Naar aanleiding van de DigiNotar-hack gooit het kabinet het warrige stelsel van certificaten op de schop. Dat belooft minister Liesbeth Spies van Binnenlandse Zaken in een brief aan de Tweede Kamer. Tegelijk met de brief zijn drie onderzoeksrapporten openbaar gemaakt, vooruitlopend op het Kamerdebat over cybercrime en de DigiNotar-affaire aanstaande dinsdag.

Ondoorzichtige regels

Het belangrijkste nu gepubliceerde onderzoek is van Logica, naar de opzet, werking van en toezicht op de twee gereguleerde Public Key Infrastructure (PKI) stelsels: PKIoverheid en het stelsel van gekwalificeerde certificaten. De conclusies van Logica zijn duidelijk: dit systeem is ondoorzichtig, vaag, complex en statisch.

Zo houdt OPTA toezicht op de wettelijk 'gekwalificeerde handtekeningen' en Logius op PKI overheid. Maar er zit overlap in de stelsels, zodat onduidelijk is welke regels gelden en wie toezicht houdt.

Overlap certificaatstelsels Overlap tussen twee gereguleerde certificatenstelsels. Zie grotere afbeelding.

Dit toezicht is bovendien passief en op afstand. Deze lacune zou moeten zijn opgevuld door regelmatige audits van certificaatuitgevers door private auditers, zoals PriceWaterhouseCoopers, die DigiNotar periodiek doorlichtte.

Geen IT-audits

Het probleem hier is dat deze organisaties zich beperken tot zogenaamde “management systeem audits". Grondige IT-audits zijn een zeldzaamheid en niet verplicht. Vandaar ook dat DigiNotar er qua security een zooitje van kon maken, maar toch elke keer braaf door de audit kwam.

Logica ziet nog weinig in technische alternatieven voor PKI, zoals DANE en Convergence, omdat die nog in een experimentele fase verkeren.

Reeks maatregelen

De minister neemt de conclusies van Logica over en komt met een waslijst aan maatregelen. “Voor zover noodzakelijk is, zal hiervoor tevens wet- en regelgeving worden aangepast", schrijft de bewindsvrouw.

Zo wil de regering van de overlap tussen de twee stelsels af. Ook moet de OPTA niet alleen op papier toezicht houden, maar actief bedrijfsbezoeken af moet leggen voor controle ter plaatse. Logius is al bezig de regels voor PKI overheid aan te scherpen.

De kamerbrief en de drie onderzoeksrapporten zijn openbaar gemaakt vooruitlopend op het Kamerdebat over cybercrime en de DigiNotar-affaire aanstaande dinsdag.

Er volgen de komende tijd nog veel meer DigiNotar-rapporten, onder meer de definitieve forensische resultaten van Fox-IT en het onderzoek van de Veiligheidsraad.