Overheid vreesde browserverbod PKI Overheid
Tijdens het DigiNotar-debacle was de grootste angst van de overheid dat browserleveranciers als Mozilla en Microsoft ook de PKI Overheid-certificaten onbetrouwbaar zouden verklaren. "Waar we ons grote zorgen over maakten was dat DigiNotar en PKI Overheid door de grote browserleveranciers op één hoop zouden worden gegooid. Want dan zouden ook 250.000 Defensie-certificaten en 250.000 zorgcertificaten worden getroffen", zegt Kees Keuzenkamp, in een interview met Executive People.
Keuzenkamp werd namens het Ministerie van Binnenlandse Zaken als operationeel directeur bij DigiNotar aangesteld. "Onze worst nightmare was dat de internetwereld dan de overheid en DigiNotar op één hoop zou gooien, waardoor we dan geen plek meer zouden hebben om heen te gaan voor certificaten. Dat scenario was voor ons de grootste bedreiging, niet die valse certificaten in Iran."
Toen bleek dat ook de de servers met de PKI-overheid certificaten bij DigiNotar mogelijk waren gehackt, was er volgens Keuzenkamp sprake van een onhoudbare situatie. "Alle betrokkenen waren het er al vrij snel over eens dat we weg moesten bij DigiNotar. Maar essentieel was dat dit beheerst zou gebeuren, omdat anders de hele overheidscommunicatie uit de lucht zou zijn. Dan zou het middel erger zijn dan de kwaal."
Microsoft
Keuzenkamp stelt dat niet de inbraak het grootste probleem was, maar het feit dat de grote browserpartijen hun vertrouwen in de certificaten van DigiNotar kwijt waren. "Dat kon grote schade toebrengen aan de overheidscommunicatie via internet. Mozilla had de certificaten al op de lijst van onbetrouwbare certificaten gezet, Google twijfelde, en omdat Mozilla het besluit al had genomen stond Microsoft onder druk om hetzelfde te doen. We hebben vooral met Microsoft, als grootste browserpartij, veel gesproken om tijd te winnen, zodat we de certificaten beheerd zouden kunnen verhuizen."
VASCO
De operationeel directeur gaat ook in op de rol van VASCO, het moederbedrijf van Diginotar. Het bedrijf verstuurde een persbericht waarin het de overheid uitnodigde om samen een oplossing te zoeken. De werkelijkheid bleek totaal anders te zijn. Donner moest VASCO zwaar onder druk zetten om medewerking te verlenen, wat uiteindelijk ook gebeurde, maar in het persbericht deed het Belgisch-Amerikaanse bedrijf voorkomen alsof het een helpende hand had uitgestoken.
Keuzenkamp stelt dat niet de inbraak het grootste probleem was, maar het feit dat de grote browserpartijen hun vertrouwen in de certificaten van DigiNotar kwijt waren.[/quote]
Iets met oorzaak en gevolg. Natuurlijk was de inbraak het grootste probleem, want dat veroorzaakte de onbetrouwbaarheid van certificaten én zorgde ervoor dat er certificaten misbruikt konden worden (weliswaar niet alle certificaten, maar die discussie wil ik niet aanzwengelen).
Als je het nog verder trekt was de beveiliging natuurlijk het grootste probleem, of nog verder de organisatie.
Snel met een vingertje naar andere partijen wijzen!
Het probleem is dat de overheid gewoon geen Disaster recovery en/of business Continuity plan heeft!
Indien men wel zo'n plan had, had men er rekening mee gehouden dat in weinig tijd heeft om root certificaten te vervangen.
Ik ben bang dat als er weer een CA onderuit gaat, dat de overheid nog steeds niet snel kan reageren.
Daarnaast is hoogst verwerpelijk dat de overheid , gecompromiteerde certificaten in de lucht heeft gehouden.
Men had accuut de stekker uit de zaak moeten trekken!
En nu gaan we europese regelgeving invoeren waarbij het lekken van PI informatie bestraft gaat worden. De nederlandse staat kan zich hiervoor echt hard maken, ze hebben immers een goed voorbeeld gegeven!
We blinken weer uit in korte termijn denken!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!