De hack van het inmiddels failliete Beverwijkse DigiNotar behoort tot één van de grootste beveiligingsincidenten van 2011, reden voor Security.nl om met moederbedrijf Vasco te praten. Eén of meerdere aanvallers wisten in juni de servers van certificaatuitgever DigiNotar te hacken, waarbij er vervolgens honderden valse certificaten voor allerlei domeinen werden aangemaakt. Met de valse certificaten was het mogelijk om versleuteld verkeer van Iraanse internetgebruikers af te luisteren. Het bedrijf ontdekte de aanval, maar verzweeg dit, totdat eind augustus een vals Gmail certificaat door een Iraanse blogger werd gerapporteerd.

DigiNotar werd begin dit jaar door het Belgisch-Amerikaanse softwarebeveiligingsbedrijf Vasco Data Security International overgenomen. Net als DigiNotar liet ook Vasco lange tijd niets van zich horen. De eerste reactie over de hack was een verklaring waarin werd gesteld dat het bedrijf met de Nederlandse autoriteiten wilde samenwerken. Vervolgens verscheen er een verklaring aan investeerders waarin het bedrijf DigiNotar liet vallen, gevolgd door het verwijderen van het Beverwijkse bedrijven van de eigen website

Security.nl sprak met Jan Valcke, Chief Operating Officer van Vasco.

Security.nl: Veel mensen vragen zich af waarom Vasco zo weinig van zich liet horen tijdens de gehele periode. Werd de ernst van de situatie niet goed ingeschat? Was het niet bekend met de situatie of was het een poging om het bedrijfsimago te beschermen?
Valcke: De realiteit is toch enigszins anders. Wij als Vasco hebben onmiddellijk gecommuniceerd toen we de omvang van het probleem te weten kwamen. DigiNotar was een afzonderlijk bedrijf.

DigiNotar begon het hacking incident te onderzoeken onmiddellijk na de ontdekking ervan in juli 2011. Dat onderzoek hield ook in dat er een extern bedrijf werd ingehuurd. Gebaseerd op de reviews door DigiNotar en het externe bedrijf werd geconcludeerd dat alle frauduleuze certificaten gevonden en ingetrokken waren. Alles wees er dus op dat er sprake was van een mislukte poging tot hacken.

Eind augustus bleek dat er toch minstens één frauduleus certificaat niet was ingetrokken. Nadat de Nederlandse overheidsinstantie Govcert DigiNotar hiervan op de hoogte stelde, heeft DigiNotar onmiddellijk actie ondernomen en het betreffende certificaat ingetrokken. Op dat ogenblik heeft Vasco onmiddellijk alle bekendmakingsprocedures gestart, zoals wordt aangetoond door de persberichten die we hebben verspreid.

Security.nl: Bij soortgelijke incidenten met Comodo werd er meteen openheid van zaken gegeven, waarom is dit voorbeeld niet gevolgd?
Valcke: Zoals eerder vermeld, heeft Vasco onmiddellijk gecommuniceerd vanaf het moment dat we effectief wisten dat er kans was op schade bij bedrijven, overheden en particulieren.We willen er ook op wijzen dat er tot op heden nog steeds geen duidelijk beeld is van het hele plaatje rond de hacking. We kijken uit naar de uiteindelijke bevindingen.

Security.nl: Terugkijkend op de hele affaire, wat zou Vasco in dezelfde situatie nu anders doen?
Valcke: We hebben DigiNotar overgenomen om al de goede redenen. Het bedrijf paste in onze strategie, we zagen veel toekomst voor de technologieën. We betreuren dat het met DigiNotar slecht is afgelopen. Het heeft weinig zin om “with the benefit of hindsight” te zeggen wat er anders kon of moest. Maar wat we betreuren, is dat de ware toedracht zo laat in het verhaal is duidelijk geworden voor Vasco.
Eén ding zouden we zeker anders doen: we zouden andere regels definiëren voor de earnout procedure. We hebben DigiNotar niet onmiddellijk geïntegreerd omdat het bedrijf zich had verbonden tot bepaalde omzetprestaties in 2011. Nu zouden we er vast en zeker voor zorgen dat bepaalde zaken meteen volgens de Vasco-manier zouden worden geïmplementeerd.

