Een meerderheid van de Tweede Kamer wil een debat met minister Donner van Binnenlandse Zaken over de DigiNotar-hack. Het is volgens de Kamerleden niet voor het eerst dat een ict-project bij de overheid faalt. De regie zou zoek zijn.
De Kamerfractie van de SP laat weten ontevreden te zijn over de antwoorden die Donner dinsdag gaf tijdens het wekelijkse vragenuurtje in de Kamer. Volgens SP-Kamerlid Sharon Gesthuizen is er inmiddels 'kamerbrede steun voor een uitgebreid debat over het debacle bij DigiNotar'. Dit debat wordt waarschijnlijk volgende week gehouden.
Tijdens het vragenuurtje stelde de minister onder meer dat het internet nooit 100 procent veilig kan zijn en dat Nederland niet het enige land is met dit probleem. Volgens Gesthuizen bagatelliseert Donner het achterliggende probleem. "De overheid en ict zijn tot nog toe een ongelukkige combinatie", aldus de politica. "Dat de burgers en bedrijven van Nederland inmiddels wekenlang ten prooi hebben kunnen vallen van kwaadwillenden reken ik hem heel erg zwaar aan."
Gesthuizen stelt dat internetters ervan op aan moeten kunnen dat de overheid alles doet om de veiligheid op het internet te waarborgen. "De burgers van Nederland hebben recht op de allerhoogste garantie van veiligheid wanneer zij door de overheid verplicht een overheidswebsite gebruiken. Dat vertrouwen is beschadigd en de minister heeft dat nog niet hersteld."
De overheid besloot vrijdag de banden met DigiNotar door te snijden, omdat niet gegarandeerd kon worden dat de PKIoverheid-certificaten van DigiNotar nog veilig waren. Misbruik van de overheidscertificaten is niet aangetoond. Hetzelfde blijkt te gelden voor een aantal andere certificaat-autoriteiten, waaronder het Ministerie van Justitie, de Nederlandse Orde van Advocaten, TenneT, Renault-Nissan en de TU Delft; ook de veiligheid van certificaten van die autoriteiten kan niet worden gegarandeerd, omdat DigiNotar ze verzorgde.
Eerder al hadden ook de browsermakers aangegeven de DigiNotar-certificaten op de zwarte lijst te zetten. Zo blokkeerde Chrome 247 DigiNotar-certificaten en kondigden ook Mozilla en Microsoft aan de certificaten van DigiNotar niet langer te vertrouwen. Microsoft heeft op verzoek van de overheid besloten de update die de DigiNotar-certificaten in de ban moet doen, in Nederland nog niet automatisch uit te rollen.
Dit moet bedrijven en overheden wat tijd geven om de omstreden certificaten te vervangen, zo zei Donner eerder deze week tijdens een persconferentie. DigiNotar heeft in Nederland zo'n 58.000 ssl-certificaten uitgegeven en als deze van de ene op de andere dag ongeldig worden verklaard, leidt dit volgens de minister tot 'maatschappelijke schade'. "We denken dat de overheid nog drie tot vier dagen nodig heeft om de certificaten te vervangen", zei Donner maandag. "Voor de certificaten op machines voor contacten tussen machines onderling is langer nodig." Wanneer de hele overstap op nieuwe certificaten voor deze machine-to-machine-certificaten is afgerond, kon Donner niet precies aangeven.
Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Die druk is dinsdagavond iets opgevoerd, toen het softwarebedrijf de bewuste update vrijgaf. Internetters en systeembeheerders die niet willen wachten tot de automatische update uitkomt, kunnen deze nu al downloaden en installeren.
DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Hoewel DigiNotar de hack 19 juli ontdekte, trok het bedrijf niet aan de bel. Uit het onderzoek van Fox-IT blijkt dat het aan adequate beveiliging bij DigiNotar ontbrak en dat de eerste sporen van de aanvallers al dateren van 17 juni. De laatste valse certificaten werden aangemaakt op 22 juli, drie dagen na de ontdekking.
Beveiliging
.
