Slaap zacht
De Nederlandse overheid kan niet langer instaan voor de veiligheid van haar websites, als het gaat om het vertrouwelijke verkeer met burgers, bedrijven en tussen overheden onderling.
Dit is het gevolg van een digitale inbraak bij het bedrijf DigiNotar dat als hofleverancier circa 3.500 veiligheidscertificaten levert aan de overheid. Het zijn certificaten die checken, garanderen dat de internetverbinding betrouwbaar is en er dus privacy-gevoelige en vertrouwelijke informatie kan worden uitgewisseld. Het gaat hierbij om zaken die onder meer het digitale overheidsloket betreffen, waaronder DigiD.
CDA-minister Donner treedt robuust op met zijn middernachtelijke persconferentie om alarm te slaan over het veiligheidslek. DigiNotar ontdekt de digitale kraak in juni, maar licht het ministerie van Binnenlandse Zaken pas maanden later in. Zo kunnen hackers al die tijd ongestoord hun gang gaan. Veiligheidscertificaten worden rijkelijk gekopieerd en persoonlijke gegevens van burgers vrijelijk gestolen. Als het lek bekend wordt, lijkt het of minister Donner daadkrachtig optreedt. Zijn boodschap: nog een paar dagen en dan is het verkeer via het digitale loket bij de overheid weer veilig. En natuurlijk! Justitie doet onderzoek. Zo luidt zijn geruststellende boodschap keer op keer.
Maar zo eenvoudig ligt het niet. Om te beginnen zijn er kapitale fouten gemaakt. Het bedrijf DigiNotar had niet eens virusscanners op zijn servers met de beveiligde certificaten voor de overheid. Inlogprocedures, wachtwoorden, het was allemaal een zooitje bij Digi- Notar. Het toezicht vanuit het Rijk heeft dus schromelijk gefaald. Feitelijk bestond er geen toezicht op de hofleverancier.
Ondertussen schrijft Binnenlandse Zaken veel dure en gewichtige rapporten over de bescherming van vitale infrastructuur van Nederland. Maar de bescherming van vertrouwelijke uitwisselingen van informatie via de digitale snelweg...........oeps, compleet vergeten!
En als het dan misgaat, ligt er geen noodplan. Persconferentie volgt op persconferentie. Ze moeten de burger en de media het gevoel geven dat alles zo goed als onder controle is, maar dat is het niet.
Elke overheid bepaalt vervolgens zelf wat ze doet met het lek. Er zijn driehonderd gemeenten die gebruik maken van beveiligingscertificaten van DigiNotar. Leeuwarden en Vlissingen hebben het digitale loket gesloten. Amsterdam waarschuwt voor de risico’s als burgers er toch gebruik van maken. Andere gemeenten gaan onverdroten voort, alsof er niets aan de hand is. Geen enkele coördinatie.
En wat zijn de consequenties voor de burger wiens gegevens zijn gestolen bij DigiNotar? Donner zwijgt in alle talen. ‘Gaat u gerust slapen, de overheid blijft alert’, lijkt de domme boodschap.
Als het Rijk alles maar over de schutting blijft kieperen, naar de markt of naar decentrale overheden, en er alleen voor de vorm een toezichtsconstructie aan toevoegt, zullen we steeds vaker te maken krijgen met dit soort berichten. Het wordt hoog tijd dat de overheid weer eigen deskundigheid in huis haalt en niet alles dat te moeilijk of te duur voor politici wordt, uitbesteedt.