Hoe bezopen was DigiNotar?
Als je drinkt en dan in de auto stapt dan neem je het onverantwoorde risico dat je iemand doodrijdt. Dus hebben we dat strafbaar gesteld. Als je weet hebt dat iemand dronken wil gaan rijden dan moet je ingrijpen, anders pleeg je een omissiedelict. Zou dat ook digitaal gelden?
Toen vorig jaar werd ingebroken bij DigiNotar en valse certificaten zijn gemaakt, misbruikte de Iraanse overheid de certificaten om de eigen bevolking af te luisteren. Volgens experts is de vrees gerechtvaardigd dat er zelfs mensen om het leven zijn gekomen.
Bezopen
Het trieste van het verhaal is dat de onderneming laat ontdekte dat er was ingebroken en dat tegen de regels in geheim hield. Wel liet het bedrijf een beveiligingsbedrijf onderzoek doen naar het lek. De conclusies waren schokkend: de beveiliging valt samen te vatten als compleet bezopen en de inbraak was een ongeluk waar je op kunt wachten. Ofwel: de nalatigheid droop er bij dit bedrijf vanaf.
Betrokkenen moeten vermoed hebben dat de situatie verschrikkelijk was, maar niemand greep echt in. Later zou het nieuws van de hack dankzij een Iraniër naar buiten komen en heel Nederland op zijn kop staan. Toen ik hoorde dat het rapport bestond heb ik het gevraagd bij de OPTA met een beroep op de Wet openbaarheid van bestuur (Wob).
Niets geleerd
De curator, R. Mulder, was fel tegen openbaarmaking van het rapport. De informatie over het nalatige optreden van het bedrijf zou kunnen leiden tot extra claims. Ook zou openbaarmaking de nog aanwezige dienstverlening in gevaar kunnen brengen, omdat het uitlegt hoe de omgeving werkt. En ja, volgens de regels moeten we er vanuit gaan dat een advocaat in juridische procedures de waarheid spreekt.
Pardon? PARDON?!?!?!?!? Dus zelfs na het ontdekken van het lek, het rumoer, het inhuren van beveiligingsbedrijf ITsec en beveiligingsbedrijf Fox-IT, het optreden van de AIVD, de bemoeienis van het National Cyber Security Center en het ingrijpen van Donner in dit bedrijf wil Mulder beweren dat je nog altijd via dezelfde infrastructuur naar binnen kunt? Wat voor een bewindvoerder ben je dan? Hoeveel dissidenten in Iran moeten dood voordat hij de structuur verandert?
Vlek op vlek
Maar goed DigiNotar is failliet en kan geen mensen meer kwaad doen. Alleen heeft Mulder nog een bezwaar: andere bedrijven hebben vergelijkbare infrastructuren. Dat is toch wel de limiet. Kennelijk weet hij iets wat wij niet weten en doet hij vervolgens niets. Dat is toch echt schandalig, want een van de schokkende dingen van DigiNotar was dat bij het bedrijf regels met voeten werden getreden. Pleegt hij nu een omissiedelict of bluft de advocaat een beetje?
Wat het ook is: de OPTA stelde Mulder op alle punten in het ongelijk en mij in het gelijk. Dus is het rapport openbaar geworden. Uit de summiere velletjes papier komt een beeld van extreme nalatigheid, dat inderdaad een schadeclaim redelijk maakt. Zijn interventie bleek gelukkig niet veel meer dan uren schrijven ten koste van schuldeisers. Hopelijk eindigt zijn rechtszaak tegen OPTA precies zo, want nu nog claimen dat de OPTA geen reden had om in te grijpen is bezopen.
