Zwartepieten met DigiNotar
met dank aan Rob van den Hoven van Genderen en Walter van Holst, Mitopics.
Na een golf van berichten over Diginotar, tot en de faillietverklaring van DigiNotar van vandaag blijven er toch wel een behoorlijk aantal eindjes open. In dit blog van Rob van den Hoven van Genderen en Walter van Holst een aantal invalshoeken.Twee weken geleden werd bekend dat (vermoedelijk) Iraanse hackers bij het Beverwijkse bedrijf Diginotar hebben ingebroken en via de vervalste Diginotar veiligheidscertificaten Iraans Google Mail-verkeer hadden afgetapt. De aansprakelijkheidsvraag voor deze inbraak werd in eerste instantie impliciet bij DigiNotar gelegd door minister Donner. Ook werd DigiNotar geacht het slachtoffer van criminelen te zijn, te weten de Iraanse overheid en sympathiserende hackers. Online overheidsdiensten zoals DigiD, eveneens beveiligd via een (gekwalificeerd) certificaat van Diginotar, zouden geen gevaar lopen. Er werd in eerste instantie door de minister er vanuit gegaan dat de gescheiden omgeving voor gekwalificeerde certificaten ook daadwerkelijk gescheiden was. Dat wil zeggen tot vrijdag 3 september. Toen gaf browsermaker Mozilla aan DigiNotar niet meer te vertrouwen, gevolgd door de minister van BZK in een nachtelijke persconferentie. Uit onderzoek van Fox IT bleek namelijk dat het bij DigiNotar zelfs aan de meest elementaire maatregelen tot beveiliging ontbrak. Wat terecht al tijdens de persconferentie de vraag opriep of DigiNotar niet aansprakelijk te houden was.
Hoewel het systeem van gekwalificeerde certificaten niet tot onder de algemene kennis juristen, zelfs van IT-juristen, pleegt te vallen zijn er meerdere rechtsgebieden die in beeld komen:
Strafrechtelijk: kan DigiNotar strafrechtelijk vervolgd worden voor lekken bij derden die ontstaan zijn door de zeer late melding van hun eigen probleem?
Privaatrechtelijk: kan DigiNotar aansprakelijk gesteld worden voor de geleden schade?
Bestuursrechtelijk: hoe rechtsgeldig zijn de bestuurshandelingen die verricht zijn met, inmiddels ongeldige, certificaten van DigiNotar als authenticatiemiddel?
Strafrechtelijke vervolgbaarheid
Bij een hypothetisch strafrechtelijk onderzoek dient op na het feitenonderzoek de vraag te worden beantwoord of hier sprake is van een strafbaar feit, bijvoorbeeld op grond van het voldoen aan de delictsomschrijving van artikel 161septies wetboek van strafrecht.
‘Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld (…)’
Of zijn zij medeschuldig aan computervredebreuk (naast natuurlijk de hackers)? . Is er sprake van voorwaardelijke opzet? van DigiNotar of van een falende controlerende overheid? Er lijkt op zijn minst gelegenheid te zijn geboden door de kans op opzettelijk misbruik aanzienlijk te vergroten, maar dat als verwijtbaar in deze zin aanmerken zou een strafrechtelijk novum zijn.Wel zou de nalatigheid van DigiNotar in beeld kunnen komen voorzover er sprake is van computervredebreuk in andere systemen, zoals dat van Google Mail, door (waarschijnlijk) de Iraanse overheid. We komen dan al snel in moeilijke discussies over rechstmacht (tenzij het om het Google rekencentrum in Nederland zou gaan).De strafrechtelijke vervolgbaarheid lijkt daarom vooralsnog een moeilijke.
Privaatrechtelijke aansprakelijkheid
Allereerst zijn we het niet eens met Arnoud Engelfriet zijn constatering dat het lastig zal zijn om schade op DigiNotar te verhalen. Waarbij overigens opgemerkt moet worden dat Arnoud zijn blog schreef op een moment toen de omvang van het probleem veel kleiner leek dan nu is gebleken. Er zijn namelijk meerdere rollen van DigiNotar:
DigiNotar als uitgever van gekwalificeerde certificaten (die dezelfde waarde aan een elektronische handtekening geven als een klassieke handtekening); en
DigiNotar als uitgever van de (ongereguleerde) reguliere SSL-certificaten.
Verder is het ook de vraag tegenover wie:
Alle (vooral) Nederlandse (overheids)partijen die nu inderhaast certificaten hebben moeten vervangen en geconfronteerd zijn met verstoringen van processen als gevolg hiervan of het inmiddels niet meer erkend worden van oude certificaten door o.a. Microsoft?
De partijen waar de certificaten onterecht aan werden toegeschreven, zoals Google, Microsoft?
Iraanse dissidenten die het slachtoffer zijn geworden van de afluisterpraktijken die mogelijk waren door nalatigheid van DigiNotar?
