Vraag en antwoord over DigiNotar

In juli 2011 is bij het bedrijf DigiNotar elektronisch ingebroken. DigiNotar verzorgt certificaten voor onder meer overheidswebsites waarmee de veiligheid wordt gegarandeerd. Na de hack zijn onechte beveiligingscertificaten in omloop gekomen. De betreffende overheidswebsites maken nu gebruik van vervangende veiligheidscertificaten.

Hieronder vindt u vragen en antwoorden over de problemen met beveiligingscertificaten voor websites die door het bedrijf DigiNotar zijn uitgegeven. Laatste update: woensdag 14 september 2011 18:30 uur.

Gevolgen voor gebruikers websites

Wat betekenen de problemen met DigiNotar-certificaten voor mij en wat kan ik doen?

Er valt niet voor de volle 100% uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten. Zo kunnen aanvallers u doorleiden naar een malafide website en daarmee uw inloggegevens, zoals gebruikersnaam en wachtwoord, in handen krijgen. Hiermee kunnen zij toegang krijgen tot uw account. Daarnaast kunt u als gebruiker ten onrechte in de veronderstelling zijn dat u te maken heeft met een betrouwbare website. Als u dan bijvoorbeeld software wilt downloaden, kan dat kwaadaardige software zijn zonder dat u het weet.

Wij raden u aan om zo spoedig mogelijk de updates van uw browser en besturingsysteem te installeren, zodra deze beschikbaar zijn. U weet dan zeker dat uw browser onvertrouwde certificaten van DigiNotar zal weigeren.

Hoe merk ik dat er iets mis is met een website?

Als u een website bezoekt die een DigiNotar-certificaat gebruikt, en daarmee een beveiligde verbinding probeert op te zetten (dit gebeurt vanzelf), dan krijgt u een waarschuwing. Dat betekent dat u op dat moment niet gegarandeerd veilig gebruik kunt maken van die website. Krijgt u een waarschuwing bij het benaderen van een website, wissel op deze site dan geen persoonsgegevens uit. De veiligheid van deze website kan niet gegarandeerd worden. Mogelijk maakt deze website nog gebruik van een DigiNotar-certificaat. Voor overheidssites geldt dat dit binnenkort opgelost zal zijn.  Als u een waarschuwing krijgt, dan raden wij u aan om verder contact met de website te verbreken. In het geval van niet-urgente zaken kunt u het beter over enkele dagen nog eens proberen. In het geval van urgente zaken raden wij u aan contact op te nemen met de betreffende instantie.

Zijn mijn persoonsgegevens in gevaar of in gevaar geweest?

Mogelijk heeft u, na de inbraak bij DigiNotar, persoonsgegevens verstuurd over een onveilige verbinding met een website die een certificaat van DigiNotar gebruikt. Echter, op basis van kennis over de inbraak en over het waarschijnlijke motief van de inbreker, is het vrijwel uit te sluiten dat uw gegevens in Nederland zijn afgeluisterd of gestolen.

Ook de beveiliging van overheidssites is voor zover bekend niet daadwerkelijk in gevaar geweest. Er is geen enkele aanwijzing dat bij het gebruik van DigiD de veiligheid in het geding geweest is.

Ik heb persoonsgegevens aan DigiNotar gegeven toen ik een certificaat van hen kocht. Zijn die gegevens nog veilig?

Gegevens van zakelijke contacten worden door DigiNotar opgeslagen conform de richtlijnen van de Wet Bescherming Persoonsgegevens.

Kan ik nog veilig internetbankieren?

Uit overleg met de bancaire sector is gebleken dat de banken geen gebruik maken van veiligheidscertificaten van DigiNotar. Hierdoor is het niet te verwachten dat er enige invloed op het internetbankieren is.

Kan ik veilig digitaal belastingaangifte doen?

Particulier
Als u als particulier aangifte doet of een toeslag aanvraagt, kunt u weer veilig gebruik maken van uw DigiD. Op dit moment kan DigiD door iedereen weer veilig worden gebruikt.

