Opta: toezicht op web-beveiligers is beperkt

Kees Versteegh

De Opta, die toezicht moet houden op telecom- en internetbedrijven, beoordeelt de eigen controle op webbeveiligers zoals DigiNotar als „beperkt”. „De Opta heeft hiervoor weinig middelen, waardoor de controle moet worden overgelaten aan externe kantoren”, aldus een woordvoerder naar aanleiding van de crisis rond certificaatbeveiliger DigiNotar

Ze doelt daarbij op bedrijven zoals PriceWaterhouseCoopers, waarvan de Opta afhankelijk is. Deze accountantskantoren bekijken één keer per jaar of systemen en processen van webbeveiligers als DigiNotar op orde zijn. De Opta baseert haar toezicht grotendeels op deze zogenoemde audits. „Het toezicht gaat uit van een hightrust-benadering, waarbij wordt uitgegaan van het goede in de mens”, aldus de Opta-woordvoerder.

Ook beperkt het toezicht van de Opta zich wettelijk tot één specifieke soort van veiligheidscertificaten. Dat is een andere dan de soort die tot nu toe problemen heeft veroorzaakt.

„We hebben deze kwestie in het verleden herhaaldelijk aangekaart bij het ministerie van Economische Zaken”, zegt de Opta-woordvoerder. Het ministerie van Economische Zaken, Landbouw en Innovatie, zoals het departement sinds vorig jaar heet, wil hier echter niet op ingaan, en verwijst voor de toezichtkwestie naar Binnenlandse Zaken. Minister Donner heeft laten doorschemeren dat hij het hele toezichtstelsel nader wil bekijken.

Uit gisteren gepubliceerd onderzoek van ICT-beveiligingsbedrijf Fox-IT bleek dat DigiNotar, de hofleverancier van veiligheidscertificaten voor de overheid, niet beschikte over de normale antivirussoftware die inbraken door hackers kan voorkomen. Ook zouden wachtwoorden gemakkelijk te kopiëren zijn. Onbekend is of PriceWaterhouseCoopers deze problemen in haar vertrouwelijke audits heeft gesignaleerd.

Volgens de Vereniging van Nederlandse Gemeenten ondervinden nog veel gemeenten hinder van de crisis rond DigiNotar. Vrijwel alle gemeenten werken hiermee. Ook het omzetten naar andere, wel veilige certificaten zorgt voor problemen. De VNG waarschuwt op haar website: „Het is mogelijk dat vrijwel alle gemeenten [...] problemen kunnen ondervinden met de bedrijfsvoering.”

Om de omzetting naar veiliger certificaten niet te veel te hinderen, heeft het kabinet Microsoft gevraagd bepaalde updates van haar software uit te stellen, waardoor gebruikers attent worden gemaakt op het bestaan van onveilige sites. Door de updates zou het webverkeer binnen de overheid gehinderd worden. Microsoft heeft dat toegezegd.

DigiNotar: pagina 24-25