Nieuws

Wat heeft DigiNotar ons geleerd?

maandag 20 februari 2012, 09:33 door Redactie, 9 reacties

De Beverwijkse SSL-uitgever DigiNotar mag dan failliet zijn, wat heeft het debacle ons nu precies geleerd? Vorig jaar werd bekend dat een aanvaller bij DigiNotar had ingebroken om valse SSL-certificaten te genereren. Daarmee was het mogelijk om Iraanse internetgebruikers af te luisteren. Als gevolg greep de Nederlandse overheid bij het bedrijf in en werd DigiNotar uit alle browsers verbannen.

"De DigiNotar-affaire heeft ons weer eens met de neus op de feiten gedrukt. De veiligheid van het Internet is geen abstracte aangelegenheid
en inbreuken kunnen grote consequenties hebben", zegt professor Nico van Eijk. Van Eijk is verbonden aan het Instituut voor Informatierecht (IViR) aan de Universiteit van Amsterdam. Volgens hem moet er een verder studie naar de problemen met digitale certificaten plaatsvinden. "Overgaan tot de orde van de dag is geen optie meer."

Wetgeving
Van Eijk vindt dat er meer vanuit de risico’s en alle betrokken partijen moeten worden gedacht. "Kortom, het juridisch kader, dat zich nog vooral concentreert op enkele klassieke partijen in de waardeketen tussen aanbieders van informatie en de afnemers, dient beter deze waardeketen als geheel te reflecteren, dus met inachtneming van activiteiten zoals de verlening van certificaten en de rol van browsers."

Ook moet duidelijker worden wanneer de overheid bij een onderneming kan ingrijpen. Bij verschillende stappen in de DigiNotar-affaire ontbraken namelijk de juridische grondslagen. "Het overnemen van operationele processen en onderhandelen met marktpartijen in het kader van publiekrechtelijke belangen dient een wettelijke inkadering te hebben."

Verder stelt de professor dat er ten aanzien van de genomen maatregelen een meer transparante belangenafweging gewenst is en duidelijk moet zijn hoe overgangsmaatregelen zich tot de risico’s verhouden.

Google: iPhone-gebruikers niet opzettelijk gevolgd

"ICT-beveiliging bij lagere overheden om te janken"

Reacties (9)

20-02-2012, 10:34 door WhizzMan

Ik hoor hier oost-europa deskundige Dr. Remco Clavan.

20-02-2012, 10:49 door Anoniem

Ik wil hiermee toch wel protesteren tegen het zgn begrip SSL uitgever.
Secure Socket Layers worden niet uitgegeven

Diginotar gaf CERTIFICATEN uit, met als doel dat men zich hiermee met een zekere 'betrouwbaarheid' kan identificeren.
Dat ze met "$"teken in de ogen vervolgens vergaten waar ze mee bezig waren......

Als men zo kort door de bocht dingen gaat verkrachten, weet op een gegeven alle zgn 'experts' niet meer waar ze het over hebben, laten we dat nou in ieder geval voorkomen.

20-02-2012, 11:17 door Anoniem

Staan die servers van Diginotar nog steeds aan eigenlijk?

20-02-2012, 13:50 door Anoniem

Nee, de aanvaller heeft ze netjes uitgezet.

20-02-2012, 17:53 door Anoniem

Natuurlijk staat dat nog aan, er zijn vast PDF's die gesigned zijn met een certificaat van Diginorat waarvoor nog OCSP checks gedaan worden: http://validation.diginotar.nl/

20-02-2012, 19:38 door Anoniem

Dr. Clavan haha. Even serieus, als iemand dit zegt "Kortom, het juridisch kader...", "onderhandelen met marktpartijen" en "wettelijke inkadering" is hij helemaal bij de tijd. Als de overheid zo weinig kan waarom is ze dan zo verdomde duur?

De overheid staat feitelijk op afstand van bijna alles dat een beetje technisch is (geen geld voor over). Hoe slecht zou de Stormvloedkering zijn geworden als dat vroeger ook zo was geweest? (denk aan : de goedkoopste aanbieder) Een stormpje en 6 pilaren zouden scheef gaan staan, de weg erover amper bruikbaar en een dood echtpaar met caravan die door de vangrail gingen.. Voor ik het vergeet, de Hedwichepolder staat, tot groot geluk van de Belgen, al onder water.

20-02-2012, 23:39 door LightFrame

Wat we hebben geleerd is dat bedrijven het liever stil houden als ze ontdekken dat ze gehacked zijn.

21-02-2012, 16:58 door Anoniem

Ik denk dat er goede feedback met de gremia moet zijn zodat het bestuurlijk verankerd en geborgd kan worden.

16-03-2012, 16:17 door Anoniem

Rapport PKI onderzoek is gepubliceerd.
http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2012/03/16/rapport-pki-onderzoek.html

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer