Het zijn twee hectische jaren geweest voor Diginotar-medeoprichter Tony de Bos. Het ging van de hoogste piek tot het diepste dal. De hoogste piek was de verkoop van ‘zijn’ Diginotar aan Vasco in januari 2011, gevolgd door het diepste dal: het faillissement van het bedrijf in september 2011. Oorzaak was de hack van een veiligheidscertificaat waardoor vooral de overheid het vertrouwen in Diginotar opzegde. ‘Doodzonde’, meent De Bos, ‘Diginotar had niet kopje onder hoeven gaan.’
Vrijuit praten over Diginotar kan Tony de Bos niet. Hij heeft een geheimhoudingsverklaring getekend omtrent de interne bedrijfsvoering, waardoor hij moeilijk over de situatie bij de certificaatverstrekker kan praten. Dat brengt hem regelmatig in een lastig parket, want De Bos is inmiddels het nieuwe securitybedrijf Cybbos gestart en over de lessons learned in de Diginotar-affaire geeft hij workshops. Een lastige positie, omdat hem steeds weer gevraagd wordt naar zijn rol in het faillissement van Diginotar. Tegenover Computable doet hij, zeer voorzichtig, zijn verhaal.
Nieuwe directie na overname
‘Het is nog steeds doodzonde dat het gebeurd is, we deden echt goede en leuke dingen bij Diginotar. De ondergang van Diginotar doet mij nog steeds heel veel pijn. Ik ben vanaf de oprichting bij Diginotar betrokken geweest en ben zelfs aangebleven nadat Vasco het had overgenomen. Ik was alleen niet meer eind- of hoofdverantwoordelijk. Met de nieuwe Vasco-directie boven mij ging ik er werken als business development director.’
‘Ten tijde van de hack was ik op vakantie. Ik heb aangeboden om terug te komen naar Nederland om te helpen. Dit hoefde niet, Vasco heeft mij niet meer gebeld. Doordat ik niet meer verantwoordelijk was, was dit voor mij ook geen discussie meer. Toen ik terug op kantoor kwam, was het vrij rustig. Het geheel was afgehandeld en opgelost, zo werd mij verteld. De zaak was dus afgesloten.’
Overheid gaf nekslag
‘Tot het moment, die bewuste maandag eind augustus 2011. Govcert brengt informatie naar buiten over dat ene certificaatje van Diginotar en dan gaat het heel hard. Dan wordt het heel hectisch en wil iedereen over de hele wereld je spreken. Er was gewoon geen ruimte meer voor slapen, iedereen wilde weten wat er gebeurd was. Contact hadden we vooral met de browserleveranciers, maar we konden hen lastig antwoord geven. Veel hing namelijk af hoe de browserfabrikanten zelf de zaken geregeld hadden. Maar alles was te regelen.’
‘De nekslag voor Diginotar was het besluit van de overheid om het vertrouwen op te zeggen. Daar kwam het besluit van de Opta overheen om onze registratie te beëindigen. Onze certificaten waren maar zeer beperkt relevant voor de ssl-certificaten. Er moesten misschien iets van vijfhonderd certificaten vervangen worden, dus dat was niet het probleem. Ik denk dat de overheid in een situatie terecht was gekomen, waar zij niet meer uit kwam. Er had voor deze certificaten kunnen worden gecheckt of er rommel tussen zat, dan was het merendeel van de certificaten bruikbaar gebleken. Gefaseerd en gecontroleerd overgaan naar nieuwe certificaten was dan nog altijd mogelijk. Het besluit om alles overboord te gooien, was niet slim. De betrokken ambtenaren snapten het systeem niet.’
Verstrekkende gevolgen
‘Ik denk dat de overheid onder druk is gezet door Microsoft om met PKIoverheid te stoppen. Dat zou dan verstrekkende gevolgen voor Defensie hebben en dat wilde men niet. Daarom werd Diginotar overboord gezet. Ze konden ook de situatie beheersen en stappen ondernemen of ze hadden op z’n minst een ander beeld kunnen creëren.’