Initieel leek het er op dat alleen DigiNotar’s omgeving voor reguliere SSL-certificaten gecompromitteerd was. Wat in dit geval wel heel ernstig is, is dat DigiNotar niet zelf naar buiten is getreden toen geconstateerd is dat buitenstaanders zich toegang hadden verschaft. Nog erger is dat DigiNotar naar het zich laat aanzien maar heel beperkt onderzocht heeft hoe groot het probleem nu werkelijk was. Daarmee is kostbare tijd verloren voor derden om maatregelen te kunnen treffen.
Wrang is dat degenen die de meeste schade geleden hebben waarschijnlijk het minste in een positie zijn om de inmiddels failliete boedel van DigiNotar aan te spreken, zelfs maar hypothetisch. Dat zijn waarschijnlijk Iraanse dissidenten die voor hun leven moeten vrezen. Los van de praktische onmogelijkheid om DigiNotar aan te spreken vanuit een martelcel in Teheran zal aangetoond moeten worden dat het voor DigiNotar voorzienbaar was dat zij deze schade zouden kunnen leiden en dat DigiNotar derhalve een zorgplicht jegens hen had. Met wederom het vraagstuk van de rechtsmacht.
Voor partijen als Google en Microsoft waarvan certificaten waren vervalst zal het lastig zijn om concrete schade (enigszins overgesimplificeerd: concrete uitgaven om schade te herstellen of te voorkomen) aan te tonen, waarbij ze ook nog de hoge drempel over moeten bij het aantonen dat DigiNotar een zorgplicht jegens hen had die geschonden is. Die concrete schade zal vrijwel niet aantoonbaar zijn. Ook lastig is dat een aanspraak op grond van onrechtmatige daad gedaan zou worden, en niet op grond van een toerekenbare tekortkoming (wanprestatie).
Resteren de getroffen overheden en andere afnemers van gekwalificeerde certificaten. Die hebben veelal overuren en kosten moeten maken om in allerijl certificaten te organiseren van wél betrouwbare certificatenleveranciers. Dat is concrete schade, schade die waarschijnlijk kleiner was geweest als DigiNotar de inbraak wél adequaat had onderzocht en haar klanten tijdig had geïnformeerd. Waarbij nog komt dat een zorgplicht van DigiNotar veel makkelijker aangenomen zal worden omdat er nu eenmaal een overeenkomst bestond tussen partijen.
Bestuursrechtelijke dimensie
Een nog nauwelijks besproken dimensie is de bestuursrechtelijke. Veel overheden gebruikten gekwalificeerde certificaten van DigiNotar om communicatie rondom elektronisch bestuurlijk verkeer te authenticeren. De Algemene wet bestuursrecht (Awb) luidt op dit punt als volgt:
‘Indien een bestuursorgaan een bericht elektronisch verzendt, geschiedt dit op een voldoende betrouwbare en vertrouwelijke manier, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt.’ (art. 2:14 lid 3 Awb)
Nu bleek dat de omgeving waarin DigiNotar de gekwalificeerde certificaten aanmaakte en beheerde gecompromitteerd was rijst de vraag of DigiNotar certificaten niet vanaf het moment van inbraak niet langer aan deze eis voldeden. Wat met terugwerkende kracht zou betekenen duizenden beschikkingen van o.a. de Belastingdienst, de RDW en honderden gemeenten niet aan dit elementaire vormvoorschrift voldoen. In dat licht is het dan ook vreemd dat omwille van de stabiliteit van de overheidsdienstverlening ontraden werd om automatische updates van Microsoft software uit te rollen. Die overheidsdienstverlening had met evenveel recht net zo goed stilgelegd kunnen worden. Want als we de de memorie van toelichting van dit wetsartikel er bij pakken, dan zien we op pagina 15 dat er met voldoende betrouwbaar o.a. het volgende bedoeld wordt:
De volgende aanduidingen geven een goede uitwerking aan de open normen van betrouwbaarheid en vertrouwelijkheid:
Authenticiteit = oorsprong van het document: zijn de gegevens werkelijk van de afzender afkomstig?
Integriteit = de zekerheid dat gegevens volledig zijn en niet onbevoegdelijk zijn gewijzigd.
Onweerlegbaarheid = het voorkómen van weerlegbaarheid; onloochenbaarheid.
Transparantie = de mogelijkheid dat wijzigingen van de gegevens achteraf kunnen worden opgespoord en inzichtelijk kunnen worden gemaakt.
Beschikbaarheid = toegankelijkheid en bereikbaarheid van het document.
Flexibiliteit = de mate waarin aan nieuwe of oude gebruikseisen kan worden voldaan.
Vertrouwelijkheid = exclusiviteit: het document is alleen toegankelijk voor hen voor wie het is bestemd.
De subnormen authenticiteit en integriteit zijn nadrukkelijk in het geding. Het zal hier echter vooral afhangen of er burgers of bedrijven zijn die dit argument gaan gebruiken. Het wachten is dus op bijvoorbeeld een slimme fiscalist die een elektronische beschikking van de Belastingdienst aanvecht op deze gronden. Zeker in die situaties waarin een bestuursorgaan binnen een bepaalde termijn zal moeten beslissen kan dit een interessante situatie opleveren. Wordt ongetwijfeld nog vervolgd.