Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

De, in mijn ogen veel belangrijkere, vraag: “hoe kan het dat een dergelijke cruciaal deel van onze ICT infrastructuur in buitenlandse handen kan vallen?” was niet kennelijk eens op de radar van toezichthouders of Kamerleden. Met name in relatie tot de recente discussies over Amerikaanse veiligheidsdiensten die zonder rechterlijke toetsing in onze systemen mogen grasduinen, lijkt dit van enig belang. Maar wellicht heb ik een wat te naive verwachting als het gaat om de positie van mijn overheid die als soevereine staat zowel capabel als gemotiveerd is om de belangen van haar burgers te behartigen.

Teamwork; it spreads the blame
Diginotar is het zoveelste voorbeeld van een publieke ICT functie waar het werkelijk op alle denkbare niveaus fout ging (selectie, uitvoering, toezicht). Maar toch is niemand verantwoordelijk voor de consequenties hiervan. Waarbij het belangrijk is om vast te stellen dat we waarschijnlijk nooit zullen weten hoe ernstig de echte consequenties zijn – met name voor een onbekend aantal Iraanse burgers. Gevolg is dat er dus ook niks hoeft te veranderen aan de personen die bijvoorbeeld het toezicht uitvoeren of de ‘methoden’ die zij daarvoor gebruiken. Hetzelfde blijven doen en toch andere uitkomsten verwachten is een van de definities van waanzin.

Niet weten, niet kunnen
Als er een centrale oorzaak aan te wijzen is voor de meeste grote ICT-fails van de overheid, dan het is wel gebrek aan inhoudelijke expertise bij de overheid zelf. Alles is geprivatiseerd en gebrek aan kennis is van een ongelukkige consequentie tot een uitgangspunt van beleid verworden. In plaats van gebrek aan inhoudelijke expertise te identificeren als een probleem dat moet worden opgelost, wordt het beschreven als onveranderlijke natuurwet. “Het is nu eenmaal zo” dat de overheid geen mensen in dienst heeft die de inhoudelijke expertise hebben om ICT projecten beoordelen, uit te voeren of toezicht te houden (op de ingehuurde leveranciers voor het beoordelen of uitvoeren). Tegelijkertijd wordt van ons burgers verwacht dat we diezelfde overheid moeten vertrouwen met het correct beoordelen van de haalbaarheid en consequenties van steeds meer megalomane ICT projecten. Nog zo’n symptoom van institutionele waanzin.

De discussie over eventuele speciale bescherming van hackers als klokkenluiders is, hoe goed bedoeld ook, in mijn optiek dan ook symptoombestrijding. De overheid hoort zelf de kennis in huis te hebben om in ieder geval de goeie vragen te kunnen stellen en de antwoorden op die vragen zelfstandig te evalueren. Of zullen we het toezicht op onze zeedijken ook gewoon afschaffen en wachten tot een paar burgers op hun vrije zondag komen melden dat er een gat in een dijk zit?

Lektober, het plan van Webwereld.nl om deze maand dagelijks een voorbeeld te laten zien, zal vrees ik weinig veranderen aan de manier hoe men in Den Haag omgaat met deze problemen. Een mega-fail zoals Diginotar levert geen enkel rollend hoofd op en de implementatie van zowel het EPD als de OV-chip gaat rustig door.

Wat is er dan nodig voor een doorbraak? Zoals ik tijdens een debat over het EPD in 2005 al zei; een gebeurtenis die te heftig is om te negeren. Want dat is altijd wat nodig is in Nederland om ons politiek-bestuurlijke systeem te bewegen dingen echt anders te gaan doen. Pas dan is men bereid om bestaande commerciële belangen onder druk te zetten en een paar mensen hun baantjes te laten  verliezen. Door de complexiteit van de Nederlandse samenleving en economie komt dat moment vanzelf. Of het nu een nationale EPD-storing, een ontploffende Botlek of iets met ons nationale aardgas netwerk is. Genoeg zwakke plekken om uit te kiezen.

Ik vermoed dat er een ‘sweetspot’ is qua aantal doden versus effectieve politieke impact. Ergens tussen de vuurwerkramp (23 doden) en de watersnoodramp (1835 doden) in zeg maar. Ik deel de analyse van Rop Gongrijp dat er na Diginotar niks gaat veranderen (want geen doden op TV). Het wachten is op de grote klap die hard genoeg is om echte verandering mogelijk te maken. Dan pas komt er ruimte voor andere mensen, met meer inhoudelijke expertise. Een veel hoger niveau van technische eisen en vanzelfsprekende transparantie rond alle processen zoals ontwerp, selectie en implementatie van nieuwe systemen.

