Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 10 maart 2012

De lessen van DigiNotar voor de CIO

Overheid


De naam DigiNotar staat voor de grootste ICT-crisis waar de Nederlandse overheid ooit mee te maken heeft gehad. Het begon met een digitale inbraak, en had kunnen eindigen met het uitvallen van vitale overheids-ICT. Alleen snel en adequaat crisismanagement heeft deze uitkomst kunnen voorkomen. Executive People sprak met een van de crisismanagers van de overheid, Kees Keuzenkamp, over de gang van zaken en de lessen die CIO’s hieruit kunnen trekken.

Kees Keuzenkamp is namens het Ministerie van Binnenlandse Zaken operationeel directeur bij DigiNotar. Voordat de crisis begon was hij bij het ministerie plaatsvervangend directeur Informatiebeleid. Hij had daarin onder meer beleidsmatige verantwoordelijkheid voor de Public Key Infrastructure voor de overheid (PKI Overheid), dat met behulp van PKI-certificaten moest zorgen voor betrouwbare en goed beveiligde digitale communicatie. Deze certificaten werden uitgegeven door DigiNotar. 

De crisis ontwikkelde zich razendsnel. De eerste berichten dat er iets niet in orde zou zijn met de certificaten van DigiNotar druppelden eind augustus 2011 binnen bij het ministerie. GovCert had via Duitse collega´s berichten binnengekregen dat een oplettende Iraanse internetter problemen had ontdekt met certificaten die waren uitgegeven in Nederland, door DigiNotar. 

Verhoogde dijkbewaking
Donderdag 1 september vond de eerste bijeenkomst van de betrokken overheidspartijen plaats, om te inventariseren wat er nu eigenlijk aan de hand is. Keuzenkamp: “We wisten nog niet precies wat er aan de hand was, maar we wisten wel dat DigiNotar veel cruciale certificaten had uitgegeven. Het was dus zaak om uit te zoeken hoe groot de omvang was, en wat het effect zou kunnen zijn. Op dat moment was nog niet duidelijk of het ook echt nodig was, maar het was goed om in ieder geval voor alle zekerheid bij elkaar te komen. Je zou het kunnen zien als verhoogde dijkbewaking bij slecht weer. Daarbij zijn we er al snel rekening mee gaan houden dat ook PKI Overheid geraakt zou kunnen worden.”

Het probleem was, zonder dat de Nederlandse overheid hiervan wist, ontstaan in de zomer. In juni en juli was door een hacker ingebroken bij DigiNotar. Hij was in staat op diverse servers te komen, ook die in het segment dat veilig zou moeten zijn. Daar heeft hij zelf ongeveer vijfhonderd certificaten gemaakt, en een deel daarvan geëxporteerd. Eén daarvan is gebruikt om een valse Gmail-site in Iran. 

De ontdekker van deze fraude met certificaten was een oplettende Iraanse internetter, die een dubbele check uitvoerde op de certificaten. Ten eerste controleerde hij of het certificaat als geldig geregistreerd stond bij de uitgever. Dat was al niet het geval, omdat de uitgever zelf niet op de hoogte was van de uitgave. De Iraanse gebruiker had bovendien gezien dat het betreffende certificaat nooit aan Google was uitgegeven. Dat nieuws is uiteindelijk bij GovCert terechtgekomen. 

Worst nightmare
Geconfronteerd met deze informatie moest DigiNotar met de billen bloot. Daar bleek men op de hoogte te zijn van de inbraak, maar zij dachten dat de genomen maatregelen voldoende waren. Die bestonden uit het intrekken van de certificaten waarvan DigiNotar kon achterhalen dat ze waren gemaakt door de hacker. Maar dat was dus niet bij alle verkeerde certificaten gedaan. Nu werden ze geconfronteerd met de mededeling dat er nog steeds foute certificaten in omloop waren.

Op 2 september hoorden de opdrachtgevers bij de overheid van DigiNotar dat de inbreker inderdaad bij server had kunnen komen waar de certificaten van PKI Overheid werden uitgegeven. Keuzenkamp: “Toen zijn we gaan kijken naar wat dit voor ons betekende. Er zou op verschillende niveaus een probleem zijn met certificaten. De overheid had er 18.000 gewone DigiNotar certificaten voor de Belastingdienst, de advocatuur had er 21.000, en de private sector zo’n 10.000. Ernstiger nog was de dreiging voor PKI-overheid. Dat zijn in absolute aantallen niet heel veel certificaten, ongeveer 4.000, maar die werden wel bij vitale diensten gebruikt. DigiD bijvoorbeeld heeft maar één certificaat, dat echter wel is gekoppeld aan acht miljoen handtekeningen.” 

