OPTA neemt uitgifteproces Diginotar-certificaten onder de loep

Telecomwaakhond OPTA heeft naar aanleiding van het DigiNotar-debacle een spoedonderzoek ingelast naar de manier waarop DigiNotar PKIoverheid-certificaten heeft uitgegeven. De resultaten hiervan worden op korte termijn verwacht.

In Nederland zijn diverse partijen die zogenoemde gekwalificeerde certificaten mogen uitdelen, waaronder DigiNotar. De OPTA is belast met het toezicht op de Nederlandse markt voor deze elektronische handtekeningen. Eerder uitgevoerde onderzoeken gaven echter geen aanleiding tot bezorgdheid over de manier waarop PKIoverheid-certificaten werden uitgegeven.

De OPTA is nu een onderzoek gestart om te kijken op welke manier deze certificaten zijn uitgegeven. Een van de opties is dat DigiNotar niet de juiste procedures of beveiligingsrichtlijnen heeft gevolgd. Dit zou opmerkelijk zijn omdat de Telecomwet voorschrijft dat er minstens één keer per jaar een externe audit moet worden uitgevoerd bij partijen als DigiNotar. Deze audits worden uitgevoerd door PwC of BSI

De laatste audit bij DigiNotar is in november vorig jaar uitgevoerd. Volgens de OPTA gaf de laatste rapportage, die ook aan de telecomwaakhond is gestuurd, geen aanleiding tot een nader onderzoek. De onderzoekers worden vooral geacht te kijken naar processen, systemen en mensen tijdens dergelijke audits.

"We hebben informatie gevorderd bij de betrokken partijen, zoals de auditers en DigiNotar", aldus een zegsvrouw van de OPTA tegenover Tweakers.net. "Hoe kan het dat op basis van die audits alles daar in orde is en dat in de praktijk blijkt dat er bij DigiNotar een heleboel juist niet op orde is? Dit was voor ons aanleiding om informatie te vorderen."

De OPTA zal het door Fox-IT uitgevoerde onderzoek gebruiken voor het eigen onderzoek. De onderzoekers van Fox-IT constateerden onder meer dat er geen antivirussoftware op de onderzochte servers was geïnstalleerd. De servers die werden gebruikt voor het ondertekenen van certificaten zouden zich in hetzelfde Windows-domein hebben bevonden; daardoor was het ontfutselen van één wachtwoord genoeg om alle servers te kraken. De gebruikte wachtwoorden bleken ook veel te simpel. Bovendien waren de servers over het netwerk te benaderen vanaf pc's van medewerkers, terwijl dat niet mag. Er was wel een systeem in werking dat inbraken op het netwerk moest opsporen, maar dit bleek niet effectief.

Update 16.30 - Artikel iets aangepast. OPTA benadrukt dat DigiNotar onderwerp van het onderzoek is en niet de auditers zelf.

IT-banen

Reacties (71)

CAPSLOCK2000

Overheid
Politiek en recht

7 september 2011 16:42

Tijd dat bedrijven zich gaan verzekeren tegen dit soort blunders. Verzekeringsmaatschappijen zullen dan kwaliteitseisen opleggen. Aangezien het dan om echt geld gaat in plaats van papieren verantwoordelijkheid zullen die eisen bijdragen aan de veiligheid. Als je er niet aan voldoet dan wordt je verzekering afschuwelijk duur. Op deze manier wordt veiligheid iets werk goedkoper maakt, in plaats van duurder.

Verwijderd @CAPSLOCK2000 • 7 september 2011 17:03

Beetje omgekeerde wereld. Überhaupt om een verzekeringsmaatschappij te vinden die dit soort security risico's zou willen dekken lijkt me zeer moeilijk al dan niet onmogelijk. Als je al verzekerd dan zou het iets zijn voor wat je zelf niet onder controle kan hebben. Zo'n bedrijf hoort haar eigen kwaliteitseisen te hebben en vooral ook na te komen. Hopelijk dat hiervoor nu ook eens mensen hoofdelijk aansprakelijk voor worden gesteld als er terecht sprake is van zware nalatigheid.

