Vakblad / Interview Tony de Bos, Voormalig directeur DigiNotar
‘Het is niet de vraag of, maar wanneer je gehackt wordt’
Hij was directeur van IT-bedrijf DigiNotar, dat PKI-certificaten uitgaf voor onder meer DigiD. Vorig jaar werd het bedrijf gehackt, een kwestie die ICT-land flink opschudde. Tony de Bos over de lering die Nederland kan en moet trekken uit de DigiNotar-affaire.
Een ontmoeting in de coffeecorner van een boekhandel in Alphen aan den Rijn. Tony de Bos, strak in het pak, komt binnen en bestelt een koffie verkeerd. Het is het eerste interview dat De Bos geeft sinds het nieuws over de hack bij DigiNotar vorig jaar naar buiten kwam. ‘Ik mag alleen over de toekomst praten’, kondigt hij direct aan. Vanwege geheimhoudingsclausules mag De Bos geen uitspraken doen over lopende zaken uit het verleden. Al is aan hem te merken dat hij graag bepaalde dingen recht wil zetten.
De afgelopen anderhalf jaar waren voor Tony de Bos vol uitersten. ‘Het was een bijzonder jaar.’ 2011 begon feestelijk; het (mede) door hem opgerichte DigiNotar, marktleider in onder meer digitale handtekeningen en PKI-certificaten waarmee een website geïdentificeerd kon worden, met onder meer de rijksoverheid en DigiD als klanten, was verkocht aan het veel grotere Amerikaanse Vasco. De Bos veranderde van functie, van algemeen directeur naar Business Development Director. De leiding van het bedrijf lag nu in handen van Vasco, De Bos stortte zich op sales. In juli – De Bos was op vakantie – wist een hacker in te breken in het systeem en een certificaat te vervalsen. Dat werd door de nieuwe directie van DigiNotar stilgehouden.
Toen het nieuws van de hack uiteindelijk toch naar buiten kwam, liet iedereen het bedrijf vallen als een baksteen. De overheid, DigiNotars belangrijkste klant, voorop. De grote browsers accepteerden de DigiNotar-certificaten niet meer en een aantal websites kregen daardoor een waarschuwing bij het gebruik. Op 20 september sprak de rechtbank het faillissement van DigiNotar uit en stonden de vijftig medewerkers op straat. Van topleverancier naar failliet in een paar maanden. ‘Niemand had het zien aankomen. Het was een grote les, voor veel mensen.’
Gevolgen
Wat was er precies aan de hand? Een hacker vervalste een door DigiNotar uitgegeven PKI-certificaat, dat werd gebruikt op het Google-domein in Iran. Wat de consequenties daarvan zijn is onduidelijk. In Nederland is er, afgezien van een korte paniek in ICT-land, niets gebeurd. De Bos: ‘DigiNotar was onderdeel van veel infrastructuur die de overheid gebruikte, maar als je niet snapt wat we precies deden, kun je denken dat de hack grote gevolgen had. Dat was zwaar overtrokken. Gek genoeg is het juist door de reactie van de overheid even vervelend geweest voor gemeenten en andere partijen die afhankelijk waren van de dienstverlening van DigiNotar.’
DigiNotar. In een luide zin fluistert hij bijna de naam van het bedrijf dat ooit zijn trots was, bang voor een reactie van een onbekende, zo lijkt. Iedereen viel na de affaire over DigiNotar heen; de pers, de overheid, de OPTA, bloggers en twitteraars. ‘Veel van wat ik lees is gewoon niet waar. DigiNotar had alles – in mijn ogen – gewoon goed voor elkaar. Sommige mensen hebben geprobeerd een beeld te creëren dat het bij DigiNotar een rommeltje was. Dat is onzin. Iemand die dat schrijft doet niet alleen de waarheid geweld aan, maar het doet ook meer dan vijftig man pijn. Het was een professionele maar ook leuke club. Inmiddels hebben alle voormalige DigiNotar-medewerkers weer nieuwe banen gevonden, en goede ook. Binnen een jaar. Dat zegt iets.’
Ervaringsdeskundige
Inmiddels is De Bos een nieuw bedrijf begonnen. CYBBOS levert diensten en consultancy in het voorkómen, detecteren en oplossen van incidenten op gebied van cybersecurity. ‘Wij monitoren continu of de klant nog voldoet aan de risicoafdekking en controleren of er onregelmatigheden zijn. En áls er toch een inbraak of incident is, helpen wij het probleem zo snel mogelijk op te lossen, ook juridisch en op het gebied van communicatie.’