“Waar we ons grote zorgen over maakten was dat DigiNotar en PKI Overheid door de grote browserleveranciers op één hoop zouden worden gegooid. Want dan zouden ook 250.000 Defensie-certificaten en 250.000 zorgcertificaten worden getroffen. Onze worst nightmare was dat de internetwereld dan de overheid en DigiNotar op één hoop zou gooien, waardoor we dan geen plek meer zouden hebben om heen te gaan voor certificaten. Dat scenario was voor ons de grootste bedreiging, niet die valse certificaten in Iran.”

Crisis
In een vroeg stadium was het crisiscommunicatie-centrum van de overheid al preventief op de hoogte gebracht, en dat bleek hard nodig te zijn. “De situatie bleek ernstig toen bleek dat de servers met de PKI-overheid bij DigiNotar geraakt zouden kunnen zijn. Dit zorgde voor een onhoudbare situatie. Alle betrokkenen waren het er al vrij snel over eens dat we weg moesten bij DigiNotar. Maar essentieel was dat dit beheerst zou gebeuren, omdat anders de hele overheidscommunicatie uit de lucht zou zijn. Dan zou het middel erger zijn dan de kwaal.”

Met deze constatering was er officieel sprake van een crisis. Daarom werd opgeschaald naar het Nationale Crisisteam, en al snel volgde de opschaling naar ministerieel niveau. Dat heeft geleid tot de bekende nachtelijke persconferentie die Minister Donner op 3 september heeft gegeven, waarin toegaf dat de betrouwbaarheid van de certificaten waarop honderden overheidswebsites leunden niet meer te garanderen was. 

“Centraal in onze strategie stond dus dat we weg wilden bij DigiNotar, maar wel beheerst. Het grootste probleem voor ons was op dat moment overigens niet de inbraak zelf, maar het feit dat de grote browserpartijen hun vertrouwen in de certificaten van DigiNotar kwijt waren. Dat kon grote schade toebrengen aan de overheidscommunicatie via internet. Mozilla had de certificaten al op de lijst van onbetrouwbare certificaten gezet, Google twijfelde, en omdat Mozilla het besluit al had genomen stond Microsoft onder druk om hetzelfde te doen. We hebben vooral met Microsoft, als grootste browserpartij, veel gesproken om tijd te winnen, zodat we de certificaten beheerd zouden kunnen verhuizen.” 

Wrang welkom
Vertegenwoordigers van de overheid gingen daarom aan de slag op het kantoor van DigiNotar in Beverwijk. Kees Keuzenkamp had de leiding over dat project. “We zijn daar zaterdag gelijk naar toe gegaan, en kregen een warm maar ook wel wrang welkom. Mijn taak in Beverwijk was tweeledig. Aan de ene kant moest ik operationeel toezicht houden op de certificaten, om ervoor te zorgen dat het overgangsproces beheerst zou verlopen. En tegelijkertijd was het nodig om en open communicatie te houden tussen DigiNotar en Den Haag.” 
Keuzenkamp is als ambtenaar formeel operationeel directeur geworden, aangesteld onder Power of Attorney van het bestuur van DigiNotar.

Over dat cruciale weekend zijn al diverse zaken naar buiten gekomen. Zo heeft NRC Handelsblad een reconstructie gemaakt waarin werd onthuld dat minister Donner het moederbedrijf van DigiNotar, Vasco, zwaar onder druk heeft moeten zetten om medewerking te verlenen.
Uiteindelijk is dat ook gebeurd, en heeft Vasco met een interessante omkering van de feiten een persbericht verspreid met de mededeling dat het zelf de overheid heeft uitgenodigd om de crisis op te lossen. 

De vertegenwoordigers van de Nederlandse overheid hadden de volledige klantenlijst van DigiNotar nodig, om gericht aan crisisbestrijding te kunnen doen. “Op die manier waren we in staat om gebruikers gericht te informeren dat zij hun certificaten moesten vervangen en iedere keer stukjes van het bedrijf ´uit zouden gaan zetten´, zodra voldoende gebruikers hun de certificaten hadden vervangen.” 

Failliet
“We hebben afspraken gemaakt met alle betrokken verstrekkers van certificaten, en gevraagd of ze gereed wilden staan met een spoedprocedure. Zij hebben allemaal extra capaciteit ingezet, zodat het allemaal snel geregeld kon worden. We hebben iedereen naar die vier andere commerciële leveranciers van PKI-overheid certificaten verwezen. Dat proces is goed verlopen.” Toen dat proces eenmaal was opgezet ging het snel. Eind september was waren de PKI Overheid- en gekwalificeerde certificaten ingetrokken. Tegen die tijd was Vasco tot de conclusie gekomen dat DigiNotar niet meer levensvatbaar was, en ging het bedrijf failliet.

Op dat moment waren nog meer dan 40.000 gewone DigiNotar certificaten over. De afbouw is dus doorgegaan onder leiding van Keuzenkamp en de curator. Op 1 november waren alle certificaten, behalve die van de Belastingdienst, ingetrokken. Tevens werden alle aan de certificaten gekoppelde diensten beëindigd, bijvoorbeeld tokens voor telewerken bij de gemeente Amsterdam. 

