De blunders van DigiNotar geven ons een kijkje op hoe het met de bescherming van data binnen ondernemingen is gesteld. In één woord: beroerd. DigiNotar is bij uitstek een bedrijf dat er alles aan zou moeten doen om veilig te werken. Het bedrijf verbond certificaten aan websites zodat argeloze gebruikers (lees: de hele Nederlandse bevolking) er zeker van konden zijn dat ze op de beoogde, veilige sites van een van onze overheidsdiensten waren. Dat bleek dus ijdele hoop, het systeem deugde niet en dat werd afgelopen zomer aangetoond door (waarschijnlijk) Iraanse hackers.
Nog gênanter wordt het verhaal als je weet dat DigiNotar een dochteronderneming is van Vasco Data Security. Vasco is ondermeer producent van apparaatjes die u gebruikt om bij uw bank in te loggen, zogeheten ‘tokens’. In combinatie met een wachtwoord biedt zo’n token een tweevoudige inlog, of, zo u wilt, een tweevoudige bescherming. Maar de mensen van DigiNotar gebruikten die tokens zelf niet, zo blijkt nu. Ze hadden simpele wachtwoorden om hun computers te beschermen. De simpele opmerking van DigiNotar dat die computers niets van doen hadden met de certificaten maakt de zaak echt niet minder ernstig.
Het gebruik van optimale beveiliging hoort namelijk bedrijfscultuur te zijn. Een bewustwording van het risico op het stelen of manipuleren van data die niet van jou is, of waarvan anderen afhankelijk zijn. Dit klinkt heel erg als de slotenspecialist die zijn eigen voordeur met een magneetje ‘op slot’ heeft gedaan. De ongeloofwaardigheid druipt er vanaf.
Het lijkt me zeer terecht dat er nu ook wenkbrauwen worden gefronst als het om Vasco gaat. In folders en op websites worden organisaties door Vasco gewezen op het belang van goede beveiliging. Natuurlijk, met de tokens van Vasco zelf, waar u flink voor mag betalen. Want, zo zegt Vasco, een ongeluk zit in een klein hoekje en voor u het weet is uw organisatie slachtoffer van internetcriminelen. Ja, ja…
(redactie Security Magazine)