CAPSLOCK2000

Overheid
Politiek en recht

@Verwijderd • 7 september 2011 18:02

Als je maar betaalt is alles te verzekeren.
Zonder verzekering zijn de risico's nog veel groter. Door de schadeclaims die gaan volgen richting DigiNotar zal dat bedrijf zeer waarschijnlijk failliet gaan. Hadden ze zich maar verzekerd, dan hadden ze "alleen maar" imago schade.

Absolute veiligheid bestaat nergens, ook niet in de IT. Juist in de IT weten we zo'n beetje zeker dat er altijd gaten zijn. Dat feit negeren en denken dat jou niks kan overkomen is niet erg professioneel.

Ieder bedrijf heet een verzekering tegen brand terwijl dat iets is dat je veel beter kan beheersen. Ik durf te wedden dat zelf brandweerkazernes verzekerd zijn.

Bekijk het ook eens van uit het perspectief van de klanten. Mensen moeten nu enorme kosten maken. DigiNotar kan die nooit allemaal betalen, lang voor die tijd zijn ze failliet. Als klant kun je dus naar je schade-vergoeding fluiten. In theorie had men ook voor een bedrijf kunnen kiezen dat wel verzekerd is en dus altijd dit soort schadeclaims kan betalen.

Natuurlijk zou ieder bedrijf er zelf kwaliteitseisen op na moeten houden, maar de praktijk is anders.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 20:20]

Free rider @CAPSLOCK2000 • 7 september 2011 18:48

De beschikbaarheid van zulke verzekeringen zal niets uitmaken, er zullen geen klanten voor komen. Zo'n 25 jaar geleden kreeg ik een lezing van het Computer Uitwijk Centrum in Lelystad. Er werd gevraagd of zij ook een uitwijkmogellijkheid hadden. Het antwoord was nee: dan zouden hun klanten het idee krijgen dat CUC zelf niet achter hun product staat, waarom is anders die uitwijk?
Dat is nu eenmaal de praktijk van beveiliging: de klanten gaan er van uit dat de beveiliging goed is. Vertrouwt de klant die beveiliging niet, dan moet hij vooral geen klant worden. Een verzekering biedt geen enkele meerwaarde voor die klanten.

Verwijderd 7 september 2011 15:47

DigiNotar had ook een WiFi access point. Daar wordt al 12 jaar door een groep jongeren uit Beverwijk gebruik van gemaakt:

De groep weet al twaalf jaar dat Diginotar eenvoudig te hacken is. De Beverwijkse hackers zaten enkele panden verwijderd van het kantoor van Diginotar en maakten regelmatig gebruik van de wifi-verbinding die openstond.

Bron: http://www.nu.nl/internet...-al-jaren-kinderspel.html
Bron: http://www.noordhollandsd...en%E2%80%99-bij-Diginotar

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:20]

Zer0 @Verwijderd • 7 september 2011 16:29

Allemaal leuke verhalen, maar het zegt weinig. Hier draait ook een heel licht beveiligd WiFi netwerk dat makkelijk te kraken is. Speciaal bedoeld voor bezoekers, en volledig gescheiden van het bedrijfsnetwerk. Eenieder die het hackt zou ik uitlachen, het is makkelijker om gewoon ff toegang te vragen

FragNeck @Verwijderd • 7 september 2011 15:59

Er staat helemaal niet dat ze er al 12 jaar gebruik van maken.

ODF 7 september 2011 16:16

DigiNotar was net per 01-01-2011 voor een paar miljoen verkocht aan een andere firma, blijkt een goede investering 9 maanden later

Dlocks 7 september 2011 16:27

Misschien dat er ook onderzocht kan worden of de aanbesteding wel helemaal volgende de regels is verlopen of dat er heel misschien sprake is van vriendjespolitiek?

Tony de Bos, voorzitter CDA Zuid-Holland,

[..]

De ondernemer Tony de Bos geeft leiding aan DigiNotar, een bedrijf voor het beveiligen van transacties en documenten op het Internet.

[..]

Bron: http://www.cda.nl/ZuidHol(...)ningmeester_CDA.aspx

DigiNotar wordt dus geleid door Tony de Bos, voorzitter van CDA Zuid-Holland.

[Reactie gewijzigd door Dlocks op 23 juli 2024 20:20]

Bitpusher3 @Dlocks • 7 september 2011 16:51

Hier heb ik ook een mooi stukje gevonden over Tony de Bos over o.a. virusscanners:

http://profile.computable.nl/profile/tobos

MSalters

Politiek en recht

@Bitpusher3 • 8 september 2011 00:55

Heb je z'n lijstje met sterke punten gezien?