Tot op heden is Keuzenkamp nog bezig geweest met opruimwerkzaamheden, het beheer van de allerlaatste certificaten voor de Belastingdienst. De laatste weken was dat al geen dagtaak meer, en werkten er nog maar vier mensen aan bij DigiNotar , van wie twee in deeltijd. Op 1 juli moet alles definitief zijn afgerond. Binnen een jaar is DigiNotar zo veranderd van een succesvol ICT-bedrijf in een naam die synoniem is met ICT-fiasco. 

Wat zijn de lessen die de CIO hiervan kan leren? Keuzenkamp: “Het ging natuurlijk mis bij die inbraak, in de zomer van 2011. Het eerste probleem was dat de inbreker bij alle servers kon komen. Het is de vraag of de servers op de juiste manier beveiligd zijn geweest. Ze waren allemaal met elkaar verbonden, al waren er firewalls. We zijn er niet uit of dat allemaal volgens de regelen der kunst is gebeurd. Er is in één server niet ingebroken en dat was een server waarbij je pasjes nodig had om certificaten aan te maken. Die had de inbreker niet. Bij de andere servers kon de inbreker zijn gang gaan.” 

Bedrijfsvoering 
“Zoals gezegd kwam onze grootste bedreiging niet door die certificaten, maar door verlies van vertrouwen door de browservendors en Adobe. Daar over hebben we met grote intensiteit mee gesproken, vooral met Microsoft en Adobe. We hebben ze gevraagd ons tijd te geven om te migreren. We hadden die tijd hard nodig om onze strategie uit te voeren: de certificaten isoleren en gebruikers de tijd geven hun certificaten ergens anders vandaan te halen.” 

Een belangrijke les voor de overheid ligt bij de organisatie van het toezicht. “Hoe zit de verantwoordelijkheid in elkaar, van hoe houd je toezicht op zo’n cruciale leverancier? Wie stellen er regels, wie houdt het bij? Er waren nogal wat regels, maar uiteindelijk kwam het toezicht allemaal neer op de audits van PWC. Alle betrokken partijen maakten gebruik van die audits. Dan is de vraag wat je verwacht van een auditor. Dat moet je als overheid bepalen.” 

“PWC keek bijvoorbeeld grondig naar het uitgifteproces, naar de waarborgen om te controleren of iemand die een certificaat aanvraagt daadwerkelijk is wie hij zegt te zijn. Of naar waarborgen tegen het aanvragen van een certificaat door een persoon. Op de bedrijfsvoering achter de certificaten lag bij iedereen minder nadruk, omdat je ervan uit mag gaan dat een bedrijf zijn bedrijfsvoering zelf op orde heeft.” 

“Als overheid moet je dus goed nadenken of je ook eisen stelt aan de bedrijfsvoering. Misschien moet er een meldpunt komen voor incidenten, vergelijkbaar met de voedselindustrie. In die sector is het heel normaal dat het bekend wordt gemaakt als er iets mis is, en misschien zou dat ook in de ICT-sector moeten gebeuren.” 

Risicomanagement 
Ook voor CIO’s geldt dat zij, net als de overheid bij DigiNotar, opdrachtgevers zijn van dergelijke organisaties. “Ook zij zouden zich moeten afvragen waar ze op vertrouwen. Is dat de auditor, of stellen ze hun eigen eisen aan de leverancier van beveiligingscertificaten. Misschien is het allemaal wel in orde, maar je moet het je in ieder geval afvragen.” 

Kortom, de CIO moet ook hier aan risicomanagement doen. “Dat gaat verder dan alleen de certificaten. Wat gebeurt er met de informatie-productiestraat als er met de certificaten iets misgaat? Vergelijk het met noodstroomvoorziening, iets dergelijks moet je ook doen met cruciale ICT-voorzieningen doen. Heb je een reservecertificaat klaarliggen, zoals je een reservelamp hebt liggen? Certificaten zijn onderdelen die je in de totale risicoanalyse moet meenemen. Veel CIO’s zijn tot nu toe in blind vertrouwen uitgegaan van de gedachte dat met een certificaat niets mis kon gaan.” 

“Verder moeten CIO’s zich realiseren dat ze in een keten zitten. Want ons probleem was niet zozeer de inbraak, maar de gevolgen die de inbraak had op het vertrouwen van de partijen in die keten. Een CIO moet de hele keten in orde hebben èn beseffen dat die keten eisen aan je stelt, anders wordt je uit de keten gegooid. Je moet weten hoe je bedrijfskritische proces in elkaar zit, en weten wat de afhankelijkheden zijn. Dat is allemaal onderdeel van risicomanagement.” 
 

Kees Keuzenkamp spreekt tijdens de Strategie Summit CIO op 19 en 20 maart  
   
 

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events