Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire

De overheid let sinds de Diginotar-affaire beter op de beveiliging van overheidssites en -diensten. Dat concludeert de Rijksauditdienst na een onderzoek naar de zaak. Voorafgaand aan de hack heeft de overheid wel steken laten vallen bij de audits.

De overheid reageerde snel en adequaat op de hack, zo concludeert de Rijksauditdienst volgens Nu.nl. De Rijksauditdienst meent dat de overheid veel goed deed in de affaire. "Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen. Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging."

Vóór de affaire heeft de overheid wel steken laten vallen, volgens het overheidsorgaan. Zo werd te veel vertrouwd op de beperkte audits, waarbij geen afwijkingen werden gevonden, terwijl de auditors wel afwijkingen hadden moeten vinden. De overheid heeft echter lessen getrokken uit de affaire, zegt de Rijksauditdienst. "De wijze van denken en omgaan met risico’s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen."

De conclusie gaat in tegen de mening van de Nationaal Coördinator Terrorismebestrijding, die eerder het optreden van de overheid 'niet adequaat' noemde. "Het was lastig om alle certificaten te vinden. Daarom is het belangrijk om je eigen systemen te kennen en niet al je expertise te outsourcen."

Het inmiddels failliet verklaarde DigiNotar kwam in de problemen nadat een Iraanse hacker valse ssl-certificaten had gemaakt. Toen later bleek dat de certificaten van de Nederlandse overheid niet langer te vertrouwen waren, besloot de overheid het vertrouwen in DigiNotar op te zeggen en een andere certificaatautoriteit te kiezen.

IT-banen

Reacties (17)

Verwijderd 16 maart 2012 15:01

werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen

De overheid heeft hier wel meteen haar krediet verbrand dat ze bij Microsoft en de andere browsermakers had. De overheid had de browsermakers verzekerd dat de beveiliging van PKIoverheid wel snor zat. Wat men er niet bij vertelde is dat de overheid zich baseerde op verklaringen van DigiNotar zelf.

In het vervolg kan de overheid niet meer rekenen op coulance van de browsermakers.

djiwie 16 maart 2012 15:05

Wat wel duidelijk is geworden door deze affaire is dat de overheid veel te veel op één leverancier (Diginotar) vertrouwde. Vrijwel de hele digitale dienstverlening van de overheid is hierdoor in gevaar geweest en er was geen goed backup plan (denk maar aan KPN die overbelast raakte). Bovendien werd in de eerste week waarin bekend werd dat Diginotar was gecompromitteerd nogal traag gereageerd door de overheid - in eerste instantie werd het probleem onderschat. Ik vind het dan nogal zelfingenomen van de rijksauditdienst om te concluderen dat er 'snel en adequaat' gehandeld is door de overheid.

TERW_DAN 16 maart 2012 14:54

werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen

Toch raar dat dat als goed aangegeven wordt, terwijl je zou verwachten dat patches zo snel mogelijk gedaan moeten worden, om beveiligingslekken tegen te gaan. Natuurlijk had dit nadelige gevolgen kunnen hebben in dit geval, maar niet patchen laat het ook weer toe om gevaarlijke zaken toe te laten. Beetje raar imho.

robvanwijk

Beveiliging
Politiek en recht
Overheid

@TERW_DAN • 16 maart 2012 17:01

Moet je niet meewegen dat het een patch was voor een "theoretisch" probleem (er waren geen vervalste certificaten ondertekend met de sleutel van de Nederlandse overheid, die aanzienlijke (practische, echte) bijkomende schade zou veroorzaken (het grotendeels platleggen van veel sites van de Nederlandse overheid)?

Verwijderd @TERW_DAN • 16 maart 2012 15:05

Ik denk dat het als goed aangegeven wordt omdat het ervoor zorgde dat de systeembeheerders niet in het weekend op kantoor hoefden te verschijnen om de certificaten te vervangen voordat er maandag weer mee gewerkt moest worden. Maar men verwardt daarbij de operationele kant van de zaak ("blijft alles nog werken?") met de veiligheid.

Ford Prefect @Verwijderd • 16 maart 2012 15:44

Om precieser te zijn, de Microsoft update zou er voor zorgen dat alle Diginator certificaten ongeldig werden, met als gevolg dat nagenoeg geen enkele burger meer contact zou kunnen leggen met wat voor overheidsdienst dan ook. Dus bedrijven zouden niet meer kunnen overdragen aan de belastingdienst, burgers zouden niet meer bij gemeente loketten kunnen komen etc.