Ondernemers
Ook ondernemers kunnen direct of via hun intermediairs veilig aangifte blijven doen. De systemen beschikken over voldoende aanvullende waarborgen. De Belastingdienst, het ministerie van Financiën, VNO-NCW, MKB-Nederland, ICT-Office monitoren de situatie nauwgezet. In geval van nieuwe ontwikkelingen bepalen de partijen gezamenlijk welke vervolgacties noodzakelijk zijn. Als zich onverhoopt toch vertragingen voordoen, dan zal de Belastingdienst hier coulant mee omgaan.

Voor meer informatie over de gevolgen van de DigiNotar-problematiek voor uw digitale aangifte bij de Belastingdienst of over de Belastingdienst in het algemeen, kijkt u op www.belastingdienst.nl.

Hoe lang duurt het voordat ik de websites van de overheid weer veilig kan gebruiken?

Het is op dit moment niet duidelijk wanneer de veiligheid van websites van de overheid weer voor 100% kan worden gegarandeerd. Rijk en decentrale overheden zijn momenteel druk doende certificaten voor hun websites te vervangen (indien dit DigiNotar-certificaten waren). Websites met DigiNotar-certificaten worden voorzien van nieuwe beveiligingscertificaten. De overheid doet er alles aan om dit zo snel mogelijk te doen, om zo de veiligheid en betrouwbaarheid van het internetverkeer te waarborgen.

(On)veilige websites

Is de Nederlandse overheid gehackt?

Nee, de Nederlandse overheid is niet gehackt. Het bedrijf DigiNotar dat beveiligingscertificaten voor websites uitgeeft is gehackt.

Zijn alle websites van de overheid onveilig?

Nee. Niet alle websites van de overheid maken gebruik van certificaten van DigiNotar. Er is alleen iets aan de hand als u bij het bezoek van een website een foutmelding krijgt. Dat betekent dat u op dat moment geen zekerheid heeft over de veiligheid van de website.

Is de website Rijksoverheid.nl veilig?

Ja, u kunt zonder problemen Rijksoverheid.nl raadplegen voor meer informatie. Rijksoverheid.nl maakt geen gebruik van certificaten van DigiNotar, maar van beveiligde SSL-certificaten van een andere partij.

Wat is de status van de gekwalificeerde elektronische DigiNotar handtekening?

Logius krijgt momenteel vragen over rechtsgeldigheidskwesties. Logius neemt hierover op korte termijn contact op met OPTA. Wij proberen zo snel mogelijk te zorgen voor eenduidige informatie over deze kwestie.

Hoe zit het met de veiligheid van DigiD?

DigiD kan sinds 6 september 2011 weer veilig worden gebruikt door mensen die al een DigiD hebben én om een DigiD aan te vragen en sms-verkeer te gebruiken. Dit betekent dat de uitvoeringsorganisaties van de overheid hun dienstverlening kunnen hervatten.

Voor de gemeenten wordt het moment van hervatting per individuele gemeente bekend gemaakt. De gemeente zelf communiceert hierover op hun eigen website.

Ik heb een pc van Apple (een Mac). Kan ik ook met onbetrouwbare certificaten te maken krijgen?

Ja, ook met een Apple kunt u te maken krijgen met onbetrouwbare certificaten.

Komt er een update voor Apple systemen, zoals de update voor Windows?

Ja, die is inmiddels uitgebracht, zie deze pagina op Waarschuwingsdienst.nl.   

Microsoft wil een update installeren op mijn computer. Kan ik dat veilig toestaan?

U kunt als particulier de software-update van Microsoft gewoon uitvoeren. De update beschermt u tegen mogelijk misbruik met malafide certificaten. Als u de update heeft uitgevoerd, krijgt u bij bezoek aan websites die gebruikmaken van DigiNotar-certificaten een waarschuwing dat de website onbetrouwbaar is. Laat dus geen persoonlijke gegevens op deze site achter.

Waarom krijg ik nu pas een automatische update?

Op verzoek van de Nederlandse overheid heeft Microsoft de automatische software-update in Nederland uitgesteld tot dinsdag 13 september 2011. Dit heeft organisaties de tijd gegeven over te stappen op andere certificaten en daarmee storingen in de communicatie tussen computers te voorkomen. De update was vanaf 6 september beschikbaar om met de hand uit te voeren.

Wat moet ik doen als ik een waarschuwing krijg?

