image

WRR: Nederland niet goed voorbereid op digitale ontwrichting

maandag 9 september 2019, 09:49 door Redactie, 28 reacties
Laatst bijgewerkt: 09-09-2019, 10:28

De Nederlandse samenleving is niet goed voorbereid op digitale ontwrichting door bijvoorbeeld cyberaanvallen, storingen en softwarefouten. Dat stelt de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een nieuw rapport dat minister Grapperhaus vandaag in ontvangst neemt.

Volgens de WRR wordt de samenleving steeds afhankelijker van digitale systemen, maar is er onvoldoende aandacht voor het voorbereiden op systeemuitval. Bij bijvoorbeeld vliegrampen, ontploffingen of grote dijkdoorbraken is er in grote lijnen duidelijk wat er moet gebeuren. Dat geldt niet voor uitval van digitale systemen. Daar hebben overheid en aanbieders van vitale processen de bal neergelegd bij partijen van wie zij afhankelijk zijn. "Dit maakt het lastig om de ernst van incidenten te kunnen vaststellen en het hoofd te bieden aan een digitale ontwrichting", aldus de WRR.

De Raad stelt verder dat de overheid geen duidelijk omschreven bevoegdheid heeft om in het geval van digitale ontwrichting in te grijpen. Digitale netwerken zijn complex en grensoverschrijdend, wat het handelingsvermogen van de nationale overheid beperkt. Veel digitale voorzieningen zijn daarnaast in private handen waardoor er geen controle over kritische functies is, waaronder de communicatie in het geval van een ramp. De WRR vindt dan ook dat de overheid bij bedrijven moet kunnen ingrijpen om verdere escalatie te voorkomen. "Meer bevoegdheid voor de overheid dient gepaard te gaan met een voldoende beschermingsniveau voor private partijen, omdat ingrijpen met dwang gepaard gaat en financiële consequenties kan hebben", laat de Raad weten.

Volgens de WRR mag van private partijen worden verlangd dat zij hun medewerking verlenen op het moment dat verstoring of uitval van hun systemen publieke belangen in gevaar brengen. "Zij dienen inzicht te geven in de situatie en mee te werken aan het bestrijden van de oorzaken en gevolgen van digitale ontwrichting", schrijft de Raad in het rapport, die toevoegt dat de belangen van bedrijven niet altijd samenvallen met de publieke belangen die de overheid behartigt. De overheid heeft tevens weinig middelen om de medewerking van private organisaties af te dwingen.

"Toch staat de overheid niet geheel met lege handen", gaat de WRR verder. Veel sectorwetgeving verplicht organisaties om in het geval van buitengewone situaties mee te werken en opdrachten van de overheid uit te voeren. Ook kan de overheid zonder sectorspecifieke bepalingen optreden, hoewel dit geen wenselijke situatie is, stelt de Raad.

Aanbevelingen

Het WRR doet vijf aanbevelingen om Nederland beter voorbereid te maken op digitale ontwrichting. Zo moet er een wettelijke bevoegdheid voor "digitale hulptroepen" worden gecreëerd, moet duidelijk worden van welke partijen de Nederlandse samenleving afhankelijk is en moet beleid rekening houden met de ketens en netwerken die vitale processen ondersteunen. Verder pleit de WRR om te onderzoeken of het opzetten van een "cyberpool" haalbaar is, waarmee schade als gevolg van digitale ontwrichting wordt verzekerd. Afsluitend wordt aangeraden om lering te trekken uit nationale en internationale incidentgegevens.

Reacties (28)
09-09-2019, 10:16 door Open source gebruiker
Welk land is wel goed voorbereid op digitale ontwrichting?
Denk dat het heel moeilijk is om alles goed beveiligd te hebben.
In de vijf aanbevelingen mis een belangrijke;
kijk of het wel noodzakelijk is om alles aan het internet te hangen.
09-09-2019, 10:27 door Anoniem
men bedoeld nederland in de uit verkoop.....
09-09-2019, 10:49 door Anoniem
De WRR heeft het over 'terroristen en hackers' en daar haak ik af: Dit zijn reine bangmaaktermen zonder duidelijk gedefinieerde inhoud, en dat is expres zo. De rest van de argumentatie kan nog zo overtuigend zijn, het uitgangspunt en dus uiteindelijke doel is bangmakerij ter landjepik en de rest is aankleding. Hier pas ik voor.

