DigiNotar leert: risicomanagement essentieel voor CIO

De DigiNotar-crisis, die aan het eind van de zomer ontstond, dreigde de digitale communicatie van de Nederlandse overheid bijna volledig lam te leggen. Alleen snel en adequaat ingrijpen voorkwam dit scenario. Het probleem was niet eens de inbraak bij DigiNotar op zich, maar vooral de gevolgen die dit kon hebben voor het vertrouwen in websites van de overheid. Omdat digitale communicatie per definitie plaatsvindt in een keten waren de crisismaatregelen voor een belangrijk deel gericht op het veiligstellen van de continuïteit.

Aan de basis van deze crisis stond de inbraak door een hacker, in juni en juli, bij DigiNotar. Hij was in staat op diverse servers te komen, en heeft zelf ongeveer vijfhonderd certificaten gemaakt die voor een groot deel gebruikt zijn om in Iran een valse Gmail-site op te zetten. Een oplettende Iraanse internetter ontdekte de fraude, waardoor het nieuws uiteindelijk bij de Nederlandse overheid terecht kwam. DigiNotar moest toegeven dat ze de inbraak geheim hadden gehouden voor hun klanten.

Kees Keuzenkamp, operationeel directeur van DigiNotar voor de Nederlandse overheid: “Waar we ons grote zorgen over maakten was dat DigiNotar en PKI Overheid met elkaar zouden worden verward. Want dan zouden ook 250.000 Defensie-certificaten en 250.000 zorgcertificaten worden getroffen. Onze worst nightmare was dat de internetwereld dan de overheid en DigiNotar op één hoop zou gooien, waardoor we dan geen plek meer zouden hebben om heen te gaan voor certificaten. Dat scenario was voor ons de grootste bedreiging, niet die valse certificaten in Iran.”

De lessen die de overheid trekt uit deze affaire hebben ook implicaties voor de CIO in de private sector. Ook hier moet de CIO aan risicomanagement gaan doen. “Dat gaat verder dan alleen de certificaten. Wat gebeurt er met de informatie-productiestraat als er met de certificaten iets misgaat? Vergelijk het met noodstroomvoorziening, iets dergelijks moet je ook doen met cruciale ICT-voorzieningen doen. Heb je een reservecertificaat klaarliggen, zoals je een reservelamp hebt liggen? Certificaten zijn onderdelen die je in de totale risicoanalyse moet meenemen. Veel CIO’s zijn tot nu toe in blind vertrouwen uitgegaan van de gedachte dat met een certificaat niets mis kon gaan.”

Morgen plaatst Executive-People.nl een exclusief interview met een van de crisismanagers van de overheid, Kees Keuzenkamp, met een reconstructie van de gang van zaken en de lessen die CIO’s hieruit kunnen trekken.