Onderzoek OPTA naar certificaten vooral van papier

door

diginotar

door

Analyse - De controle van OPTA op de leveranciers van beveiligingscertificaten betekent niet dat standaard de fysieke beveiliging van de systemen wordt gecontroleerd. Dit ondanks dat DigiNotar daarin faalde.

Sinds dit jaar controleert toezichthouder OPTA intensiever op de beveiliging bij leveranciers van certificaten in Nederland. De controles worden ter plekke uitgevoerd, maar dat betekent niet dat er daadwerkelijk ook fysieke controle wordt gedaan op de veiligheid van de infrastructuur en de uitgifte van certificaten, zegt woordvoerster Heijne van OPTA.

“OPTA zal onder andere nagaan of partijen gebruikmaken van betrouwbare systemen die voldoende beveiligd zijn tegen inbraken", zegt Heijne desgevraagd. “Dat kan een papieren controle zijn, maar dat kan ook een fysieke controle van het betreffende systeem zijn."

Schrappen uit register is uiterste consquentie

Uiterste consequentie van het niet voldoen aan de beveiligingseisen is dat OPTA de mogelijkheid heeft de registratie van een certificatiedienstverlener te beëindigen. Dat betekent dat zo'n bedrijf geen certificaten meer mag uitgeven. “Er bestaat de mogelijkheid om tot directe beëindiging van de registratie over te gaan en de mogelijkheid om een termijn te stellen waarbinnen de certificatiedienstverlener moet voldoen aan de gestelde eisen, waarna de registratie eventueel kan worden beëindigd", schetst Heijne.

De intensievere controles zijn een gevolg van het drama rond certificatenleverancier DigiNotar. Dat bedrijf bleek voor hackers een makkelijke prooi en de certificaten die moeten aangeven dat internetters gebruik maken van een beveiligde http-verbinding, bleken makkelijk te vervalsen.

Daardoor werden onder meer overheidssites en -diensten onbetrouwbaar en kwamen met name in Iran dissidenten en critici van het regime aldaar in gevaar doordat zij onwetend vertrouwden op een vals Google-beveiligingscertificaat die bleek te zijn gestolen bij DigiNotar. De zaak zorgde voor wereldwijde verbazing en onrust.

Zeven uitgevers van certificaten

Naar aanleiding van het debacle DigiNotar heeft OPTA de opdracht gekregen om zijn toezicht op de beveiliging van de systemen van de zeven Nederlandse uitgevers van dergelijke certificaten te intensiveren. OPTA doet het toezicht op certificaatuitgevers al sinds 2003 en controleert die partijen of zij voldoen aan de vereisten uit het besluit elektronische handtekeningen en de regeling elektronische handtekeningen, zegt woordvoerster Cynthia Heijne.

De zeven Nederlandse certificaatuitgevers zijn het Agentschap Centraal Informatiepunt Beroepen Gezondheidszorg, ESG de Electronische Signatuur, het Ministerie van Defensie, QuoVadis Trustlink, Digidentity, KPN Corporate Market en het Ministerie van Infrastructuur en Milieu. Een aantal van hen zijn al eerder dit jaar onder het nieuwe beleid van OPTA bezocht op locatie. Welke dat zijn wil Heijne niet kwijt, net als de resultaten van dat onderzoek.

Onderzoeksresultaten zijn vertrouwelijk

“Onderzoeken bij een certificatiedienstverlener zijn vertrouwelijk, de gegevens die uit een dergelijk onderzoek naar voren komen zullen dan ook niet worden gedeeld", zegt Heijne. Uitzondering daarop is als een dergelijk onderzoek leidt tot intrekking van de registratie, dat zal in een “beëindigingsbesluit" worden gepubliceerd. Heijne verwijst daarbij naar dat besluit inzake Diginotar. Wel maakt OPTA de hoeveelheid onderzoeken en overige werkzaamheden op het gebied van toezicht op certificatiedienstverleners openbaar via zijn website. “En dus ook aan de minister", zegt Heijne.

OPTA baseert zich op rapporten van auditors

OPTA doet haar onderzoek overigens nadat eerder een door het ministerie van Economische Zaken aangewezen auditor het eerstelijnsonderzoek heeft gedaan. “Het auditrapport van de auditor vormt het uitgangspunt van het tweedelijnstoezicht door OPTA", zegt Heijne. Om die geïntensiveerde toezicht te kunnen doen heeft OPTA bij het ministerie van Economische Zaken gepleit voor meer mankracht. Die heeft de toezichthouder uiteindelijk ook gekregen, zegt Heijne.

De extra mankracht is vooral nodig om na te gaan of dienstverleners ook daadwerkelijk gesignaleerde tekortkomingen in hun systemen wegnemen door daar actie op te ondernemen, zegt Heijne. “We hebben echter niet de illusie dat daarmee alle veiligheidsincidenten (zoals bij Diginotar) altijd voorkomen kunnen worden." Het is volgens haar uiteindelijk de verantwoordelijkheid van de certificaatdienstverleners zelf om hun beveiliging goed op orde te hebben en die van de auditors om deze goed te controleren. “Met onze extra mankracht wil OPTA ervoor zorgen dat dit beter gebeurt."

Schaarse expertise in Nederlandse bedrijfsleven

OPTA is niet van plan de volledige audittaak over te nemen. “Dat is niet noodzakelijk en ook niet wenselijk omdat dat de instandhouding en ontwikkeling bedreigt van de noodzakelijke en toch al schaarse expertise op dit terrein binnen het Nederlandse bedrijfsleven", verklaart Heijne. Volgens haar zijn ook andere maatregelen genomen, zoals het intensiveren van de samenwerking tussen de overheidsdienst voor digitale dienstverlening Logius en OPTA.

Update maandag 10.01: Woordvoerster Cyntia Heijne van OPTA zegt dat de controles bij de certificatenleveranciers zich richten op andere certificaten dan degenen waarmee DigiNotar de fout is ingegaan. "Het toezicht van OPTA richt zich nou juist niet op dergelijke certificaten, maar op de gekwalificeerde certificaten, die voor hele andere toepassingen worden gebruikt bijvoorbeeld digitale handtekeningen. Van deze certificaten is bij DigiNotar geen misbruik vastgesteld."

Aanbevolen artikelen

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Consumerization Event: Early Bird Actie
 
dagen
:
 
uren
:
 
minuten
:
 
seconden

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.