Een mooie dag voor een black-out

Het complete overheidsapparaat dreigde het te begeven doordat een slecht beveiligd bedrijfje uit Beverwijk verzuimde een inbraak te melden. Met noodgrepen wist Den Haag een black-out van rijksdiensten te bedwingen. Maar de DigiNotar-crisis is nog niet bezworen.

WFA62T:PERSCONFERENTIE DONNER DIGINOTAR:DEN HAAG;05SEP2011-Minister Piet Hein Donner van Binnenlandse Zaken geeft een toelichting op de vervalste certificaten van het bedrijf Diginotar. Het bedrijf Diginotar, dat certificaten goedkeurd voor diverse overheids websites, werd eerder dit jaar gehackt. Foto: Minister Piet Hein Donner van Binnenlandse Zaken.WFA/bm/str.Bart Maat
WFA62T:PERSCONFERENTIE DONNER DIGINOTAR:DEN HAAG;05SEP2011-Minister Piet Hein Donner van Binnenlandse Zaken geeft een toelichting op de vervalste certificaten van het bedrijf Diginotar. Het bedrijf Diginotar, dat certificaten goedkeurd voor diverse overheids websites, werd eerder dit jaar gehackt. Foto: Minister Piet Hein Donner van Binnenlandse Zaken.WFA/bm/str.Bart Maat WFA BART MAAT

Zaterdag 3 september, 10 uur ’s ochtends, bellen vier rijksambtenaren aan bij DigiNotar, een ict-bedrijf dat is gevestigd in een onopvallend kantoorpand aan de Vondellaan in Beverwijk. Twee ambtenaren werken voor het ministerie van Binnenlandse Zaken. De andere twee zijn van Govcert, het agentschap dat waakt over de veiligheid van overheidscomputers. Ze komen om bij DigiNotar het ‘operationele beheer’ over te nemen. Vanaf nu staan de computerservers aan de Vondellaan onder controle van Den Haag.

DigiNotar, een bedrijfje met nog geen vijftig medewerkers, heeft tot dat moment letterlijk de sleutel tot de digitale infrastructuur van de overheid in handen. Het bedrijf geeft digitale sleutels uit, zogeheten PKI-certificaten (public key infrastructure), die essentieel zijn voor de veiligheid van het digitale verkeer van en naar de overheid.

Eerder die week is duidelijk geworden dat hackers hebben ingebroken bij DigiNotar. Daardoor kunnen de PKI-certificaten niet meer veilig worden gebruikt. Maar ze kunnen niet in één keer worden geblokkeerd; dat zou grote gevolgen hebben voor de ict van het Rijk. Burgers kunnen dan niet meer inloggen bij de Belastingdienst, of bij de Rijksdienst voor het Wegverkeer.

Maar dat is nog het kleinste probleem. De computers van de overheid gebruiken de PKI-certificaten ook om veilig met elkaar te communiceren. Als dat niet meer kan, gaat de ict van de overheid plat. Het ministerie van Financiën kan dan geen geld meer overmaken aan andere ministeries. De douane kan geen goederen inklaren. Het UWV kan geen uitkeringen meer verstrekken, geen WW, geen kinderbijslag. Een groot deel van het overheidsapparaat zou tot stilstand komen. En DigiNotar maakt niet alleen certificaten voor de overheid, maar ook voor notarissen, advocaten, de TU Delft, tal van bedrijven. Door de computerinbraak bij een klein bedrijfje in Beverwijk dreigt dus een black-out voor de hele overheid en een deel van het bedrijfsleven.

Dat mag onder geen beding gebeuren. De avond tevoren, vrijdag 2 september, zijn de ministers Ivo Opstelten (Veiligheid en Justitie) en Piet Hein Donner (Binnenlandse Zaken) en staatssecretaris van Financiën Frans Weekers bij elkaar gekomen in het Nationaal Crisis Centrum op het ministerie van Binnenlandse Zaken. Het is voor het eerst in de Nederlandse geschiedenis dat ‘cyber security’ leidt tot crisisberaad op het hoogste niveau. De ministers hebben besloten dat onmiddellijk moet worden ingegrepen.

Maar ook al staan er nationale belangen op het spel, de overheid kan niet zomaar binnenvallen bij een privaat bedrijf. Jaap Uijlenbroek, de ambtenaar die als directeur-generaal organisatie en bedrijfsvoering van het ministerie van Binnenlandse Zaken verantwoordelijk is voor ict-zaken, heeft moeten dreigen en smeken bij het Amerikaanse moederbedrijf Vasco. Pas aan het einde van de avond hebben de eigenaars van Diginotar ingestemd met een ‘vrijwillige’ overdracht van de computerservers in Beverwijk. Nu de overheid die onder controle heeft, kan het werk beginnen. Alle certificaten zullen moeten worden vervangen. Een gigantische klus, want er liggen geen reserve-certificaten klaar.

