DigiNotar stevig in de fout

Volgens een oud-medewerker was het nog erger: Remko de Graaf vertelde in het RTL Journaal, dat zijn oud-werkgever er onveilige praktijken op nahield. Volgens hem werden bijvoorbeeld tegen de regels kopieën van de digitale sleutels die aan klanten werden geleverd, opgeslagen op systemen van DigiNotar. Of die sleutels door de hackers zijn gekopieerd, en wat daarvan de consequenties zouden zijn, is op dit moment niet bekend. DigiNotar hult zich ook nog steeds in stilzwijgen.

Onderzocht of van verwijtbare nalatigheid sprake is
Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties toonde zich gisteravond tijdens een persconferentie kritisch over de gang van zaken bij DigiNotar. Hij laat nu onderzoeken of het bedrijf verwijtbare nalatigheid ten laste kan worden gelegd. Als de overheid tot de conclusie komt dat daar sprake van is, zou het de schade eventueel op DigiNotar kunnen proberen te verhalen. Minister Donner heeft daarover gisteren nog niets gezegd.

Het lijkt er overigens niet op dat de hackers Nederland op het oog hadden. Het forensisch onderzoek dat Fox-IT naar de gang van zaken uitvoerde heeft uitgewezen dat 300.000 computers door de hack gecompromitteeerd zijn. 99 procent daarvan staat in Iran, wat aan de intenties van de hackers niets te raden over laat.

Problemen voor gemeentelijke bedrijfsprocessen
Ook in Nederland leidt de hack tot problemen. Nederlandse gemeenten en overheidsinstellingen als de RijksDienst voor het Wegverkeer kunnen namelijk niet één, twee, drie overstappen op certificaten van anderen. Zij hebben nog ongeveer 3500 computers draaien die in de achtergrond, voor machine-tot-machinecommunicatie, gebruik maken van certificaten van DigiNotar. Vervanging van die certificaten moet gecoördineerd gebeuren, om te voorkomen dat bedrijfsprocessen vastlopen.

Dankzij overleg met Microsoft hebben de getroffen overheidsinstellingen wat meer tijd om die overstap te regelen. Aanvankelijk was Microsoft van plan alle certificaten van DigiNotar in zijn software uiterlijk vandaag ongeldig te verklaren. Het ministerie van Binnenlandse Zaken heeft met Microsoft weten af te spreken dat Nederland wat meer tijd krijgt. De update waarin die wijziging van de acceptatie van DigiNotar-certificaten wordt geregeld, wordt hier te lande pas eind deze week automatisch verspreid.

DigiD weer bruikbaar
DigiD is inmiddels wel weer veilig. Zaterdag verstrekte de overheid het advies om DigiD voorlopig niet meer te gebruiken. De certificaten van DigiD zijn inmiddels vervangen, zodat men zaken met de overheid en de Belastingdienst nu weer veilig online kan regelen.