‘Hoewel ik ten tijde van de hack niet verantwoordelijk was, kreeg ik wel een rol toen de hack naar buiten kwam. Ik werd een doorgeefluik tussen Vasco en de overheid. Ik nam die rol op mij, omdat ik mij verantwoordelijk voelde voor de zestig mensen die bij Diginotar werkten. Het blijft toch je kindje. Ik vond dat wel een heel vervelende situatie. Gelukkig hebben vijftig tot 55 mensen na het faillissement weer een baan gevonden. Eentje is zelfs voor mij komen werken, in mijn nieuwe bedrijf Cybbos.’
Iedereen wordt gehackt
‘Na Vasco heb ik eerst even niet zoveel gedaan. Daarna ben ik tot de zomer van 2012 actief geweest als zzp’er. Toen ben ik Cybbos begonnen, een idee waarmee ik al langer rondliep. Cybbos is gespecialiseerd in het voorkomen, detecteren en oplossen van incidenten op het gebied van cybersecurity. Ik denk dat er heel belangrijke lessen te trekken zijn uit bijvoorbeeld de Diginotar-affaire en daar kunnen wij organisaties bij helpen. Mijn denken en reageren zijn wel heel erg gekleurd, je bent je heel erg bewust dat je gehackt kan worden. Het is anders als je het hebt meegemaakt.’
‘Met Cybbos werken we vooral aan bewustwording. Het is niet de vraag of je gehackt wordt, maar wanneer. Het overkomt namelijk iedereen. Daarom houden wij ons ook bezig met risicomanagement en stellen wij beleid op dat uitgaat van onverwachte gebeurtenissen. Daarnaast monitoren we continu en voeren audits uit. Er zijn op dit moment maar weinig organisaties die deze zaken gecombineerd aanbieden. Wij leveren advies én tools, we brengen ze bij elkaar. Wij concurreren dan ook met de bekende auditors, leveranciers van technologie en met partijen als Fox-IT en Verizon op monitoring-vlak.’
Wapenen tegen hackers
‘Als organisatie zijn er een aantal zaken zeer relevant om je te wapenen tegen hackers. Zo moet je weten welke assets je hebt en moet je het gedrag van je systemen kennen. Daarnaast moet je continu je security monitoren. Dan gaat het om scanning, logging, monitoring en intrusion detection. Alle signalen moeten vervolgens geclusterd worden. Uit veel hacks blijkt dat het nodig is om alle data veilig te stellen. Met Cybbos faciliteren we dit in een on site-model, zoals ook gebeurt in een managed security partnerschap, en richten we ons vooral op middelgrote bedrijven.’
‘Een hacker kan heel veel motieven hebben, je weet als organisatie nooit met wie te maken hebt. Misschien is er iemand niet blij of heb je te maken met een boze medewerker of een concurrent. Je moet daar wel allemaal rekening mee houden. Bedrijven die internet in hun dienstverlening hebben, zouden meer in control moeten zijn. Neem bijvoorbeeld de overheid, en dan specifiek gemeenten. Die zouden een veiligheidsfunctionaris moeten hebben. Gemeenten moeten logging en monitoring hebben.’
Grote wake up call
‘Bij de overheid is alles heel erg zwart/wit, de lat ligt hoog en falen is geen optie. Diginotar was dan ook een grote wake up call voor de overheid. Zo is het Nationaal Cyber Security Centrum (NCSC) opgezet, gaat een commissie twee jaar nadenken over security, is er een richtlijn opgesteld over hoe om te gaan met certificaten en is er een awareness-campagne gestart. Daarin is Diginotar telkens de centrale aanleiding. Dat is wel goed, al had de aanleiding anders moeten zijn. Er worden veel stappen genomen als gevolg hiervan. Het pki-programma is zelfs helemaal op z’n kop gezet. Ook Microsoft heeft updates doorgevoerd hoe om te gaan met certificaten.’
‘Met Cybbos merk ik dat mijn imago me soms wel in de weg zit. Potentiële klanten nemen niet altijd de stap om contact op te nemen, althans dat gevoel heb ik. Ik vind dat nogal kortzichtig. Als je verder kijkt, dan zie je dat Diginotar een complex gebeuren is. Je kan er van leren. Daarom heb ik ook samen met Considerati een workshop opgezet waarin we de lessons learned van Diginotar behandelen. Hierin schetsen we een beeld van het landschap waarin we staan. We proberen dit door te vertalen naar de eigen organisatie. Mensen willen graag zo’n situatie kunnen plaatsen en er niet zelf in verzeild raken.’