De overheid staat onder grote tijdsdruk. Op internet is al dagen bekend dat DigiNotar is gehackt. Grote softwarefabrikanten als Microsoft of Google zullen de beveiliging van hun browsers willen ‘updaten’, door de DigiNotar-certificaten te blokkeren. Als dat gebeurt, is de black-out een feit. Hoe ernstig de gevolgen precies zullen zijn, weten de ambtenaren nog niet. Eerst zal moeten worden uitgezocht hoevéél certificaten DigiNotar eigenlijk heeft uitgegeven.

De ambtenaren hebben nog geen idee, als ze zaterdagmorgen het bedrijfspand aan de Vondellaan binnenstappen.

Het is Duitsland dat alarm heeft geslagen. Op maandag 29 augustus, rond 11.00 uur, krijgt de Nederlandse cyberwaakhond Govcert een telefoontje van de Duitse zusterorganisatie Cert-Bund. Een internetgebruiker in Iran heeft op een Google-forum gemeld dat hij bij het inloggen op Gmail de melding kreeg dat het SSL-certificaat dat wordt gebruikt om de veilige verbinding op te zetten met zijn webmail, is vervalst. Het certificaat is aangemaakt bij DigiNotar in Beverwijk. Conclusie: DigiNotar heeft een veiligheidslek.

Govcert belt meteen naar DigiNotar in Beverwijk. DigiNotar-directeur Tony de Bos probeert de ambtenaar gerust te stellen: het bedrijf heeft al op 19 juli ontdekt dat hackers hadden ingebroken en certificaten hadden nagemaakt. Volgens De Bos staat vast dat er alleen is ingebroken bij de servers waarop de (relatief eenvoudige) SSL-certificaten worden aangemaakt. SSL-beveiliging (Secure Sockets Layer) wordt gebruikt voor webmail en chatprogramma’s, zoals Skype en MSN. De valse DigiNotar-certificaten zijn waarschijnlijk gemaakt om mee te luisteren met Iraanse internetters die onder meer bij Google inlogden.

De PKI-certificaten van de overheid, die veel zwaarder zijn beveiligd, zijn niet gecompromitteerd, volgens De Bos. De vervalste SSL-certificaten zijn inmiddels ‘ingetrokken’. Blijkbaar heeft DigiNotar een vervalst Google-certificaat over het hoofd gezien. Dat zal meteen worden geblokkeerd, belooft De Bos. Morgen, dinsdagochtend, zullen ze verder telefonisch overleggen

Intussen gaat het nieuws van de hack-actie het internet rond. Experts wijzen erop dat het niet de eerste keer is dat Gmail-gebruikers in Iran te maken krijgen met een inbraak. Ronald Prins, directeur van het gerenommeerde ict-beveiligingsbedrijf Fox-IT, stuurt verschillende tweets de wereld in over de kwestie. Uit het incident blijkt „hoe actief Iran aan het spioneren is op het internet”, schrijft hij. Als de certificaten van DigiNotar zijn gecompromitteerd zou dat volgens Prins „een ramp” zijn.

Tony de Bos realiseert zich dat de geloofwaardigheid van zijn bedrijf op het spel staat. Hij belt met Ronald Prins. De directeur van DigiNotar vraagt of Fox-IT nogmaals kan vaststellen dat de PKI-overheid certificaten veilig zijn. De volgende dag, dinsdag 30 augustus, meldt DigiNotar aan Govcert dat Fox-IT nader onderzoek doet. Govcert besluit dat onderzoek af te wachten, maar is niet gerustgesteld. Later op de dag publiceert DigiNotar een persbericht met de boodschap dat de aanval „uitsluitend” is gericht op de infrastructuur voor SSL-certificaten. „DigiNotar benadrukt dat de overgrote meerderheid van zijn business, inclusief de zaken voor de regering (PKI-overheid), volledig buiten schot is gebleven bij de aanval.”

DigiNotar stond altijd goed bekend bij het Rijk. Het bedrijf is in 1998 opgericht door notaris Dick Batenburg en ict-specialist Tony de Bos. Chique organisaties uit notariaat, accountancy en advocatuur behoren tot de klantenkring. Mede daardoor is DigiNotar ook hofleverancier voor veiligheidscertificaten van de Rijksoverheid geworden. Sinds 2006 ondertekent iedere burger zijn elektronische belastingaangifte via een verbinding die wordt beveiligd door een certificaat van DigiNotar.