Zeer deskundig: Security, Overheid, ICT-management, Beveiliging.

Loekie

@Dlocks • 7 september 2011 17:23

Ach wat leuk, je kunt zo z'n nummer opvragen en bellen. Wist niet dat mensen hun mobiele nummer nog publiceerden op het internet.

zuma 7 september 2011 17:00

OPTA is alleen bevoegd om toezicht te houden op zg. gekwalificeerde certificaten. Deze worden gebruikt ten behoeve van identificatie en wettelijk geaccepteerde handtekening. De certificaten die in opspraak zijn gekomen betreffen de SSL certificaten, een heel ander doel. Gewkalificeerde certrificaten worden niet voor SSL-tunnels gebruikt en kennen een vele malen hogere beveiligingsniveau dan de normale certificaten. Toegang naar systemen voor het creeren van gekwalificeerde certificaten via enkel een wachtwoord op een PC of remote acces vanaf een netwerk is sowieso uit den boze bij dit soort type certificaten. Laten we maar hopen dat deze activiteit van Diginotar niet gehacked is want dan heb je nog meer poppen aan het dansen dan alleen afluisteren. Ik verwacht dus ook dat OPTA op haar gebied waar ze bevoegd is weinig gaat vinden.

PietPuk.nl 7 september 2011 20:15

Ik heb het gevoel dat we teveel ophangen aan de audits. Toch richten de audits zich vaak alleen op processen en worden technische systemen alleen globaal bekeken. Dat is ook logisch, want het is haast ondoenlijk om computersystemen inclusief de software 100% door te lopen en beveiligingslekken op te sporen. Er zijn haast oneindig veel factoren en configuraties waarmee rekening gehouden moet worden. De netwerkconfiguratie, hardwareconfiguratie van individuele systemen, operating system en dan nog alle (server)software daar bovenop. Dat zijn behoorlijk wat disciplines en maakt het haast onmogelijk om systemen technisch te auditeren.
Een oplossing voor dit probleem zie ik niet 1-2-3. Ik signaleer alleen de complexiteit en denk dat we met z'n allen moeten inzien dat een audit enig inzicht geeft in hoe een organisatie omgaat met z'n bedrijfskritische systemen maar lang niet alles afdekt.
Een rigoureuze oplossing is bedrijfskritische systemen hardwarematig loskoppelen van het internet/netwerk. Ik begrijp sowieso niet waarom de CA's altijd in de lucht moeten zijn, dit is volgens mij niet nodig. Je zou een CA alleen up kunnen brengen als er iets getekend moet worden. Ook zou je kunnen zorgen dat private keys alleen te gebruiken zijn als een aantal personen fysiek aanwezig zijn (mbv smartcards oid). Op die manier forceer je consensus bij het gebruik van de private keys en het getekende materiaal. Ik snap dat dit voor een productie CA veel werk met zich meebrengt, maar het is de enige manier om veiligheid te kunnen forceren.

DragonXZ 7 september 2011 15:36

Ik vraag me af wie het allemaal gaat vergoeden. Wij hebben ook een 10 tal certificaten onmiddelijk moeten vervangen wat toch enkele 1000en euro's kost. Verwacht dat er duidelijkheid komt wie hier garant voor staat.

FreezeXJ @DragonXZ • 7 september 2011 15:42

Ik denk dat je dat als bedrijf zelf mag betalen, tenzij je het van DigiNotar terug kunt vorderen vanwege wanprestaties... Echter gok ik dat ze daar nu al zo'n 1000 claims te pakken hebben, en als er 1% toegewezen wordt, zijn ze al ongeveer failliet.

mrdemc @FreezeXJ • 7 september 2011 16:55

Heb je daar geen verzekering voor en een rechtsbijstand in geval van een rechtzaak om deze kosten te verhalen?
Je gaat een overeenkomst aan met een bedrijf, dit bedrijf houdt zich niet aan de betreffende overeenkomst (denk ik, als er in de overeenkomst iets stond waarbij ze zich vrijpleiten voor dergelijke gevallen dan denk ik dat je als bedrijfzijnde slecht hebt gehandeld deze overeenkomst aan te gaan), dus moeten de kosten die je daardoor hebt opgelopen vergoed worden.

