De bestuurders van Diginotar moeten geld betalen aan nieuwe eigenaar Vasco, vanwege de beruchte hack in 2011. Dit is het gevolg van een garantiebepaling in het overnamecontract, waarin de voormalig eigenaren van Diginotar garanderen afdoende maatregelen voor de eigen ict-beveiliging te hebben genomen. Een wijze les voor ondernemers die hun bedrijf willen verkopen: wees er zeker van dat it-security effectief is voordat je het bedrijf verkoopt.
Ken je Diginotar nog? Dat was die grote Nederlandse leverancier van beveiligingscertificaten, die ruim drie jaar geleden het slachtoffer werd van hackers. Daarbij werden beveiligingscertificaten voor websites buitgemaakt, waarmee het vervolgens mogelijk was om beveiligde internetverbindingen (https) af te luisteren. De impact van deze hack was groot, want het wereldwijde beveiligingssysteem van internet is gebaseerd op vertrouwen, onder andere vertrouwen op basis van deze digitale ‘echtheidscertificaten’. Maar de partij die deze betrouwbaarheid moest valideren, bleek zelf helaas onbetrouwbaar te zijn. Een ware klap voor dit beveiligingssysteem. De Nederlandse overheid moest hals-over-kop voor digitale overheidsdiensten nieuwe certificaten implementeren en Diginotar ging failliet.
Aansprakelijkheid
Inmiddels heeft de rechter uitspraak gedaan in een rechtszaak die liep tegen de voormalig bestuurders en eigenaren van Diginotar. De rechter heeft geconcludeerd dat de eigenaren aansprakelijk zijn voor de hack en dat zij een ‘boete’ moeten betalen. Je zou kunnen denken dat het bedrijf werd gedagvaard omdat het had gefaald om de verwachte beveiliging aan de Nederlandse overheid (en andere partijen) te leveren. Of dat deze zaak draaide om de geleden schade vanwege de maatregelen die genomen moesten worden naar aanleiding van de hack. En dat elke leverancier van certificaten in een vergelijkbaar scenario dit zou overkomen. Maar nee, de grond voor de rechtszaak tegen de bestuurders van Diginotar was eerder een toevalligheid. De zaak liep namelijk tussen de voormalig eigenaren van Diginotar en Vasco, het bedrijf dat – maanden voordat de hack bekend werd – Diginotar had overgenomen.
Diginotar is dus niet bestraft omwille van wetgeving, zoals bijvoorbeeld de Wet Bescherming Persoonsgegevens. Dat is belangrijk voor de vraag wie uit deze zaak een wijze les kunnen leren: dat zijn vooral ondernemers die hun bedrijf willen verkopen en organisaties die een ander bedrijf willen kopen. En daarmee is het direct een opmerkelijk dossier, want een van de weinige keren dat it-security een rol speelt in – voor de economie zo belangrijke – bedrijfsovernames. Ik verwacht dat we dit veel vaker zullen zien.
Allereerst is het opmerkelijk dat deze hele rechtsgang in gang is gezet door de bestuurders van Diginotar zelf. Zij meenden namelijk recht te hebben op een deel van de overnamesom dat gereserveerd was (in ‘escrow’) in afwachting van bedrijfsresultaten. Vasco heeft deze claim van de bestuurders bestreden, maar heeft daarbij in reconventie tevens een vergoeding geëist van de voormalig eigenaren, vanwege de geleden schade ten gevolge van de hack uit 2011.
Garantiebepaling
Het eindoordeel van de rechter draait eigenlijk om één garantiebepaling, die is opgenomen in het overnamecontract. Een gouden garantiebepaling, blijkt nu. En eentje die niet per se gebruikelijk is (voor zover ik weet tenminste). De tekst van die bepaling is te lezen in het vonnis (art. 4.1): ‘[…] has taken all reasonable steps and implemented all reasonable procedures to safeguard its IT Systems and Software and prevent unauthorised access thereto.’
Waar het op neerkomt is dat de rechter zich heeft afgevraagd of Diginotar wel alle redelijke stappen gezet en alle redelijke procedures heeft gevolgd om zijn systemen en software te beveiligen. Het antwoord daarop is: neen. Deze conclusie is gebaseerd op drie bevindingen ten aanzien van die beveiliging, die in de nasleep van de hack door verschillende partijen geconstateerd zijn:
- de gebruikte systemen en software van Diginotar waren niet voorzien van de laatste beveiligingsupdates, waardoor bekende beveiligingslekken te misbruiken waren;
- wachtwoorden waren onversleuteld opgeslagen;
- Het kantoor- en het productienetwerk waren niet afdoende van elkaar gescheiden.
