Betrouwbare Staat op internet

Een opwindend weekend op het ministerie van Binnenlandse Zaken: Teheran blijkt een paar honderd Nederlandse overheidswebsites te hebben gekraakt. Een minister roept na middernacht de pers bijeen. Zijn er digitale dijken doorgebroken? Het lijkt erop, maar natte voeten zijn nog niet zeker. De Iraanse geheime dienst zou niet echt op zoek zijn geweest naar wat de Nederlandse burger met gemeente, provincie of Rijk heeft te verhapstukken. Maar de hofleverancier van beveiligingscertificaten, DigiNotar, is wel 531 certificaten kwijtgeraakt op internet. En daarmee kon Teheran heel wat nepsites op internet plaatsen. Waarna het kon meekijken wat de bezoekers daar zoal deden. Zo’n diefstal is vergelijkbaar met een inbraak bij De Nederlandsche Bank.

In dit geval kan iedere burger zich afvragen of de gegevens die hij de afgelopen maanden via een beveiligde verbinding bij de overheid deponeerde, daar ook werkelijk zijn gearriveerd. Internetburgers die vertrouwelijk dataverkeer met (en binnen) de Staat vertrouwen, zijn een illusie armer. Voortaan maar weer per post en dan aangetekend? De kwestie is nog jong. Maar een paar voor de hand liggende vragen dringen zich al op. De inbraak vond half juli plaats. Op welk moment was de omvang van het lek intern bekend? En waren toen ook de ambtelijk en politiek verantwoordelijken op de hoogte gesteld?

Vrijdag nam minister Donner (Binnenlandse Zaken, CDA) onverwacht drastische maatregelen. Hij zegde het vertrouwen in DigiNotar op en stapte snel over op een nieuwe leverancier. Dat wijst op crisismanagement – hoe lang smeulde dit vuurtje en is eerder niemand de rook opgevallen? Hoe groot is de echte schade? Is het waar dat DigiNotar de inbraak (te laat) ontdekte, probeerde de schade stilletjes te repareren en ondertussen nieuwe certificaten uitreikte?

Een aantal browserleveranciers is zeer verstoord doordat ze niet tijdig op de hoogte zijn gebracht. De reputatie van de Nederlandse overheid op internet heeft zwaar geleden – wat Joh. Enschedé is voor het geldverkeer, was DigiNotar voor internetverkeer met de Staat.

DigiNotar werd ook al eerder aangevallen door hackers wat, met het voordeel van de kennis van nu, autoriteiten alert had moeten maken. In het koude licht van de maandagochtend zien de consequenties er ernstig uit. Browserleveranciers vragen zich af hoe ze met de Nederlandse overheidssites moeten omgaan. Mozilla Firefox kondigt al aan nooit meer zaken met DigiNotar te willen doen – dat wordt op internet gezien als de ‘internetdoodstraf’. Het lijkt erop dat DigiNotar heeft gezondigd tegen een hoofdregel voor internetleveranciers. Bij problemen moet er actief, onmiddellijk en volledig onderling worden gecommuniceerd. Internet is een collectief goed dat ook zo beheerd moet worden. Dat is hier duidelijk niet gebeurd. De Staat lijdt forse schade, de burger wacht af.