U kunt een waarschuwing (onveilige site) krijgen als u een website bezoekt die nog gebruik maakt van Diginotar-certificaten. Wij raden aan om geen persoonsgegevens uit te wisselen op websites waar u een waarschuwing hebt gekregen. Mogelijk moet de beheerder van de site nog een nieuw certificaat aanvragen. In dat geval zal het probleem waarschijnlijk na een paar dagen opgelost zijn.

Ik wil iets melden of aanvragen bij mijn gemeente, maar ik krijg een waarschuwing. Wat moet ik doen?

Mogelijk maakt uw gemeente nog gebruik van een DigiNotar-certificaat. Wij raden aan om geen persoonsgegevens uit te wisselen op websites waar u een waarschuwing hebt gekregen. Als het mogelijk is, wacht dan enkele dagen en probeer het dan nog eens. Neem anders contact op met uw gemeente en informeer of er een andere manier is om uw melding of aanvraag te doen.

Aanleiding DigiNotar-probleem

Wat is er aan de hand met DigiNotar en de websites van de overheid?

In juli 2011 is ingebroken op computersystemen van DigiNotar, een bedrijf dat beveiligingscertificaten uitgeeft voor websites. Daarna hebben de inbrekers honderden frauduleuze beveiligingscertificaten aangemaakt. Op dit moment is niet precies bekend hoeveel en welke certificaten frauduleus zijn uitgegeven.
De overheid kan niet meer garanderen dat de beveiligde sites daadwerkelijk veilig zijn. De overheid heeft daarom het vertrouwen in de certificaten van DigiNotar opgezegd en alle certificaten van DigiNotar in eigen operationeel beheer genomen. Certificaten zijn nodig om te kunnen waarborgen dat het internetverkeer veilig verloopt.
Ook andere instanties en bedrijven hebben het vertrouwen in DigiNotar opgezegd. Dienstverleners die gebruik maken van DigiNotar-certificaten (zowel van het eigen DigiNotar-merk als PKIoverheid-certificaten) worden geadviseerd de certificaten te vervangen door certificaten van een ander bedrijf.

Is er alleen ingebroken op de computersystemen van het bedrijf DigiNotar?

Ja, voor zover nu bekend is alleen ingebroken in de computersystemen van het bedrijf DigiNotar. De hacker (iemand die inbreekt in computersystemen) claimt bij nog 4 bedrijven die certificaten uitgeven te hebben ingebroken.
Op dit moment is alleen bekend dat het bedrijf GlobalSign de claim zeer serieus neemt en zelf een onderzoek is gestart. Het bedrijf heeft besloten geen certificaten meer uit te geven tot het onderzoek is afgerond.

Wordt het PKIoverheid-certificaat van DigiNotar ingetrokken?

  1.  We kiezen voor een beheerst overgangsscenario waarbij het operationeel beheer van alle certificaten van Diginotar wordt overgenomen. 
  2. Websites gaan op zo kort mogelijke termijn over op andere PKIcertificatenleveranciers.

Wat zijn de belangrijkste uitkomsten van het rapport van FOX-IT?

Uit een onderzoek door ICT-beveiligingsbedrijf Fox-IT blijkt dat niet volledig gegarandeerd kan worden dat alle certificaten van websites vertrouwd kunnen worden. Reden is dat er ook is ingebroken op de systemen waarmee de certificaten voor de overheid uitgegeven worden.

Klopt het dat Fox-IT onderzoek doet bij andere leveranciers van certificaten?

Dat zou kunnen, maar niet in opdracht van de overheid. Fox-IT heeft op 8 september 2011 bevestigd een onderzoek bij Globalsign op te starten.

Wie heeft Fox-IT opdracht gegeven om onderzoek te doen naar de veiligheid van de certificaten bij DigiNotar?

DigiNotar heeft daar zelf opdracht toe gegeven.

Welke gevolgen heeft de software-update van Microsoft voor mij?

Op dinsdag 13 september brengt Microsoft een automatische update uit voor Nederland. Deze automatische update blokkeert alle DigiNotar certificaten. Dit heeft gevolgen voor systeembeheerders en computergebruikers thuis.

Voor systeembeheerders
Zorg dat uw systemen op 13 september géén gebruik meer maken van DigiNotar-certificaten. Websites die nog gebruik maken van DigiNotar-certificaten geven Microsoft-gebruikers een waarschuwing.

