Wachten op de grote klap
Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).
Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop. Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.
