• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
  • Contact
  • Nieuwsbrief

Gemeente.nu

Nieuws voor gemeenten

  • Bedrijfsvoering
    • Aanbestedingen
    • AI
    • Belastingen
    • Burgerzaken
    • Communicatie
    • Digitalisering
    • Financiën
    • Ondernemersbeleid
    • Organisatie
    • Privacy
    • Vergunningen
  • Sociaal
    • Bijstand
    • Decentralisatie
    • Integratie
    • Jeugdzorg
    • Onderwijs
    • Ouderen
    • Schuldhulp
    • Sport
    • Werk
    • Wmo
  • Veiligheid
    • Boa
    • Cybersecurity
    • Evenementen
    • Handhaving
    • Ondermijning
    • Openbare orde
  • Ruimte & Milieu
    • Afval
    • Bodem
    • Bouw
    • Duurzaamheid
    • Energie
    • Infrastructuur
    • Leefomgeving
    • Omgevingswet
    • Smart city
  • Loopbaan
    • Cao
    • Integriteit
    • Leiderschap
    • Mobiliteit
    • Ontwikkeling
    • Pensioen
  • Bestuur
    • College
    • Gemeenteraad
    • Participatie
    • Samenwerking
    • Raadsledennieuws (archief)
  • Partners
    • KaFra Housing
    • KPN
    • Sdu
    • Segment
  • Whitepapers
  • Opleidingen

Certificatencrisis in vijf vragen

7 september 2011 door joostvalkhoff

Lees voor

De afgelopen anderhalve week is er veel aan de hand rond beveiligingscertificaten van de overheid. Aanleiding daarvoor is de inbraak bij het Beverwijkse bedrijf DigiNotar. Dat gevolgen ernstig zijn is helder en blijkt al uit het feit dat de minister zelf drie persconferenties geeft. Gemeente.nu beantwoordt vijf belangrijke vragen.

1. Wat zijn nou die

certificaten en wat is er nou eigenlijk aan de hand?

Omdat al verkeer op internet

langs veel punten komt en op veel plaatsen af te luisteren is,

zijn gegevens die niet met iedereen gedeeld kunnen worden

beveiligd. Dat gebeurt door gebruik te maken van beveiligde

verbindingen. Hiervoor wordt versleuteling gebruikt. Het

mechanisme werkt zo dat de server die verbinding begint met

behulp van een certificaat. Dat is het beginpunt om de

versleuteling op te zetten. Dat mechanisme werkt nog altijd

onveranderd.

Certificaten worden ook voor

een tweede doel gebruikt. Het helpt met het vaststellen dat de

gegevens veilig op de juiste computer worden afgeleverd. Want

als informatie op veilige manier bij een verkeerde partij

uitkomt dan is er nog altijd een probleem met de

vertrouwelijkheid. Het certificaat wordt daarom ook ingezet om

de server het bewijs te laten leveren dat hij authentiek is.

Daarvoor wordt gebruik gemaakt van een vertrouwde derde partij

(technisch heet dat een Trusted Third Party). Onderwater voert

de webbrowser die controle uit. Is alles goed dan komt er een

geel slotje in beeld. De gebruiker of een systeem hoeft daar

niet over na te denken.

Zo’n vertrouwde partij was

DigiNotar. Zij gaven dit soort certificaten en bevestigden de

echtheid aan webbrowsers. Wat de man in Iran ontdekte is dat bij

een bezoek aan Google hij weliswaar een bevestiging kreeg van

DigiNotar dat het certificaat echt is, maar dat dit niet klopt.

Dit bedrijf is namelijk niet de leverancier voor Google van

beveiligingscertificaten en die situatie kan dus niet bestaan.

Het bedrijf is dus gehacked.

2. Wat heb ik daar al

decentrale overheid mee te maken?