Voor thuisgebruikers
Krijgt u een waarschuwing bij het benaderen van een website, wissel op deze site dan geen persoonsgegevens uit. De veiligheid van deze website kan niet gegarandeerd worden. Mogelijk maakt deze website nog gebruik van een DigiNotar-certificaat. Voor overheidssites geldt dat dit binnenkort opgelost zal zijn. 

De uitgestelde automatische software-update van Microsoft voor Nederland is een resultaat van overleg tussen de Rijksoverheid, de software-industrie en het bedrijfsleven over de DigiNotar-problemen.

Op de website van Windows vindt u meer informatie over de software-update. 

Is de overheid klaar voor de automatische update van Microsoft, die dinsdag 13 september om 15.00 uur uitgerold wordt?

Alle belangrijke systemen – zoals de Belastingdienst en DigiD - van de overheid zijn inmiddels veilig gemaakt. Er kunnen zich echter nog verstoringen voordoen. Die worden hanteerbaar geacht. Voor die gevallen zijn er namelijk alternatieven beschikbaar. Bijvoorbeeld een bezoek aan het gemeentehuis of overheidsinstelling om daar de zaken te regelen of uitwijken van het digitale proces naar het papieren proces. Op die manier kunnen eventuele problemen opgevangen worden.

Er wordt in berichten gesproken over machine-to-machine (M2M) communicatie. Wat is dat?

Bij machine-to-machine communicatie gaat het om computersystemen die onderling met elkaar gegevens uitwisselen. Het gaat hier bijvoorbeeld om versleutelde gegevensuitwisseling tussen servers, gegevensuitwisseling voor interne bedrijfsprocessen en gegevensuitwisseling tussen bedrijven onderling.
Het probleem dat bij machine-to-machine communicatie dreigt is dat computers die voor wederzijdse communicatie gebruik maken van certificaten van DigiNotar elkaar niet meer zullen vertrouwen. Er wordt dan geen communicatie opgezet tussen de systemen en er is geen gegevensuitwisseling meer mogelijk.
Het uitvallen van zulke systemen kan grote maatschappelijke gevolgen hebben omdat de dienstverlening op vele gebieden tijdelijk stil kan komen te staan. Een voorbeeld van een probleem is dat er geen gegevens met de gemeentelijke basis administratie (GBA) uitgewisseld kunnen worden, waardoor er problemen ontstaan met het aanvragen van paspoorten en rijbewijzen.

Rol van de overheid

Wat doet de overheid om dit probleem op te lossen?

De overheid heeft de volgende maatregelen genomen om de problemen met beveiligingscertificaten op te lossen:

  1. De overheid heeft het vertrouwen opgezegd in het bedrijf DigiNotar en alle door hen geleverde diensten en certificaten. 
  2. De overheid heeft het operationele beheer van de systemen voor certificering overgenomen van DigiNotar. 
  3. Alle door DigiNotar uitgegeven certificaten voor websites van overheidsorganisaties worden vervangen door certificaten van andere (PKI-)certificatenleveranciers. Private partijen kiezen zelf een nieuwe leverancier.

Verder heeft de overheid de volgende juridische maatregelen genomen:

  1. De Landsadvocaat is sinds vrijdag 2 september 2011 betrokken.
  2. Het Openbaar Ministerie heeft een feitenonderzoek ingesteld.
  3. De toezichthouder voor Telecom OPTA is nauw betrokken bij de problemen met de DigiNotar-certificaten. 
  4. Het Kabinet onderzoekt wie betrokken zijn bij het hacken van DigiNotar.
  5. Het bedrijf DigiNotar wordt aangesproken op de verantwoordelijkheid en/of aansprakelijkheid wegens nalatigheid.

Wat is het advies voor gemeenten?

De VNG adviseert gemeenten dringend om de volgende acties uit te voeren:

  • Ga na of u klant bent bij DigiNotar voor certificaten en welk type certificaten u bij dit bedrijf afneemt. Let hierbij op eerdere berichtgeving op de website van de VNG;

  • Als u klant bij DigiNotar bent, vraag dan zo snel mogelijk vervangende certificaten aan via een andere leverancier. Houd rekening met wachtrijen;

  • Laat uw ICT-afdeling de mogelijke gevolgen inventariseren;

  • Zorg voor alternatieven of een workaround voor de digitale werkprocessen die uit kunnen vallen. Hiervoor kunt u ook uw leveranciers benaderen voor informatie.

