KPMG
KPMG: "Beveiliging websites kan niet zonder digitale certificaten"
"De beveiliging van websites kan niet zonder digitale certificaten.
Hoewel de afgelopen tijd diverse uitgevers van digitale certificaten
slachtoffer zijn geweest van hacks, zoals het Amerikaanse Comodo, het
Israelische Startcom en nu recent in Nederland Diginotar, kan de
beveiliging van websites niet zonder digitale certificaten en de
onderliggende Public Key Infrastructure (PKI)-technologie."
Dat zegt John Hermans, partner bij KPMG IT Advisory. Digitale
certificaten vormen volgens Hermans een essentieel onderdeel van de
identificatie van een website. Tevens geven die certificaten de
`koppeling' met de organisatie aan die de eigenaar van de website is.
Hermans: "Het gebruik van deze technologie zal op korte termijn dan ook
niet verdwijnen en zal wereldwijd ingezet blijven als
beveiligingsmiddel voor de communicatie tussen burgers, overheden en
bedrijven. Het gebruik van deze beveiligingstechnologie bij
bijvoorbeeld de Belastingdienst, CBS, RDW en anderen laten de brede
inzet van deze technologie zien binnen de overheid. Dat is bij
bedrijven niet anders."
Organisaties kunnen volgens Hermans op korte termijn niets anders doen
dan de in opspraak geraakte certificaten omruilen. Hermans: "Dit wordt
ook door de overheid geadviseerd. PKI is zo gestandaardiseerd dat dit
relatief eenvoudig is. Er is op dit moment overigens ook geen goed
werkend alternatief beschikbaar. Belangrijk daarbij is dat de
PKI-technologie zelf niet aangetast is. Het is een partij binnen het
vertrouwenssysteem wat onder vuur is komen te liggen doordat die partij
gecompromitteerd is geraakt. Juist daardoor is dit vervangen van
certificaten van een gecompromitteerde uitgever een goede
korte-termijnoplossing."
De hack van Diginotar en de verstrekkende gevolgen voor het systeem van
vertrouwen laten eens te meer zien dat cybercrime en cyberwar niet
alleen zeer sterk opkomend zijn als fenomeen, maar ook dat het niet
onderschat moet worden. Het merendeel van de regulering en eisen rondom
dit type beveiligingssystemen is opgesteld in een tijd waarin de
cybercrime nog niet een dergelijke omvang had aangenomen als nu het
geval is. Dreigingen rondom cyberwar werden voorheen niet reëel geacht,
maar de ontwikkelingen van de afgelopen tijd laten helaas anders zien.
De huidige beveiligingseisen en -maatregelen zijn onvoldoende afgestemd
op bedreigingen vanuit bijvoorbeeld nationale veiligheidsdiensten die
allen vrijwel onbeperkte middelen tot hun beschikking hebben om een
cyberwar te entameren. Daarom moet er kritisch gekeken worden naar de
eisen en maatregelen die deze cyberdreigingen moeten pareren. De
inhoudelijke eisen moeten herijkt worden. Maar ook de wijze waarop het
toezicht en de naleving is georganiseerd moet ter discussie worden
gesteld."
Cybercrime zal volgens Hermans niet meer uit de samenleving verdwijnen
en er zullen ook steeds nieuwe en complexere aanvallen gaan
plaatsvinden, ook op de partijen binnen dit beveiligingssysteem.
Hermans: "Alle partijen, overheid, bedrijfsleven en de uitgevers van
certificaten, moeten zich daarom scherp bewust zijn van de continue
veranderingen in de wereld. Het aanscherpen van de ingevoerde
maatregelen moet daarom een voortdurend proces zijn. De ontwikkelingen
van de afgelopen tijd leren ons ook dat het toezicht op de uitgevers
van digitale certificaten op dit moment niet afdoende effectief is. Het
zal dan ook beter moeten aansluiten op deze nieuwe
cybercrimedreigingen.
Het meer en beter monitoren, waardoor problemen in een vroeg stadium
onderkend kunnen worden, is van wezenlijk belang voor betrouwbare
dienstverlening van de uitgevers van certificaten. Mijn advies zou zijn
om met alle betrokken partijen na te denken over de vraag of continue
monitoring een mogelijke oplossing is om te voorkomen dat we in de
toekomst nogmaals met een dergelijke hack als bij Diginotar
geconfronteerd worden."
Voor meer informatie kunt u contact opnemen met Andy Bellm, (020) 656
7039.