-Tom @mrdemc • 7 september 2011 19:09

DigiNotar is de Nederlandse tak van het Amerikaanse concern VASCO. Volgens het kasstroomoverzicht uit de jaarverslag van het jaar 2010 had VASCO aan het eind van 2010 ca. $85,5 miljoen in liquide middelen. Daarnaast maakt het bedrijf de laatste jaren een flinke groei door, zie ook de Consolidated Statement of Cash Flow. (pag. F-7).

Om maar even aan te geven dat het bedrijf redelijk liquide is, en de claims zich voornamelijk zullen beperken tot Nederland.

Of er daadwerkelijk sprake is van wanprestatie, daar zal de rechter zich over moeten buigen. Mijn opvatting is dat een certificate authority haar vertrouwen en geloofwaardig kwijt is na een dergelijke misstap. En een fatsoenlijke advocaat zal dit ook zeker hard kunnen maken voor de rechter, maar de kans op een volledige terugbetaling acht ik vrij klein. Een terugbetaling geschiedt dan naar 'redelijkheid en billijkheid' waarbij men bv. aanspraak zou kunnen maken op een bepaald percentage van de aanschafprijs. Waarbij bv. van belang kan zijn hoe lang men het certificaat al heeft.

[Reactie gewijzigd door -Tom op 23 juli 2024 20:20]

PL JNS @-Tom • 7 september 2011 20:30

De liquiditeit van VASCO staat los van de liquiditeit van DigiNotar. Tenzijn uitdrukkelijk kan worden bewezen dat VASCO schuldig aan wan beleid door de directie kan VASCO niet aansprakelijk worden gesteld voor DigiNotar. Of te wel, mochten er een hele boel claims komen dan kan VASCO DigiNotar failliet laten verklaren en zelf verder geen kosten te hebben aan schade claims.

Overigens is het bewijzen van wan prestatie zeer moeilijk en komt in Nederland alleen in zeer uitzonderlijke situaties voor. De kans dat dit zo is bij DigiNotar is uiterst klein, kijk bv naar de audits die zijn uitgevoerd e.d.

xavierk @PL JNS • 7 september 2011 21:48

Het bewijzen van wanprestatie (tekortkoming in de nakoming) is helemaal niet moeilijk en komt in Nederland vaak voor. Natuurlijk is dit wanprestatie.

-Tom @PL JNS • 7 september 2011 22:41

Zoals xavierk al zegt, wanprestatie komt - helaas - maar al te vaak voor. Wanprestatie is een tekortkoming in de nakoming. Hierbij kun je denken aan klant die zijn rekening niet (tijdig) voldoet, een geleverde bank, die naar maatstaven van redelijkheid en billijkheid, totaal niet de kwaliteit levert die men kan verwachten of de huurbaas die weigert een kapotte CV ketel te (laten) herstellen. De wederpartij kan dan het volgende eisen:

- Nakoming van de overeenkomst ex. 6:74 BW
- Schadevergoeding ex. 6:85 e.v. BW
- Ontbinding van de overeenkomst ex. 6:265 e.v. BW

Ga maar eens na hoeveel zaken er aangespannen worden op grond van wanprestatie. De bewijslast zal in deze zaak inderdaad een stuk gecompliceerder liggen in het geval van DigiNotar / VASCO, maar een bedrijf wat, gezien de kennis die ze in huis (zouden moeten) hebben, niet zeer correct gehandeld heeft, kan zeker (deels) aansprakelijk gesteld worden voor de schade, wat zich uit in de 'onbruikbaarheid' van de certificaten van DigiNotar.

Free rider @mrdemc • 7 september 2011 18:26

Dat soort constructies vind je onder andere in de bouw - en wordt aangeduid met de term 'bankgarantie'.
Stel een opdrachtgever vraagt aan de aannemer om een verbouwing van bv. een kade. Als dat werk te laat wordt opgeleverd, dan lijdt de opdrachtgever schade - personeel dat moet laden en lossen heeft niets te doen, schepen moeten uitwijken enz. De opdrachtgever wil zich dus verzekeren.
Welnu: voor aanvang van het werk geeft de aannemer aan de opdrachtgever een bankgarantie. Mocht het inderdaad misgaan dan heeft de opdrachtgever dus die bankgarantie en hij kan dus altijd het geld krijgen, mocht hij in de tussentijd failliet gaan dan kan de curator daar niet aankomen.

