Diginotar is 20 september 2011 door de Haarlemse rechtbank failliet verklaard. Dat meldt moedermaatschappij Vasco Data Security die het bankroet heeft aangevraagd. Bij het bedrijf uit Beverwijk werkten vijftig mensen. Diginotar kwam in moeilijkheden nadat er digitale beveiligingscertificaten waren gehackt en minister Donner van Binnenlandse Zaken en Koninkrijksrelaties het vertrouwen in de onderneming opzegde.
Vasco, dat Diginotar begin januari 2011 overnam, laat in een perscommuniqué weten rekening te houden met het inboeken van een fors verlies als gevolg van de afwikkeling van het faillissement en de te verwachten schadeclaims. Het bedrijf benadrukt dat het een deel van de technologie van Diginotar wil hergebruiken en opnemen in zijn authenticatieplatform. Het betreft de pki/identiteitsverificatie-technologie van Diginotar. De overname is dan niet helemaal voor niets geweest, al geeft Vasco wel aan dat het voorlopig geen plannen heeft om opnieuw de digitale certificatenhandel in te gaan.
Geen infectie
Topman Kendall Hunt stelt dat de gang van zaken rond Diginotar geen gevolgen heeft voor de Vasco-authenticatietechnologie. Volgens hem waren de netwerken van beide bedrijven gescheiden en is er geen sprake van infectiegevaar. Verder meldde Kendall Hunt dat zijn bedrijf met de Nederlandse overheid wil samenwerken om de hackers te pakken te krijgen die verantwoordelijkheid zijn voor de digitale inbraak bij Diginotar.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties laat weten dat met de curator van het bedrijf, Rocco Mulder van advocatenbureau Pot Jonker Seunke uit Haarlem, is afgesproken dat de betrokkenheid van de Staat ook tijdens de afwikkeling van het faillissement ongewijzigd doorgaat. Nog niet alle overheidsgebruikers van de Diginotar-certificaten zijn namelijk overgestapt naar certificaten van andere leveranciers. Daarvoor zal naar verwachting nog wel enkele maanden duren. Afgelopen 3 september nam de overheid het operationeel beheer van de certificaten van Diginotar over.
Curator Mulder verklaarde tegenover het Radio 1 Journaal dat voor het overgrote deel van de Diginotar-medewerkers ontslag is aangevraagd. Een kernteam blijft nog tijdelijk actief om klanten te helpen naar andere certificaatleveranciers over te stappen. Volgens Mulder droogde de inkomstenstroom bij het authenticatiebedrijf op nadat minister Donner Diginotar in de ban had gedaan en waakhond Opta het bedrijf verbood nieuwe certificaten uit te brengen. Toen vervolgens ok de niet-overheidsklanten wegliepen stevende het bedrijf regelrecht af op een bankroet. De curator zei ook dat inmiddels de eerste schriftelijke schadeclaims van gedupeerde klanten binnen zijn gekomen.
De kogel is door de kerk: Dignotar failliet!
Zelf heb ik jarenlang gewerkt aan de ontwikkeling van de business van elektronisch bankieren van een van de grootste banken van ons land; van 0 tot ruim 3 miljoen gebruikers. Heb ook gewerkt met Diginotar en met Vasco. Als geen ander weet ik hoe het werkt met het kunnen vertrouwen van de aanbieder én dat de klanten daar dan ook blindelings op vertrouwen. Duidelijk is uit de rapporten dat Diginotar fouten heeft gemaakt. En alle IT-journalisten en beveiligingsspecialisten vallen vervolgens over dit bedrijf heen; het ene commentaar bezorgd, het merendeel vol leedvermaak. Maar niemand geeft aan het triest te vinden dat zoiets kan gebeuren. Jammer voor zo’n bedrijf, voor de menmsen die nu op straat staan en het leed dat hiermee samengaat. Heeft het management van Diginotar en de IT afdeling steken laten vallen? Geen goede analyse van bedreigingen, oplossingen, restrisico’s en tijdig aanpassingen aangebracht? Net niet in staat gebleken de hackers voor te blijven. De PWC auditors die niet bij de tijd bleken te zijn en procedures controleren, maar qua IT-hacking technologie niet het Diginotar management konden waarschuwen? Een overheid die niet kritisch is en niet investeert in eigen expertise? Kijk maar naar de laatste berichten over Digid, het verschijnen van de miljoenennota op internet, etc. Een minister Donner die het bedrijf Diginotar niet de gelegenheid geeft snel aanpassingen door te voeren, maar blindelings en gebaseerd op ingefluisterde adviezen de opgebouwde business van Diginotar onderbrengt bij concurrent Getronics. Waarvan ook niet bekend is dat het bij hun beter is, dat de continuïteit is gewaarborgd en waarvan de merknaam gaat verdwijnen.
