Het Ministerie van Binnenlandse Zaken (BZK) heeft tijdens de acute DigiNotarcrisis op vrijdagavond 2 september Vasco, de Amerikaanse eigenaar van DigiNotar, moeten smeken, dreigen en dwingen tot medewerking. Dat blijkt uit onderzoek naar het DigiNotar debacle dat NRC Handelsblad zaterdag publiceerde (samenvatting).

Nachtelijk kort geding

Gedurende de voorafgaande week stelde DigiNotar dat de systemen voor overheidscertificaten niet waren gecompromitteerd. Maar vrijdag 2 september bleek uit forensisch onderzoek van Fox-IT dat geen enkel systeem van DigiNotar meer te vertrouwen was, omdat alle kritieke infrastructuur via één inlog te benaderen was.

Het Rijk zegde toen direct het vertrouwen op en eiste dat Vasco het operationele beheer van DigiNotar opgaf. Toen het concern weigerde, dreigde BZK met een nachtelijk kort geding waarin het Vasco aansprakelijk stelde voor de schade van de dreigende 'black out' van overheidsdiensten en de maatschappelijke ontwrichting die dat zou kunnen veroorzaken.

Drempel over

Tijs Manten, woordvoerder van minister Donner, wil tegenover Webwereld niet ingaan op de details maar bevestigt indirect de gang van zaken.

“Hoge ambtenaren van het departement hebben die avond meermaals 'indringende gesprekken' met het Vasco-management gevoerd. Het bedrijf moest een drempel over, zoiets is niet elke dag aan de orde. Maar een gang naar de rechter was dus uiteindelijk niet nodig. Het bedrijf werd overtuigd door de maatschappelijke schade die dreigde," aldus Manten diplomatiek.

Vasco: wij deden aanbod

Tegelijk met de nachtelijke persconferentie van minister Donner publiceerde Vasco een verklaring op zijn site van een heel andere strekking. “Vasco heeft de Nederlandse overheid uitgenodigd om samen het DigiNotar incident op te lossen. Als onderdeel van ons voorstel, nodigt Vasco de Nederlandse overheid uit om medewerkers te sturen om samen het probleem te onderzoeken en op te lossen."

“We geloven stellig dat samenwerking met Vasco de juiste beslissing is voor de Nederlandse overheid. We zijn overtuigd dat we samen deze kwestie kunnen oplossen," aldus Ken Hunt, voorzitter en CEO van Vasco.

Binnenlandse Zaken reageert verbaasd op de lezing van Vasco. Woordvoerder Manten: “Die verklaring ken ik niet, maar laat ik voor hun rekening."

Microsoft patch uitgesteld

Ruim een week later werken nog talloze (semi-)overheidsdiensten koortsachtig om hun DigiNotar certificaten om te zetten. Zo gebruikt de site van de inlichtingendienst AIVD nog steeds een niet meer vertrouwd DigiNotar certificaat.

BZK kreeg ook Microsoft zo ver om zijn patch die DigiNotar in de ban doet voor Nederland niet automatisch uit te rollen. Maar als ict-beheerders de automatische updatefunctie van Windows niet hebben uitgeschakeld, kunnen er morgen alsnog cruciale digitale diensten en communicatiekanalen platgaan.

Vasco wilde niet inhoudelijk reageren op de kwestie, maar verwijst andermaal naar de opmerkelijke persverklaring van vrijdagavond 2 september.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.