AMSTERDAM – Al een half jaar voor de inbraak bij Diginotar is de overheid gewaarschuwd voor een lek. Er werd niet ingegrepen omdat ingeschat werd dat het geen zaak was die de rijksoverheid zou raken.Dat blijkt uit onderzoek van NU.nl.
Het was al duidelijk dat Diginotar zwaar verouderde software op de website gebruikte. Nu blijkt dat Govcert, ict-beveiliger van de overheid, al op 13 januari 2011 gewaarschuwd is voor lekken in de website die later misbruikt zijn om in te breken bij het bedrijf.
“Ja, er is inderdaad op 13 januari 2011 gemeld bij Govcert er software was die een lek bevatte en dat het bedrijf Diginotar deze software leek te gebruiken”, stelt een zegsman voor de rechtsopvolger van Govcert.
In september kwam naar buiten dat Diginotar al op 19 juli 2011 gehackt was. Een half jaar eerder was dus al bekend dat de website lek was.
Niet ingrijpen
“Door Govcert is in januari, zoals destijds gebruikelijk, vooral onderzocht of ook de rijksoverheid deze software gebruikte om zo een eventuele kwetsbaarheid vast te stellen”
, stelt de voorlichter.
Diginotar bleek met een oudere versie van de websitesoftware te werken en was niet gevoelig voor dat specifieke lek. Wel was het toen al duidelijk dat de oudere versie veel meer zwakheden bevatte. Toch leidde dat niet tot ongerustheid bij de overheid.
Afhankelijk
De voorlichter benadrukt dat bij de beveiligers niet was doorgedrongen hoe afhankelijk de overheid was van de beveiligingscertificaten van Diginotar. De melding van het gebruik van zwaar verouderde software met bekende lekken was volgens hem onvoldoende indicatie dat er iets aan de hand zou zijn.
Vervolgens werd dan ook niets gemeld aan de OPTA die toezicht hield op Diginotar, waardoor ook die organisatie niet wist dat er überhaupt iets speelde.
Diginotar verstrekte certificaten aan de hand waarvan browsers weten of de afkomst van een website veilig is. Na de hack konden certificaten vervalst worden waardoor geen melding verscheen bij onveilige pagina’s.
Niet gemeld
De Tweede Kamer werd echter niet over het lek in de website geïnformeerd. De zegsman van het Nationaal Cyber Security Centrum (NCSC) stelt dat toen niet bekend was dat het lek de oorzaak van de inbraak was.
Of dat klopt is lastig te achterhalen. Fox-IT, het beveiligingsbedrijf dat later onderzoek deed bij Diginotar, weigert te zeggen of ook zij de zwakheden op de website hebben gevonden en of dat gemeld is aan Govcert.
“Mijn commentaar is dat ik een zwijgplicht heb en niets kan zeggen over Diginotar”
, reageert directeur Ronald Prins.
In een recent rapport van het bedrijf worden de problemen op de website wel geduid.
Opmerkelijk
Toezichthouder OPTA stelt dat het op 15 december 2011 een eerder rapport van beveiligingsbedrijf ITSEC in handen heeft gekregen. Daarin stond in ieder geval dat het lek in de website de oorzaak was van de hack.
“Dat is opmerkelijk omdat ook beveiligingsbedrijf Fox-IT onderzoek heeft gedaan bij Diginotar vóór het parlement werd geïnformeerd”
, reageert SP-kamerlid Sharon Gesthuizen tegenover NU.nl.
Ze begrijpt niet waarom het parlement niet alsnog na het realiseren van de blunder van Govcert geïnformeerd is.
Weggemoffeld
“Als je een oudere versie van software gebruikt hoor je je toch achter je oren te krabben. Waarom is dit niet gemeld aan de Kamer?”
, stelt Gesthuizen.
“In hoeverre kan de Kamer erop vertrouwen dat er objectief onderzocht is? Ik heb het idee dat er toch dingen zijn weggemoffeld. Dat geeft mij geen prettig gevoel.”
Rocco Mulder, curator bij Diginotar, vindt de situatie opmerkelijk.
“Ik ben natuurlijk erg benieuwd naar de details en verder wat er al dan niet met deze melding door Govcert is gedaan.”
Mulder wikkelt de zaak rond het faillissement van Diginotar af.
Hij weert zich momenteel tegen een miljoenenclaim van de staat die juist Diginotar van nalatigheid beschuldigd.