Het spreekt voor zich dat zulke constructies bijzonder kostenverhogend werken.

_root @DragonXZ • 7 september 2011 15:44

Dat zou moeten zijn Diginotar en/of PWC.

Maar ik neem aan de de eerste zo ongeveer failliet is en de tweede zich verschuild achter het feit dat het duidelijk alleen een papieren controle was.

[Reactie gewijzigd door _root op 23 juli 2024 20:20]

Seal64 @_root • 7 september 2011 16:41

Ik zie niet helemaal hoe jij bij PWC kan gaan claimen. Jij doet zaken met DigiNotar, en die hebben de boel verprutst. Dus ga je bij DigiNotar claimen. De enige die bij PWC zou kunnen claimen is DigiNotar zélf. Zij betalen PWC immers voor een dienst (externe audits kosten een verbazingwekkende hoop geld) waarvan achteraf het vermoeden bestaat dat die niets waard is.

Merk op dat ik aangeef dat er het vermoeden is dat dit niet goed zit - het is nog maar de vraag of de audits zoals die uitgevoerd zijn, dit überhaupt ooit hadden kunnen oppikken. Daar zijn immers ook gewoon protocollen voor die gevolgd worden, en als er tijdens de audit geen afwijkingen ten opzichte van die protocollen kunnen worden geconstateerd, dan is alles dus - wat de auditor betreft - in orde.

_JGC_ @Seal64 • 7 september 2011 18:49

Ik weet niet wat die audit van PWC precies allemaal inhoudt, maar ik had in de tijd dat ik het handige buurjongetje was een klant die op een gegeven moment dusdanig veel werknemers kreeg dat er een vragenformulier ingevuld moest worden, ook op het gebied van systeembeheer. Dan werd mij gevraagd "hoe gaan we dit invullen, wat zullen we hier neerzetten". Vervolgens wordt dat formulier ingeleverd, wordt er een rapport gemaakt en that's it. Nooit iemand over de vloer geweest, puur op basis van wat de directie van het bedrijf zelf ingevuld heeft.
Wat dat betreft zijn er een aantal mogelijkheden:
- DigiNotar heeft een papieren audit gehad die ze zelf "naar waarheid" moesten invullen. Uiteraard vul je die niet naar waarheid in want je wilt je bedrijf verkopen aan Vasco.
- DigiNotar heeft PWC betaald om een positief audit-resultaat te laten maken
- PWC heeft helemaal niet naar de techniek gekeken, maar de audit op basis van andere punten gedaan

Ik denk dat in geen van deze gevallen DigiNotar bij PWC kan aankloppen voor een schadeclaim. De enige die kan aankloppen bij PWC zijn de instellingen die een audit vereisen, de rest komt allemaal terecht op de verantwoordelijkheid van DigiNotar.

PL JNS @_JGC_ • 7 september 2011 20:33

PWC controleer bij een audit alleen de procedures e.d. PWC heeft echter zelf niet bepaald verstand van ICT zaken dus of de techniek achter alles daadwerkelijk klopt en veilig is kunnen ze niet weten. Hun audit is gebasseerd op worden de regels gevolgd en wordt alles juist geregistreerd e.d.

Daarnaast zal je PWC nooit aansprakelijk kunnen stellen voor dergelijke zaken, zelfs niet als blijkt dat ze betaald zijn door DigiNotar om een positief resultaat te geven.

tes_shavon @_root • 7 september 2011 16:09

Niet een papieren controle. Maar controles als door WPC controleren of alles wat GOED moet zijn, ook GOED is. Niet of wat er FOUT zou kunnen zien, fout is.

Als er volgens de procedure of bij een certificaat-uitgifte een handtekening hoort, controleert PWC of die handtekening er is. Niet of de persoon die die handtekening heeft gezet, ook daadwerkelijk is wie hij is (want dat staat niet in de procedure)

[Reactie gewijzigd door tes_shavon op 23 juli 2024 20:20]

_JGC_ @_root • 7 september 2011 16:10

Mwah, zo snel gaat het niet failliet, ze zijn net overgenomen door Vasco

FragNeck @DragonXZ • 7 september 2011 15:41

Wij hebben er meer dan 100... Certificaten en dongels...