Dat alles vanuit de kennis als ervaringsdeskundige. Want als er één ding is dat De Bos geleerd heeft uit de hele geschiedenis, is dat wat er bij DigiNotar gebeurde, iedereen kan overkomen. ‘Dagelijks lees je voorbeelden in de pers, dat ook de grootste ICT-bedrijven zoals Verisign, RSA en Adobe en geheime diensten als de FBI, worden gehackt. Het is niet de vraag óf, maar wanneer je gehackt wordt.’
Een heikel punt in overheidsland. Burgers verwachten van de overheid dat ze zo veel mogelijk via internet kunnen doen, maar tegelijk dat hun gegevens in absolute veiligheid zijn. Maar is überhaupt op internet nog wel een garantie af te geven dat iets honderd procent veilig is? De Bos schudt schouderophalend zijn hoofd. ‘Het is nooit uit te sluiten dat er iets mis kan gaan. Dus daar moet je toch op anticiperen. Denk out of the box, zorg dat er een plan B voorhanden is.’
Een goede beveiliging is niet genoeg. ‘Beveiliging van ICT-structuren is hetzelfde als fysieke beveiliging. Het draait om: hoe lang kan ik een inbreker tegenhouden voordat de politie er is? Niet: kan ik voorkomen dat er een inbreker komt? Voor digitale veiligheid geldt: heb ik voldoende lagen aangebracht om de hacker zo tegen te houden dat ik de inbraak kan detecteren voor hij binnen is? Vroeger hadden wij, en dan bedoel ik iedereen, vooral aandacht voor voorkómen. DigiNotar had ook meerdere lagen. Nu zijn we nog steeds bezig om te voorkomen, maar we moeten juist de focus leggen op heel snel detecteren. Op het paranoïde af. Laatst was een digitale inbraak in het Witte Huis. Dit kan gebeuren, maar door snelle detectie zijn de problemen beperkt gebleven.’
ICT en bestuur
Nog een enorm belangrijke les die we van de affaire kunnen leren, is dat ICT nu echt op de bestuursagenda moet, meent De Bos. ‘We zijn zo afhankelijk geworden van ICT en verwachten van de overheid geen discontinuïteit. Als er problemen zijn in de ICT, ligt de hele dienstverlening stil. De verantwoordelijkheid daarvoor ligt bij het bestuur. En dat betekent dat bestuurders er kennis van moeten hebben. Je kunt best de financiële administratie uitbesteden, maar voor het financiële beleid blijf je verantwoordelijk. Hetzelfde geldt voor beveiliging van systemen. Je kunt dat uitbesteden, maar als bestuur heb je beleidsverantwoordelijkheid. Je moet begrijpen wat je doet en dit ook kunnen uitleggen. En er moet voldoende budget zijn om een veilige infrastructuur te bouwen en deze te onderhouden, niet alleen voor de flitsende buitenkant, maar juist ook voor de “achterkant” van een systeem.’
De onregelmatigheden met stemcomputers gooiden Nederland indertijd enkele decennia terug in de tijd. Vrees was dat ook de DigiNotar-affaire zou leiden tot meer e-scepsis bij de burger, al lijkt dat vooralsnog mee te vallen. De Bos is duidelijk. ‘E-scepsis of geen e-scepsis, feit is dat je dit niet kunt stoppen. Het is een gegeven dat steeds meer via het internet gaat. De ontwikkelingen gaan zo snel, dat we bijna geen tijd hebben om over dingen na te denken. Maar dat moeten we juist wél doen. Over de privacy-kwestie, over de rol van de overheid. Cyberwar en cyberterrorisme worden steeds belangrijker. In een echte oorlog hebben wij de politie en het leger om ons te beschermen. Maar hoe zit het op het internet? Wie heeft welke verantwoordelijkheid bij een aanval en wanneer mag je terugslaan? En internet heeft steeds meer verbindingen met de echte wereld. we zijn nog lang niet klaar.’
Verscheen ook op: http://www.ingovernment.nl/artikelingovernment/de-vraag-niet-maar-wanneer-je-gehackt-wordt