Wat zijn de gevolgen voor de burger en wat kan hij eraan doen?

De overheid kan de betrouwbaarheid van haar websites niet meer garanderen. Zes vragen over de consequenties voor de burgers.

1. Wat betekent dit voor Nederlandse DigiD gebruikers?

Wie de komende dagen zijn belastingaangifte digitaal wil wijzigen, zijn studieschuld bij DUO-IB-Groep wil bekijken, bij zijn gemeente een rijbewijs of paspoort wil verlengen of anderszins digitaal wil communiceren met een van de vele overheidsdiensten (zie de lijst op www.digid.nl), kan een waarschuwingsscherm krijgen, waarop staat dat er een beveiligingsrisico is.

Het advies van de overheid: log niet meer in op DigiD totdat het sein veilig wordt gegeven.

2. Hebben DigiD en andere Nederlandse webdiensten schade opgelopen?

De Rijksoverheid zegt daarover twee dingen. Eén: dat valt niet uit te sluiten. Twee: voor zover bekend is de beveiliging van overheidssites niet daadwerkelijk in gevaar geweest. Daar is, aldus de overheid, geen enkele aanwijzing voor.

3. Hebben Gmail- of Skype-accounts schade opgelopen?

Hetzelfde verhaal. We weten niet wie de valse certificaten waarvoor heeft gebruikt. Dus in theorie valt er niks uit te sluiten. Maar zolang iemand niet vanuit Iran heeft ingelogd, lijkt de kans dat men is afgeluisterd heel klein.

4. Wat kan de burger zelf doen?

Hij kan in ieder geval de browser updaten. Die controleert de echtheid van elk certificaat. Hij kan nagaan of de beveiliging van zijn webbrowser en de programma’s die daarmee samenwerken up-to-date is. Dat is mogelijk met een programma van het Amerikaanse Carnegie Mellon: cmu.edu/iso/patch-check

5. Hoe lang gaat het ongemak duren?

Bij de publieke diensten duurt het enkele dagen voordat de nieuwe certificaten geïnstalleerd zijn. Het kost meer tijd (en geld) om ook de certificaten te vervangen bij de geautomatiseerde systemen, bij bijvoorbeeld Belastingdienst en Douane.

Onder beveiligingsexperts klinkt de kritiek dat de Nederlandse overheid geen noodscenario heeft klaarliggen, om snel over te kunnen schakelen naar een ander certificaat. Voor zulke essentiële diensten als de Belastingdienst of DigiD geldt dat je ook de beveiliging zelf moet beveiligen, zeggen de experts. Privacyorganisatie Bits of Freedom verwacht dat het nog weken kan duren voordat intern bij de overheid alles weer op orde is.

6. Is er acuut gevaar voor de digitale volksgezondheid?

Dat gevaar lijkt in Nederland klein. In een land als Iran heeft de overheid alle netwerken in handen. In Nederland is de kans op inmenging van hogerhand te verwaarlozen. Maar er is het risico van phishing: de gebruiker wordt naar een vervalste site worden gelokt, bijvoorbeeld via een link in een e-mail naar een nepsite van de Belastingdienst. Voor een cybercrimineel is dat niet interessant. Wel kunnen persoonlijke data op overheidssites in handen van onbevoegden zijn gevallen.