Verwijderd 7 september 2011 15:36

En terecht. Dit was niet de eerste keer dat DigiNotar in de fout schiet. In 2004 hadden ze ook al een akkefietje. Blijkbaar niets van geleerd

foppe-jan @Verwijderd • 7 september 2011 15:39

Tja, ook in het geval van de bankencrisis (Lehman Brothers, Bear Stearns, en Enron) is al gebleken dat de auditors enorme steken hebben laten vallen.. Het zou dus interessant zijn als ook PwC eindelijk eens op de vingers werd getikt.

Ex-KPN-er @foppe-jan • 7 september 2011 17:18

Wat mij altijd blijft verbijsteren is dat het bedrijf een paar weken van te voren te horen krijgen dat er een audit komt; en wat de aandachtsgebieden deze keer zullen zijn.

Vaak zat meegemaakt;

Jongens; morgen komt de auditor langs; zorgen jullie dat het er allemaal goed uitziet?

Dan snel met z'n allen even de sh*t opbergen en zo ; even het stempeltje krijgen; en daarna gewoon weer verder kunnen klooien..

Welcome to the REAL world...

ppl

Beveiliging
Overheid

@Ex-KPN-er • 7 september 2011 23:58

Wees blij dat het zo gaat. Het zou toch wat zijn als jan en alleman je toko binnenkomt stormen en jij maar even mee hebt te werken anders raak je dat mooie keurmerkje kwijt (en in bepaalde sectoren betekent dat je dan ook je business kwijt bent omdat sommige bedrijven de belachelijke eis stellen dat je een keurmerk of lidmaatschap van een of andere organisatie moet hebben hoe vaag die ook moge zijn). Hier speelt privacy dus ook een belangrijke rol. Daarbij zul je een balans moeten vinden tussen een goede audit en goede privacy van het bedrijf waar je de audit gaat doen.

Er zit ook een praktisch voordeel aan: bedrijf kan mensen terughalen waardoor de mensen die je nodig hebt om je audit uit te voeren ook aanwezig zijn. Handig bij de vakanties, zeker nu scholen e.d. dat steeds meer zelf mogen bepalen. Ik vind dat je dit ook alleen moet zien als een bijkomstigheid, niet als reden om je audit vooraf aan te kondigen omdat je het bedrijf daarmee wel de kans geeft om het een en ander nog op orde te brengen. Hierbij moet je echter ook wel opmerken dat een goede audit hier wel doorheen zal prikken en je bepaalde zaken ook niet binnen een week of 2 (of zelfs een maand) weg kunt moffelen. Het moet ook allemaal uit dingen als dossiers en andere documenten sinds de vorige audit blijken. Daar zit vaak al een jaar of langer tussen en om dat werk nou eventjes in een maand opnieuw te doen...

_JGC_ @Ex-KPN-er • 7 september 2011 18:51

BSA toch net zo? BSA stuurt brieven dat ze in de regio gaan controleren, alle illegale software wordt van de PCs gehaald (soms zelfs verplaatst naar een U3 stick), om vervolgens een paar weken later de hele zooi weer te installeren.

bkor @_JGC_ • 7 september 2011 23:04

BSA is makkelijker, die moet je gewoon niet binnenlaten. Lijkt me nogal tijd en geldverspilling als je dat wel doet. Verder als je ze binnenlaat, je bezorgt dat bedrijf een risico (mogelijk licentie niet ok) zonder duidelijke reden.

AceAceAce @foppe-jan • 7 september 2011 15:45

Inderdaad, er zijn al eerder accountants- en auditbedrijven failliet gegaan omdat ze een stempel "GOED" hebben gedrukt op een bedrijf dat later falikant fout bleek te opereren.

