Kamerbrief over PKI/DigiNotar onderzoeken

Minister Spies (BZK) heeft de Tweede Kamer een brief plus drie onderzoeksrapporten gezonden met evaluaties van het PKI-stelsel en het handelen van de overheid bij het DigiNotar-incident

RAD-onderzoek naar het optreden van de (Rijks)overheid
Door de Rijks Audit Dienst (RAD) wordt geconstateerd dat er bij de rijksoverheid een trendbreuk is ogetreden. De wijze van denken over en omgaan met veiligheidsrisco's bij elektronisch verkeer is veranderd. De samenwerking van zowel private, publieke als internationale organisaties heeft een belangrijke impuls gekregen. Daarnaast wordt wel geconstateerd dat er voorafgaand aan de digitale inbraak bij DigiNotar geen extra alertheid was. Er werd in hoge mate vertrouwd op de Audit-rapporten. De RAD concludeert dat door de overheid snel en adequaat gehandeld is, waardoor verdere schade is voorkomen. De RAD constateert verder dat het DigiNotar incident wel gefungeerd heeft als een "uitstekende en levensechte oefening om partijen samen te brengen op het complexe gebied van de beveiliging van de digitale infrastructuur".

Als verbeterpunt wordt door de RAD nog meer aandacht bepleit voor de continuïteit van de elektronische dienstverlening.

Logius-onderzoek naar gereguleerde PKI-stelsels
Eén van de belangrijkste conclusies van dit onderzoek is dat er geen sprake is van het falen van beide stelsels op één enkel aspect; de onderzoekers hebben geen zogenaamde 'silver bullet' gevonden. Wel constateren zijn dat er licht zit tussen het niveau van vertrouwen dat in deze tijd nodig is en verwacht mag worden van de stelsels en het feitelijk op dit moment gerealiseerde vertrouwen. Door de opkomst en het wereldwijde gebruik van internet is de dreiging van een digitale inbraak bij een certificatiedienstverlener de afgelopen jaren aanzienlijk toegenomen. Als verbeterpunten worden genoemd:
- de normenstelsels kunnen concreter, explixcieter en eenvoudiger;
- het toezichtsarrangement moet op een aantal fronten worden verbeterd, door in de audits meer aandacht te schenken aan de IT-werkelijkheid (naast aandacht voor managementsystemen) en een verbeterde samenwerking tussen auditor en toezichthouder.

Kamerbrief met bijlagen over DigiNotar Onderzoeken