Wanneer je een persconferentie organiseert op zaterdagochtend 01h00 en deze bovendien pas één uur van te voren aankondigt, is het vrij eenvoudig om als minister ‘ingelezen’ en ‘onder controle’ over te komen. Aangezien slechts een handvol journalisten in de gelegenheid is om op dat moment op te draven, hoeft de minister geen spervuur van diepgaande kritische vragen te verwachten. Niet onlogisch dus dat er die nacht een aantal vragen niet gesteld is; deze moeten echter nog wel beantwoord worden. Niet onbelangrijk: waarom is er zondag 4 september trouwens een artikel van de DigID-site verdwenen???
Naar aanleiding van de verrassingspersconferentie die minister Donner in de nacht van vrijdag 2 op zaterdag 3 september hield, vraagt de Piratenpartij zich daarom een aantal dingen af:
- Welke plotselinge noodzaak was er om deze persconferentie op zo’n korte termijn voor een onmogelijk tijdstip te plannen, terwijl op maandag 29 augustus al bekend was dat de beveiliging bij Diginotar gecompromitteerd was?
- Over welke informatie beschikte de minister dat deze op dinsdag 30 augustus besloot dat er blijkbaar géén reden was om Mozilla en Google te volgen en de Diginotar-certificaten PKIOverheid ongemoeid te laten?
- Gezien de gevoeligheid van de beschermde informatie vragen we ons af waarom de minister besloten heeft om uiteindelijk bijna een week te wachten met stappen om erger te voorkomen?
- Het nieuwe DigID-certificaat van Getronics is pas op 4 september aangemaakt. Hadden de sterke geruchten dat er iets mis was bij Diginotar niet op zijn minst aanleiding moeten zijn om 30 augustus al voor de zekerheid nieuwe certificaten aan te laten maken?
- Op basis van welke kennis heeft het Ministerie op woensdag 31 augustus verklaard dat de ‘certificaten van Diginotar nog steeds vertrouwd’ waren? (zie http://www.logius.nl/actueel/item/titel/pkioverheid-certificaten-van-diginotar-nog-steeds-vertrouwd/)
- Op basis van welke kennis heeft DigiID op 1 september verklaard dat de “Betrouwbaarheid DigiD website niet in geding” was? (zie:https://www.digid.nl/nieuws/artikel/artikel/88/ of de Google Cache of deze pdf)
- Waarom is het hierboven aangehaalde DigID-artikel niet meer via de DigID-site toegankelijk, maar alleen via Google Cache? Een waarschuwing boven de tekst van het artikel zou ook voldoende moeten zijn om duidelijk te maken dat het originele artikel “met de inzichten van van vandaag” anders geschreven zou zijn. Bovendien zou daarmee niet de indruk van wegpoetsgedrag zijn ontstaan.
- Als gevolg van het verzwijgen van een serieus beveiligingsprobleem door de certificaten-partner van de Nederlandse overheid is het internetverkeer van Iraanse dissidenten gedurende 6 weken mogelijk onversleuteld zichtbaar geweest voor de Iraanse overheid en geheime diensten. Zal Nederland zich ruimhartig opstellen wanneer de getroffen dissidenten in Nederland asiel aanvragen? Komen deze slachtoffers van het Diginotar-debacle in aanmerking voor een verblijfsvergunning?
- Al in 2009 werd de Diginotar website ‘defaced’ met virtuele graffitti. Was de minister op de hoogte van die eerdere incidenten en zoja welke maatregelen zijn indertijd bij Diginotar genomen om herhaling te voorkomen? Welke maatregelen heeft het ministerie toen genomen voor het geval de PKIOverheidscertificaten ooit gecompromitteerd zouden worden?
- Indien de minister niet op de hoogte was van eerdere incidenten, ligt dat aan gebrekkige rapportage van Diginotar of onvoldoende controle door het ministerie?
- Waarom heeft de Staat der Nederlanden er voor gekozen om de beveiliging van de gegevensuitwisseling met haar burgers uitsluitend te organiseren volgens het principe van “Achmed’s used cars and Certificates“? Aanvulling met onetime pads zou een man-in-the-middle-attack weliswaar niet uitsluiten, maar zou in elk geval de geldigheidsduur van de bemachtigde toegangscode sterk bekorten.
Helmer Wieringa (@_helmer) zegt
Dit zijn goede vragen