Onderzoek OPTA naar certificaten vooral van papier

De controle van OPTA op de leveranciers van beveiligingscertificaten betekent niet dat standaard de fysieke beveiliging van de systemen wordt gecontroleerd. Dit ondanks dat DigiNotar daarin faalde.

Sinds dit jaar controleert toezichthouder OPTA intensiever op de beveiliging bij leveranciers van certificaten in Nederland. De controles worden ter plekke uitgevoerd, maar dat betekent niet dat er daadwerkelijk ook fysieke controle wordt gedaan op de veiligheid van de infrastructuur en de uitgifte van certificaten, zegt woordvoerster Heijne van OPTA.

"OPTA zal onder andere nagaan of partijen gebruikmaken van betrouwbare systemen die voldoende beveiligd zijn tegen inbraken", zegt Heijne desgevraagd. "Dat kan een papieren controle zijn, maar dat kan ook een fysieke controle van het betreffende systeem zijn."

Schrappen uit register is uiterste consquentie
Uiterste consequentie van het niet voldoen aan de beveiligingseisen is dat OPTA de mogelijkheid heeft de registratie van een certificatiedienstverlener te beŽindigen. Dat betekent dat zo'n bedrijf geen certificaten meer mag uitgeven. "Er bestaat de mogelijkheid om tot directe beŽindiging van de registratie over te gaan en de mogelijkheid om een termijn te stellen waarbinnen de certificatiedienstverlener moet voldoen aan de gestelde eisen, waarna de registratie eventueel kan worden beŽindigd", schetst Heijne.

De intensievere controles zijn een gevolg van het drama rond certificatenleverancier DigiNotar. Dat bedrijf bleek voor hackers een makkelijke prooi en de certificaten die moeten aangeven dat internetters gebruik maken van een beveiligde http-verbinding, bleken makkelijk te vervalsen.

Daardoor werden onder meer overheidssites en -diensten onbetrouwbaar en kwamen met name in Iran dissidenten en critici van het regime aldaar in gevaar doordat zij onwetend vertrouwden op een vals Google-beveiligingscertificaat die bleek te zijn gestolen bij DigiNotar. De zaak zorgde voor wereldwijde verbazing en onrust.

Zeven uitgevers van certificaten
Naar aanleiding van het debacle DigiNotar heeft OPTA de opdracht gekregen om zijn toezicht op de beveiliging van de systemen van de zeven Nederlandse uitgevers van dergelijke certificaten te intensiveren. OPTA doet het toezicht op certificaatuitgevers al sinds 2003 en controleert die partijen of zij voldoen aan de vereisten uit het besluit elektronische handtekeningen en de regeling elektronische handtekeningen, zegt woordvoerster Cynthia Heijne.

De zeven Nederlandse certificaatuitgevers zijn het Agentschap Centraal Informatiepunt Beroepen Gezondheidszorg, ESG de Electronische Signatuur, het Ministerie van Defensie, QuoVadis Trustlink, Digidentity, KPN Corporate Market en het Ministerie van Infrastructuur en Milieu. Een aantal van hen zijn al eerder dit jaar onder het nieuwe beleid van OPTA bezocht op locatie. Welke dat zijn wil Heijne niet kwijt, net als de resultaten van dat onderzoek.

Onderzoeksresultaten zijn vertrouwelijk
"Onderzoeken bij een certificatiedienstverlener zijn vertrouwelijk, de gegevens die uit een dergelijk onderzoek naar voren komen zullen dan ook niet worden gedeeld", zegt Heijne. Uitzondering daarop is als een dergelijk onderzoek leidt tot intrekking van de registratie, dat zal in een "beŽindigingsbesluit" worden gepubliceerd. Heijne verwijst daarbij naar dat besluit inzake Diginotar. Wel maakt OPTA de hoeveelheid onderzoeken en overige werkzaamheden op het gebied van toezicht op certificatiedienstverleners openbaar via zijn website. "En dus ook aan de minister", zegt Heijne.

OPTA baseert zich op rapporten van auditors
OPTA doet haar onderzoek overigens nadat eerder een door het ministerie van Economische Zaken aangewezen auditor het eerstelijnsonderzoek heeft gedaan. "Het auditrapport van de auditor vormt het uitgangspunt van het tweedelijnstoezicht door OPTA", zegt Heijne. Om die geÔntensiveerde toezicht te kunnen doen heeft OPTA bij het ministerie van Economische Zaken gepleit voor meer mankracht. Die heeft de toezichthouder uiteindelijk ook gekregen, zegt Heijne.

De extra mankracht is vooral nodig om na te gaan of dienstverleners ook daadwerkelijk gesignaleerde tekortkomingen in hun systemen wegnemen door daar actie op te ondernemen, zegt Heijne. "We hebben echter niet de illusie dat daarmee alle veiligheidsincidenten (zoals bij Diginotar) altijd voorkomen kunnen worden." Het is volgens haar uiteindelijk de verantwoordelijkheid van de certificaatdienstverleners zelf om hun beveiliging goed op orde te hebben en die van de auditors om deze goed te controleren. "Met onze extra mankracht wil OPTA ervoor zorgen dat dit beter gebeurt."

Schaarse expertise in Nederlandse bedrijfsleven
OPTA is niet van plan de volledige audittaak over te nemen. "Dat is niet noodzakelijk en ook niet wenselijk omdat dat de instandhouding en ontwikkeling bedreigt van de noodzakelijke en toch al schaarse expertise op dit terrein binnen het Nederlandse bedrijfsleven", verklaart Heijne. Volgens haar zijn ook andere maatregelen genomen, zoals het intensiveren van de samenwerking tussen de overheidsdienst voor digitale dienstverlening Logius en OPTA.