De zaak 'DigiNotar': handelde de overheid adequaat?
Rapport van de Rijks Audit Dienst inzake DigiNotar, Bijlage bij Kamerstukken II 26 643, nr. 230.
Bron 2: Brief regering; Resultaten van een drietal onderzoeken inzake DigiNotar
Uit de samenvatting: Wat is er door overheidspartijen wel en niet goed gedaan ten aanzien van de beheersing van het stelsel van certificaten vallend onder PKIoverheid? Dat is kortgezegd de vraag die we in dit onderzoek pogen te beantwoorden. Daarbij maken we een onderverdeling naar de periode vóór het bekend worden van de digitale inbraak in de systemen van DigiNotar en de periode erna.
Door de afhandeling van de DigiNotar-affaire in september 2011 heeft bij de rijksoverheid een trendbreuk plaatsgevonden. De wijze van denken en omgaan met risico‟s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen.
Er is door de overheid snel en adequaat gehandeld om verdere schade te voorkomen. Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen. Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging. Vele belanghebbende partijen werden betrokken bij de bestrijding van de crisis. Ook dit gebeurde snel en adequaat.
Voorafgaand aan de digitale inbraak bij DigiNotar was er feitelijk geen sprake van extra alertheid in dit verband. Alle overheidspartijen vertrouwden, voor wat betreft het toezicht op PKI-overheid, op de activiteiten van de betreffende auditpartij, die op zijn beurt ook weer geaccrediteerd was. Wellicht mede als gevolg van dit vertrouwen, was een aantal standaardzaken niet aanwezig: zo was er geen risicoanalyse uitgevoerd over ketenpartners heen, was er onvoldoende inzicht in aantal en aard van de uitstaande PKIoverheid-certificaten, en was er geen helderheid over toezichtscriteria.