Diginotar geeft twee soorten

certificaten uit. Private als onderdeel van het hele

waarmerksysteem op internet en ‘gekwalificeerde’ namens de Staat

der Nederlanden. Die laatste is voorzien van extra waarborgen en

haakt voor de rest aan op het internetsysteem. Een

overheidscertificaat heeft dus een meerwaarde. DigiNotar is een

belangrijke leverancier die over een mandaat beschikte om namens

de Staat der Nederlanden te tekenen. Dus met de hack kwam meteen

ook dat ter discussie staan.

Veel gemeenten en andere

overheden worden dus de dupe van deze kraak. Het zijn namelijk

de certificaten die zij gebruiken die ook onderwerp van

discussie worden. Dat ondermijnt dus het vertrouwen in de

communicatie tussen burger en overheid en tussen systemen. Juist

als de vertrouwde partij niet langer te vertrouwen is dan is er

geen waarmerker meer die met gezag de echtheid kan bewijzen. Dat

raakt dus de klanten van DigiNotar.

Dat er wantrouwen kwam, is

terecht. Een digitale inbraak is nooit volledig uit te sluiten.

Maar eigenlijk mag dat niet voorkomen. Het probleem is alleen

dat een inbraak op systemen van Diginotar nooit mag leiden tot

het aanmaken van nieuwe certificaten. De technische omgeving die

de certificaten uitgeeft hoort fysiek niet verbonden te zijn met

het gewone netwerk van het bedrijf. Dat er toch een certificaat

is uitgegeven kan onder normale omstandigheden technisch

eenvoudigweg niet. Procedureel hoort zoiets ook niet te kunnen.

3. Maar Logius beweerde dat er

geen reden tot zorg was voor PKI Overheid?

Dat statement was nergens op

gebaseerd. Omdat er technisch iets onmogelijks was en

procedureel ook iets gierend was misgegaan, hoort tot

bezorgdheid te leiden. De omgeving voor overheidscertificaten is

ook gescheiden en vindt in een kluis plaats. Maar juist de

indicatie dat technische omgevingen niet gescheiden lijken,

hoort tot twijfel te leiden. Zeker omdat gedurende de uren na

het ontdekken ook duidelijk werd dat het ging om meer dan één

certificaat. Dat wekt het vermoeden dat er geautomatiseerd is

gewerkt.

Het systeem staat of valt met

vertrouwen. Dat is niet iets dat Logius mag claimen, maar is

iets dat wordt geschonken. In dit geval als eerste door de

leveranciers van browsers, maar ook door de internetgemeenschap.

Een logische stap is juist bij zo’n systeem van het ergste

uitgaan tot het tegendeel bewezen is. Een statement als dat van

Logius werkt op heel korte termijn misschien, maar ondermijnt

structureel het vertrouwen. Vooral voor ambtenaren bij

decentrale overheden is dat lastig, want ook zij krijgen dan

tegenstrijdige signalen.

Uit onderzoek van Fox IT is

gebleken dat DigiNotar op cruciale onderdelen tekort is

geschoten. Er blijken fysieke verbindingen te zijn geweest

tussen het kantoornetwerk en verschillende omgevingen voor het

aanmaken van certificaten. De seperatie is doorbroken. Omdat ook

nog eens een enkele Windows-omgeving bestond, was het inbreken

voldoende om overal bij te kunnen. De hacker(s) is/zijn dan ook

op de PKI Overheid-omgeving geweest. Het wachtwoord voor de

beheerder was erg eenvoudig te kraken en waren ook nog eens de

hoogste rechten denkbaar op een systeem beschikbaar. Simpelweg

blijkt het dus helemaal foute boel te zijn geweest.

4. Wat moeten wij nu?

Als u certificaten van

Diginotar heeft dan moeten die worden vervangen als dat nog niet

gebeurd is. Dat gaat verder dan alleen de webserver, omdat ook

systemen onderling certificaten gebruiken. Let daarbij op dat

sommige computerprogramma’s ook bijhouden welke certificaten

andere systemen hebben als extra beveiligingslaag. In zulke

gevallen is vervangen niet voldoende, maar moet ook

programmatuur worden aangepast. De VNG heeft een helpdesk

ingericht die alle vragen zo snel mogelijk proberen te

beantwoorden. Bij twijfel is het advies dan ook om contact op te

nemen.

