Telecomwaakhond Opta moest toezicht houden op DigiNotar, maar toen de Diginotar-crisis uitbrak, beschikte Opta niet eens over het jongste auditrapport. Door de vele controles was dat verlaat.
Op 31 augustus, een paar dagen nadat de DigiNotar-crisis was uitgebroken, eiste Opta nog dat DigiNotar het laatste auditrapport zou opsturen. Dat laatste auditrapport van PricewaterhouseCoopers (PwC) dateert al van 23 maart 2011, dus Opta had het bij het uitbreken van het beveiligingsschandaal al lang in bezit moeten hebben. Ook een jaar eerder had Opta al de grootste moeite om de uitslag van de audit in bezit te krijgen, en waren er verschillende verzoeken nodig.
Overdadige controle op beveiliging
In een email aan Opta uit juli 2010 wijt DigiNotar de vertraging aan de overdadige controle op de beveiliging. Daarin zegt het beveiligingsbedrijf dat Opta nog even op een auditrapport moet wachten. Het schrijft: 'Het is geen onwil maar een zucht onder het driedubbele toezicht (PwC, PKIo-PA, OPTA, EV-SSL, Browser leveranciers ivm rootprogramma's en ga zo maar door.) Als je daar iets aan zou kunnen doen, graag.'
Dit alles blijkt uit de e-mail-correspondentie tussen Opta en Diginotar, die is vrijgegeven na een Wob-verzoek van Peter Oltshoorn, waarin die ook vroeg naar de laatste drie auditrapporten van DigiNotar. De correspondentie heeft Opta vrijgegeven, maar de auditrapporten niet.
Opta, PwC en de curator van Diginotar houden de hand op de kluis, omdat ze menen dat de rapporten bedrijfsvertrouwelijke informatie bevatten over de beveiliging van DigiNotar. 'Het toezicht van Opta is gericht op het bewaken van de systemen van de partijen die certificaten uitgeven. Het verstrekken van deze gegevens brengt de veiligheid van deze systemen juist in gevaar', aldus Opta.
Uit de reactie van Opta blijkt verder dat de organisatie sowieso niet veel met de rapporten deed. De telecomwaakhond keek namelijk niet inhoudelijk naar de beoordelingen. De melding in het auditrapport dat het bedrijf een voldoende had gekregen volstond, vooral om de administratieve lasten te beperken, stelt de woordvoerster van Opta. Ook wijst ze op de beperkte verplichtingen van Opta die zijn vastgelegd in de Telecomwet: 'Een certificatieverstrekker die in het bezit is van een geldig bewijs van toetsing van een auditor wordt vermoed te voldoen aan de eisen.'
Opta kwam pas in actie nadat de paniek was uitgebroken. 'Opta houdt, zoals de wet voorschrijft, slechts tweedelijns toezicht en heeft geen bemoeienis met de SSL-certificaten', stelt de woordvoerster. 'Het servercertificaat-incident bij DigiNotar was voor ons wel aanleiding om te onderzoeken wat de consequenties zijn voor het domein waar Opta wel over gaat.'
---
Toezichthouders...
Natuurlijk houden ze de handen op de kluis, anders wordt nog meer duidelijk dat ze gefaald hebben.