Wellicht een gruwelijke cyberaanval met schattige biggetjes?

  1. 3

    Iraanse dissidenten hadden eigenlijk nooit de dupe mogen worden van dat geklungel van zo’n Nederlands bedrijfje.

    Probleem is dat de protocollen en tools die er gebruikt worden bij lange na niet optimaal zijn: http://en.wikipedia.org/wiki/X.509#Architectural_flaws

    Natuurlijk had dat wat er bij Diginotar gebeurt is nooit mogen gebeuren, maar door hoe X.509 werkt is de veiligheid zo goed als de zwakste schakel. De zwakste schakel van alle Cert. autoriteiten (verdeeld over de hele wereld) die in de browser zijn opgenomen.

    Ik denk dat er niet snel dingen gaan verbeteren. Er zijn belangen mee gemoeid. Bedrijven die certificaten verkopen hebben belang bij de huidige situatie. Ik denk ook dat sommige veiligheidsdiensten (overheden) er geen belang bij hebben dat de situatie echt verbeterd. Zij willen natuurlijk hun achterdeurtjes beschikbaar houden.

  2. 4

    Ik ben skeptisch. ICT is geen waterbouw. Naar een dijk kun je kijken. Zelfs een leek kan een aardige indicatie geven of ie het doet. Je hebt wellicht wat technologie nodig om vervolgens ook de binnenkant te bekijken, maar veel meer dan bekijken is niet nodig. Dat werkt zo niet bij software. Neem nou wordpress, waar Sargasso op draait. Zonder plugins een kleine kwart miljoen regels code. Je zult hier niemand kunnen vinden die er zijn hand voor in het vuur durft te steken dat dat waterdicht is. Ook PwC of FoxIT niet. Men wil hooguit zeggen dat men wel/geen problemen heeft gevonden en daarbij wil men ook nog wel vertellen welke methodiek men heeft gevonden, maar dat was het wel.

    Immers, soms is 1 karakter (bv = ipv ==) genoeg voor een lek terwijl andere vormen van lekken weer enkel te vinden zijn door de interactie tussen een tiental componenten minutieus te analyseren. Het is en blijft onbegonnen werk.

    Dat zie je ook in de methoden die bedrijven volgen die audits doen; men scant op bekende veel voorkomende problemen, men controleert procedures, men stelt vast of ze gevolgd worden. Maar het blijft oppervlakkig. Dat neemt niet weg dat het nuttig is; er worden problemen gevonden bij dit soort audits en die worden ook opgelost. Maar het is geen garantie dat het waterdicht is.

    Het is ook maar de vraag of het DigiNotar-probleem voorkomen had kunnen worden met betere audits; een auditor kan en moet nou eenmaal vertrouwen op door het bedrijf aangeleverde informatie. Hij of zij kan niet in de serverruimte UTP-kabels gaan volgen of alle passwords van gebruikers controleren. Hij of zij kan niet controleren of iemand misschien een wifi-accesskey ten onrechte in zijn iPhone heeft staan waarmee een onterecht in een beheer-PC achtergebleven wifi-dongle te bereiken is. Hij of zij kan closed source software (Diginotar draaide Windows) niet bekijken. Etc. etc. Het blijft bij een oppervlakkige analyse. Ik heb ook nog altijd geen rapport gezien dat verklaart hoe de hack bij DigiNotar nou heeft kunnen plaatsvinden. Dikke kans dat men het nog steeds niet weet.

    Bottom line is: hier moeten we het mee doen. Ik kan me geen realistische methoden voorstellen waarop onze overheid een betere partij had kunnen selecteren dan Diginotar. Van buitenaf zien ze er allemaal ongeveer hetzelfde uit. Ik vraag me ook af of het bij Diginotar technisch wel zo slecht geregeld was als men nu doet vermoeden. Achteraf buitelt eenieder over elkaar om te roepen hoe slecht het was geregeld, maar ondertussen weten we nog steeds niet hoe de hack heeft kunnen plaatsvinden.

    En daar moeten we het mee doen. We kunnen gerust wachten op de grote klap, die komt heus wel, maar ik zie niet in wat voor grote doorbraak je vervolgens voor ogen hebt.

  3. 5

    @zmmocc: Een machine die ondertekend zou niet eens een UTP of een USB aansluiting moeten hebben. Ik zou ‘m ontwerpen als een soort scanner/printer/computer

    Eerst wordt er gewoon een serie certificaataanvragen uitgeprint.