Door deze patch in Nederland een week uit te stellen konden niet alleen de burgers en bedrijven hun certificaten aanpassen maar nog veel belangrijker, ook (nagenoeg) alle overheidsdiensten.

_Thanatos_ 16 maart 2012 16:20

Maar zijn er nou daadwerkelijk beveiligingen gecompromisseerd? Zijn er mensen die hier *echt* een of andere schade aan opgelopen hebben? Het enige dat ik heb gelezen is dat ze een veiligheidsgat hadden en dat er allerlei certificaten misbruikt *zouden kunnen* worden. Maar is dat daadwerkelijk gebeurd en heeft men daar daadwerkelijke schade in de vorm van euro's of eigendommen aan geleden?

[Reactie gewijzigd door _Thanatos_ op 28 juli 2024 05:50]

MneoreJ @_Thanatos_ • 16 maart 2012 19:24

Dat is nou net de grap: dat is onmogelijk te zeggen. Als er iemand met een ongeldig certificaat om de tuin gelokt is zal die persoon dat nooit weten, en de eigenaar van de echte site ook niet. Een "man in the middle" attack kan gewoon gegevens afgeluisterd hebben die niet bekend hadden mogen worden, maar alleen de dader weet daarvan.

Dat is ook precies de reden dat je niet gewoon achterover kunt leunen en wachten op de schademeldingen, want die hoeven helemaal niet te komen. Er is dan wel schade, maar die is niet rechtstreeks te herleiden naar de certificaten. Nog afgezien van het feit dat je alleen al vanwege het risico op schade niet stil kan blijven zitten.

_Thanatos_ @MneoreJ • 17 maart 2012 15:05

Maarja, dat kun je ook zeggen bij certificaten die wel "in orde" zijn... Als je niet weet en niet kán weten of alles goed gaat, wat is dan het nut ervan om al die moeite erin te steken?

Ik koop morgen een nieuw voordeurslot. Kost €500, maar daarmee weet ik in ieder geval niet zeker of er minder ingebroken wordt! Toppie!

Patrick_P 16 maart 2012 15:20

De Rijksauditdienst zegt: "Zo werd te veel vertrouwd op de beperkte audits, waarbij geen afwijkingen werden gevonden, terwijl de auditors wel afwijkingen hadden moeten vinden".

Achteraf is alles makkelijk. Ik voorspel dat we dit jaar nog meerdere flaters van de overheid qua IT security mogen aanschouwen. Als ze die toekomstige flaters vandaag auditen komt daar ook niets uit. Mogelijk zegt dit dus eigenlijk iets over de auditors zelf, het zegt zeker iets over hun opdrachtgevers.

Link naar wat de Rijksauditdienst eigenlijk doet: http://www.rad.nl/167/Organisatie/

Verwijderd @Patrick_P • 17 maart 2012 10:00

Het is allemaal leuk en aardig om een niet altijd up-to-date website af te kraken. De Rijksauditdienst, maar zeker ook de auditdiensten van de andere Ministeries waaronder EL&I en Defensie doen er alles aan om dit soort incidenten te voorkomen. Indien de kennis niet binnen de eigen organisatie voorhanden is, wordt dit desnoods tijdelijk ingehuurd.

Het blijft een feit dat als je elke organisatie in Nederland volledig op het bestaan, de opzet en de werking van de interne beheersingsmaatregelen m.b.t. de informatiebeveiliging controleert, heb je enkele duizenden EDP-teams nodig. Ik neem aan dat de belastingbetaler dit niet op prijs zou stellen.

Vaevictis_ 16 maart 2012 15:15

Bij Diginotar werd alleen 1x per door een externe accountant geaudit op papier of de procedures voldeden. Dat heeft weinig te maken met operationele security en al helemaal niets met integrale beveiling in de keten.

Ik hoop dat ze een model integrale ketenbeveiling hebben ontwikkeld.

Ook bij het ontwikkelen van oplossingen wordt nog te weinig aandacht aan beveiling gedacht. Mocht je hier meer over willen lezen zoek dan op TOGAF - SABSA integration.