Regering pleit internationaal voor herziening certificaatsysteem
- 20 september 2011
Het certificaatsysteem is inherent onveilig, zo bleek weer uit het Diginotar-debacle. Internetters moeten honderden certificaatverstrekkers vertrouwen, maar dat vertrouwen is niet altijd terecht. We riepen de overheid daarom op om te stimuleren dat het certificaatsysteem zo snel mogelijk wordt herzien. En onze oproep had succes: de regering kondigt aan dat ze op internationaal niveau zal pleiten voor een herziening van het certificaatsysteem.
In onze brief van 13 september 2011 aan het parlement gingen wij in op de achterliggende problemen van het Diginotar-debacle. We drukten de regering op het hart dat meer toezicht niet zou helpen, want toezicht blijft beperkt tot Nederland, terwijl de betrouwbaarheid van het certificaatsysteem afhankelijk is van honderden bedrijven in andere landen. In plaats daarvan moet de overheid de herziening van het certificaatsysteem op internationaal niveau stimuleren, door de urgentie te benadrukken en door wetenschappelijk onderzoek te financieren.
En dat heeft gewerkt. De regering schrijft in een brief aan de kamer over Diginotar (PDF) dat het de ervaringen van de DigiNotar problematiek actief zal uitdragen in het internationale CERT-netwerk waar Govcert.nl deel van uitmaakt en de Europese ministerraad en te bewerkstellingen dat structurele verbeteringen op systeemniveau plaatsvinden. We hopen natuurlijk dat ze dat gaat “bewerkstelligen” door middel van wetenschappelijk onderzoek – en het parlement zou dit nog eens kunnen benadrukken.
In de brief kondigt de regering een “meldplicht voor ICT incidenten voor organisaties die cruciale maatschappelijke functies vervullen” aan – dus naast een meldplicht lekken, ook een soort meldplicht ‘hacken’ voor kritieke infrastructuur. Dat is een positieve ontwikkeling, die een belangrijke bijdrage kan leveren aan de veiligheid van internetters. Juist doordat Diginotar de inbraak weken geheim hield, zijn immers honderdduizenden internetters in Iran afgeluisterd. Wat vinden jullie dat in zo’n meldplicht voor inbraken op kritieke infrastructuur zou moeten staan? En wat zou er niet onder moeten vallen?