    Vervolgens wordt er in een beveiligde ruimte (denk aan een grote kluis in een bank) de certificaataanvragen ingescant en ondertekend en de certifcaten worden uitgeprint.

    Doordat de ondertekenings-server offline is, wordt het heel erg moeilijk om in te breken.

    Wat ik begrepen heb van de inbraak bij Diginotar is er een DLL gehackt is, die aanvragen op de sign-server deed, waardoor de hacker zelfstandig aanvragen naar de sign-server kon sturen.

  4. 6

    Al jaren heb ik getracht de overheid,hier op te wijzen.
    De brieven en mails naar allen politieke partijen, hierover,en met name, de dringende vraag;om zorg te dragen, voor expertise, als noodzaak op ict gebied binnen de overheid,en recherche (ook inzake kinderporno)
    Dat heb ik opgegeven;ik was nog zo naief te menen,..het ook hen zorg was..

    Naast, de kwestie van beveiliging,van onze gegevens; en de grote ernstige gevolgen;van identiteits fraude/roof; tot wat je maar bedenken kunt ( te gruwelijk,allemaal op te noemen.

    Op geheel ander vlak; eind 2010 de morkhoven werkgroep, uit belgie;ook velen, ministers van ons heeft aangeschreven, en hetzelfde naar onze kranten.
    Over belangrijke ict informatie ,omtrent de zaak robert m, en zijn maat;
    IVM de eerdere grote Kinderpornoproducenten netwerken; in scheveningen 1998.
    De namen in de netwerken,toen ookal opdoken,iv.m robert m..
    OOk in deze, dringend; expertise gewenst…
    maar duidelijk, waar geen wil is, is geen weg.het is niet eens onverschilligheid,en gebrek aan prioriteit; maar moedwillige chronische onwil.

    En maar wijzen ,naar wiki leaks; die zogenaamd ; al end 2010 veel mensen in gevaar zou hebben gebracht.
    Nederlandse overheid heeft intens veel mensen in gevaar gebracht; iranese, EN nederlanders…en god weet…wie nog meer, en wat de decennia lange gevolgen op ieder moment kunnen zijn,en doorgaan;……….Past niet eens in een enceclopedy..
    Daar kan ieder vast, zelf; de reeele mogelijkheden bij bedenken.

    Ik vind, al hetgeen nu al gebeurt is al ersntig genoeg; Of is./lijkt het dat nietl;o0mdat de overheid, daar BIZAR,ongeloofelijk LAKS,over doet.Alsof er een fruitlvliegje op hen scherm zagt,meer niet.
    WEn het enige antwoordt; gebruik een brief en postzegel ( ??) ( Donner)
    Dat kan niet eens! En lost o.o.o.o Op.
    We staan al in allen systemen.
    En met een BSN doe je alles ,want er wordt NIETS gecontroleerd, verder, ook buiten,ict gebied..
    En dan staat dat BSN ook nog eens in je paspoort en overal moet je het doorgeven.

    Buiten ernstige gevaren ,kunnen al je gegevens,ook nog eens ,serieuse handelswaren worden; al of niet in opdracht..criminelen een gouden handel kunnen hebben; voor uiteenlopende..doelen

    En hoe groot een eventuele v olgende ramp ook is, of de gevolgen.het enige antwoordt zal zijn damage control; waar het niet in de doofpot kan blijven; En zovel mogelijk verdoezeld blijft.We leven al TE lan g in een land; alles hopeloos versnipperd en geprivatiseerd,lang elkaar heen gewerkt; Bij niemand , en niets verantwoordelijk is,noch verantwoording,en stelling wil en kan nemen.
    En elk ernstig gevolg al gepasseerd; de gedupeerde; het zelf kan uitzoeken,op elk vlak; Waarvan het minst schadelijk/ernstige; volledig voor de kosten opdraaien;
    criiminelen maken door hen falen; gedupeerde moeten betalen.
    OOkal is dat bekend.

    En dat dit het minst erge is..nu al non stop, gebeurt..
    Is omdat de rest..ronduit van rampzalig tot gruwelijk is voor wie het treft
    En geen mens ,ook dan ,daar iets aan doet………………
    GRUWELIJK!
    Je lot in handen van…
    Door en via, …overheden; en bedrijven;
    we geen enkle keuze hebben; die te laten voor wat het is..
    gevangen,…en een makkelijke prooy,by /trough/in system..
    No escape..

    hetm idee,alleen al;dat op geen enkle manier,we dat in eigen hand hebben beangstigt me.
    En ONS topsegment, ict ers, zitten al jaren,in india; juist omdat het hier..op dit gebied axchterlijk is,..En in India ICT floreert; als bakermat.
    En als je ziet,wat mensen als gongrijpen,en velen anderen die daar op wijzen ,allemaal over zich heen krijgen.Zonder dat er ook maar iets aan gedaan wordt, noch ingecalculeerd,of mensen geinformeerd. (neen moedwilloig verbergen)
    dan weet je dus genoeg.

