Er blijkt namelijk ook ingebroken te zijn in de systemen waarmee de certificaten voor de overheid uitgegeven worden. Dit blijkt uit het onderzoek dat afgelopen week is uitgevoerd door forensisch ict-bedrijf Fox-IT. De Rijksoverheid geeft dit zelf aan in het document (PDF) met vragen en antwoorden over het vannacht aangekondigde opzeggen van DigiNotar voor overheidssites.

Foute aanname

Zowel het certificaatbedrijf zelf als meerdere overheidsorganisaties hebben tot vrijdagnacht nog volgehouden dat de cyberinbrekers niet bij de systemen voor overheidscertificaten zijn gekomen. Dit ondanks het feit dat het onderzoek door Fox-IT toen nog niet was afgerond.

Aan de overheidskant was het DigiD-beheerder Logius (die DigiNotar-certificaten gebruikt voor die overheidsdienst) die vertrouwen hield in de certificaten, maar ook het ministerie van Binnenlandse Zaken (waar Logius onder valt) en ict-security-orgaan GovCERT. Dit standpunt hield men ook vol in antwoord op persvragen en in actieve reacties op berichtgeving over de cyberinbraak en de impact voor ict-security.

Vrijdagnacht zei minister Donner echter dat de overheidscertificaten niet meer te vertrouwen waren, omdat het niet zeker was dat de overheidstak van DigiNotar gevrijwaard was. Die zekerheid is er nu dus wel door het onderzoek van Fox-IT.

Mozilla voorliegen

Het onder de Nederlandse overheid vallende GovCERT heeft de voorbarige - en naar nu blijkt foute - geruststelling dat de overheidscertificaten veilig waren ook gegeven aan browsermaker Mozilla. Die heeft op basis van die verzekering een op stapel staande volledige ban in Firefox op DigiNotar-certificaten ingeperkt.

Mozilla heeft afgelopen week een beperkte ban doorgevoerd in Firefox, maar die wordt nu alsnog volledig gemaakt voor heel DigiNotar - nu en in de toekomst. Mozilla spreekt een 'internet doodvonnis' uit voor het Nederlandse bedrijf. Google doet dat ook voor zijn browser Chrome.

Wachten op rapport

Fox-IT is afgelopen week door DigiNotar ingeschakeld toen bleek dat het bedrijf niet goed doorhad hoe diep de cyberinbraak is geweest. De certificaatverstrekker is begin juli gehackt, heeft dat op 19 juli zelf ontdekt en vervolgens stilgehouden. De maatregelen die toen genomen zijn bleken eind augustus onder de maat te zijn geweest: Iraanse Gmail-gebruikers zijn afgetapt via een frauduleus certificaat van DigiNotar.

Het rapport van Fox-IT zou eind van de week verschijnen, maar de publicatie ervan is een dag opgeschort. Zaterdagmiddag is het rapport nog altijd niet openbaar. De Rijksoverheid haalt het onderzoek wel zelf aan in Publieksvragen die het vandaag online heeft gezet.

'Eerst geen noodzaak tot ingrijpen'

Daarin vermeldt het nog dat er "tot vrijdag geen indicatie was dat de PKIoverheid-certificaten van DigiNotar ook gecompromitteerd zouden zijn". Dus was er volgens het Rijk "geen noodzaak tot ingrijpen".

De SP eist nu een parlementair onderzoek naar ict-beveiliging bij en door de overheid. De partij valt niet alleen over de huidige crisis met DigiNotar en over de sussende geluiden van afgelopen week. Het verwijst ook naar eerdere ict-fouten die de overheid heeft gemaakt met DigiD en de OV-chipkaart.

Flink ingrijpen

Verder geven de vannacht aangekondigde maatregelen van de Rijksoverheid effectief al antwoord op Kamervragen die afgelopen week zijn gesteld over de cyberinbraak bij DigiNotar.

De PVV vraagt daarin naar de gevolgen voor overheidsdienst DigiD, de noodzaak voor nadere inspectie van DigiNotar en andere CA's (certificate authorities), gevolgen voor overheidssites en de dienstverlening aan burgers, en gevolgen voor de samenwerking met DigiNotar.

Al deze vragen zijn vannacht door minister Donner in wezen beantwoord door de aangekondigde maatregelen. Die zijn zaterdagmiddag nogmaals uiteengezet in een tweede persconferentie. In de praktijk staan de Kamervragen nog open of de Nederlandse overheid gaat onderzoeken of Iran hierachter zit, en of er door deze cyberinbraak mensenrechten zijn geschonden in Iran.

Stilzwijgen

Ondertussen doet DigiNotar er het zwijgen toe. Het meest actuele bericht op de eigen site is zaterdagmiddag nog van afgelopen woensdag: een link naar de - zoals nu blijkt onjuiste - verklaring van BZK-onderdeel Logius dat overheidscertificaten nog te vertrouwen zijn.

DigiNotar-moederbedrijf Vasco heeft een summiere persverklaring uitgegeven dat het de Nederlandse overheid aanbiedt om "dit incident te helpen oplossen".

Update:

Onderaan alinea's toegevoegd over "tot vrijdag geen noodzaak tot ingrijpen", eis van SP voor parlementair onderzoek, beantwoording van Kamervragen PVV door daden Rijksoverheid, en reactie DigiNotar-moederbedrijf Vasco.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.