Nederlandse banken die groot in het nieuws zijn geweest doordat er hack heeft plaats gevonden. Het enige dat de bank merkt is een lichte daling in nieuwe klanten gedurende enkele weken na de aanval. Men gaat er vanuit dat de problemen nu worden opgelost. Maar ook geld dat het wisselen van de geleverde dienst naar een ander bedrijf niet altijd makkelijk is.
Bij Diginotar speelt een ander probleem. Het hele principe achter TLS is gebouwd op vertrouwen. Echter zijn het hier niet dat de consumenten Diginotar niet vertrouwen, dat zou zoals hierboven aangegeven nog wel goed kunnen komen, maar de consumenten vertrouwen de softwaremakers. En juist die groep is terecht kritisch en heeft nu Diginotar opgegeven. Niet alleen door de hack, maar ook de opeenstapeling van fouten die de aanval mogelijk maakte en de dubieuze manier van handelen na de constatering. Door deze omstandigheden is er simpelweg geen basis om een partij als Diginotar te vertrouwen. Doordat nu ook het moederbedrijf Vasco zich terugtrekt, lijkt het mij daarom einde oefening.
Remco Bakker, operational manager, Cqure
Al jaren wordt gesproken over de kwetsbaarheid en afhankelijkheid van ‘vitale infrastructuren'. Voor veel mensen zal dit altijd een hoog abstractiegehalte gehad hebben, maar de gevolgen van het verbreken van de ketens van vertrouwen beginnen nu pas echt zichtbaar en merkbaar te worden voor heel veel mensen, instanties en bedrijven. Aangiftes die niet vertrouwd kunnen worden, diensten die we ongemerkt al volledig digitaal afnemen en verlenen blijken plots niet meer betrouwbaar, de gevolgschade zal ongetwijfeld groter zijn dan de directe zakelijke en reputatieschade die Diginotar en Vasco nu al opgelopen hebben.
Daarnaast is opnieuw pijnlijk zichtbaar geworden, dat een controle op het proces, zonder daadwerkelijk diep inhoudelijke kennis van de inhoud van dat proces te hebben, alleen maar kan leiden tot juridisch goed verwoorde controleverklaringen, die inhoudelijk net zoveel waard zijn als het papier waar ze op geschreven zijn. Voeg er dan nog wat opportunisme, beperkte kennis, geld en geheimhouding aan toe, et voila, de receptuur voor een explosieve cocktail is klaar. Een trieste geschiedenis.