    En wel degelijk, is dit grotendeels te voorkomen en IIG, voor 95 [procent;te minimaliseren.De rest…behoort,tot de normale risicoos; Die allicht op geen enkel gebiedt tot 0 te reduceren zijn.dat is een illussie.

    Kwalijk is;dat de overheid ,steeds bij ons afdwingt; Dit 100 procent veilig is, en bij elke kritische vraag, en, gerichte, opmerking.Doet alsof wij de domme achterlijke zijn,die..nodeloos,die vragen stellen ,omdat we wer geen barst van snappen.
    Dan worden we letterlijk als kinderenm toegesproken.met de groot mogelijkste kwatch er maar bestaat;Door mensen die niet weten,waar ze mee bezig zijn,en werken (zoals Donner)

    en als het mis gaat; sde burger geheel laat opdraaaien;Er niets veranderd.
    liefst zonder dat hij,en anderen weten; wat en hoe,er is gebeurt.MISDADIG is het woord.Brengt mensen veel schade en kost levens;maar dat interesseerd ze simpelweg geen barst.
    En wie erop wijst..wordt vervolgd,en afgemaakt.

  5. 7

    Overigens ben ik HEEL blij ,met WEBWERELD!
    De enige ,ons,zeer goed, volledig,en gericht werkelijk informeert.
    EN er nog echt iets aan doet ook.
    Goud waard.De informatie en links zijn OPTIMAAAL.
    Kunnen onze overheden en media een puntje aan zuigen.
    Want ook die laatste hebben de ballen verstand,waar ze over..”berichtenen hoe.
    Als ze het al doen…….

    Bovendien gaat,het vaak niet eens om hacks, maar kan iedere idioot zonder enig probleem bij al onze gegevens.
    heb ik het nog niet eens,over hoeveel mensen er bij, bedrijven en overheden werken,waar onze gevens slingeren;van bsn tot banknummer,OOK buiten ict, en
    digitaal om..

    Daarnaast,ieder van osn, zo al 20 mensen kennen;daar werken..
    En zowel op micro als macro gebied..redenen genoeg ,waarop/waarom..iemand op enig moment..al of niet specifieke info, wil.
    En al of niet uit vrienden dienst/tegen betaling/ruime vergoeding…
    Degelijke diensten levert….
    De gevolgen zijn niet te overzien…en dan sta je volledig vogelvrij alleen.
    Er zijn GEEN instanties/wegen..die dan iets kunnen,en willen, betekenen.
    ZELFS dat, woprdt niet geregeld, noch toezicht;noch een infrastructuur/instituut.
    Hiervoor opgericht; en dat had allang, een antwoordt moeten zijn,op deze ersntige problematiek…

    Neen pas als de hogwe heren zelf,aan den lijfe het flinjk voelen..
    mogelijk dan…..?
    Of nog niet.

  6. 8

    Ik kan me zo’n grote klap voorstellen als een incident waarbij al die bestuurdertjes plots van hun zuur bijelkaar geslapen centjes afgeholpen worden en hun prive-verzamelingetjes kiddy-porn publiek worden….

  7. 9

    Voorlopig hoop ik op een debatdoorbraak met Hans Achterhuis tegenover Friedrich von Hayek-adepten als Rutte en Bolkesteyn, die alles aan de vrije markt willen overlaten en juristen nodig hebben om hun zaakjes veilig te stellen.

    In het verleden was de Opta zeer effectief bezig onder leiding van de Deense wetenschapper en voorzitter Jens Christian Arnbak. Hij is natuurkundige en was hoogleraar telecommunicatie, afdeling Elektrotechniek. Helaas werd hij opgevolgd door een jurist. Deze staat inmiddels aan het hoofd van de Autoriteit Consument en Markt (ACM), de samenvoeging van de NMA, Opta en de Consumentenautoriteit. Dat geeft weinig vertrouwen.

    Arnbak was of is ook voorzitter van de Europese telecom-regulatoren (ERG), een adviesorgaan van de Europese Commissie. Ik zou zijn mening wel eens willen horen. Hij woont in Den Haag. In zijn voormalige functie was hij vrij direct in zijn uitspraken. Het zou me verbazen als hij nu met meel in de mond zou praten.