‘Ondergang Diginotar blijft doodzonde’

Cybbos-directeur Tony de Bos laat roerige tijd achter zich

07-01-2013 08:47 | Door Sander Hulsman | Lees meer artikelen over: SSL, Overnames, Faillissementen | Lees meer over de bedrijven: Vasco, Diginotar, Cybbos | Er zijn 10 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Cybbos-directeur Tony de Bos

Cybbos-directeur Tony de Bos

Cybbos-directeur Tony de Bos

Het zijn twee hectische jaren geweest voor Diginotar-medeoprichter Tony de Bos. Het ging van de hoogste piek tot het diepste dal. De hoogste piek was de verkoop van ‘zijn’ Diginotar aan Vasco in januari 2011, gevolgd door het diepste dal: het faillissement van het bedrijf in september 2011. Oorzaak was de hack van een veiligheidscertificaat waardoor vooral de overheid het vertrouwen in Diginotar opzegde. ‘Doodzonde’, meent De Bos, ‘Diginotar had niet kopje onder hoeven gaan.’

Vrijuit praten over Diginotar kan Tony de Bos niet. Hij heeft een geheimhoudingsverklaring getekend omtrent de interne bedrijfsvoering, waardoor hij moeilijk over de situatie bij de certificaatverstrekker kan praten. Dat brengt hem regelmatig in een lastig parket, want De Bos is inmiddels het nieuwe securitybedrijf Cybbos gestart en over de lessons learned in de Diginotar-affaire geeft hij workshops. Een lastige positie, omdat hem steeds weer gevraagd wordt naar zijn rol in het faillissement van Diginotar. Tegenover Computable doet hij, zeer voorzichtig, zijn verhaal.

Nieuwe directie na overname

‘Het is nog steeds doodzonde dat het gebeurd is, we deden echt goede en leuke dingen bij Diginotar. De ondergang van Diginotar doet mij nog steeds heel veel pijn. Ik ben vanaf de oprichting bij Diginotar betrokken geweest en ben zelfs aangebleven nadat Vasco het had overgenomen. Ik was alleen niet meer eind- of hoofdverantwoordelijk. Met de nieuwe Vasco-directie boven mij ging ik er werken als business development director.’

‘Ten tijde van de hack was ik op vakantie. Ik heb aangeboden om terug te komen naar Nederland om te helpen. Dit hoefde niet, Vasco heeft mij niet meer gebeld. Doordat ik niet meer verantwoordelijk was, was dit voor mij ook geen discussie meer. Toen ik terug op kantoor kwam, was het vrij rustig. Het geheel was afgehandeld en opgelost, zo werd mij verteld. De zaak was dus afgesloten.’

Overheid gaf nekslag

‘Tot het moment, die bewuste maandag eind augustus 2011. Govcert brengt informatie naar buiten over dat ene certificaatje van Diginotar en dan gaat het heel hard. Dan wordt het heel hectisch en wil iedereen over de hele wereld je spreken. Er was gewoon geen ruimte meer voor slapen, iedereen wilde weten wat er gebeurd was. Contact hadden we vooral met de browserleveranciers, maar we konden hen lastig antwoord geven. Veel hing namelijk af hoe de browserfabrikanten zelf de zaken geregeld hadden. Maar alles was te regelen.’

‘De nekslag voor Diginotar was het besluit van de overheid om het vertrouwen op te zeggen. Daar kwam het besluit van de Opta overheen om onze registratie te beëindigen. Onze certificaten waren maar zeer beperkt relevant voor de ssl-certificaten. Er moesten misschien iets van vijfhonderd certificaten vervangen worden, dus dat was niet het probleem. Ik denk dat de overheid in een situatie terecht was gekomen, waar zij niet meer uit kwam. Er had voor deze certificaten kunnen worden gecheckt of er rommel tussen zat, dan was het merendeel van de certificaten bruikbaar gebleken. Gefaseerd en gecontroleerd overgaan naar nieuwe certificaten was dan nog altijd mogelijk. Het besluit om alles overboord te gooien, was niet slim. De betrokken ambtenaren snapten het systeem niet.’

Verstrekkende gevolgen

‘Ik denk dat de overheid onder druk is gezet door Microsoft om met PKIoverheid te stoppen. Dat zou dan verstrekkende gevolgen voor Defensie hebben en dat wilde men niet. Daarom werd Diginotar overboord gezet. Ze konden ook de situatie beheersen en stappen ondernemen of ze hadden op z’n minst een ander beeld kunnen creëren.’

‘Hoewel ik ten tijde van de hack niet verantwoordelijk was, kreeg ik wel een rol toen de hack naar buiten kwam. Ik werd een doorgeefluik tussen Vasco en de overheid. Ik nam die rol op mij, omdat ik mij verantwoordelijk voelde voor de zestig mensen die bij Diginotar werkten. Het blijft toch je kindje. Ik vond dat wel een heel vervelende situatie. Gelukkig hebben vijftig tot 55 mensen na het faillissement weer een baan gevonden. Eentje is zelfs voor mij komen werken, in mijn nieuwe bedrijf Cybbos.’

Iedereen wordt gehackt

‘Na Vasco heb ik eerst even niet zoveel gedaan. Daarna ben ik tot de zomer van 2012 actief geweest als zzp’er. Toen ben ik Cybbos begonnen, een idee waarmee ik al langer rondliep. Cybbos is gespecialiseerd in het voorkomen, detecteren en oplossen van incidenten op het gebied van cybersecurity. Ik denk dat er heel belangrijke lessen te trekken zijn uit bijvoorbeeld de Diginotar-affaire en daar kunnen wij organisaties bij helpen. Mijn denken en reageren zijn wel heel erg gekleurd, je bent je heel erg bewust dat je gehackt kan worden. Het is anders als je het hebt meegemaakt.’

