Bij een dijkdoorbraak snap ik: de minister belegt een persconferentie. Hij wil uitleggen dat de overheid dat water als de wiedeweerga weer in de goede banen leidt. Of bij die ontploffende chemiefabriek in Moerdijk: natuurlijk dat de minister zijn gezicht laat zien op de plaats des onheils. Daarvoor bekleedt hij dat ambt.
Maar nu die certificaten van Diginotar. Minister Donner heeft op zaterdagavond tot één uur ’s nachts overgewerkt. Dan moet er toch iets heel ergs aan de hand zijn. Waar is de rook? Waar blijven de afgerukte ledematen? Welk gebied van Nederland is de komende twintig jaar niet meer geschikt voor landbouw? Waar is het rampgebied dat de minister kan bezoeken?
Dat is er niet.
Sterker, er is niet eens schade.
Er is alleen maar kans op schade.
En toch is dat heel erg, blijkt uit het nachtelijk uur waarop de minister besloot de certificaten van de firma Diginotar niet meer te vertrouwen. En zelfs een persconferentie belegde. Want allerlei websites van de overheid zijn niet meer te vertrouwen, zo vertelde hij.
Maar zelfs dat is een virtuele uitspraak. Want als er ‘https//:’ in je browserbalk staat, of het symbool van een slotje, is die website wél te vertrouwen. En kun je gewoon je gegevens versturen.
Kern van het probleem is dus dat er een crisis is gecreëerd die eigenlijk geen crisis is. Maar dat wel had kunnen zijn. Zulke twijfel leidt tot regeringsteksten als: ‘Bij het beheersen van de gevolgen van de problematiek met betrekking tot DigiNotar analyseert de overheid samen met het bedrijfsleven per sector potentiële gevolgen.’
Het analyseren van potentiële gevolgen zal leiden tot een ongekend dikke stapel rapporten. Met allemaal zaken die hadden kunnen gebeuren. Maar niet gebeurd zijn. Op basis waarvan ongetwijfeld heel veel belangrijke maatregelen worden genomen. Die erg veel geld kosten. Maar juist dat potentiële gevolg waarvoor géén maatregel is genomen, zal leiden tot een volgende (virtuele) crisis. En zo houden de Haagse ambtenaren en politici elkaar lekker bezig. Life is what is happening while you’re making plans.
Minister Donner moet toch beter nadenken hoe hij zijn zaterdagavonden wil besteden.
Paul Lensink
En juist het hele punt is dat het verhaal "slotje = veilig" gaat niet meer op wanneer de partij die dat moet garanderen gehackt is.
Nu is in het in NL een stuk moeilijker de zogenoemde "Man-in-the-middle attack" uit te voeren, dan in een land waar belangrijke internet infrastructuur ook in handen is van de overheid. Maar zolang er gebruik gemaakt word van Diginotar certificaten is er in ieder geval weer een laag beveiliging ("garantie") weg.
Aangezien de communicatie van burger-overheid en overheid onderling hiervan een grote impact hiervan zou hebben, vind ik een persconferentie niet misplaatst. Juist de openheid is op het gebied van veiligheid en vertrouwen cruciaal. Persoonlijk vond ik de beslissing om Digitnotar totaal niet meer te vertrouwen en de persconferentie enigzins aan de late kant.
Waar ik je wel gelijk in geef is dat de overheid overrompeld leek en niet snel genoeg een antwoord had. Dit terwijl het probleem al jaren in de IT bekend als een theoretisch probleem, en nu zeker na Diginotar een realiteit is geworden. Met een noodplan was de impact waarschijnlijk een stuk kleiner geweest.
De crisis is echter wel degelijk aanwezig en beperkt zich niet alleen Nederland, maar de hele (internet) wereld.