Overheid bezorgd over beveiligingslek
Het ministerie van Binnenlandse Zaken adviseert andere overheden om zich voor te bereiden op de mogelijke gevolgen van de hack bij het beveiligingsbedrijf Diginotar. Overheden wordt gevraagd om in kaart te brengen welke dienstverlening uitvalt op het moment dat overheidscertificaten van Diginotar onveilig worden verklaard.
Dat blijkt uit een e-mail van de IT-afdeling van het ministerie, die in handen kwam van IT-journalist Brenno de Winter. Dat is opvallend omdat het ministerie tot nu toe verklaarde dat er geen reden is tot bezorgdheid voor overheidscertificaten.
Afluisteren
Het Beverwijkse bedrijf Diginotar raakte afgelopen week in opspraak, omdat er een vervalst certificaat voor *.google.com in omloop is gebracht. Met dat certificaat konden Iraanse hackers in Iran het internetverkeer naar Google afluisteren. In reactie daarop zegden veel browsers en serversoftware het vertrouwen in certificaten van Diginotar op.
Veel overheden gebruiken beveiligde verbindingen met certificaten van Diginotar voor bijvoorbeeld de Rijksdienst voor het Wegverkeer, de Belastingdienst, DigiD, uitwisseling van gegevens voor uitkeringen, uitwisseling van informatie van internettaps en veel overheidsadministraties. De certificaten die nodig zijn voor de beveiliging worden nog wel vertrouwd, maar de vraag is voor hoe lang nog.
Niet te vertrouwen
Bij uitval is het niet mogelijk om zeker te weten dat met de juiste partij informatie wordt uitgewisseld en is de beveiligde communicatie niet meer te vertrouwen. Webbrowsers geven dit met behulp van een waarschuwing aan, waarbij het advies is om niet door te gaan. Hierdoor wordt de beveiligde communicatie effectief onmogelijk, waardoor processen stil komen te liggen.
Een beveiligingscertificaat garandeert dat de verbinding (https://) ook echt met de tegenpartij tot stand wordt gebracht. Het garandeert de identiteit van die 'andere' kant. Alle beveiligde verbindingen (SSL in jargon) werken met certificaten. Daarom is de uitlevering van certificaten aan heel strenge regels gebonden. De aanvrager wordt heel goed onderzocht.
Hacks van certificaatbedrijven komen zelden voor en zorgen altijd voor veel opschudding.