Onafhankelijk onderzoek naar DigiNotar debacle
Gepubliceerd: Vrijdag 14 oktober 2011
Auteur: Andreas Udo de Haes
De Onderzoeksraad Voor Veiligheid zal diepgravend onderzoek verrichten naar DigiNotar en andere beveiligingsproblemen bij de overheid. Ook wordt de meldplicht bij datalekken breder.
Het Kabinet zal de Onderzoeksraad Voor Veiligheid, een zelfstandig bestuursorgaan, de opdracht geven het falen van DigiNotar en andere securityproblemen onder de loep te nemen. Dat zegde minister Donner van Binnenlandse Zaken toe aan de kamer in het ict-debat donderdagavond.
Daadkrachtig
De meeste Kamerfracties waren tevreden met de daadkrachtige respons van de Rijksoverheid vanaf vrijdag 2 september, toen bekend werd dat mogelijk ook PKI Overheids certificaten van DigiNotar waren gecompromitteerd.
Maar er was kamerbrede verbijstering over hoe het zo ver heeft kunnen komen. Vooral het gebrek aan toezicht en regie op DigiNotar en het hele PKI Overheidsysteem kreeg keiharde kritiek.
Volgens VVD-Kamerlid Jeanine Hennis was Logius het schoolvoorbeeld van slecht opdrachtgeverschap en had DigiNotar willens en wetens de boel geflest. Volgens de PVV moet de hele zaak "volledig gefileerd" worden. Ook toezichthouder OPTA en de slappe auditingregels kregen er van langs.
Nachtelijke crisis
En wie had tijdens de DigiNotarcrisis eigenlijk de regie, wilde de Kamer weten. Donner: "In het hele proces had de collega van Veiligheid en Justitie [Opstelten] de regie, ik deed slechts de uitvoering. Hij lag al grinnikend in bed, terwijl ik nog op tv moest."
Op de vraag waarom die persconferentie zo nodig om 1 uur 's nachts moest, antwoordde Donner: "Je zit met een internetwereld waar de zon niet op of onder gaat."
Geen parlementair onderzoek
De SP is blij met de toezegging van het onderzoek. De SP had al langer aangedrongen op een zwaarder middel, het parlementair onderzoek. Dat komt er waarschijnlijk niet, al houdt SP-Kamerlid Gesthuizen dit machtsmiddel achter de hand.
"Het onderzoek van de Veiligheidsraad is een belangrijke erkenning van het kabinet dat de veiligheid rond ICT zo lek als een mandje is. Deze toezegging van de minister is voor mij een eerste stap richting een parlementair onderzoek, ik ben vooralsnog dan ook zeker tevreden met deze toezegging. Na afronding van dit onderzoek moet de Kamer echter ook zorgen dat de onderste steen bij de gang van zaken in de politiek boven komt," aldus Gesthuizen.
Meldplicht uitgebreid
De VVD diende een motie in om de meldplicht bij datalekken te verbreden en te versterken. De motie was door alle aanwezige fracties meeondertekend en ook het Kabinet steunt het initiatief van harte. Deze security breach notification moet gaan gelden voor alle maatschappelijke belangrijke organisaties en bedrijven. Tot nog toe was het voorstel beperkt tot internetproviders.
Er zal overigens geen sprake zijn van naming en shaming: de incidenten worden vertrouwelijk bij het nog in te richten Nationaal Cyber Security Centrum (NCSC) gemeld. Govcert zal onderdeel uitmaken van het NCSC, die tevens een zogenoemde ICT Resonse Board krijgt.
Vliegende brigade
Op die manier wordt het NCSC een kennisplatform, maar óók een vliegende brigade bij ict-rampen, zodat een extra aparte digitale brandweer, zoals bepleit door vooral de SP, niet meer nodig is, stelde minister Opstelten.
