Govcert ontkent dat het al een half jaar wist van lekken in de websitesoftware van certificaatbedrijf DigiNotar. Volgens berichtgeving bij Nu.nl zou het toenmalige Govcert softwarekwetsbaarheden bij DigiNotar hebben genegeerd waardoor het mogelijk was het bedrijf te hacken. “Dat is niet het geval", zegt woordvoerder Edmond Messchaert van het ministerie van Veiligheid en Justitie.

Govcert kreeg op 13 januari 2011 de melding dat versie 5 van de betreffende software, DotNetNuke, een content management systeem, een veiligheidslek bevatte. Die melding kwam van Fox-IT. “Door Govcert is op dat moment, zoals destijds gebruikelijk, vooral onderzocht of de rijksoverheid ook deze software gebruikte om zo een eventuele kwetsbaarheid vast te stellen. Dit bleek nog diezelfde dag niet het geval."

DigiNotar had andere versie van software

DigiNotar bleek over versie 4 van de software te beschikken, een versie die niet kwetsbaar was voor het lek dat in versie 5.06.00 werd aangetroffen en in versie 5.06.01 was gefixet. Daarnaast had Govcert, dat inmiddels is opgegaan in het Nationaal Cyber Security Centrum, als taak te kijken naar de beveiliging van software die gebruikt wordt in de interne organisatie van de rijksoverheid en had geen verdere bevoegdheden of taken.

“De melding is daarom destijds afgedaan als een regulier contact over een kwetsbaarheid, zoals er meerdere per dag binnenkomen", zegt Messchaert. “De melding van januari 2011 was onvoldoende indicatie dat er met Diginotar als organisatie structureel iets aan de hand zou zijn, dan wel met haar certificaten. Uit diverse audits die waren gedaan was het beeld af te leiden dat Diginotar een veilig bedrijf was."

Onbekend met omvang van certificaatgebruik

Ook was destijds onvoldoende bekend, zo bleek ook uit de diverse onderzoeken achteraf, dat de overheid in dermate omvang afhankelijk was van de certificaten van Diginotar, stelt Messchaert. Na het hackincident met DigiNotar heeft de Onderzoeksraad voor de Veiligheid ondermeer daarom geadviseerd om de toezichtsrol van de OPTA (ELI) en Logius (BZK) aan te passen zodat een veiliger gebruik en uitgifte van digitale certificaten plaatsvindt.

De opvolger van Govcert, het NCSC, heeft een bredere nationale taak, die verder strekt dan alleen de interne rijksoverheidsorganisatie, benadrukt Messchaert. “Momenteel wordt bij een dergelijke melding direct het betrokken bedrijf geïnformeerd en geadviseerd over een oplossing. Ook wordt waar nodig de maker van de software in kennis gesteld om de kwetsbaarheid op te lossen. Dit voor zover de kwestie de rijksoverheid en vitale sectoren raakt of het anderszins tot maatschappijontwrichtende schade kan leiden."

Versie 4 bleek ook lek

De hack bij DigiNotar werd wel mogelijk gemaakt doordat ook versie 4 van de software lekken bevatte, zij het andere dan die in versie 5. “Hiermee is de gesignaleerde kwetsbaarheid in versie 5 niet van invloed geweest op het hacken van DigiNotar." Messchaert benadrukt dat de rol van Govcert volgens de toenmalige taakopdracht pas begon nadat Cert-Bund, de Duitse evenknie van Govcert, met een melding kwam over problemen met in omloop zijnde certificaten. “Dat was het moment dat er een situatie ontstond waarop ingrijpen van de overheid volgens de toenmalige taakopdracht van Govcert zou moeten beginnen en ook is begonnen", zegt de woordvoerder.