Dat vertelt het bedrijf aan Webwereld in reactie op berichtgeving over het massaal intrekken van certificaten, vlak voor en na de ondergang van DigiNotar. De productielijn moest in een rap tempo flink worden opgeschaald, en dat leidde tot fouten. In de haast geproduceerde certficaten moesten daardoor weer snel worden ingetrokken.

Geen core business

Op 2 september werd voor iedereen duidelijk dat alle Diginotar certificaten zouden worden ingetrokken. Vanaf de volgende ochtend moest KPN zich volledig richten op het uitgeven van losse certificaten voor bijvoorbeeld webservers.

Ooit had het bedrijf deze dienstverlening wel, toen ze certificaten van Verisign uitgaven. Maar dat onderdeel is in oktober 2010 verkocht en de organisatie is afgeschaald, zoals KPN dat noemt. “Wij zijn ingericht op grote managed PKI-omgevingen, zoals bijvoorbeeld de UZI-pas", vertelt Henk Hendriks, manager Trusted Services bij KPN. Dat proces richt zich op het leveren van batches met 10.000 pasjes met meerdere certificaten erop en niet het leveren van een certificaat voor een server. Die zaterdagochtend werd dat ineens anders. “Opeens krijg je zo'n hoos over je heen."

Volgens het bedrijf is er door Logius druk uitgeoefend op KPN om deze business te gaan oppakken. “We gaven daarvoor slechts enkele honderden certificaten voor PKI Overheid uit", stelt Hendriks. Maar in de DigiNotarcrisis ging het volgens hem over duizenden certificaten, maar precieze getallen wil Hendriks niet geven. Die verzoeken moesten in korte tijd worden afgewikkeld.

Idiote werkdruk

Wat volgde was een spitsuur met aanvragen voor nieuwe certificaten. De werkdruk was extreem, terwijl alles wel volgens de procedure moest verlopen. Zo moeten aanvragers papieren overhandigen zodat kan worden gecontroleerd dat iemand bevoegd is een certificaat aan te vragen en ook daadwerkelijk de persoon is die hij zegt te zijn. “Op een gegeven moment stonden koeriers in de file in de straat om die stukken te brengen", vertelt Hendriks.

De hele procedure is zodoende erg arbeidsintensief. KPN heeft wel genoeg personeel in dienst dat bevoegd is om de procedures af te werken, maar de meesten hadden er geen ervaring mee. “Soms heb je het over consultants die bij klanten zaten en die we daar hebben weggehaald voor deze problemen", legt Hendriks uit. Ook was het nodig om extern mensen in te huren. Eerder heeft het KPN al laten weten dat er daardoor veel verkorte opleidingen moesten worden doorlopen.

Ministerie van het lijf houden

Ondertussen moest ook het Ministerie van Binnenlandse Zaken van het lijf worden gehouden. KPN wil geen 'Diginotar-2' worden en wilde vooral correct werken, maar het PKI Overheid-onderdeel van BZK oefende grote druk uit. Veel kritieke diensten van de overheid dreigden in gevaar te komen en de overheid wilde dus snel over nieuwe certificaten beschikken. “Iedere dag was er crisisoverleg", herinnert Hendriks zich dan ook.

Die hoge werkdruk leidde tot fouten, zoals tikfouten in namen, het vergeten van een ondersteunend document. Allemaal zaken die bij de extra controles die waren ingesteld meteen opvielen, omdat er al rekening werd gehouden dat er fouten zouden worden gemaakt. “In al die gevallen moet je een certificaat intrekken, ook al is het nog niet uitgegeven."

Falende printers

Later wisten ook de notarissen en deurwaarders KPN te vinden voor het vervangen van hun certificaten. Die traditionele doelgroep van DigiNotar gebruikte kaarten met daarop drie certificaten, en dus moest ook die productielijn weer op volle toeren gaan draaien. Omdat ieder kaart volgens de regels rond PKI Overheid drie certificaten heeft (een voor ondertekenen, een voor authenticatie en een voor versleuteling) was dit nog arbeidsintentiever. En als er iets verkeerd ging, kwamen er ineens ook drie ingetrokken certificaten op de intrekkingslijst.

En misgaan deed het. Door de forse toename in aantal aanvragen werd er extra apparatuur neergezet. De kaarten moeten gedrukt worden en daarvoor zijn er smartcardprinters. Volgens Hendriks weigerden deze dienst en was het niet duidelijk waarom. Uiteindelijk na dagenlang onderzoek bleek er een probleem in de combinatie van computer en printer te zijn, omdat de chip voor USB-aansluitingen een probleem had. “Uiteindelijk hebben we de computer verwisseld en toen werkte de printer wel." Welke apparatuur het precies betrof wil KPN niet zeggen.

Niet gehackt

En dan was er nog de onderbreking van de dienstverlening op 4 november. “Er was een vuiligheidje waargenomen door externe auditors (van KPMG - redactie). Dat, in combinatie met het nemen van je eigen verantwoordelijkheid, was reden om te stoppen met het uitgeven van certificaten", verklaart Hendriks. Dat "vuiligheidje" bestond uit historische commando's in de logfiles, die niet goed te verklaren leken. “Mogelijk zou het gebruikt zijn voor een aanval op derden, maar mogelijk ook niet. Het is niet bewezen."

Wel erkent het bedrijf dat het verbeteringen heeft moeten doorvoeren. In de loop van de jaren waren er ook oudere php-scripts blijven staan die "niet allemaal even handig" waren. Maar van een inbraak was uiteindelijk geen sprake, zouden ook de auditors hebben geconcludeerd. Maar na herhaalde verzoeken van Webwereld willen KPN noch het ministerie van BZK het auditrapport of de conclusies openbaar maken. Hendriks is desondanks stellig: “Op beveiliging hebben wij hier nog nooit bezuinigd."