Hiervoor zijn we opgericht, en als het nodig is, dan pakken we die rol ook

Ken je die hangslotjes die je in de url van websites vaak ziet? Dat betekent dat je een beveiligde website bezoekt. Dat betekent dat zo’n website een certificaat heeft waarmee ze aantonen dat ze de ‘echte’ website zijn.

Hans, Senior Security Specialist

Vals certificaat van DigiNotar

Op een maandagochtend in 2011 meldde Duitse collega’s ons dat ze een raar bericht zagen op een discussielijst in een uithoek van het internet. Daar stond dat er een vals certificaat was gevonden van DigiNotar. Met een vals certificaat kun je een legitieme website nabouwen die niet van echt te onderscheiden is. DigiNotar is een Nederlands bedrijf dat certificaten verkoopt. DigiNotar geeft ook certificaten uit namens de Staat der Nederlanden.

Vanuit de overheid bezig zijn met veiligheid

Het spreekt me aan om vanuit de overheid bezig te zijn met veiligheid. Ik help om de digitale weerbaarheid van Nederland te vergroten. Ik heb het allemaal zien ontstaan: toen ik in 2005 begon bij wat destijds nog Govcert was, bestond het domein cybersecurity nog niet zo lang. En computerveiligheid binnen organisaties was nog nauwelijks een onderwerp. Beheerders bij bedrijven konden een cluster van computers beheren, maar dat was het wel. We waren aan het pionieren. Tegenwoordig is de kennis op het gebied van computerveiligheid echt toegenomen. Het veld is volwassener geworden.

'DigiNotar heeft de overheid duidelijk gemaakt dat het hard nodig is dat we een organisatie hebben die zich met digitale veiligheid bezighoudt.'

Wat kunnen we doen?

Ik ben Incident Responder. Er komen dossiers bij mij binnen van complexe incidenten: ransomeware aanvallen op computersystemen, verloren gegevens die we terug moeten zien te krijgen, kwetsbaarheden in websites van de overheid, bijvoorbeeld als mensen informatie uit data achter overheidssites weten te bemachtigen. Maargoed, terug naar die maandagochtend in 2011. Dan komen wij gelijk in actie. Is dit het enige certificaat? Zijn er nog meer certificaten? Zijn er discussies over online? Tegelijk zoeken we contact met de top van DigiNotar: hebben jullie dit ook gezien? Wat kunnen we doen?

Wat moet eerst, wat kan later?

De valse certificaten waren al uitgegeven. Daar konden we niets meer aan doen. Browserfabrikanten als Microsoft en Google konden in theorie het vertrouwen in de certificaten van de hele Staat der Nederlanden intrekken. Het is dan onze opdracht om te zorgen dat het vertrouwen in onze overheid overeind blijft: in eerste instantie door het vertrouwen in DigiNotar op te zeggen, en daarnaast moesten we heel snel aan nieuwe, betrouwbare certificaten komen die ook nog eens heel snel geïmplementeerd moesten worden. Dan ga je denken: welke sites moeten eerst, welke komen wat later? Daarmee probeerden we de browserfabrikanten, zoals Microsoft en Google, vertrouwen te geven om de overgang soepeler te maken. Vanuit Microsoft kon je als gebruiker bijvoorbeeld het vertrouwen in DigiNotar certificaten als optie uit je browser halen. Google haalde de certificaten wel snel weg. Dan hebben wij de Rijksdienst voor het Wegverkeer heel rap aan de telefoon, die ons zeggen: autobedrijven die Google Chrome gebruiken, kunnen geen kentekens meer op naam zetten.

Maatschappelijke schade

De maatschappelijke schade had heel groot kunnen zijn. DigiNotar heeft de overheid duidelijk gemaakt dat het hard nodig is dat we een organisatie hebben die zich met digitale veiligheid bezighoudt. We zijn niet alleen een clubje nerds: de gevolgen van digitale aanvallen zie je ook in de ‘echte wereld’, zoals bij de kentekenregistratie. Zonder ons waren we in een digitale chaos beland. Dit was echt een moment waarop ik dacht: hiervoor zijn we opgericht, en als het nodig is, dan pakken we die rol ook.