Dit gaat PwC in ieder geval goodwill en inkomsten kosten

MeNTaL_TO @AceAceAce • 7 september 2011 16:01

Dat kan je pas zeggen als je de scope van de audit weet, als er alleen gekeken werd of de licenties goed aangemaakt werden, klopt de audit.

ppl

Beveiliging
Overheid

@MeNTaL_TO • 7 september 2011 16:17

Precies. Fox-IT heeft een technisch onderzoek gedaan naar de informatiesystemen. Ze hebben niet gekeken naar de procedures e.d. oftewel de papierwinkel. Als een auditor zoals PwC en BSI alleen maar naar de procedures e.d. (de papierwinkel) hebben gekeken is het niet zo gek dat ze de problemen met de informatiesystemen niet hebben weten te vinden. Dan moet je een heel ander soort discussie en onderzoek gaan houden want wie is er dan verantwoordelijk? Is het de OPTA zelf die alleen maar zo'n procedurele audit laat doen of was dit vrijelijk in te vullen omdat het niet gespecificeerd werd door de OPTA? Of hebben PwC/BSI verzaakt door technisch onderzoek achterwege te laten (om wat voor reden dan ook)?

We moeten niet vergeten dat dit PwC en BSI bedrijven zijn die uit de wereld van accountancy, management en administratief komen en juist helemaal niet uit de technische wereld die ICT heet. Bij Fox-IT is het precies andersom. Dat alleen al kan de andere zienswijze en het verschil in onderzoeken verklaren. Vandaar dat je ook beter eerst kunt kijken naar de scope van de audit en wie die scope heeft bedacht.

tweaker2010 @MeNTaL_TO • 7 september 2011 16:23

Dat kan je pas zeggen als je de scope van de audit weet, als er alleen gekeken werd of de licenties goed aangemaakt werden, klopt de audit.

Inderdaad, blijkbaar is deze audit wel goed uitgevoerd alleen is de scope niet toereikend.
Dus wie is er hier nu schuldig, de OPTA of DigiNotar? De OPTA heeft immers ook lopen slapen:

"Volgens de OPTA gaf de laatste rapportage, die ook aan de telecomwaakhond is gestuurd, geen aanleiding tot een nader onderzoek."

Rob Coops

Beveiliging
Overheid

@AceAceAce • 7 september 2011 15:57

Denk je echt dat PwC hier iets van gaat merken? Dit bedrijf is te groot en met een beetje geluk was het deze ronde niet eens PwC maar BSI die de controle uitvoerde. Als het al blijkt dat PwC hier steken heeft laten vallen dan zullen zij op z'n best een aantal junior en een lastige senior auditor buiten zetten en dan roepen we hebben schoon schip gemaakt dit gaat niet meer gebeuren. En dan is het simpel weg al lang weer over gewaaid.

De enige die hier echt iets van merkt zijn de mensen die voor DigiNotar werkten en niets met de beveiliging te maken hadden die hebben dankzij een paar incompetente luie en domme collega's in middels hun baan verloren en kunnen nu op zoek naar iets anders in deze geweldige booming economie...
Ik zou denk ik toch even een bedankje sturen naar mijn oud collega's omdat ik zo blij ben met de manier waarop ze hun werk deden.

Cafe Del Mar

@Rob Coops • 7 september 2011 16:04

- KPMG (audot) heeft nav het Lernout&Hauspie debacle in België toch een pak meer moeite moeten doen om vacatures in te vullen.
- Arthur & Andersen heeft de boeken toch gesloten toen bleek dat ze geholpen hadden bij het vervalsen van de boekhouding bij Enron. De consulting tak heeft nu Accenture (Accent on the future), de audit tak is afgeslankt van 10'000en naar 200 in de VS, die de rechtzaken opvolgen.

Een consultingbedrijf kan je dus zeker mee aansprakelijk stellen en kan daar behoorlijk gehavend uit komen. Dit lijken me behoorlijk slechte punten voor PwC.

Dreamvoid @Cafe Del Mar • 7 september 2011 16:14

Accenture was net voor de Enron affaire al afgesplitst. Andersen is aan het schandaal ten onder gegaan.

Azerox 7 september 2011 15:39

Geen virusscanners, vind het gewoon te grappig voor woorden.

Als zon bedrijf basis fouten gaat maken is het wel heel erg gesteld.

FreezeXJ @Azerox • 7 september 2011 15:45

Geen virusscanner is nog te verantwoorden als de boel op Unix ofzo draaide (hoewel je daar ook wilt controleren op ongewenste code), maar inderdaad, de beveiliging hier laat wel gruwelijk te wensen over. Zelfs m'n thuisbakken zijn nog beter beveiligd, en ik ben niet eens een bedrijf, laat staan een met gevoelige gegevens...