2013
‘Je moet jezelf als organisatie klaarmaken voor een hack. Alles wordt connected, dus de kans op een hack wordt steeds maar groter. Er is nog een hele slag te maken, ook in de ict-wereld. Met Cybbos gaan we daar het komende jaar actief mee aan de slag. Als doelstelling voor 2013 hebben we dat we ons concept bij een aantal klanten willen implementeren. We zetten niet in op groei, maar op professionele bediening. Daar stemmen wij dan wel weer de groei op af.’
‘We proberen op realistische wijze in termen van geld en mensen te komen tot optimale bescherming. Sommige mensen vinden me overdreven, maar ik zit er nou eenmaal stevig in. Dit komt vooral door Diginotar. Op termijn willen we wel de Diginotar-casus in de communicatie afbouwen. Ik had deze ervaring ook liever niet gehad en zat nog het liefst met Diginotar bij Vasco. Nu ben ik alleen bezig met Cybbos. Ik krijg daar energie van, al loop ik voor niets weg. Als ik ooit nog eens de kans krijg, dan schrijf ik een boek over Diginotar. Maar nu nog even niet, het centrale thema voor 2013 wordt het op de kaart zetten van Cybbos.’
Biografie
Tony de Bos startte zijn carrière als it-auditor bij Deloitte. Nadat hij ruim een jaar als senior consultant bij KPMG had gewerkt, zette hij in april 1999 Diginotar op. Na de overname door Vasco per 1 januari 2011 trad hij als business development director bij dit securitybedrijf in dienst. Na het faillissement van Diginotar heeft hij een klein jaar als zelfstandige geadviseerd. In november 2012 startte De Bos Cybbos.
Dit verhaal is echt te bizar voor woorden. Het lijkt wel of die man ’the big picture’ van hetgeen gebeurd is nog niet door heeft. En zijn advies inhuren wetende wat er allemaal mis was bij Diginotar? Dacht het niet!
“dat ene certificaatje”…. nogal een understatement!
En “optimale bescherming”…. hoe zullen de Iraanse slachtoffers daar over denken??
“Zo moet je weten welke assets je hebt en moet je het gedrag van je systemen kennen.”
Hear, hear.
Suggestie… Misschien eens een cursus communicatie volgen?
Nog afgezien van de inhoud?
@Computable: “De betrokken ambtenaren snapten het systeem niet”.
Misschien willen de betrokken ambtenaren daar wel op reageren?
Er zijn niet veel mensen die een dergelijk incident hebben meegemaakt. De kennis en ervaring die je opdoet tijdens en na zo’n incident is en blijft waardevol ook al droeg je de initiele verantwoordelijkheid.
Ik denk dat iemand die aan den lijve heeft meegemaakt wat er allemaal mis kan gaan in een bedrijf en een gezonde drive, zelfreflectie en commitment heeft juist beter in staat is om een “v2.0” organisatie te lanceren.
De vraag alleen is; is Tony de Bos zo’n persoon en heeft hij al niet teveel geloofwaardigheid verloren in een markt die niet vergevingsgezind is..
Hij zal zich nu moeten bewijzen terwijl hij 3-0 achterstaat en dat is lastig.
@Marcel: De gevolgen van het incident hebben idd niet veel mensen (als verantwoordelijke zijnde) meegemaakt, maar de oorzaak wel. En het is de oorzaak waar wat te verbeteren viel en waar wat te leren valy voor Tony de Bos. Echter, de oorzaak betreft beginnersfouten. Leuk dat hij daar wat van kan leren, maar de rest van de wereld zit daar niet op te wachten. Dus nee, zijn adviesbureau kan je beter negeren.
Mooi artikel, mooi verhaal! Vaak krijg je geen follow-ups van dit soort zaken en toch moedig dat hij dit artikel laat opmaken.
Net als bij stelletjes die je kent, kun je niet makkelijk in de relatie van iemand anders kijken. Diginotar leek en lijkt een ernstige zaak waar meer is gebeurt dan een hack, er was sprake van meer dan één slordigheid en een foute mentaliteit…. Althans, zo zag het eruit vanaf de buitenkant! Wat er precies aan de hand is, is volgens mij niet erg transparant. Affikken van mensen is makkelijker dan je verdiepen. Achter elk verhaal zitten ook nog veel andere verhalen en deze worden niet verteld waardoor je vanaf de buitenkant maar een zeer beperkt deel ziet.
