- Door
- Rashid Niamat
- geplaatst op
- 9 augustus 2012 08:10 uur
Deze maand is het een jaar geleden dat Nederland geconfronteerd werd met ernstige tekortkomingen bij het bedrijf Diginotar. De gevolgen zijn bekend, het bedrijf is failliet verklaard en overheid en bedrijfsleven zijn nog steeds bezig de schade te herstellen. Zoals gebruikelijk roept de politiek dat de zaak tot op de bodem moet worden uitgezocht en worden drastische maatregelen geëist opdat zoiets nooit meer kan voorkomen.
Zoiets roept vragen op als: hebben de sessies met parlementsleden in bijzondere commissies de oplossing gebracht? Wat is de feitelijke impact van deze flater die er voor heeft gezorgd dat Nederland op negatieve wijze voor wereldwijde persaandacht heeft gekregen? En uiteraard: zijn we er echt van geschrokken en daardoor ons leven gaan beteren?
Diginotar debacle maakte indruk
Met die vragen in het achterhoofd is ISPam.nl te rade gegaan bij vier ondernemingen die door hun link met de IT/internet-sector nagedacht moeten hebben over de Diginotar-affaire, een adviesbureau voor onder meer ID management, een security onderneming, een PR-bureau met focus op IT en last but not least een hoster. Wij startten met de vraag naar de eerste reactie van de betrokkenen toen de affaire bekend werd.
André Koot van I3Advies geeft direct aan dat de zaak grote indruk op hem heeft gemaakt want: “[…] in onze branche beschouwden we Diginotar als een vaste waarde. Diginotar was zo’n beetje de oudste CA en we kenden en vertrouwden de mensen erachter.” Bij Madison Gurkha was de eerste indruk meer van ‘business as usual’, aldus Walter Belgers. Daar is namelijk de ervaring dat er “heel vaak [ ] dingen goed fout [moeten] gaan, voordat mensen naar beveiliging kijken.” Daarmee hebben we heel opvallend twee sterk verschillende reacties, nota bene van kenners van de materie.
Een bijzonder antwoord op de vraag kregen we van Emile Idzinga. “Diginotar heeft ons en onze klanten met de neus op de feiten gedrukt en ons de gelegenheid gegeven om de houdbaarheid van processen en structuren te evalueren. Er was al een aantal incidenten geweest op het gebied van informatiebeveiliging, maar geen van deze omvang.” Mart van Santen van Greenhost toonde vooral een hele praktische instelling zoals blijkt uit zijn antwoord: “Als ISP hebben we uiteraard te maken met certificaten. Ik heb in ieder geval direct het Diginotar-certificaat uit onze chain gehaald.”
Wat hebben we geleerd
De specialisten is tevens gevraagd naar een oordeel over de wijze waarop de affaire is opgepakt en over de lessen die wij, (internet-) ondernemers, pers, politiek en burgers hiervan kunnen leren.
Koot heeft in zijn reactie vooral aandacht voor de zwakste schakel, de mens: “wat terugkijkend naar voren komt is dat onze normen nog zo hoog mogen zijn, maar als er geen deugdelijk toezicht is, dan moeten we niet gaan klagen als er achteraf iets fout gaat. Na dit lek bleek bij mij eens te meer dat de factor ‘mens’ allesbepalend is als het gaat om ons vakgebied. We kunnen technisch alles perfect regelen, maar mensen maken fouten. Daarbij gaat het niet alleen bij mensen op de werkvloer: managers (hmmm en wat dachten we van politici?) die de mond vol hebben van Compliance, maar vervolgens snoeien in kwaliteit, dragen minstens zoveel verantwoordelijkheid, hun fouten werken veel verder en langer door. En die gedachten, die waarschuwingen zullen dus altijd ons ons achterhoofd moeten zitten.”
Belgers stipt een ander punt aan, namelijk de communicatie, of wellicht beter gezegd het aanvankelijke ontbreken van communicatie: “[…]Aan de andere kant heeft het me wel verbaasd dat de keuze is gemaakt om te proberen de aanval onder de pet te houden. Met een eerlijke, snelle en gerichte informatievoorziening bereik je veel meer dan met het verzwijgen of ‘downplayen’ van zo’n incident”. In het verlengde daarvan wijst hij nog op een aantal technische en operationele zaken, die ook door Koot werden gesignaleerd: “Ook het feit dat veel instanties zoveel moeite hadden met het vervangen van een certificaat heeft me verbaasd. Je zou verwachten dat het wisselen van een certificaat vaak genoeg gebeurt en het dus eenvoudig zou moeten zijn.”