Het advies van Logius op 1

september 2011 om te kijken welke certificaten er zijn, waarvoor

ze gebruikt worden en wat uitval voor gevolgen heeft, is wel

logisch. Natuurlijk blijft dat rijkelijk laat, omdat dit soort

dingen eigenlijk in een beveiligingsplan thuis hoort. Maar dit

is de praktijk. Voor de toekomst is het verstandig toch na te

denken over een soort ‘plan B’. Denkbaar is bijvoorbeeld dat

over een tijd er bij een tweede leverancier een

reservecertificaat wordt aangevraagd om in noodgevallen snel in

te zetten. Wie slim is bedenkt daarbij ook dat certificaten een

uiterste houdbaarheidsdatum hebben. Dus is een verschillende

verloopdatum is handig, mocht er administratief een keer iets

over het hoofd worden gezien.

Verstandig is ook om open te

communiceren over wat er nu geregeld wordt. Vertrouwen komt te

voet en gaat te paard. Laat zien dat u de problematiek serieus

neemt. Ook bij raadsleden kunnen vragen spelen en heldere

communicatie voorkomt onnodige twijfel weg te nemen en

vertrouwen te wekken.

Omdat DigiD werkte met zo’n

certificaat is het niet meer volledig gegarandeerd dat er geen

misbruik van de inlog is geweest, is het verstandig burgers aan

te raden ook het wachtwoord te vervangen. Dat gebeurt dan onder

het motto ‘better safe than sorry’.  Ga er ook niet vanuit dat

met het vervangen van het certificaat door DigiD alle problemen

voorbij zijn. Pas als heel DigiNotar niet meer operationeel is

en er geen meldingen van verstoringen zijn, weten we pas of het

goed is.

5. Waarom wordt Nederland zo

aangevallen?

Op basis van de feiten is

helder dat het lijkt dat de hack ging niet om Nederland, maar om

DigiNotar. Daar was een hack goed mogelijk, omdat zij de

gelegenheid boden. Gelet op het onderzoek van Fox IT, de

certificaten die vervalst zijn en andere informatie is duidelijk

dat de aanval gericht is op het kunnen controleren van

internetverbindingen binnen Iran. Dat de overheidscertificaten

worden getroffen is het gevolg van de zaken die DigiNotar heeft

nagelaten. Met een mooi woord is dit ‘collateral damage’ van de

kraak.


Het is goed te beseffen dat dit

voor ons wat ongemak geeft. Voor mensen in Iran is de hack veel

zorgelijker. Het afluisteren van communicatie tussen burgers en

andere partijen kan onder het huidige regime daadwerkelijk

gevaarlijk zijn. De knulligheid van de beveiliging zegt weinig

tot niets over de geavanceerdheid, waarmee misbruik van de

zwakheden lijkt te worden gemaakt. Misschien is het een goede

les om beveiliging serieus te nemen. Bij een hack wordt u niet

alleen zelf getroffen, maar kunt u onbedoeld ook anderen treffen.

Tagged With: CCV, mediation, overlast Filed Under: Handhaving, Openbare orde, Sociaal

Lees 7 reacties
Vorige artikel
'Gemeenten verspillen miljoenen bij aanbestedingen'
Volgende artikel
Certificatencrisis: pijn komt volgende week

Reader Interactions

VIND Handhaving

GERELATEERD

Burgemeester Utrecht spreekt ouders relschoppers aan

Burgemeester Sharon Dijksma van Utrecht stuurt alle ouders van relschoppers die aanwezig waren bij onrusten in de wijk Overvecht een brief. Hierin maakt ze duidelijk dat de ouders verantwoordelijk zijn voor hun kinderen en dat de gemeente eventuele schade op hen zal verhalen. Al een aantal avonden is het onrustig bij een winkelcentrum in de... lees verder

