Internetburgers zijn na kraak een illusie armer

Een opwindend weekend op het ministerie van Binnenlandse Zaken: Teheran blijkt een paar honderd Nederlandse overheidswebsites te hebben gekraakt. Een minister roept na middernacht de pers bijeen. Zijn er digitale dijken doorgebroken? Het lijkt erop, maar natte voeten zijn nog niet zeker. De Iraanse geheime dienst zou niet echt op zoek zijn geweest naar wat de Nederlandse burger met gemeente, provincie of Rijk heeft te verhapstukken. Maar de hofleverancier van beveiligingscertificaten, DigiNotar, is wel 531 certificaten kwijtgeraakt op internet. En daarmee kon Teheran heel wat nepsites op internet plaatsen. Waarna het kon meekijken wat de bezoekers daar zoal deden. Zo’n diefstal is vergelijkbaar met een inbraak bij De Nederlandsche Bank.

In dit geval kan iedere burger zich afvragen of de gegevens die hij de afgelopen maanden via een beveiligde verbinding bij de overheid deponeerde, daar ook werkelijk zijn gearriveerd. Internetburgers die vertrouwelijk dataverkeer met (en binnen) de staat vertrouwen, zijn een illusie armer. Voortaan maar weer per post en dan aangetekend? De kwestie is nog jong. Maar een paar voor de hand liggende vragen dringen zich al op. De inbraak vond half juli plaats. Op welk moment was de omvang van het lek intern bekend? En waren toen ook de ambtelijk en politiek verantwoordelijken op de hoogte gesteld?

Vrijdag nam minister Donner (Binnenlandse Zaken, CDA) onverwacht drastische maatregelen. Hij zegde het vertrouwen in DigiNotar op en koos snel een nieuwe leverancier. Dat wijst op crisismanagement – hoe lang smeulde dit vuurtje en is eerder niemand de rook opgevallen? Hoe groot is de echte schade? Is het waar dat DigiNotar de inbraak (te laat) ontdekte, probeerde de schade stilletjes te repareren en ondertussen nieuwe certificaten uitreikte?

Een aantal browserleveranciers is zeer verstoord doordat ze niet tijdig op de hoogte zijn gebracht. De reputatie van de Nederlandse overheid op internet heeft zwaar geleden – wat Joh. Enschedé is voor het geldverkeer, was DigiNotar voor internetverkeer.

DigiNotar werd ook al eerder aangevallen door hackers wat, met het voordeel van de kennis van nu, autoriteiten alert had moeten maken. De consequenties zien er ernstig uit. Browserleveranciers vragen zich af hoe ze met de Nederlandse overheidssites moeten omgaan. Mozilla Firefox kondigt al aan nooit meer zaken met DigiNotar te willen doen – dat wordt op internet gezien als de ‘internetdoodstraf’. Het lijkt erop dat DigiNotar heeft gezondigd tegen een hoofdregel voor internetleveranciers. Bij problemen moet er actief, onmiddellijk en volledig onderling worden gecommuniceerd. Internet is een collectief goed dat ook zo beheerd moet worden. Dat is hier duidelijk niet gebeurd. De staat lijdt forse schade, de burger wacht af.