Uit het verweer van Diginotar blijkt dat er op al deze drie punten wel iets ‘geregeld’ was. Met andere woorden: er was beleid. De rechter acht echter niet bewezen dat dit beleid de hack in principe had kunnen voorkomen. Sterker nog hij draait het betoog om: uit het beleid van Diginotar blijkt dat men al deze drie punten zelf ook belangrijk achtte voor de beveiliging. Dat het zaken zijn waarvan je redelijkerwijs mag verwachten dat ze in orde zijn. Maar de rechter heeft uiteindelijk geen boodschap aan een beleid of zelfs certificeringen daarvan gehad: hij heeft puur gekeken naar de feitelijk toegepaste beveiliging.
Uit het verweer van de voormalig bestuurders proef je dat zij uitvoering van de it-beveiliging geheel overlieten aan de organisatie en daar zelf geen of onvoldoende controle op uitoefenden. Misschien dachten zij echt dat het goed zat, want waarom zou je tenslotte anders tekenen voor de hierboven genoemde garantiebepaling? Hier is sprake van een situatie die ik heel vaak tegenkom in het mkb. Bestuurders die hooguit een beleid voor beveiliging uitzetten, maar de uitvoering overlaten aan de organisatie zonder controle daarop te hebben of uit te laten voeren.
De rechter stelt dat alle drie de bovenstaande bevindingen een schending zijn van de garantiebepaling. Ze voldoen niet aan de tekst: ‘alle redelijke stappen gezet en alle redelijke procedures geïmplementeerd…’, et cetera. Vooral ten aanzien van de beveiligingsupdates stelt hij dat juist van een bedrijf als Diginotar meer mag worden verwacht. Uit het vonnis (art. 4.13): ‘In dit verband wordt veel gewicht toegekend aan het feit dat Diginotar een certificatiedienstverlener was zodat van haar, gelet op haar ondernemingsactiviteiten (beveiliging van internetverkeer) mocht worden verwacht dat zij wat betreft de beveiliging van haar eigen systemen de grootst mogelijke zorgvuldigheid zou betrachten en daartoe dus alle mogelijke maatregelen zou nemen.’
Het is niet verwonderlijk – maar in mijn optiek zeker interessant – dat van een beveiligingsbedrijf door een rechter dus meer wordt verwacht dan van andere organisaties. Mijn vraag is dan echter: hoe zit dit met meer generieke ict-dienstverleners? Zou je vandaag de dag niet van iedere ict-dienstverlener mogen verwachten dat de ict-systemen veilig zijn (voorzien van de nieuwste patches en updates)? Ik vraag mij af of dit in een vergelijkbare rechtszaak ook zou meewegen in het besluit van de rechter.
Mijns inziens is de les voor organisaties die een ander bedrijf wil overnemen: neem een vergelijkbare ‘gouden’ garantiebepaling op in het overnamecontract! Organisaties die bedrijfsovernames begeleiden zouden dit gewoon in hun standaardcontracten moeten opnemen. Want een bedrijf zonder goede beveiliging is mogelijk allang geïnfiltreerd, data in handen van criminelen, hetgeen vroeg of laat tot veel schade kan leiden. Wat is zo’n bedrijf dan nog waard, en wil je zo’n bedrijf überhaupt nog wel overnemen?
Zelf controle houden
Voor eigenaren van bedrijven die hun organisatie (ooit) willen verkopen, is de les dat zij zelf controle moeten houden op de staat van hun beveiliging. Informatiebeveiligingsbeleid alleen is niet genoeg. Een it’er die verantwoordelijk is voor het beheer en zegt dat het veilig is, evenmin. Je moet als eigenaar van je bedrijf vragen om het bewijs. Bewijs dat de beveiliging feitelijk effectief is, en dat jouw ‘kindje’, jouw ‘bloed, zweet en tranen’ en vooral: jouw ‘oudedagsvoorziening’, afdoende is beveiligd.
Het betekent dat je als eigenaar regelmatig je beveiliging moet laten toetsen door onafhankelijke beveiligingsorganisaties. Ik wil hier niet direct preken voor eigen parochie, want die beveiligingsorganisatie kan op zich prima een interne afdeling zijn. Het gaat er in andere woorden om te voorkomen dat de slager zijn eigen vlees keurt. Werk daarvoor samen met een auditor, intern en/of extern. ISO schrijft dit soort controles ook niet voor niets voor. En als de beveiliging getest is, dan komen daar bevindingen uit. Zorg ervoor dat die bevindingen worden aangepakt! En daarna weer testen, en weer aanpakken. Dit proces moet regelmatig herhaald worden: informatiebeveiliging is cyclisch: het stopt nooit. En wees niet bang: informatiebeveiliging is niet technisch.
