Bij een bankencrisis biedt het weekend een minister adempauze. Bij een grenzeloze digitale crisis is daar geen sprake van. En dus nam minister Donner het ongebruikelijke besluit om in de nacht van afgelopen vrijdag op zaterdag via een persconferentie tekst en uitleg te geven over de gevolgen van een hack bij DigiNotar. Op 19 juli werd het slachtoffer van een man in the middle aanval, waarbij gegevensverkeer tussen twee partijen door een onbevoegde wordt onderschept zonder dat beiden daar op dat moment weet van hebben. Na de hack konden nepcertificaten in omloop worden gebracht. Zondag 4 september waren dat er naar verluidt wereldwijd ruim 530 en staat de betrouwbaarheid van vele bekende websites onder druk. Op welk tijdstip exact DigiNotar erachter kwam, staat nog niet vast. Duidelijk is wel dat het bedrijf de gebeurtenis pas veel later openbaar maakte en geen aangifte deed.
Wat maakt de hack zo bijzonder dat de minister er een nachtelijke persconferentie aan wijdt? Wel, het bedrijf speelt een cruciale rol bij de betrouwbaarheid van online communicatie. In de digitale wereld ontbreekt een aanknopingspunt als persoonlijk contact en doen we het met andere indicatoren. Bijvoorbeeld het hangslotje, dat als icoontje verschijnt in de adresbalk van websites van banken, online winkels of overheidsinstellingen en daarmee aangeeft dat de verbinding volgens bepaalde voorwaarden is beveiligd en onbevoegden de communicatie (in principe) niet kunnen onderscheppen. Om dit te realiseren heeft de aanbieder van de website een elektronisch certificaat van betrouwbare communicatie afgenomen bij een zgn. certification authority (CA). Deze CA garandeert via technische voorzieningen de betrouwbaarheid. In ons land zijn vele (buitenlandse) CA’s actief en garanderen duizenden door hen uitgegeven certificaten betrouwbare digitale communicatie. Niet alleen met bekende webdiensten. Het gaat ook om de minder zichtbare communicatie tussen instellingen als ziekenhuizen, universiteiten, etc. Bepaalde CA’s bieden overigens nog een stempel van extra betrouwbaarheid aan: gekwalificeerde certificaten. Bij de hack werd voor zover bekend een gewoon certificaat ‘ontvreemd’.
Maar met consequenties in binnen en buitenland. Van honderdduizenden Gmail-gebruikers in Iran kon berichtenverkeer worden ingezien (ook met wie ze – wereldwijd – mailden). Dichtbij staat het vertrouwen in websites van bedrijven en overheid onder druk. De minister nam maatregelen om te zorgen dat transacties via overheidssites als die van de RDW, Kamer van Koophandel, Douane en Belastingdienst niet te manipuleren zijn. Alhoewel er geen aanwijzingen zijn voor verlies van gegevens via Nederlandse websites, is snel handelen van groot belang voor blijvend digitaal vertrouwen. Maar er zit ook een juridische stok achter de deur: art. 2:14 lid 3 Awb verlangt dat elektronische communicatie met de overheid op betrouwbare en vertrouwelijke wijze kan geschieden. De bepaling hanteert open normen, waarmee de concrete eisen afhankelijk zijn van aard, inhoud en doel van de communicatie. Maar de MvT stelt wel glashelder dat de mate van betrouwbaarheid en vertrouwelijkheid even groot dienen te zijn als in het conventionele verkeer. Vanuit bestuursrechtelijk perspectief is het daarom zaak de continuïteit van betrouwbaarheid te garanderen, al is het maar omdat bestuursorganen zich niet geconfronteerd willen zien met bedrijven en burgers die munt proberen te slaan uit de huidige situatie en bijvoorbeeld het tijdstip van ontvangst van een digitaal besluit aanvechten. Behalve potentiële problemen met bestuursrechtelijke voorwaarden loopt de overheid ook het risico niet te voldoen aan de beveiligingplicht neergelegd in art. 13 Wet bescherming persoonsgegevens en art. 11.3 Telecommunicatiewet.
Juridische stappen tegen DigiNotar zijn deze eerste dagen niet te verwachten. Toch is het interessant te bekijken welke opties zoal voorhanden zijn. Eerst het kennelijk niet of te laat melden (aangifte) door DigiNotar en de strafrechtelijke implicaties daarvan. Vervolging zou ex art. 161 septies Sr mogelijk zijn: hij aan wiens schuld te wijten is dat enig geautomatiseerd werk wordt beschadigd of dat een ten opzichte van zo’n werk genomen veiligheidsmaatregel wordt verijdeld. Art. 161 sexties kent de opzetvariant. Maar belangrijker zijn waarschijnlijk de mogelijkheden onder het privaatrecht. Valt DigiNotar aansprakelijk te stellen voor het niet-melden en dus ook het niet laten weten dat het certificaat niet meer betrouwbaar is (men had het certificaat zogezegd moeten ‘intrekken’)? Contractueel liggen er vast mogelijkheden. Welke verplichtingen exact DigiNotar op zich heeft genomen zal onder andere moeten blijken uit de zgn. certification practice statement (CPS) die afnemers met DigiNotar zijn overeengekomen. Bij de hack werd zoals gezegd een gewoon certificaat ontvreemd. Mocht blijken dat het ook om gekwalificeerde certificaten gaat, dan komt de regeling in art. 6:196b BW in beeld. Het bedrijf ziet zich aldus geconfronteerd met een omkering van de bewijslast ten aanzien van de zorgvuldigheid die het had te betrachten: aan aansprakelijkheid valt slechts te ontkomen als het aantoont niet nalatig te zijn geweest bij het intrekken van het certificaat. Wat betreft de maat voor deze zorgvuldigheid kunnen we uit bijlage II sub b van de Richtlijn elektronische handtekeningen afleiden dat DigiNotar moest zorgen voor prompte en veilige intrekking van het certificaat. Cruciaal wordt dus: op welke datum exact had DigiNotar weet van de hack?
De vraag is natuurlijk of dit juridisch instrumentarium inderdaad uit de kast gehaald moet worden. Wat mij betreft is het antwoord bevestigend als blijkt dat DigiNotar de zaak onder de pet heeft gehouden. We hebben onze samenleving in vele opzichten afhankelijk gemaakt van een complexe digitale infrastructuur. Elektronisch communiceren is welhaast vanzelfsprekend geworden, ook wanneer dat rechtsgevolgen heeft. Dat burgers, overheden en bedrijven wederzijds kunnen vertrouwen op de betrouwbaarheid van die communicatie is daarmee wezenlijk. Wie met dat vertrouwen solt, heeft het te voelen. Ook in juridische zin.
Dit Vooraf is verschenen in NJB 2011/30.
{ 2 reacties }
{ 1 reactie… lees hieronder of reageer }
Het klopt niet wat u schrijft:
Op 19 juli werd het slachtoffer van een man in the middle aanval, waarbij gegevensverkeer tussen twee partijen door een onbevoegde wordt onderschept zonder dat beiden daar op dat moment weet van hebben. Na de hack konden nepcertificaten in omloop worden gebracht
Volgens het Fox-IT rapport was de “hack” al op 6 juni 2011 en is een door de hacker gegenereerd certificaat op 19 juli onderschept. Dit certificaat is gebruikt voor een MITM aanval. Een duidelijk gevan van de klok horen luiden maar niet weten waar de klepel hangt. Jammer hoor! Het is voor de leek al een onduidelijk verhaal en dit maakt het verhaal niet duidelijker!
{ 1 trackback }