De spectaculaire hack van certificaatautoriteit DigiNotar wordt nog aan alle kanten onderzocht. Er lopen minimaal tien verschillende onderzoeken naar het ict-debacle, zo blijkt uit onderzoek van Webwereld.

Minstens tien onderzoeken

Het zijn er mogelijk nog meer, maar onderzoeken door de volgende instanties zijn bevestigd: De Amerikaanse handelswaakhond Federal Trade Commission (FTC), securitybedrijf Fox-IT, het openbaar ministerie (OM), inlichtingendienst AIVD, de Onderzoeksraad voor Veiligheid, de Rijksauditdienst, ict-concern Logica, de Inspectie Openbare Orde en Veiligheid, telecomtoezichthouder OPTA en de curator van het failliete DigiNotar.

Opmerkelijk is dat er onderzoek wordt gedaan in de VS. Daar doet de handelswaakhond Federal Trade Commission (FTC) onderzoek naar de hack van de infrastructuur van het Beverwijkse DigiNotar, die eind augustus aan het licht kwam. Dit is vooral omdat het moederbedrijf van DigiNotar, gevestigd is in de Verenigde Staten. Het concern meldde het FTC-onderzoek zelf in documenten die het indiende bij een andere toezichthouder, de beurswaakhond SEC.

FTC betrokken

“Op 26 september 2011 hebben wij een civiele onderzoeksvordering van de FTC ontvangen aangaande zijn niet-publieke onderzoek naar de hackincidenten bij DigiNotar BV. De FTC verdenkt ons niet van enige overtreding", meldt Vasco. Een woordvoerster van de FTC bevestigt tegenover Webwereld het onderzoek, maar kan er vanwege het vertrouwelijke karakter geen details over geven.

Het Nederlandse securitybedrijf Fox-IT, dat technisch-forensisch onderzoek heeft gedaan, is ook nog druk bezig met een definitief rapport. Het verslag dat begin september verscheen, was slechts een voorlopige, beperkte versie. In eerste instantie werd Fox-IT ingehuurd door DigiNotar zelf, maar sinds het Ministerie van Binnenlandse Zaken (BZK) de bewindvoering overnam, is het departement de opdrachtgever.

BZK en Fox-IT steggelen

Naar verwachting is het Fox-IT rapport in februari af en zal het dan worden gepubliceerd. Dat het zo lang heeft geduurd, heeft ook te maken met onderling gesteggel, vertelt Fox-IT directeur Ronald Prins: “Ze [BZK] willen steeds meer informatie in dat rapport, maar het geld is op." Desgevraagd ontkent een woordvoerder van BZK dat onderhandelingen over tarieven een rol spelen.

Het Openbaar Ministerie startte begin september met een 'feitenonderzoek'. Dat is inmiddels een volwaardig strafrechtelijk onderzoek, bevestigt de woordvoerder van het landelijke parket. Verdere mededelingen wil het OM niet doen.

AIVD onderzoekt Iran-connectie

Ook de geheime dienst AIVD doet onderzoek, zo meldde het kabinet eerder. De hacker komt waarschijnlijk uit Iran, en zou mogelijk banden hebben met het regime. De hacker creëerde tijdens de hack vervalste certificaten voor honderden sites. Bewezen is dat hiermee het Gmail-account van talloze Iraanse burgers is gekaapt. Webwereld heeft nog vragen uitstaan over de status van het AIVD-onderzoek.

Daarnaast doet ook de Rijksauditdienst, die valt onder het Ministerie van Financiën, onderzoek. Na de hack bleek pijnlijk dat DigiNotar basale securityprincipes met de voeten had getreden, maar wel elke keer het stempel van goedkeuring kreeg van auditer PwC.

Crisis in de nacht

Het ministerie van BZK heeft ict-bedrijf Logica in de arm genomen om een breed onderzoek te doen naar het stelsel van PKIoverheidscertificaten en het (gebrekkige) toezicht daarop door Logius.

Ook de Inspectie Openbare Orde en Veiligheid, die valt onder het ministerie van Veiligheid & Justitie, doet onderzoek, vooral naar de 'crisisbeheersingsaspecten'. Het gevaar voor de veiligheid van talloze overheidsdiensten was begin september zo acuut, dat er op hoog niveau crisisoverleg werd gevoerd, tot diep in de nacht. Minister Donner zag zelfs reden voor een persconferentie om 1 uur 's nachts.

Nog bezig met onderzoeksvraag

In oktober werd al bekend dat de onafhankelijke Onderzoeksraad voor Veiligheid DigiNotar onder de loep neemt. De raad besliste eind november inderdaad onderzoek te doen, en is momenteel nog bezig een onderzoeksvraag te formuleren. Deze afbakening komt later deze maand, meldt de zegsman.

Ook telecomtoezichthouder OPTA is nog druk bezig met de nasleep van het DigiNotar debacle. OPTA houdt toezicht op leveranciers van gekwalificeerde certificaten, waarvan DigiNotar er een van was. De waakhond onderzoekt hoe dit toezicht te verbeteren, meldt de woordvoerster. Bovendien is OPTA nog verwikkeld in bezwaarprocedure van de curator van DigiNotar over intrekken van de accreditatie van het Beverwijkse concern vlak na de hack. Eerder verloor de curator een kort geding hierover.

Geen doorstart meer

Ten slotte doet curator van DigiNotar, Rocco Mulder, zelf ook nog onderzoek dat nog maanden kan duren. Inmiddels zijn wel alle lopende DigiNotar activiteiten gestaakt, behalve de zogenaamde BAPI-certificaten, gebruikt door de Belastingdienst, die nog tot medio 2012 nodig heeft om te migreren.

Van een mogelijke doorstart van DigiNotar is geen sprake meer, vertelt Mulder aan Webwereld, de zaak wordt afgebouwd en opgedoekt.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.