Handreiking moet GGD’ers in de wijk helpen met gegevensdeling

GGD’ers in de wijk zorgen ervoor dat personen met verward gedrag zichzelf of anderen geen schade berokkenen. Om de privacy van deze mensen te waarborgen en gegevens veilig te delen is er nu een hulpmiddel ontwikkeld. Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) lanceerde recent de nieuwe handreiking privacy en gegevensdeling wijk-GGD’er. Deze handreiking biedt... lees verder

Extra geld om overlast asielzoekers aan te pakken

Het ministerie van Justitie en Veiligheid stelt extra geld beschikbaar voor gemeenten om lokale maatregelen te treffen tegen asielzoekers die overlast veroorzaken. In totaal heeft staatssecretaris Van der Burg (Asiel) hiervoor 1,25 miljoen euro gereserveerd voor 2022 en een deel van 2023. In 2020 en 2021 konden gemeenten ook extra geld aanvragen om overlast aan... lees verder

Comments (7)

  1. G Laan says

    8 september 2011 at 10:04

    In en in triest voor de irani?rs die hierdoor zijn opgepakt en nu gemarteld worden. Dit is binnen de wereld van ICT’ers een bekend risico van onveilige certificaten. Kennelijk vond Diginotar het dat risico waard. Nog triester Diginotar blijkt al twee jaar geleden gekraakt te zijn. Al twee jaar lang kan het iraanse regime hier dus misbruik van maken.
    Ook in China is men zeer ge?ntresseerd in dit soort onveilige certificaten.
    Kortom mensenlevens zijn op het spel gezet.

    Beantwoorden
  2. Paul van der Hart says

    7 september 2011 at 17:51

    Overigens: wel heel pijnlijk is dat de VNG binnen de kortste keren een lijst publiek maakte (op de internets!) van alle gemeenten die zaken deden met DigiNotar. Handig voor wie wilde weten welke gemeenten nu kwetsbaar waren….

    Zie: http://bit.ly/pFwmsb

    Beantwoorden
  3. Paul van der Hart says

    7 september 2011 at 17:46

    Allereerst petje af voor Brenno, die een heel duidelijk en vooral begrijpelijk verhaal schrijft over wat er nu precies mis is, en bij wie.

    En laat het duidelijk zijn: wat er mis is, is mis bij DigiNotar. Dit is nu eens ??n van die blunders die wel de IT van de overheid treffen, maar waar de overheid niet zelf schuldig aan is.

    Dat laat echter onverminderd dat “de overheid” tot nog toe uitblinkt in communicatie die in ieder geval ??n ding duidelijk maakt: dat die overheid eigenlijk zelf helemaal niet snapt waar het nu eigenlijk om gaat.

    Een goed voorbeeld hiervan is de Gemeente Zevenaar die trots aangaf: bij ons is alles goed, want wij doen geen zaken met DigiNotar. Alsof je op een eiland zit, alsof je met geen derde partijen te maken hebt! Wie via DigID inlogt bij Zevenaar heeft al te maken met DigiNotar, want de check op DigID loopt via certificarten van DigiNotar. De basisregistraties van Zevenaar staan in verbinding met landelijke systemen van ministeries en andere (quasi)overheidsinstanties: die gebruiken mogelijk ook certificaten van DigiNotar.

    Wat pijnlijk duidelijk wordt, en gelukkig nu eindelijk eens in het groot, is dat bij veel overheden de kennis en ervaring ontbreekt om de moderne ICT nog te volgen. Laat staan te beheren.

    Er zijn inmiddels kamervragen (van o.a. de SP) om maar weer eens een onderzoek te doen naar deze zoveelste oprisping van ’s overheids onkunde op IT gebied.

    Maar begin eens met uitzoeken waarom het gros van de met name kleinere overheden het met zulke gebrekkige IT-ers moet doen. Of permanent gepiepeld worden door peperdure, en vaak al even incompetente externen.

    Misschien dat we dan een keer verder komen.

    Nogmaals, een verhelderend stuk van Brenno, en goed voor alle ge?nteresseerde ambtelijke IT-leken. Maar jammer dat het voor het gros van de IT-ers waarcshijnlijk ook voor het eerst is dat ze iets beginnen te snappen van de certificaten die ze nu al jarenlang trouw maar onwetend installeren.

