Donner: veiligheid sites overheid niet gegarandeerd

vk UPDATE De veiligheid van Nederlandse overheidssites kan niet langer worden gegarandeerd. De Nederlandse overheid neemt nu maatregelen. Dat heeft minister Donner vannacht bekendgemaakt op een persconferentie.

Het gaat om beveiligingscertificaten van het Nederlandse bedrijf Diginotar. Donner heeft het vertrouwen in dat bedrijf opgezegd. Uit onderzoek is gisteren, vrijdag, gebleken dat niet uitgesloten kan worden dat certificaten van de overheid het slachtoffer zijn van hackers, aldus Donner. Het gaat in totaal om honderden overheidssites, waaronder DigiD en de site van de Belastingdienst.

Zoals al eerder bekend werd, was er in juli sprake van een inbraak bij certificaten van Diginotar. Die blijkt nu grotere gevolgen te hebben dan gedacht, want eerder leken de overheidssites buiten schot te zijn gebleven. Maar nu blijkt dus dat vele Nederlanders sinds juli hebben gecommuniceerd met overheidssites waarvan de betrouwbaarheid niet meer vaststond.

PKI-certificaten
Zo snel mogelijk wordt nu overgeschakeld op andere PKI-certificaten. Dat zijn de certificaten die de betrouwbaarheid van overheidssites zouden moeten garanderen. Nu de overheid het vertrouwen in Diginotar heeft opgezegd, wordt het operationele beheer voorlopig door de overheid zelf overgenomen. Volgens Donner gaat het om een overgangsperiode.

De desbetreffende sites blijven wel in de lucht, omdat ook veel andere overheidssites daarvan afhankelijk zijn. Bij sites van de overheid waarvan de betrouwbaarheid niet vaststaat, krijgen gebruikers vanaf nu wel een waarschuwing te zien.

Eerder deze week bleken de gewone certificaten van DigiNotar al onbetrouwbaar, nu blijkt dit dus ook te gelden voor de PKI-certificaten die voor de overheidssites gebruikt worden.

Het ministerie van Binnenlandse Zaken heeft vanavond crisisberaad gehouden. Kort na één uur in de nacht kwam Donner met zijn persconferentie. Een zeer ongebruikelijk tijdstip, dat de urgentie van het probleem aangeeft.

Nep-certificaat
Afgelopen week werd bekend dat het Nederlandse internetbeveiligingsbedrijf Diginotar eerder een nep-certificaat had geaccepteerd dat door de Iraanse overheid zou zijn gebruikt om Gmail-accounts mee te bespioneren. Diginotar verzorgt beveiligingscertificaten van onder meer overheidssites en de Belastingdienst.

Microsoft, Mozilla en Google, de grootste spelers op de browsermarkt, kondigden maatregelen aan die de sites mogelijk zouden blokkeren. Als de browsers de certificaten van Diginotar niet meer vertrouwen, zullen de sites die er gebruik van maken bij een volgende update niet meer beschikbaar zijn.

Gisteren zei Donner dat de overheid mogelijk gaat kijken naar een eigen veiligheidsgarantie voor de eigen sites. Tijdens de nachtelijke persconferentie kon Donner niet bevestigen dat het om een Iraanse hack zou gaan.