De verzekering van DigiNotar dat de overheidscertificaten veilig zijn, klinkt dinsdag nog geloofwaardig. Want PKI-certificaten zijn veel beter beveiligd dan dan de gehackte certificaten; ze worden gemaakt op computerservers die fysiek afgescheiden zijn van de rest van het interne computernetwerk van DigiNotar. Althans, zo zou het moeten zijn.

Maar als de forensische expert van Fox-IT DigiNotar in kaart brengen, ontdekken ze dat alle servers met elkaar zijn verbonden, en draaien binnen één Windows-omgeving – die ook nog van buiten, vanaf het internet, te benaderen is. Het wachtwoord dat toegang verschaft tot het interne domein van DigiNotar omschrijven de onderzoekers van Fox-IT als „gemakkelijk te kraken”. Er is bovendien geen antivirus-software geïnstalleerd. De hofleverancier van digitale certificaten is dus zo lek als een mandje.

Als de forensische experts verder graven, blijkt dat de hackers ook actief zijn geweest op de servers waarop de zwaarbeveiligde PKI-certificaten voor de overheid worden gemaakt. Bewijzen dat er ook ‘valse’ PKI-certificaten in omloop zijn, zijn er niet. Maar het simpele feit dat de hackers toegang hebben gehad tot het systeem waarmee de overheid haar internetbeveiliging regelt, is verontrustend genoeg.

Hoe kan het dat de gebrekkige beveiliging van DigiNotar nooit is opgemerkt? Het toezicht op de PKI-overheidscertificaten is in handen van de telecomwaakhond Opta. Maar deze week beklaagde de Opta zich publiekelijk over het gebrek aan „middelen” om goed toezicht te houden. Daardoor houden „externe partijen”, zoals accountantskantoor PWC, toezicht. Dat keurde DigiNotar in 2010 goed, voor een periode van drie jaar. Maar PWC kijkt vooral naar de organisatiestructuur van het bedrijf en de procedures. De technische infrastructuur bekeek PWC niet.

In de dagen na 29 augustus draagt Govcert het officiële standpunt van DigiNotar uit – de cyberwaakhond kan moeilijk anders. Als Mozilla, de producent van de populaire webbrowser Firefox, besluit om alle DigiNotar-certificaten te blokkeren, vraagt Govcert een uitzondering te maken voor de PKI-overheid-certificaten, omdat deze „niet zouden zijn gecompromitteerd”. Govcert weet dan nog niet waar de onderzoekers van Fox-IT op zullen stuiten.

Pas op vrijdagmiddag 2 september mag een ambtenaar van Govcert het concept-rapport van Fox-IT komen inzien in Beverwijk en telefonisch verslag uitbrengen. De ambtenaar neemt het rapport niet mee. Maar de mondelinge versie is al voldoende om alle alarmbellen te laten afgaan in Den Haag.

Jaap Uijlenbroek van Binnenlandse Zaken zit op dat moment net in een overleg met overheidsorganisaties die gebruikmaken van de veiligheidscertificaten van DigiNotar. De Belastingdienst, het UWV: alle betrokkenen denken dan nog dat het probleem zich beperkt tot ‘lagere’ certificaten. Voor sommige agentschappen, zoals de Rijksdienst voor het Wegverkeer, heeft ook dat al tot complicaties geleid. Burgers die online een kenteken willen checken bij de RDW kunnen niet meer inloggen met browsers van Mozilla en Google. In de vergadering is al hardop besproken of het vertrouwen in de overheid in het geding is.

Dan komt het slechte nieuws uit Beverwijk. Uijlenbroek roept zijn ambtenaren bij elkaar. Erik Akerboom, de Nationaal Coördinator Terrorismebestrijding en Veiligheid, wordt gebeld. De NCTV (voorheen NCTb) is sinds dit jaar verantwoordelijk voor algemene crisisbestrijding en cyber security. Akerboom besluit meteen dat het ernst is. Diezelfde middag wordt het Nationaal Crisis Centrum (NCC) actief. Rond zeven uur ’s middags komen hoge ambtenaren van verschillende ministeries bijeen op het ministerie van Binnenlandse Zaken in Den Haag.

Twee uur later, het is dan negen uur, melden zich de ministers Ivo Opstelten (Justitie en Veiligheid), Piet Hein Donner (Binnenlandse Zaken) en staatssecretaris Frans Weekers (Financiën) op het Nationaal Crisis Centrum. Premier Rutte en Minister Verhagen van Economische Zaken laten zich vertegenwoordigen door een hoge ambtenaar.

De ministers nemen snel een paar besluiten. Het vertrouwen in DigiNotar wordt opgezegd. Het bedrijf wist al in juli dat er een lek was, maar heeft dat niet gemeld. Dat is in strijd met de meldplicht voor inbreuken op de ict-veiligheid.

