Beveiligingsfout: nooit rustig afwachten

In het afgelopen weekend is er weer meer bekend geworden over het beveiligingsdebacle rondom Diginotar. Wij vroegen aan Hans van de Looy wat de huidige stand van zaken is en hoe hij het probleem ervaart.

Hans van de Looy, Principal Security Consultant bij Madison Gurkha, denkt dat wat Logius vrijdag al in gang heeft gezet de juiste stappen waren. “Er zijn stukje bij beetje steeds meer details geopenbaard en die laten steeds duidelijker zien dat het een groot probleem is waar snel en adequaat op gereageerd moet worden. De laatste details wijzen duidelijk naar een gerichte aanval.”

Incidenten melden
Volgens van de Looy kunnen we ervan leren dat Certificerings Autoriteiten (CA’s) echt goed op hun beveiliging moeten letten. “Het zou verstandig zijn om incidenten zo snel mogelijk te laten melden.”

Geen grote consequenties
Van de Looy denkt dat op korte termijn het geen grote consequenties heeft voor het internet. “Wat er wel gaat gebeuren is dat alle certificaten die door Diginotar zijn uitgeleverd zullen worden vervangen.” Hij denkt ook dat het goed is dat de overheid het vertrouwen in Diginotar heeft opgezegd. “Als het een klein probleem was geweest dan zou dat misschien nog opgelost kunnen worden, maar dit is werkelijk te groot.”

Alternatieven moeten zich nog bewijzen
Op de vraag hoe van de Looy aankijkt tegen ‘het vertrouwen’ op het internet, vertelt hij dat het een lastig iets blijft dat feitelijk alleen door specialisten begrepen wordt. “De gemiddelde consument vertrouwt bijna alles wat voorgeschoteld wordt. Als alles goed gaat is het certificeringsmodel best betrouwbaar en voldoende voor veel toepassingen. Er zijn alternatieven in voorbereiding, maar die zullen zich zeker nog moeten bewijzen.”

“Het lijkt erop dat de laatste maanden steeds meer gerichte aanvallen naar buiten komen, vertelt van de Looy verder. “Sommigen zullen de verhalen van Winn Schwartau nog wel kennen die ruim tien jaar geleden al bezig was met cyber warfare. Ik denk dat hij op veel gebieden gelijk aan het krijgen is. De oprichting van het NCSC komt wat dat betreft zeker niet te vroeg. Ik hoop alleen dat het ook de juiste middelen krijgt toegewezen om de juiste invloed uit te kunnen oefenen.”

Onvoldoende aandacht voor het vertrouwen
Waarschijnlijk had de hack op Diginotar wel voorkomen kunnen worden, meent van de Looy. “Als de beveiliging zo lek blijkt, dan is er absoluut onvoldoende aandacht voor de beveiliging van het belangrijkste aspect van de CA geweest, namelijk het vertrouwen. En niet alleen de laatste paar maanden.”

“Ik vind het heel fascinerend,” zegt van de Looy als we hem vragen hoe hij het Diginotar probleem ervaart. “Vooral de grootte en de focus van het incident. Ook de uitwerking, want dit heeft wereldwijde impact gehad. Verder ben ik erg benieuwd naar de details. Voor de rest is het ‘business as usual’.”

Nooit rustig afwachten
ISP’s kunnen volgens van de Looy bijdragen om het vertrouwen terug te winnen. “Toon aan dat beveiliging belangrijk is, biedt openheid op het moment dat er iets fout is gegaan. ISP’s kunnen nooit rustig afwachten. Een incident als dit maakt nogmaals duidelijk dat beveiliging een proces is dat deel uit moet maken van het kwaliteitsmodel van elke zichzelf respecterende ISP. Het is niet meer een “nice-to-have” in deze tijd, maar heeft duidelijk een “must-have” status gekregen.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.