    Beantwoorden
  4. Mark says

    7 september 2011 at 16:28

    @Jan Kijlstra:
    Ik denk dat een belangrijk probleem ook is dat veel mensen die wel degelijk verstand hiervan hebben enerzijds niet enorm communicatief vaardig zijn en daarmee de overheid niet bereiken en anderzijds over het algemeen als paranoia worden bestempeld door andere ICT’ers die ergens een klok hebben horen luiden.
    Jammer dat op deze manier deze mensen toch weer gelijk blijken te krijgen.

    Beantwoorden
  5. de vries says

    7 september 2011 at 14:17

    dat is ook mijn grootste bezwaar bij het registreren van vingerafdrukken.

    De reden om identiteitsfraude te voorkomen, echter het namaken van een paspoort is nog steeds mogelijk, waarbij vingerafdrukken het vervalste paspoort nog legitiemer maken (conform overheid), waarbij de persoon waarvan misbruik gemaakt wordt nog meer de klos is…..

    Beantwoorden
  6. Altijd wat? says

    7 september 2011 at 14:17

    Wat kan de overheid nu wel eens een keer goed doen?

    Beantwoorden
  7. Jan Kijlstra says

    7 september 2011 at 14:13

    ICT en overheid, het wordt nooit wat.
    Want hoeveel kennis en kwaliteit je als overheid ook in huis haalt, de beslissers zijn niet deskundig (aan het eind: politici), kijken teveel naar de kosten, en werken te veel op basis van compromissen.
    Overigens dient een zo essentiele zaak als dit natuurlijk niet bij een commercieel bedrijf ondergebracht te worden, maar bij een onafhankelijke instelling. zoiets als de Nederlandse Bank, of zo. En die moet voldoende budget krijgen om de zaak goed te regelen.

    Beantwoorden

Geef een reactie Reactie annuleren

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Primary Sidebar

TOPVACATURES

Senior Beleidsadviseur Sociaal Domein met aandachtsgebied Wmo – Gemeente Haarlemmermeer

Meer vacatures

LAATSTE ARTIKELEN

Extra geld naar Nationaal Warmtefonds voor verduurzaming huizen

19 mei 2025

Regeling kansrijke wijk krijgt vervolg

19 mei 2025

Tijdelijke woningen winnen terrein

16 mei 2025

Opinie Evaluatie Omgevingswet: we hebben allemaal gelijk

16 mei 2025

Politieke onrust in Alphen aan den Rijn: voorlopig geen nieuwe burgemeester

16 mei 2025

GEMEENTE.NU PARTNERS

De missie van Segment
  • Segment

De missie van Segment

‘Alles onder de Wet open overheid is openbaar, tenzij…’
  • Segment

‘Alles onder de Wet open overheid is openbaar, tenzij…’

‘Nieuwe locatie voor een school roept vaak weerstand op’
  • Segment

‘Nieuwe locatie voor een school roept vaak weerstand op’

Crisisbeheer: voorbereiden op cyberaanvallen 
  • Segment

Crisisbeheer: voorbereiden op cyberaanvallen 

Vernieuwend opleidingsaanbod gebiedsontwikkeling
  • Segment

Vernieuwend opleidingsaanbod gebiedsontwikkeling

Leergang Ambtelijk Vakmanschap: groeien als ambtenaar
  • Segment

Leergang Ambtelijk Vakmanschap: groeien als ambtenaar

‘Het oliemannetje in de gemeentelijke machine’
  • Segment

‘Het oliemannetje in de gemeentelijke machine’