Security.nl: Had Vasco bij de overname van DigiNotar niet de beveiliging van het bedrijf en diens systemen doorgelicht?
Valcke: Vast en zeker wel. We hebben een uitgebreide “due diligence” uitgevoerd voor de overname. Op juridisch vlak werden we geassisteerd door een internationaal advocatenbureau van topniveau, met specifieke kennis van het Nederlandse recht en EU standaarden. We hebben ook vertrouwd op een audit certificaat dat in november 2010 werd uitgegeven door een auditbedrijf dat deel uitmaakt van de “Grote Vier”.

Dat bedrijf was gekwalificeerd om CA’s te onderzoeken die gecertificeerd werden onder de ETSI standaarden. Dat auditcertificaat duidde aan dat DigiNotar voldeed aan de vereisten van de ETSI standaarden, zowel op het vlak van management als op het vlak van operationele controles. Jammer genoeg was de hacker nadien in staat om door die operationele controles te breken.

Security.nl: Wat heeft Vasco geleerd van het incident dat het nu in bedrijfsvoering/beleid/procedures toepast?
Valcke: In de zakenwereld is het - net als in het gewone leven – belangrijk om constant te leren uit ervaringen. Ook uit het DigiNotar-incident hebben we zaken geleerd. Het zou ons echter te ver leiden om hieromtrent in detail te gaan.

Security.nl: De bekende beveiligingsexpert Miko Hypponen stelde dat door de DigiNotarhack doden zijn gevallen. Zo'n uitspraak is niet niks. Hoe werd hier binnen Vasco op gereageerd en wat doet dit voor de beeldvorming van het bedrijf?
Valcke: Zo’n uitspraak is inderdaad niet niets, temeer aangezien de heer Hypponen in hetzelfde artikel moet toegeven dat hij geen bewijzen heeft voor zijn stelling. Dat is toch wel bedenkelijk. We laten die bewering dan ook volledig voor de rekening van F-Secure en de heer Hypponen. Wij gaan niet mee in dergelijke discussies.

Voor zover wij weten is het trouwens niet duidelijk dat de Iraanse overheid achter de hack zit. We weten wel dat een Iraanse burger heeft beweerd dat hij achter de aanval zit, maar we kunnen dit niet bevestigen.

Security.nl: In hoeverre ben je als beveiligingsbedrijf verantwoordelijk voor de veiligheid van internetgebruikers?
Valcke: Een beveiligingsbedrijf is één van de actoren binnen de securitymarkt. Naast de dagelijkse business, vinden wij het van het allergrootste belang dat bedrijven, samen met overheden, media en belangengroepen de individuele internetgebruiker leert hoe op een veilige manier om te gaan met het internet. Vasco zelf biedt een beveiligingsplatform. De integratie en het gebruik zijn even belangrijk voor een succesvol project als het beveiligingsplatform.

Security.nl: Heeft Vasco nog plannen om weer op de SSL-markt terug te keren?
Valcke: Neen. Wat meer is: Vasco heeft geen enkele ambitie om actief te worden binnen de CA-wereld. We hebben DigiNotar overgenomen omdat ze PKI technologie hadden die we konden gebruiken om onze two-factor authentication producten en diensten verder uit te bouwen. Het feit dat DigiNotar ook een CA was, was mooi meegenomen qua business maar ondergeschikt aan onze strategische plannen met het bedrijf.

Security.nl: Hoe hebben Vasco klanten op de DigiNotar-hack gereageerd?
Valcke: Onze klanten merkten snel het onderscheid tussen wat Vasco aanbiedt en DigiNotar’s producten en diensten. Voor ons was dit een mogelijkheid om onze klanten uit te nodigen om te kijken hoe Vasco de eigen security aanpakt.

Het DigiNotar incident heeft geen enkel effect op Vasco’s core business. De technologische infrastructuren van Vasco en DigiNotar was volledig gescheiden. Dit betekent dat er geen enkel risico was voor infectie van Vasco’s strong authentication business. De integratie van DigiNotar-technologie in Vasco’s producten was gepland voor 2012. Alle Vasco producten die momenteel op de markt zijn, zijn 100% DigiNotar-vrij. Wij denken niet dat we door DigiNotar een klant hebben verloren.

Security.nl: De schade van het incident bedraagt zo'n 5 miljoen euro. Houdt Vasco nog rekening met aanvullende kosten of zaken die nog lopen of kunnen worden aangespannen?
Valcke: We sluiten dit niet uit, maar we hebben geen weet van mogelijke claims door derden tegen Vasco. We hebben in dit verband uitgebreid juridisch advies ingewonnen. Daarnaast kunnen we u melden dat we zelf alles zullen ondernemen om de belangen van onze belanghebbenden (stakeholders) te beschermen en te vrijwaren.