Fouten maken we allemaal en velen komen er gewoon mee weg. Ik heb wel een mening over deze hele zaak, maar laat wel een opening om deze te herzien. De lezing van Tony hierover lijkt mij natuurlijk heel interessant, zeker als het juk van de geheimhouding losser word.
De mentaliteit waaraan Diginotar is ten onder is gegaan zie je nog steeds in veel Nederlandse ICT bedrijven. Dus wat dat bedreft is het een uitgelezen business opportunity. En de Diginotar casus is dan ook een goed argument om wél die investeringen te doen om te zorgen dat het bedrijf af te schermen voor beroeps hackers.
Krokodillentranen.
Als je al jaren achter loopt met je beveiliging maakt het niet uit of het gebeurd op het moment dat je op vakantie bent. Het was een paar jaar daarvoor al geconstateerd door een extern bedrijf en er was niets aan gedaan. Daarvoor lijkt me deze persoon wel verantwoordelijk.
Dus is het bedrijf failliet door slecht management.
En kan hij het alleen zichzelf verwijten.
Degene die er uiteindelijk de stekker uit heeft getrokken (overhead) is zelf debet geweest aan het problem, door Diginotar toe te staan diverse omgevingen er op na te houden (PKIoverheid CA’s en Diginotar’s eigen CA’s) en die als ‘een’ te marketeeren, zonder dat de auditors van PKIoverheid enig zicht hadden hoe Diginotar CA’s warden beheerd. Als de overheid had geeist dat een PKIoverheid-provider alle overige PKI’s onder dezelfde audits vallen, dan was dit niet gebeurt. In dit licht is Diginotar dus een zondebok (al hebben ze het er wel zelf naar gemaakt).
Wat een dualiteit in één artikel. Eerst blijkt het met dat ene certificaatje nog mee te vallen. De ambtenaren snappen er niets van, de ondergang van Diginotar was onnodig. Dan het tegenovergestelde. We hebben hier veel van geleerd, het gevaar loert overal, vertrouw mij want ik weet hoe het zit.
Als er een X aantal certificaten niet meer betrouwbaar is, wat verzekert mij dan dat er niet nog één of twee meer onbetrouwaar zijn? De ambtenaren hebben dit keer juist gehandeld, het vertrouwen in de organisatie van Diginotar was weg en dus moest alles vervangen worden.
De heer De Bos heeft een waardevolle ervaring opgedaan en die mag hij met ons delen. Maar dat met zijn nieuwe bedrijf Cybbos zijn imago hem in de weg zit verbaast mij niks. Dat heeft hij voor honderd procent aan zijn verleden te danken. Als ICT-beslisser laat ik Cybbos met hun on-site model voorlopig niet in de buurt van mijn systemen, luisteren naar zijn ervaringen in een workshop vind ik voorlopig genoeg.
Wat jammer dat de kop van het artikel en de inhoud zo ver van elkaar afstaan.
Ondergaan is doodzonde? Waarom. Als je zegt: “iedereen wordt gehackt” en je vervolgens geen maatregelen neemt om te dealen met die situatie weet je toch niet waar je mee bezig bent?. Terugkomen omdat er geen procedure is bedacht voor die situatie? Lijkt me erg laat om de gevolgen te ondervangen? Lijkt me ook duidelijk uit het verdere verhaal. 1 gehackt certificaat(je) leidt tot 500 onbruikbare certificaten maar welke dat precies zijn is niet bekend en al evenmin wie ze gebruikt. Een beetje security expert houdt er rekening mee dat zijn maatregelen falen en neemt vervolgens maatregelen om de gevolgen daarvan te beperken. Of is er hieriemand die voor al zijn bankpassen dezelfde pincode hanteert en voor al zijn on-line bankieren hetzelfde wachtwoord?
Eigenlijk is er maar één reden dat het doodzonde is. Waarschijnlijk staat er straks een opvolger van diginotar op die dezelfde fouten gaat maken. En zijn de klanten daarvan dan weer niet bewust.
Wordt vervolgd….