Terugblikkend op de affaire stelde Idzinga vast dat: “de oude uitspraak geldt nog steeds: IT security is geen product of technologie, maar een proces dat voortdurend moet worden herzien en geoptimaliseerd. Blijkbaar blijft dat moeilijk.” Voor Van Santen was, wellicht zoals meerdere hosters, de zaak aanleiding voor huiswerk: ”we hebben […] goed gekeken naar het SSL-protocol. En uitgebreid bestudeerd wat de risico’s zijn. Meer dan voorheen proberen we zwaktes op de een of andere manier te ondervangen. Zeker als het om geautomatiseerde processen gaat (OS updates o.i.d.).”
Sprake van een tweedeling
Uit de reacties van Belgers en Van Santen maakten we op dat dit ene voorval (hoe grootschalig en ernstig het ook geweest moge zijn) weinig tot geen directe invloed heeft gehad op de instroom van nieuwe klanten. Daarmee wordt zijdelings bevestigd wat ook elders is gesignaleerd bij grote security incidenten, namelijk een tweedeling.
Hiermee wordt het volgende bedoeld: bedrijven die zich al bewust waren van de noodzaak tot goede beveiliging hadden de zaakjes al min of meer voor elkaar. Zij hebben met Diginotar vooral een bevestiging gevonden voor het juistheid van eigen beleid. De rest van de bedrijven, die de zaakjes dus niet voor elkaar heeft, wacht gewoon op een volgende klap. Pas als het hen zelf of een directe concurrent raakt of wetgeving dit vereist zullen ze maatregelen treffen.
Ontluisterend wellicht, maar het is ook de realiteit dat security awareness in brede zin moeilijk te verbeteren valt en we als samenleving schijnbaar achteloos accepteren dat niet alles veilig kan zijn. In die context is de opmerking van van Santen zowel als waarschuwing als een constatering te lezen: De zaak heeft met name indruk gemaakt omdat er eigenlijk weinig ontwikkeld wordt aan een beter oplossing. “oorlopig is SSL ’the best we’ve got’, maar eigenlijk niet volledig te vertrouwen”. En vertrouwen is het begrip waarmee Koot op filosofische wijze zijn reactie afsloot: “De Diginotar erfenis omvat [..] een interessante casus voor het leveren van Vertrouwen.”
Wat kan de individuele hoster leren van deze affaire?
Na dit gelezen te hebben is er nog een vraag te beantwoorden: wat kan de individuele hoster leren van deze affaire?
Die vraag blijkt lastig te beantwoorden, omdat er aanzienlijke verschillen bestaan in de hostingsector. Voor een grote hoster spelen op het vlak van certificaten en controles ook nog andere zaken dan voor een doorsnee reseller van standaard diensten. Dat betekent zeker niet dat de sector nu rustig achterover moet leunen en de hele zaak zo snel mogelijk kan vergeten.
Kijk nog eens naar de punten die de experts hebben aangedragen en vraag je vervolgens af, waar die gelden voor de processen in je eigen bedrijf. Zelfs al ben je in de verste verte geen Diginotar, een aantal zwaktes in die organisatie komt geheid ook elders voor, misschien bij jouw bedrijf, wellicht ook bij een leverancier of klant. Door oog te hebben voor die zwaktes en gebruik daarvoor het officiële verslag over de Diginotar-zaak als afvinklijst, ben je beter in staat binnen je eigen omgeving een mini Diginotar-affaire te voorkomen.
Dit artikel is mede tot stand gekomen dankzij de reacties van:
André Koot, adviseur Informatiemanagement, Informatiebeveiliging en Informatiearchitectuur bij I3Advies.
Walter Belgers van Madison-Gurkha, de specialisten voor het identificeren, verminderen en voorkomen van (technische) IT-beveiligingsrisico’s.
Emile Idzinga van Axicom, het internationale communicatiebureau voor tech en telecom
Mart van Santen van Greenhost, de provider met ruim 10 ervaring in het aanbieden van vernieuwende groene hosting en dat combineert met aandacht voor het koppelen innovatie aan maatschappelijk relevante kwesties, zoals duurzaamheid en digitale vrijheid.