Waar ik mij aan stoor is dat, los van de fouten die primair bij Diginotar zijn gemaakt, kennis en kunde wordt misbruikt om dit soort kleine rampen te veroorzaken. Jammer dat een bedrijf als Diginotar, moeizaam opgebouwd, maar na zoveel jaren succesvol in de markt moet sneuvelen door een hacker die aan de verkeerde kant van de streep zijn kwaliteiten etaleert.
Het is triester dat een bedrijf waarvan de business case was gebaseerd op vertrouwen, dat vertrouwen zo misbruikt heeft door er intern een zooitje van te maken.
@Bert Willems: Er zullen vast medewerkers zijn die part noch deel hebben gehad aan het falen van Diginotar. Voor hun is het jammer. Maar Diginotar ging niet failliet door een inbraak door een hacker. Het ging failliet doordat men niet eens serieus had geprobeerd hackers buiten te houden, doordat de administratie van certificaten niet op orde was, doordat men vastgelegde verplichtingen niet nakwam. Maar Diginotar ging vooral failliet doordat men de inbraak lang heeft verzwegen.
Hoe kan je verwachten dat Donner Diginotar “de gelegenheid geeft snel aanpassingen door te voeren” als Diginotar niet eens haar belangrijkste klant heeft geïnformeerd wat er aan de hand was? Dan is er geen enkel vertrouwensbasis meer.
Bij de meeste bedrijven is het inderdaad jammer als ze het niet redden. Maar sommige bedrijven verdienen het te falen. Als maar de helft van de berichten hier en in de overige media klopt was Diginotar er een van.
Vertrouwen komt te voet en gaat te paard en als je omgekeerd handelt lijkt consequentie me onomkeerbaar. Zeker als je core business vertrouwen is. Maar niet alleen Diginotar treft hier blaam want de overheid heeft boter op het hoofd, evenals de ingehuurde auditors.
Een ander gezegde luidt namelijk dat vertrouwen goed is maar controle beter. En hier gaat het vaak mis omdat audits meestal uit gaan van bekende fouten die eerder aan het licht gebracht zijn door bijvoorbeeld klokkenluiders. Maar in het land der blinden blijft eenoog nu eenmaal koning en dus kunnen we wachten op de volgende fouten.
Want overheid is niet foutloos maar lijkt wel hier wel haar verantwoordelijkheid te willen ontlopen. Maar het is altijd makkelijker om de put te dempen nadat het kalf verdronken is. Deze keer was het een hacker die de bel deed luiden over falend toezicht.
Inderdaad heel jammer voor de mensen die bij DigiNotar in dienst zijn, hun baan is door deze hele toestand ineens weggevallen. Het lijkt mij dan ook logisch dat er een onderzoek gedaan moet worden naar de verantwoordelijken binnen de DigiNotar organisatie, die bepaald hebben dat de systemen nauwelijks beveiligd waren, die bepaald hebben dat de hack maandenlang werd verzwegen, die dus voor het geld gingen en het met beveiliging niet zo nauw namen. Maar ook degenen die binnen de organistatie niet gewaarschuwd hebben voor dit soort slechte beveiliging. Dat kan twee oorzaken hebben: of DigiNotar had incompetent personeel of DigiNotar heeft verzuimd het personeel voldoende op te leiden.
Overigens vindt ik het terecht dat het vertrouwen in DigiNotar is opgezegd, hoe vervelend dat ook voor de ‘onschuldige’ betrokkenen is.