Fox-It 的报告显示,该公司的服务器上没有运行防病毒软件,并且使用了错误的密码。黑客检测系统也被证明是无效的。看起来服务器上有一张大贴纸,上面写着:“艾哈迈迪尼贾德和你的仆人进来”。
负责监管荷兰电子签名市场的 OPTA 扮演什么角色?进行审计的 IT 审计师 PricewaterhouseCoopers 和 BSI 的作用是什么?
种风险评估进行的?这些审计的结果提出了哪些建议和协议?
为什么政府反应这么晚?
该公司在 7 月底发现了第一次黑客攻击,但 DigiNotar 直到 8 月底伊朗持不同政见者透露了所有信息后才通知受害者。为什么花了整整一周的时间才采取措施并且政府撤销了对 DigiNotar 的信心?政府是否像 DigiNotar 一样知道证书在伊 澳大利亚赌徒数据库 朗被滥用?政府是否在最初几天向浏览器制造商施加压力,要求其继续信任 DigiNotar?为什么 Govcert 必须从德国同事那里听到这一消息,而不是听到自己敲响的警钟?是否制定了应急计划来迅速、充分地采取行动?
谁有危险?
这些错误让伊朗互联网用户面临哪些具体危险?这会给伊朗博客作者和人权捍卫者带来什么后果?由于 DigiNotar 隐藏了一个月的黑客攻击,伊朗政权有足够的时间来查明他们是谁。
伊朗或任何其他方是否不可能设法获取荷兰政府的机密通信?荷兰的哪些重要机构面临风险以及后果是什么?政府采取了哪些措施来确保这一点?此案造成了多少损失?
现在怎么办?
充分了解这个问题的后果很重要。我们最终是否应该在数据泄露时引入报告义务?为了充分响应并保证尽可能多的安全和隐私,控制权应该放在哪里?此案对荷兰政府、DigiNotar 客户和其他证书供应商的服务和内部运作有何影响?正在采取哪些措施来确保许多重要电子文档的数字签名更加安全? CA 不是太多了吗?不应该以不同的方式更好地安排吗?控制和独立监督难道不应该显着改善吗?难道不能增加用户的角色和相关的透明度吗?