Op het moment dat Minister Donner in de ongewone persconferentie midden in de nacht voor het eerst de geslaagde hack bij DigiNotar bekend maakte, gingen bij mij alle alarmbellen rinkelen. Want mijn persoonlijke ervaringen bij DigiNotar en de keuze van DigiNotar om te zwijgen, deden mij beseffen wat hier mogelijk aan ten oorzaak lag.

Dreigbrief van DigiNotar advocaat

In de RTL Nieuws uitzending van maandag 05 september 2011 zijn fragmenten gebruikt uit het interview zoals ik dit heb gegeven. Vervolgens kreeg ik op 09 september 2011 een brief van de grootste advocatenfirma van Amerika, Baker en McKenzie, uiteraard van de vestiging te Amsterdam. Dit bleek een gerechtelijke vordering te zijn. Hierin werd geëist dat ik 1500 Euro zou betalen wegens het schenden van Geheimhouding, en daarnaast dat ik zou stoppen met het beschuldigingen van DigiNotar.

Hierop heb ik een antwoord gegeven waarin ik mijn beweegredenen uiteenzet. Als gevolg van de misstanden bij Diginotar verkeerden namelijk 300.000 mensen en hun naasten mogelijk levensgevaar. Daarnaast stelde ik dat ik slechts mijn eigen ervaringen heb gedeeld, waarbij ik het niet kan helpen dat deze beschuldigend zijn. Ik ben namelijk geen 'boze medewerker, zoals de presentator van RTL Nieuws mij noemde in de uitzending. Hiervoor heeft de RTL nieuwsredacteur later ook terecht zijn verontschuldigingen aangeboden.

Private sleutels

In het gegeven interview beschuldig ik DigiNotar ervan dat men voor een onzalige oplossing heeft gekozen voor de problemen in de productieomgeving. DigiNotar heeft namelijk de private sleutels van certificaten opgeslagen. Is het opslaan van een private sleutel dan zo slecht? Stel je daarbij voor dat al je buren de beschikking zouden kunnen hebben over een kopie van je voordeursleutel. Ga je dan met een gerust gevoel van huis? Ik denk dat weinigen hier ja op zullen antwoorden.

Maar het meeste schrok ik van berichten die volgden op de uitzending met het interview door RTL Nieuws. Vooral de bekendmaking van het openbare deel van de FOX-IT rapportage baarde mij zorgen. Hierin was sprake van ontbrekende virussoftware en een niet goed werkende intruder detectie.

Achteraf blijkt dus dat DigiNotar wel in staat was om een goed advocatenkantoor te vinden, maar geen goede leverancier van essentiële benodigdheden als anti-virus software. Maar hetzelfde openbare deel van de FOX-IT rapportage stelt ook dat er slechts één domein was waarin alle computers verzameld waren, en dat kreeg vanuit mijn eigen ervaringen een extra lading.

Privé-loptop op domein

Als helpdeskcoördinator had ik de taak software te installeren op klantlocaties. Hiervoor had ik een cd met installatiesoftware, een kopie op een USB-stick. Maar ik kon deze taak alleen uitvoeren als ik de beschikking had over een laptop met daarop de installatiesoftware en een werkende installatie van diezelfde software voor testdoeleinden bij storing of gebreken. Helaas, DigiNotar stelde hiervoor geen laptop beschikbaar, maar stemde er wel mee in dat ik mijn privé-laptop van thuis daarvoor gebruikte.

Om deze te voorzien van zowel de benodigde installatiesoftware, en een werkende installatie daarvan, is mijn thuislaptop door de systeembeheer gekoppeld aan het netwerk van DigiNotar, wat dus bestaat uit slechts één domein. Dat mijn thuiscomputer direct aan een Certificate Authority wordt gekoppeld is absoluut uit den boze, zeker gezien het ontbreken van zowel een firewall als antivirussoftware op mijn apparaatje voor thuisgebruik. Daarmee was mijn thuiscomputer dus ineens geheel gelijkwaardig aan de DigiNotar apparatuur.

Helpdesk onbereikbaar

Een ander detail dat de toestand bij DigiNotar illustreert is het feit dat ik mij met de auto verplaatste naar de locatie van de klant. Maar als helpdeskcoördinator was alleen ikzelf in staat om de tweede- en derdelijns technische helpdesk te voeren. Dit leidde tot het probleem dat er, als ik in de auto onderweg was, geen tweede- of derdelijns helpdesk zou zijn. Dit werd handig opgelost door klanten door te verbinden naar mijn privé GSM, want DigiNotar stelde geen mobiel van de zaak beschikbaar.

Maar toen ik tijdens één rit maar liefst vijf klanten te woord had gestaan, waarbij ik tijdens het klantcontact overigens steeds genoodzaakt was de auto te parkeren wegens het ontbreken van handsfree bellen, raakte de telefoonaccu leeg. Toen ik terugkwam bij DigiNotar verweet de directeur mij wel persoonlijk dat ik onbereikbaar was geweest, en hij zei me dat ik hiervoor maatregelen moest nemen. Hierop heb ik een aanvraag ingediend voor een telefoon, maar die werd geweigerd. Er zat vervolgens voor mij niets anders op dan op de markt voor vijf euro een auto-oplader aan te schaffen.

Beperkt zicht op de affaire

Dat zijn mijn persoonlijke DigiNotar ervaringen in een notendop. Maar nu over de nasleep van de DigiNotar-hack. Minister Donner heeft na de persconferentie de Tweede Kamer geïnformeerd in het vragenuurtje, en dat ging op een bijzonder merkwaardige wijze. In zijn antwoord gaf de Minister duidelijk te kennen dat er en nog een onderzoek loopt, en dat de affaire in zijn geheel bestaat uit een openbaar deel en een deel dat geheim gehouden wordt. Dat kwam later, tijdens de openbare hoorzitting van de Tweede Kamer ook naar voren, en daarmee werden de heren Ronald Prins (FOX IT CEO), Brenno de Winter (ICT onderzoeksjounalist) en Rob Gonggrijp (oprichter XS4ALL en ICT-goeroe van de lage landen) misschien beperkt.

En die beperking is een terugkerend thema in dit hele gebeuren, zoals de beperkte kennis en kunde van de Minister van ICT, die in antwoord op vragen van de Kamer vertelde dat bij de hack de onderschepte verbinding niet op de oorspronkelijke plaats van bestemming zou aankomen. Dit is een vreemde opmerking, omdat een man-in-the-middle een bericht onderschept, kopieert, en het origineel vervolgens gewoon doorstuurt naar de oorspronkelijke bestemming. De aanvaller behoudt alleen de kopie als buit. Dus wat de Minister van ICT aan de Tweede Kamer vertelde is niet juist. Zelf vind ik het onjuist dat een minister van ICT zo openlijk blijk kan geven van zijn eigen onvermogen.

Simpel te voorkomen

Bedroefd blijf ik het verdere verloop van deze affaire volgen, als oud-medewerker die ervan overtuigd is dat het voor iedereen het beste was geweest als we dit hadden voorkomen. Er was gewoon wat anti-virus software nodig, een intruder detectie-systeem, en een laptop en telefoon voor de tweede- en derdelijns technische helpdesk onderweg. Of misschien een uitbreiding met een tweede medewerker die vanuit de thuisbasis in deze klantenbehoefte had kunnen voorzien.

Vandaag om 20:30 is er een plenair debat in de Tweede Kamer. Laten we hopen dat de minister alle relevante feiten in deze zaak openbaar maakt, zodat iedereen er lering uit kan trekken.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.