Vraag me ook af wat die controle precies inhield, wellicht alleen een gesprekje met een managert, en een kijkje of ze wel echte servers hadden staan... Wat erop draaide is dan al niet eens meer bekeken.

Free rider @FreezeXJ • 7 september 2011 18:37

Hoezo is de afwezigheid van een virusscanner te verantwoorden als er Unix drraait? Er zijn al sinds de jaren tachtig wormen en virussen op Unix. Misschien bedoel je dat Unix systemen per definitie onbelangrijk zijn zodat een virus nooit invloed op de bedrijfsvoering kan hebben? Weinigen zullen het daarmee eens zijn.

hackerhater @Free rider • 7 september 2011 22:20

Bron?
Ik moet de eerste virussen voor Linux en Unix nog zien

Rootkits en trojans zijn er wel inderdaad.

Free rider @hackerhater • 8 september 2011 09:48

In 1988 ging internet plat omdat 10% van alle computers was geinfecteerd door...
http://en.wikipedia.org/wiki/Morris_worm
En er waren er meer, in die tijd was het gebruikelijk dat alle Unix sources op de computer stronden - voor eventuele kernel-hercompilaties. Welnu, er was ook een worm/virus dat zich beschermde door die sources aan te passen.

Britney65 @Azerox • 7 september 2011 15:43

Zo'n bedrijf zou ook geen virusscanner nodig moeten hebben. Een virusscanner zou sowieso niet geholpen hebben als ze echt zo'n simpel admin wachtwoord gebruikte.

Verwijderd @Azerox • 7 september 2011 16:11

Geen virusscanners, vind het gewoon te grappig voor woorden

Veel erger nog vind ik dat ik in het rapportje van Fox-IT zie staan dat de publieke webservers niet up to date zijn en dat daat de recente security patches ontbreken.

En dat voor een bedrijf warvan de webserver al een keer zijn gedefaced. Die zouden toch beter moeten weten.

Ongepachte webservers zijn toch voor een security firma sowieso onacceptabel.

Rex @Azerox • 7 september 2011 15:52

Ik begrijp uberhaupt niet waarom het een probleem is dat een bedrijf geen virusscanner gebruikt. Een goede firewall is toch veel belangrijker? Hiermee houdt je al een grote deel van de troep buiten.
Ik vraag me ook af welke emailsysteem ze gebruikten. De meeste grote emailsystemen hebben al een antivirus/antispam ingebouwd.

arjankoole

Beveiliging
Overheid

@Rex • 7 september 2011 15:59

Een goede firewall is toch veel belangrijker? Hiermee houdt je al een grote deel van de troep buiten.

in een CA setting kun je bestanden uploaden, die bestanden wil je kunnen controleren op virussen en andere ellende. Niet dat je dat even goed zal lukken, maar iedere controlle stap is er eentje.

Meer lagen van beveiliging is altijd beter, en zoals ik al aangeef: als je een bestand kunt uploaden (noodzakelijk voor het aanvragen van certificaten), ben je al voorbij de firewall.

Verwijderd 7 september 2011 16:09

Het zijn vast allemaal wel slimme mensen die deze controles bedenken. Maar met die papieren schijnzekerheid kom je er eenvoudig niet. En als het dan een keer fout gaat dan wordt het weer ouderwets zwarte pieten.
Want wie valt hier wat te verwijten? De OPTA die opdracht geeft voor auditing en daarbij bepaalde eisen stelt. Het bedrijf dat die auditing uitvoert of Diginotar die steken laat vallen.
De hele keten heeft gewoon gefaald in deze en geldt waarschijnlijk ook voor andere zo niet alle controles. Als je controleert dan moet je verder gaan dan het papierwerk en (technische) expertise inzetten die verstand van zaken heeft. En dan huur je ook white hat hackers in om de boel te testen.

NoMoreMusic @Verwijderd • 7 september 2011 16:13

Je haalt de woorden uit mijn mond. Dit soort bedrijven hoort elk jaar, of liever nog meer, een intrusion test te laten uitvoeren. Zoner dat de technische staf hiervan op de hoogte is.

Dan heb je al iets meer zekerheid dan een "audit" van PWC

Op dit item kan niet meer gereageerd worden.

OPTA neemt uitgifteproces Diginotar-certificaten onder de loep

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: