Onlangs is er elektronisch ingebroken bij het bedrijf DigiNotar, een organisatie die het online identificeren van personen en organisaties aanbiedt. De techniek die achter hun dienstverlening schuilt, is relatief eenvoudig. DigiNotar geeft een soort elektronisch certificaat uit aan een website en als u op die site terecht komt vraagt u in feite een veilige verbinding naar die site aan. DigiID beschikte over een dergelijk certificaat van DigiNotar.

De hackers van DigiNotar hadden echter de beschikking over de certificaten gekregen en waren daarmee in staat om, wanneer u een veilige verbinding naar bijvoorbeeld DigiID aanvroeg, het verkeer tussen u en DigiID om te leiden via hun eigen systemen. Op die manier bevond de hacker zich tussen u en DigiID en kon deze alle berichten onderscheppen en dus inzien.

Hoewel minister Donner snel aangaf dat burgers geen slachtoffer waren geworden van deze affaire, lijkt ons dat een wat voorbarige conclusie. We kennen de omvang en de resultaten van deze situatie nog helemaal niet. We weten inmiddels echter wel dat het een geruime tijd mogelijk was dat het “afluisteren” plaatsvond.

De vraag die ons nu soms gesteld wordt, is de vraag of de communicatie tussen website en eindgebruiker eigenlijk wel veilig genoeg kan zijn. Een 100% zekerheid kan niemand geven, maar er is wel een aantal zaken dat gedaan kan worden die meer garanties bieden. Banken kennen, naast het gebruik van een dergelijk certificaat (SSL genoemd), en het inloggen met account en password, bijvoorbeeld vaak de validatie toe via SMS of een apparaatje, beschikbaar gesteld door de bank, wat op soortgelijke wijze functioneert. Het onderscheppen van berichten is hierdoor dus nog steeds niet genoeg om geld over te kunnen maken.

Voor transacties via webshops zijn soortgelijke oplossingen beschikbaar, maar daar geldt een belangrijke regel. Als het teveel “gedoe” is om iets te kunnen kopen, verlies je (potentiële) klanten. Iedere internet ondernemer weet dit en dus worden hier in het algemeen meer risico’s genomen dan bij de sites van banken.

Samenvattend kunnen we zeggen dat een goed werkende, waterdichte beveiliging op het internet (nog) niet bestaat. Het internet biedt echter zoveel kansen en mogelijkheden, dat het nemen van risico’s op dit gebied genomen wordt. En dat zowel door aanbieders als gebruikers. Het is aan het oordeel van de gebruiker of de genomen risico’s uiteindelijk te groot, dan wel  acceptabel worden bevonden. Het gebruik van DigiID om op die manier bijvoorbeeld adresgegevens te wijzigen, hangt in grote mate af van het vertrouwen dat mensen in dergelijke systemen stellen. De vraag die rest is dan ook of we na dit debacle de overheidssites in die mate blijven vertrouwen als daarvoor. De tijd zal het leren.