De Diginotar/Vasco-uitspraak leert dat je als bedrijfseigenaar de ict-beveiliging serieus moet nemen en dat daarbij voor jou een actieve rol is weggelegd. Wil je die oudedagsvoorziening veilig stellen, dan zou ik je sterk aanraden om daar de nodige aandacht aan te schenken.
Ook hier zien we de gevolgen van directies en besturen met uitsluitend bestuurders en zonder technici. Vroeger was het heel normaal dat er minimaal 1 ingenieur in de directie of bestuur zat. Die maakt dat techniek voor directie of bestuur niet meer zo abstract is en inhoudelijk aangestuurd en beoordeeld kan worden.
Hetzelfde zien we met ‘het bestuur’ van ons land. Hoeveel technici zitten er nog in onze regering? De resultaten daarvan zijn helaas veelvuldig te zien…
Interesant artikel !
@Phillippe Chabot, Correct. Helaas zal dat niet veranderen!
Techneuten hebben immers de vervelende eigenschap met hun kennis altijd spelbreker te willen spelen en dat staat nu eenmaal in schrill contrast met het gemakkelijke geld.
@Erik
Als eerste dient de beveiliging niet alleen bij verkoop op orde te zijn, als tweede klinkt het geheel me als een goedkope juridische truc. Vasco zit tenslotte ook niet in het damesondergoed ofzo en had dus even goed beter moeten weten. Als ik me niet vergis is er namelijk ook nog zoiets als een due diligence onderzoek, als je een huis koopt heb je minder zekerheden.
De ‘gouden garantievoorwaarde’ klinkt dan ook meer als weten wat er aan de hand is maar dit uit winstbejag negeren. Dat brengt me bij de vraag waarom Vasco überhaupt geïnteresseerd was in Diginotar, in certificatenland een mug die voortgekomen was uit de niche van het notariaat. Aangezien er geen sprake was van interessante technologie moet het dus de klantenkring zijn geweest waar Vasco in geïnteresseerd was:
https://www.vasco.com/company/about_vasco/press_room/news_archive/2011/acquisition_diginotar.aspx
Aangaande je verhaal over regelmatige toetsing van beveiliging lijk je me voorbij te gaan aan het feit dat Diginotar dus regelmatig gecontroleerd werd, geen ISO maar ETSI (TTP.NL) certificering. Meer daarover kun je lezen in de prima analyse van Andre Koot:
pvib.nl/download/?id=17680919&download=1
Bedankt voor je reactie Ewout.
Uiteraard moeten bedrijven zich altijd beveiligen. Maar naar mijn overtuiging vanuit de praktijk moeten vooral bestuurders/eigenaren zich dat realiseren. Ik tracht met het stuk te bereiken dat vooral die groep zich aangesproken voelt. Als de titel “Beveilig je bedrijf” zou zijn, dan zouden zij zich m.i. niet aangesproken voelen.
Vervolgens lees je in het stuk dat het natuurlijk over een continu, oneindig proces gaat en (impliciet) dus ook actief moet zijn als er geen sprake is van verkoop.
Dat Vasco Diginotar vooral omwille van goodwill waardeerde zal zo zijn en doet verder niets af aan de adviezen denk ik. Of versterkt die alleen maar, want wat is goodwill waard als deze gecompromiteerd is?
Tenslotte over de certificering: ik weet dat Diginotar ETSI gecertificeerd was en daarop geaudit werd door PwC. Maar de audits in dat kader hebben, zoals je kunt lezen, niet de praktische kwetsbaarheden weggenomen, waardoor de hack kon gebeuren. De rechter heeft dus feitelijk geen boodschap aan ETSI of ISO (zoveel staat ook min of meer in het vonnis te lezen): hij heeft gewoon gekeken of de hack technisch kon plaatsvinden en of dat verwijtbaar is. Opschrijven dat al je systemen gepatcht moeten zijn leidt wellicht tot een certificering, maar zegt nog niet dat het ook feitelijk gebeurt: dat blijkt dus wel. Een ETSI of ISO audit is dan ook niet waar ik op doel met controles. Ik doel wel op pentesten en vulnerability assessments om de feitelijke ingangen in je netwerk bloot te leggen, om die vervolgens weg te kunnen nemen.
Tenslotte is alles wat @meneer zegt waar 🙂