Maar het opzeggen van het vertrouwen in DigiNotar creëert een enorm probleem. Alle certificaten van het bedrijf zijn waardeloos geworden en moeten worden vervangen. Dat kost tijd. Het gevaar bestaat dat softwareproducenten als Microsoft ondertussen in één keer de DigiNotar-certificaten afkeuren voor besturingssysteem en browser. Als dat gebeurt, dreigt in grote delen van Nederland de overheids-ict plat te gaan.

Het Rijk moet de controle overnemen, besluiten de ministers, en de certificaten langzaam ‘uitfaseren’. Maar dat is gemakkelijker gezegd dan gedaan.

Het crisisberaad wordt gedurende de vrijdagavond verschillende malen geschorst. Tijdens de pauzes probeert directeur-generaal Uijlenbroek de eigenaars van DigiNotar, het Amerikaanse beveiligingsbedrijf Vasco, te bewegen de controle over het bedrijf in handen van de staat te leggen. Uijlenbroek schetst de „grote maatschappelijke en economische gevolgen” van een black-out. De rekening daarvan, suggereert de ambtenaar, zou wel eens bij Vasco terecht kunnen komen.

Toch duurt het lang voordat de toestemming komt. Het Ministerie van Binnenlandse Zaken staat op het punt om een nachtelijk kort geding aan te vragen als Vasco het verlossende woord spreekt. Om één uur ’s nachts kan minister Donner een persconferentie houden, waarin hij zegt dat DigiNotar „volledige medewerking” biedt.

In de dagen daarna gaat in de media de meeste aandacht uit naar het veilig-internetgebruik van de burger. Kunnen Nederlanders nog wel inloggen met hun DigiD? Hoofdredactionele commentaren worden gewijd aan het vertrouwen in de digitale overheid. Maar dat is slechts een deel van het probleem.

In feite is de crisis nog in volle gang. Op zaterdagmorgen 3 september roept NCTV Erik Akerboom de Cybersecurityraad bij elkaar. Via een telefonische vergadering overlegt hij met experts uit wetenschap en bedrijfsleven. Ook dat is voor het eerst. Het overlegorgaan is enkele maanden eerder in het leven geroepen, maar heeft geen formele bevoegdheden. Toch is Akerboom blij dat hij kan overleggen. In de nacht van zaterdag op zondag komt er nog meer hulp. Bernard Wientjes, voorzitter van de werkgeversorganisatie VNO-NCW, meldt zich om half twee ’s nachts bij het Nationaal Crisis Centrum.

De grootste zorg is wat Microsoft gaat doen. De softwaregigant moet de veiligheid van Windows garanderen en wil vanaf dinsdag 6 september alle certificaten van DigiNotar weren. Het is onmogelijk om op zo’n korte termijn alle computers van overheidsdiensten van nieuwe certificaten te voorzien. Als Microsoft zijn plan doorzet, gaat de ict van het Rijk plat.

Maar voor de softwaremaker staan óók grote belangen op het spel. Moeten honderden miljoenen computergebruikers wereldwijd extra risico lopen omdat de Nederlandse overheid een probleem heeft?

De eerste contacten met Microsoft worden gelegd via het kantoor in Amsterdam. Maar al snel wordt er direct gesproken met Microsofts Security Response Center in Redmond, in de Amerikaanse staat Washington.

In het weekend van 3 en 4 september werken ambtenaren en Microsoft-medewerkers intensief samen om de gevolgen van een update in kaart te brengen. Ze maken tijdsschema’s voor de geleidelijke introductie van vervangende certificaten.

Op zondagavond 4 september is er een belangrijke conference call metMicrosoft. De Nederlandse Staat doet een officieel verzoek tot uitstel. Directeur-generaal Jaap Uijlenbroek schetst een rampscenario, en gebruikt het argument van „maatschappelijke ontwrichting”. Op maandagmorgen 5 september hakt de veiligheidsstaf in Redmond de knoop door: voor alle Nederlandse computers zal de update worden overgeslagen.

Het is voor het eerst dat de softwaregigant zo’n uitzondering maakt. Microsoft heeft de update met een week uitgesteld. Maar die week is bijna voorbij.

Aanstaande dinsdag wordt DigiNotar door Microsoft ook uit de Nederlandse computers geweerd. De belangrijke systemen van de overheid zijn intussen veiliggesteld. De Belastingdienst en DigiD draaien grotendeels op nieuwe certificaten. Welke systemen nog niet op orde zijn blijkt komende dinsdag, 13 september.

Ook een mooie datum voor een black-out.