De VNG heeft ook een stappenplan beschikbaar voor gemeenten op  www.vng.nl. Gemeenten moeten zelf actie ondernemen.

Hoe weet de overheid dat certificaten van de 3 andere bedrijven in Nederland die PKI-overheidscertificaten uitgeven wel betrouwbaar zijn?

De overheid heeft aangegeven dat de certificaten van 3 uitgevers van PKI-overheidscertificaten wel betrouwbaar zijn. De reden hiervoor is dat deze bedrijven voldoen aan de verplichtingen uit het Programma van Eisen van PKI-overheid en dat deze bedrijven zijn onderzocht door de AIVD (Algemene Inlichtingen en Veiligheidsdienst). Bij dit onderzoek is gekeken of de bedrijven voldoen aan de eisen en is gekeken naar de veiligheid van de systemen. Ook is er onderzoek gedaan naar sporen van inbraak. De auditrapporten van de certificeerders zijn vertrouwelijk, omdat deze rapporten gegevens over beveiliging en bedrijfsgevoelige informatie bevatten.

In feite was maandag 29 augustus al bekend dat DigiNotar geen betrouwbare leverancier meer was. Waarom heeft de overheid niet eerder ingegrepen?

De overheid heeft wel eerder actie ondernomen. Voor de certificaten die DigiNotar onder eigen verantwoordelijkheid heeft uitgegeven heeft GOVCERT al eerder geadviseerd over te stappen op een andere leverancier. GOVCERT houdt zich namens de overheid bezig met internetbeveiliging en het bestrijden van incidenten met internet.
Tot vrijdag 2 september 2011 was er geen indicatie dat de PKIoverheid-certificaten van DigiNotar ook gecompromitteerd zouden zijn en dus ook geen noodzaak tot ingrijpen.

Telefoonnummers en websites voor meer informatie

Waar kan ik meer informatie vinden?

  1. Burgers kunnen voor meer informatie terecht op de website www.rijksoverheid.nl of op www.belastingdienst.nl. Twitter via @minbzk.nl;
  2. Overheidsorganisaties en bedrijven die vragen hebben over de DigiNotar-problematiek kunnen contact opnemen met het informatienummer 0800 - 023 08 00. Dit nummer is geopend op werkdagen van 08:00 tot 17:00 uur.Bellers worden direct doorgeschakeld naar de juiste helpdesk van Logius, de VNG, de Orde van Advocaten, de Belastingdienst en het publieksinformatienummer.
  3. Voor de certificaten die door DigiNotar onder eigen verantwoordelijkheid zijn uitgegeven kunt u het beste DigiNotar bellen: 0251-268888.

Waar vind ik informatie voor gemeenten?

De VNG ondersteunt gemeenten met informatie via de website www.vng.nl en via het informatienummer 070 373 8020. De VNG heeft ook een stappenplan beschikbaar voor gemeenten op www.vng.nl. Gemeenten moeten zelf actie ondernemen.

Waar vind ik informatie voor bedrijven?

Bedrijven die vragen hebben over de problemen met DigiNotar-certificaten kunnen contact opnemen met het Servicecentrum van Logius. Dat is geopend werkdagen van 08:00 tot 21:00. U kunt het servicecentrum bereiken via 0900 555 4555 (10 ct p/m) of op servicecentrum@logius.nl.

Waar kan ik informatie vinden over wat de problemen met de certificaten van DigiNotar betekenen voor de landbouwsector?

U kunt uw vraag stellen aan Het Loket van Dienst Regelingen van het ministerie van Economische Zaken, Landbouw en Innovatie: 0800 22 333 22 (gratis), op werkdagen van 8.30 tot 16.30 uur. Ook vindt u meer informatie op de website van de Dienst Regelingen, www.hetlnvloket.nl.

Waar kan ik informatie vinden over de gevolgen voor andere sectoren?

Op dit moment wordt uitgezocht welke gevolgen de problemen met certificaten van DigiNotar hebben voor andere sectoren. Voor de actuele stand van zaken kijkt u op Rijksoverheid.nl.

Video: DigiNotar - Wat is er aan de hand?

Video: DigiNotar - Wat betekent dit voor de digitale dienstverlening?