Nieuwe trainingen informatieveiligheid bij Segment
  • Segment

Nieuwe trainingen informatieveiligheid bij Segment

Eigen academie Maastricht biedt medewerkers ruime keuze
  • Segment

Eigen academie Maastricht biedt medewerkers ruime keuze

Burgerzaken gaat terug naar school: een nieuw concept
  • Segment

Burgerzaken gaat terug naar school: een nieuw concept

20 juni: Informatiebijeenkomst Diplomalijnen NLQF-6
  • Segment

20 juni: Informatiebijeenkomst Diplomalijnen NLQF-6

Vijf adviezen om je team up-to-date te houden
  • Segment

Vijf adviezen om je team up-to-date te houden

De drie p’s van Segment
  • Segment

De drie p’s van Segment

Segment: partner in gemeentelijke ontwikkeling
  • Segment

Segment: partner in gemeentelijke ontwikkeling

De Wet open overheid is voor iedereen relevant
  • Segment

De Wet open overheid is voor iedereen relevant

Het diploma Burgerzaken haal je bij Segment
  • Segment

Het diploma Burgerzaken haal je bij Segment

‘Neem je bivak en je matties mee’
  • Segment

‘Neem je bivak en je matties mee’

Warmdraaien voor de Omgevingswet: praktische kennis voor een naadloze overgang 
  • Segment

Warmdraaien voor de Omgevingswet: praktische kennis voor een naadloze overgang 

Vijf tips voor een betere dienstverlening en klantgerichtheid
  • Segment

Vijf tips voor een betere dienstverlening en klantgerichtheid

‘Een feestje van de ceremonie maken’
  • Segment

‘Een feestje van de ceremonie maken’

Van bestemmingplan naar omgevingsplan
  • Segment

Van bestemmingplan naar omgevingsplan

Bereid je voor op extra paspoort- en ID-kaartaanvragen
  • Segment

Bereid je voor op extra paspoort- en ID-kaartaanvragen

Professioneel risicomanagement steeds belangrijker
  • Segment

Professioneel risicomanagement steeds belangrijker

Aan de slag met de Wet open overheid
  • Segment

Aan de slag met de Wet open overheid

Nieuw: Leergang adviseur integrale gebiedsontwikkeling 
  • Segment

Nieuw: Leergang adviseur integrale gebiedsontwikkeling 

Zomerkorting bij Segment! 
  • Segment

Zomerkorting bij Segment! 

Nieuw personeel in een financiële functie snel inwerken 
  • Segment

Nieuw personeel in een financiële functie snel inwerken 

Vermijd de valkuil van niet integer handelen door raadsleden
  • Segment

Vermijd de valkuil van niet integer handelen door raadsleden

Modules Burgerzakendiploma’s in Noord- en Zuid-Nederland te volgen
  • Segment

Modules Burgerzakendiploma’s in Noord- en Zuid-Nederland te volgen

Beleidsadviseur onderwijs? Deze nieuwe cursus is voor jou
  • Segment

Beleidsadviseur onderwijs? Deze nieuwe cursus is voor jou

Beteugel agressie tegen publieke medewerkers – drie tips
  • Segment

Beteugel agressie tegen publieke medewerkers – drie tips

Zo kom je tot een robuuste begroting
  • Segment

Zo kom je tot een robuuste begroting

Vijf redenen om voor Segment te kiezen
  • Segment

Vijf redenen om voor Segment te kiezen

Online BRP-cursus: ‘Even wennen, maar veel geleerd’
  • Segment

Online BRP-cursus: ‘Even wennen, maar veel geleerd’

Eerste Hulp bij Verkiezingen
  • Segment

Eerste Hulp bij Verkiezingen

Juiste identiteitsvaststelling – belangrijker dan ooit
  • Segment

Juiste identiteitsvaststelling – belangrijker dan ooit

De missie van Segment
  • Segment

De missie van Segment

‘Alles onder de Wet open overheid is openbaar, tenzij…’
  • Segment

‘Alles onder de Wet open overheid is openbaar, tenzij…’


Footer

Snel naar

  • Aanbestedingen
  • AI
  • Financiën
  • Handhaving
  • Integriteit
  • Leefomgeving

Meer Gemeente.nu

  • Nieuwsbrief
  • Facebook
  • Twitter
  • Linkedin
  • Events

Help

  • Adverteren
  • Contact
  • Spelregels

Powered by Sdu

SDU