‘Inloggegevens mogelijk in verkeerde handen’ - PvdA: webbeveiliging in eigen beheer

Een verbod met 'verboden toegang' op het terrein van Diginotar in Beverwijk. Foto NRC / Ruud Boon

Mogelijk zijn inloggegevens van burgers op overheidssites zoals die van DigiD, de belastingdienst en de sociale dienst in verkeerde handen terechtgekomen. Dat heeft minister Donner (CDA, Binnenlandse Zaken) vanmiddag gezegd tijdens een nieuwe persconferentie over de inbraak bij het ICT-bedrijf Diginotar. Het was de tweede persconferentie binnen 24 uur van de bewindsman over de inbraak. De eerste was rond kwart over één vannacht.

Doordat de beveiligingscerticaten van genoemde sites zijn vervalst, kunnen gebruikersnamen, wachtwoorden en ingediende verzoeken op andere plekken zijn terechtgekomen dan waarvoor ze bedoeld waren. Tot op heden heeft de overheid echter geen nepsites of schaduwsites aangetroffen waar deze gegevens naar toe zouden kunnen zijn gesluisd, aldus Donner.

Burgers zouden de komende dagen kunnen merken dat er iets mis is gegaan als er geen antwoord of follow-up op hun ingediende verzoek komt. De overheid bekijkt in hoeverre clementie kan worden betracht voor gevallen waarbij termijnen zijn overschreden.

Donner: sprake van incident

De minister zei verder de indruk te hebben dat er sprake is van een “incident” en niet van het topje van een ijsberg. Het gaat volgens hem om een “eenmalige inbraak” bij Diginotar, waarvan de gevolgen de afgelopen dagen in kaart zijn gebracht. Binnenkort zullen ook andere bedrijven die beveiligingscertificaten aan de overheid leveren (voor zover bekend vier á vijf) onder de loep worden genomen, zei de minister.

In andere belangrijke overheidssectoren zoals bij de NS en Schiphol zijn geen problemen ontstaan, doordat zij een ander certificaat gebruiken, aldus Donner.

Volgens de minister zijn er inmiddels maatregelen getroffen om de veiligheid zo snel mogelijk weer te garanderen. De overheid schakelt over naar andere certificerende instanties. Dat kost nog enkele dagen. In de tussentijd kunnen genoemde sites zoals die van de Belastingdienst de melding geven dat ze onbetrouwbaar zijn. Dat hangt mede af van de soort en versie van de gebruikte webbrowser (Internet Explorer, Firefox). De overheid heeft twee telefoonnummers geopend voor vragen van burgers (0800-1351) en bedrijven (0900-5554555).

PvdA: webbeveiliging in eigen beheer houden

De PvdA noemt de inbraak bij Diginotar “een gigantische wake-up call”. “De afhankelijkheid van de overheid van het bedrijfsleven is bij webbeveiliging veel te groot”, zegt Tweede-Kamerlid Pierre Heijnen tegenover NRC Handelsblad. “De webbeveiliging moet de overheid echt in eigen beheer houden.“ Hij zegt ook een aparte bewindsman voor ICT-zaken te willen. “En dat moet Donner niet zijn”, aldus Heijnen. “Die maakt toch te vaak de indruk ICT niet helemaal serieus te nemen.”

Heijnen wil “een fundamenteel kamerdebat over deze kwestie, geen vluggertje op dinsdagmiddag tijdens het vragenuurtje.” Volgens het Kamerlid hebben talloze ICT-mislukkingen rond het Electronische Patientendossier, de OV-chipkaart en bij de politie duidelijk gemaakt dat kabinet en parlement ICT veel meer aandacht moeten geven.

De SP liet eerder vandaag weten een parlementair onderzoek te willen naar de handelwijze van Diginotar en de verantwoordelijke minister van Binnenlandse Zaken.

Overheid bekijkt of Diginotar moet worden vervolgd

Donner wilde tijdens zijn persconferentie niet ingaan op de vraag wie er precies verantwoordelijk is voor de inbraak. Volgens nog onbevestigde berichten zou de inbraak van Iraanse origine zijn, en zijn bedoeld om in te breken in netwerken van Westerse inlichtingendiensten, zoals de Mossad.

De overheid gaat verder bekijken of er vervolging moet worden ingesteld tegen Diginotar. De inbraak zou al midden juli zijn gepleegd, maar niet onmiddellijk bij Justitie zijn gemeld. De overheid heeft al wel het vertrouwen in Diginotar opgezegd en de beheer van de administratie overgenomen. De grote browsermakers hebben in navolging van Donner hun vertrouwen in Diginotar opgezegd. Mozilla en Google, de bedrijven achter Firefox en respectievelijk Chrome, hebben maatregelen genomen.

Komende maandag informeert Donner samen met minister van Veiligheid en Justitie Ivo Opstelten en staatssecretaris van Financiën Frans Weekers de Tweede Kamer over de laatste stand van zaken.