Een uniek schouwspel voltrok zich gisteravond voor onze ogen, vrij complexe technische materie op prime time televisie. Als het nog niet duidelijk genoeg was: internet is definitief doorgebroken in onze samenleving en beheerst talloze aspecten van het leven. Tot zover ook de juichverhalen over dit gegeven, want iets komt natuurlijk alleen onverwacht in zo’n actualiteitenrubriek als er iets grondig mis is. En dat was er ook, het bedrijf Diginotar heeft er voor gezorgd dat er nogal wat onrust en verwarring is ontstaan over de veiligheid van het gebruik van overheidssites zoals bijvoorbeeld die van DigID.
Het ligt voor de hand dat we ons daar druk om maken, aangezien deze websites de kern van onze persoonlijke identificatie aan de black box die de overheid is raken. Vreemd genoeg blijft via de bekende media-kanalen de grotere schade enigszins onderbelicht: de problemen ontstonden door een heuse cyber-aanval die de privacy en het leven van talloze Iraniërs in gevaar heeft gebracht.
U heeft waarschijnlijk geen zin om hier een heel technisch verhaal te lezen. Daarvoor gaat u wel naar Tweakers of naar dit vrij complete overzicht op Security.nl. De kern van het probleem is echter niet zo heel ‘technisch’ en ligt hem gewoon in het feit dat de mensen bij Diginotar het hele voorval een tijd lang stil hebben gehouden. Het gehackte Comodo gaf veel sneller openheid van zaken en gaf snel aan browsermakers aan welke certificaten niet te vertrouwen waren. Aangezien deze aangeven of je wel écht met die website te maken hebt die het zegt te zijn vormen die certificaten een belangrijke beveiliging in de communicatie via internet.
Als niet een oplettende Iraanse mailer Google Chrome had gebruikt -die toevallig ‘weet’ welke leveranciers Google zelf gebruikt en dus een foutmelding gaf- wie weet hoe lang valse certificaten dan nog in omloop waren geweest? De kern van het probleem is simpelweg dat na de, laat ontdekte, hack Diginotar gezwegen heeft en de problemen binnenskamers heeft proberen te houden. Daarbovenop heeft de Nederlandse overheid ook niet direct het (voorlopige) vertrouwen opgezegd in alle Diginotar certificaten toen de problematiek en vertrouwensbreuk vorige week aan het licht kwamen. Wellicht in een poging “vreemde meldingen” voor Nederlandse burgers te voorkomen probeerde de overheid wat uitzonderingen te bedingen. Damage control had later moeten komen, totale openheid en opzeggen van alle certificaten had de harde maar verstandige maatregel moeten zijn nadat gebleken was dat Diginotar niet half wist waar het zelf stond.
Het is Iran natuurlijk niet om uw gemeente-database te doen en zeer waarschijnlijk zelfs niet per se om uw DigID gegevens, al zou dit wellicht een mooie bijkomstigheid zijn. In de eerste plaats zijn de valse certificaten het eenvoudigst te misbruiken voor gebruik in eigen land, en zo de veilig gewaande communicatie via talloze diensten af te luisteren. Er zijn sterke aanwijzingen dat dit ook echt gebeurd is, van 300.000 unieke IP-adressen is het verkeer naar google.com onderschept. Dit is niet puur zoekverkeer, maar denk vooral aan de andere google-diensten zoals gmail en docs. Diginotar heeft met de halfzachte audit na de hack en de trage respons dus niet alleen uw DigID, maar de directe communicatie van Iraniërs, waar heel wat meer op het spel kan staan, in gevaar gebracht. Dat is naast slechte bedrijfsvoering dus ook nog eens een schandelijke omgang met –potentieel- levens.
De centrale vraag is misschien wel waarom Diginotar heeft gemeend alles binnenskamers te moeten houden. Als we kijken na hoe de overheid eerst de schade probeerde te beperken lijkt het antwoord te liggen in de continuïteit van de dienstverlening. Diginotar heeft gegokt dat het in eigen huis de problemen wel op had gelost, maar dat bleek een enorme vergissing. Zij en dissidenten in Iran betalen nu de prijs voor die gok: nu blijkt dat er nog heel wat fout zat is het vertrouwen geschaad en privé-communicatie lange tijd afgetapt.
Waarom een bedrijf dat in vertrouwen handelt, geen openheid geeft bij mogelijke vertrouwensbreuken zal misschien altijd wel een raadsel blijven. Juist wanneer vertrouwen je product is moet je openheid betrachten, zodat iedereen kan zien dat jij als tussenpersoon eerlijk in het spel staat. Diginotar is misschien wel niet de enige, wel degene van wie we het nu weten en die het spel geopend hebben: nationale veiligheid eindigt nu voor niemand meer bij fysieke grenzen en speelt zich niet meer alleen af tussen mensen en in gebouwen. Het is te hopen dat niemand hier uiteindelijk de heel hoge prijs hoeft te betalen.