‘Met Cybbos werken we vooral aan bewustwording. Het is niet de vraag of je gehackt wordt, maar wanneer. Het overkomt namelijk iedereen. Daarom houden wij ons ook bezig met risicomanagement en stellen wij beleid op dat uitgaat van onverwachte gebeurtenissen. Daarnaast monitoren we continu en voeren audits uit. Er zijn op dit moment maar weinig organisaties die deze zaken gecombineerd aanbieden. Wij leveren advies én tools, we brengen ze bij elkaar. Wij concurreren dan ook met de bekende auditors, leveranciers van technologie en met partijen als Fox-IT en Verizon op monitoring-vlak.’

Wapenen tegen hackers

‘Als organisatie zijn er een aantal zaken zeer relevant om je te wapenen tegen hackers. Zo moet je weten welke assets je hebt en moet je het gedrag van je systemen kennen. Daarnaast moet je continu je security monitoren. Dan gaat het om scanning, logging, monitoring en intrusion detection. Alle signalen moeten vervolgens geclusterd worden. Uit veel hacks blijkt dat het nodig is om alle data veilig te stellen. Met Cybbos faciliteren we dit in een on site-model, zoals ook gebeurt in een managed security partnerschap, en richten we ons vooral op middelgrote bedrijven.’

‘Een hacker kan heel veel motieven hebben, je weet als organisatie nooit met wie te maken hebt. Misschien is er iemand niet blij of heb je te maken met een boze medewerker of een concurrent. Je moet daar wel allemaal rekening mee houden. Bedrijven die internet in hun dienstverlening hebben, zouden meer in control moeten zijn. Neem bijvoorbeeld de overheid, en dan specifiek gemeenten. Die zouden een veiligheidsfunctionaris moeten hebben. Gemeenten moeten logging en monitoring hebben.’

Grote wake up call

‘Bij de overheid is alles heel erg zwart/wit, de lat ligt hoog en falen is geen optie. Diginotar was dan ook een grote wake up call voor de overheid. Zo is het Nationaal Cyber Security Centrum (NCSC) opgezet, gaat een commissie twee jaar nadenken over security, is er een richtlijn opgesteld over hoe om te gaan met certificaten en is er een awareness-campagne gestart. Daarin is Diginotar telkens de centrale aanleiding. Dat is wel goed, al had de aanleiding anders moeten zijn. Er worden veel stappen genomen als gevolg hiervan. Het pki-programma is zelfs helemaal op z’n kop gezet. Ook Microsoft heeft updates doorgevoerd hoe om te gaan met certificaten.’

‘Met Cybbos merk ik dat mijn imago me soms wel in de weg zit. Potentiële klanten nemen niet altijd de stap om contact op te nemen, althans dat gevoel heb ik. Ik vind dat nogal kortzichtig. Als je verder kijkt, dan zie je dat Diginotar een complex gebeuren is. Je kan er van leren. Daarom heb ik ook samen met Considerati een workshop opgezet waarin we de lessons learned van Diginotar behandelen. Hierin schetsen we een beeld van het landschap waarin we staan. We proberen dit door te vertalen naar de eigen organisatie. Mensen willen graag zo’n situatie kunnen plaatsen en er niet zelf in verzeild raken.’

2013

‘Je moet jezelf als organisatie klaarmaken voor een hack. Alles wordt connected, dus de kans op een hack wordt steeds maar groter. Er is nog een hele slag te maken, ook in de ict-wereld. Met Cybbos gaan we daar het komende jaar actief mee aan de slag. Als doelstelling voor 2013 hebben we dat we ons concept bij een aantal klanten willen implementeren. We zetten niet in op groei, maar op professionele bediening. Daar stemmen wij dan wel weer de groei op af.’

‘We proberen op realistische wijze in termen van geld en mensen te komen tot optimale bescherming. Sommige mensen vinden me overdreven, maar ik zit er nou eenmaal stevig in. Dit komt vooral door Diginotar. Op termijn willen we wel de Diginotar-casus in de communicatie afbouwen. Ik had deze ervaring ook liever niet gehad en zat nog het liefst met Diginotar bij Vasco. Nu ben ik alleen bezig met Cybbos. Ik krijg daar energie van, al loop ik voor niets weg. Als ik ooit nog eens de kans krijg, dan schrijf ik een boek over Diginotar. Maar nu nog even niet, het centrale thema voor 2013 wordt het op de kaart zetten van Cybbos.’

Biografie
Tony de Bos

Tony de Bos startte zijn carrière als it-auditor bij Deloitte. Nadat hij ruim een jaar als senior consultant bij KPMG had gewerkt, zette hij in april 1999 Diginotar op. Na de overname door Vasco per 1 januari 2011 trad hij als business development director bij dit securitybedrijf in dienst. Na het faillissement van Diginotar heeft hij een klein jaar als zelfstandige geadviseerd. In november 2012 startte De Bos Cybbos.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

1 vacature
Senior Manager Informatiebeveiliging

BDO IT Consultancy , Utrecht

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1972 6.88
Klik voor meer info 2 1139 6.67
Klik voor meer info 3 1489 6.65
Klik voor meer info 4 1207 6.63
Klik voor meer info 5 872 6.58
Klik voor meer info 6 573 6.33
Klik voor meer info 7 413 6.28
Klik voor meer info 8 1078 6.05
Klik voor meer info 9 694 6.04
Klik voor meer info 10 452 6.02