Er is geen overheidswebsite van de overheid onveilig geworden door de aanval op telecomaanbieder KPN. Dat zegt woordvoerder Tijs Manten van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. KPN gaf op 4 november 2011 aan tijdelijk te stoppen met de uitgifte van veiligheidscertificaten, nadat ict-auditor KPMG tijdens een doorlichting ontdekte dat er tot vier jaar geleden een server is geprepareerd voor een DDoS-aanval. KPN Corporate Market (voorheen Getronics) is verantwoordelijk voor de uitgifte van overheidscertificaten.
Manten zegt dat dit een heel andere zaak is dan Diginotar. 'Er zijn hier geen valse certificaten in omloop, dus er zijn geen overheidswebsites of andere overheids-ict in gevaar. Er is bij een standaard test, die regelmatig onder certificaat-uitgevende instanties wordt gehouden, ontdekt dat er iets is voorgevallen bij KPN. Hierop is KPN samen met ons ministerie en digitale overheidsdienst Logius een onderzoek gestart om te kijken in hoeverre het veilig is en hoe de processen bij KPN georganiseerd zijn.'
De woordvoerder vergelijkt deze zaak met die van GlobalSign in Amerika. Manten: 'Zij hebben ten tijde van Diginotar eenzelfde probleem geconstateerd en de zaak bevroren. Uit onderzoek is gekomen dat de bestaande certificaten niet zijn aangetast en er geen verdere problemen zijn. Nu is GlobalSign weer verder gegaan met hun bedrijfsproces.'
Onderzoek bij KPN
Van het onderzoek bij KPN worden 8 of 9 november 2011 de eerste resultaten verwacht. 'Wanneer het sein 'veilig' is gegeven, dan kan KPN weer certificaten verstrekken', zegt Manten.
