Affari: il governo olandese non era preparato per l'hacking SSL

Il governo olandese era impreparato a gestire un attacco SSL che ha reso l'infrastruttura di comunicazione del governo vulnerabile per mesi, ha detto il rapporto sulla sicurezza olandese giovedì. Poiché il governo non è stato in grado di sostituire immediatamente i certificati, i dati dei cittadini e delle società non sono stati garantiti, ha affermato il consiglio.

La sicurezza delle comunicazioni del governo olandese è stata gravemente compromessa nel 2011 dopo che un hacker ha fatto irruzione in DigiNotar, un fornitore olandese di Secure Socket Layer (SSL) certificati utilizzati per proteggere la comunicazione digitale. L'hack DigiNotar ha reso tutti i certificati rilasciati dalla società inaffidabili, e quindi ha influenzato la sicurezza digitale del governo e dei sistemi fiscali olandesi, tra gli altri.

Tuttavia, il governo non ha potuto revocare immediatamente i certificati DigiNotar dopo la scoperta. avrebbe disturbato o addirittura bloccato le comunicazioni Machine-to-Machine (M2M) dei sistemi di governo essenziali, il Ministro degli Interni, Piet Hein Donner ha detto al momento.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

La sostituzione di tutti i certificati DigiNotar ha richiesto mesi. La revoca dei certificati immediatamente dopo la scoperta avrebbe comportato il blocco del sistema fiscale e del sistema giudiziario, causando gravi sconvolgimenti sociali e danni economici, ha affermato il Consiglio di sicurezza olandese nella sua relazione al riguardo.

Nessuno degli organi coinvolti, tra cui l'ente di regolamentazione delle telecomunicazioni OPTA e Logius, l'organizzazione responsabile dell'infrastruttura IT del governo olandese, sono stati preparati per la crisi di DigiNotar, ha affermato il consiglio. Nessuno di loro aveva previsto i rischi coinvolti quando un'autorità di certificazione (CA) come DigiNotar è stata compromessa e nessuno di loro ha capito che non tutti i certificati potevano essere revocati immediatamente, hanno aggiunto.

Gli enti governativi dipendono troppo dai dipartimenti IT quando si tratta di acquisizione di certificati, e facendo questo rischio l'adeguata protezione delle comunicazioni digitali, ha detto il consiglio. Il Consiglio per la sicurezza olandese ha concluso che Logius in particolare, e OPTA in misura minore, non ha fatto sforzi sufficienti per comprendere l'effettiva affidabilità delle CA e si è basato troppo sul giudizio delle organizzazioni di controllo.

Per evitare che incidenti simili si verifichino nel il futuro del consiglio di sicurezza ha consigliato all'attuale ministro dell'interno, Liesbeth Spies, di sviluppare un programma per sensibilizzare all'interno delle organizzazioni governative e dei loro amministratori. Gli organi governativi dovrebbero anche essere obbligati ad assumersi la responsabilità di come assicurano la sicurezza digitale, consiglio il consiglio

Inoltre, le organizzazioni governative dovrebbero conformarsi sistematicamente agli standard NEN-ISO / IEC 27001 e 27002 per la sicurezza delle informazioni. Inoltre, i governi nazionali e locali dovrebbero essere pronti ad affrontare gli incidenti digitali e dovrebbero essere in grado di riparare i danni causati da loro, hanno aggiunto. Infine, ma non meno importante, la Safety Board ha consigliato al ministro di implementare un sistema più sicuro per l'emissione e l'uso di certificati SSL.

Loek copre tutto ciò che è tecnologico per il servizio di notizie di IDG. Seguilo su Twitter a @loekessers o invia suggerimenti e commenti via email a [email protected]