Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen die veiligheid daardoor niet waarborgen. Dat staat in het rapport van de Onderzoeksraad voor Veiligheid, dat op 28 juni 2012 is gepubliceerd naar aanleiding van het Diginotar-incident. Veilig elektronisch gegevensverkeer is een basisvoorwaarde voor het functioneren en de continuïteit van veel overheidsorganisaties. Daarmee is het een rechtstreekse verantwoordelijkheid van het bestuur. Echter, de bestuurders zijn vaak niet in staat die goed in te vullen, waardoor het onderwerp aan de bestuurstafel onbesproken blijft en het bestuur te weinig sturing geeft. Bestuurders hebben een veel te grote afstand tot de problemen die samenhangen met digitale veiligheid.
De inbraak bij Diginotar in de zomer van 2011 maakte duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid. Het bedrijf leverde digitale certificaten, die gebruikt worden om elektronisch gegevensverkeer te beschermen. Ook de Nederlandse overheid maakte gebruik van certificaten van dit bedrijf. Door de inbraak ontstond het risico dat gegevens van burgers en bedrijven onderschept zouden worden en mogelijk misbruikt. Tot veler verrassing bleek dat niet snel kon worden overgeschakeld op een andere leverancier zonder dat de continuïteit van diverse essentiële gegevensstromen met en binnen de overheid ernstig in gevaar zou komen. Een consequentie had kunnen zijn dat gegevensstromen binnen de rechtspraak of de Belastingdienst stil kwamen te liggen. Omvangrijke maatschappelijke ontwrichting en economische schade zouden hiervan het gevolg zijn geweest. Uiteindelijk heeft de overheid er maanden over gedaan om alle Diginotar-certificaten te vervangen.
De Onderzoeksraad voor Veiligheid heeft zich gericht op de vraag hoe overheidsorganisaties digitale veiligheid bestuurlijk-organisatorisch waarborgen. Hiertoe is onder meer het handelen onderzocht van de betrokken partijen naar aanleiding van de inbraak bij Diginotar. Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij Diginotar en ook de inbraak zelf blijft buiten beschouwing.
Risico’s
De inbraak bij Diginotar kon volgens de Onderzoeksraad voor Veiligheid zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden. Meer in het algemeen concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt doordat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.
Ook bij de onderzochte gemeenten blijkt volgens de Onderzoeksraad sprake van een gebrekkig inzicht in de risico's die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ict-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders. Behalve bij de Gemeentelijke Basisadministratie wordt de digitale veiligheid in gegevensverwerkende processen van gemeenten niet altijd systematisch gewaarborgd.
Sociale Verzekeringsbank en Belastingdienst
De Onderzoeksraad concludeert dat bestuurders van veel overheidsorganisaties er onvoldoende in slagen om sturing te geven aan een goede digitale veiligheidszorg. Dat komt onder meer doordat zij zich te weinig bewust zijn van de bedreigingen waaraan digitale veiligheid bloot staat en de gevolgen die inbreuken op de digitale veiligheid kunnen hebben. Risico is bij digitale veiligheid volgens de Onderzoeksraad de maat en niet de uitzondering.
'De overheid moet zich daarvan bewust zijn en daar ook naar handelen', aldus een woordvoerder. 'Bestuurders van overheidsorganisaties ontbreekt het vaak aan de kennis die zij nodig hebben om hun organisaties op dit terrein aan te sturen. Zij slagen er beter in sturing te geven aan digitale veiligheid wanneer zij zich ervan bewust zijn dat dit een voorwaarde is voor de continuïteit van hun dienstverlening. De Sociale Verzekeringsbank en de Belastingdienst zijn hier voorbeelden van.'
Aanbevelingen
Bestuurders van overheidsorganisaties moeten van de Onderzoeksraad actief sturing geven aan digitale veiligheidszorg. Een openbare verantwoordingsplicht, vergelijkbaar met de verplichtingen die gelden op het gebied van financiën, kan daar volgens het instituut aan bijdragen. Het bestuurlijk toezicht moet worden verscherpt en de overheid moet zorgen dat de bestuurders meer kennis krijgen over aansturing van digitale veiligheid.
Ook moeten overheidsorganisaties van de Onderzoeksraad voor Veiligheid digitale veiligheid meer systematisch waarborgen. 'Afspraken hiervoor bestaan al langere tijd, maar worden beperkt nageleefd', aldus de woordvoerder. 'De risico's die met gegevensverwerking gepaard gaan, moeten op bestuurlijk niveau expliciet gewogen worden ten opzichte van de voordelen van een dergelijke verwerking. Ten tweede moeten zij systematisch inventariseren welke risico's de digitale veiligheid bedreigen en hiertegen passende maatregelen treffen. Niet alleen preventie, maar ook herstel na incidenten moet hiervan onderdeel uitmaken; volledige veiligheid is immers geen reële verwachting.'
De inbraak bij Diginotar was erg onwaarschijnlijk geweest als Diginotar alleen Open Source-systemen had gebruikt (incl. drivers in de hardware). Het gebruiken van Open Source dwingt de programmeurs namelijk om netjes en vooral veilig te programmeren: iedereen kan het immers zien als je broddelwerk aflevert. Dat weten die programmeurs ook. Die voelen zich bekeken als ze hun code inkloppen. En zo hoort het ook, voor code waar ‘het publiek’ afhankelijk van is.
De overheid zelf (en dus zeker niet alleen Diginotarachtige bedrijven zelf) moet ook op Open Source overgaan, wil men inderdaad veiliger te werk kunnen gaan. Gelijk is dat een opsteker voor onze handelsbalans – het scheelt vele miljoenen naar Redmond en consorten pompen.
Beste m, of er nou Open Source of Closed Source software gebruikt werd, maakt niets uit. Elke software kan gehacked worden. Het probleem bij Diginotar was gerelateerd aan de intern niet opgevolgde procedures, processen, slechte wachtwoorden enz.
Als jij graag een Open Source HSM wilt hebben, dan wens ik je veel succes. Alle HSM’s op de markt zijn Closed Source. Misschien gebaseerd op een Open Kernel (zoals Thales devices gebaseerd zijn op BSD), maar de machine-specifieke zaken zijn zeer zeker wel Closed Source.
Veiliger werken heeft niets met de gekozen software te maken.