Willen ze overtuigend zijn met hun goede bedoelingen zonder landjepik, dan pak je het totaal anders aan. Bijvoorbeeld door op preventie door goed ontwerp en betrouwbare bouwstenen in te zetten. Dat is inclusief besturingssystemen en zelfs hardware. Maar dat levert dan weer niet een machtsoverdracht naar de overheid op en is dus niet interessant. Duidelijk.
09-09-2019, 11:34 door SPer
Door Open source gebruiker: Welk land is wel goed voorbereid op digitale ontwrichting?
Denk dat het heel moeilijk is om alles goed beveiligd te hebben.
In de vijf aanbevelingen mis een belangrijke;
kijk of het wel noodzakelijk is om alles aan het internet te hangen.

Dat laatste helpt ook niet altijd, denk aan hetgeen in Iran gebeurde met de airgapped PLC's die via een USB stick werden voorzien van een virus (Stuxnet) .
09-09-2019, 11:36 door Anoniem
Wat een hoop BS...
Je kunt net zo goed zeggen dat Nederland niet goed is voorbereid op een ELE... Duh...
Wellicht moet je dan ervoor zorgen dat er voor alle verplichtingen die je digitaal oplegt er een analoog alternatief is en BLIJFT.
Dus voor een een DIGID een paspoort, Voor een website een folder enz enz.

De overheid moet zijn poten van bedrijven afblijven, ze kunnen zelf al niets op digitaal vlak, en dan moeten ze zeker niet met hun fikken aan andermans organisaties komen.
09-09-2019, 11:54 door Anoniem
De overheid moet zijn poten van bedrijven afblijven, ze kunnen zelf al niets op digitaal vlak, en dan moeten ze zeker niet met hun fikken aan andermans organisaties komen.

Sure, als stroom, licht, water en andere essentiele middelen uitvallen, moet men achterover hangen, en niets doen. Betalingsverkeer plat ? Who cares.
09-09-2019, 12:03 door Ron625 - Bijgewerkt: 09-09-2019, 12:03
Door Open source gebruiker: Welk land is wel goed voorbereid op digitale ontwrichting?
Denk dat het heel moeilijk is om alles goed beveiligd te hebben.
In de vijf aanbevelingen mis een belangrijke;
kijk of het wel noodzakelijk is om alles aan het internet te hangen.
De moderne maatschappij heeft de (verkeerde) instelling: Het kan aan internet, het mag aan internet, dus we hangen het aan internet.

Een hoop diensten, ook van overheden, wordt aangestuurd via internet.
Neem b.v. sluizen en dergelijke.
Hoe zit het met de aansturing van regionale rampen-zenders, gebeurt dit ook via internet, dan kunnen bij een hack de burgers niet meer aangestuurd worden.
Hoe zit het met de telefoon infrastructuur, de GSM infrastructuur en de aansturing van het hele OOV gebeuren?
Wanneer internet echt plat gaat, dan ligt het grootste deel van de communicatie plat en is de het hele land ontregeld en de economie ontwricht.
09-09-2019, 12:35 door Anoniem
Ik wil terug naar een nederland anno nog voor 2002.
09-09-2019, 12:43 door Anoniem
Kijk eens wie dit rapport heeft samengesteld. Mensen zonder IT achtergrond. Een hoop geneuzel met bronvermelding. Lijkt net op een afstudeerscriptie.
09-09-2019, 13:03 door johanw
Ben ik de enige die hier een groot gat zie voor de overheid om via een false flag even gauw de controle over te nemen van systemen waar ze interesse in heeft?
09-09-2019, 13:14 door Anoniem
Door johanw: Ben ik de enige die hier een groot gat zie voor de overheid om via een false flag even gauw de controle over te nemen van systemen waar ze interesse in heeft?
JA!
09-09-2019, 13:32 door Bitje-scheef
NL is ook niet voorbereid op een grote EMP.

Gelukkig zitten -echt- belangrijke zaken niet gekoppeld aan het internet, maar hebben een apart intranet (gescheiden netwerk).
Rijkswaterstaat heeft dus een apart netwerk voor bruggen, pompen, etc. Dus weltrusten Ron625.

@johanw, ik adviseer een aluhoedje, integraal.
09-09-2019, 13:37 door Anoniem
Door SPer:
Door Open source gebruiker: Welk land is wel goed voorbereid op digitale ontwrichting?
Denk dat het heel moeilijk is om alles goed beveiligd te hebben.
In de vijf aanbevelingen mis een belangrijke;
kijk of het wel noodzakelijk is om alles aan het internet te hangen.

Dat laatste helpt ook niet altijd, denk aan hetgeen in Iran gebeurde met de airgapped PLC's die via een USB stick werden voorzien van een virus (Stuxnet) .

Het zal voor bepaalde aanvallen inderdaad niet helpen, maar de kosten-batenanalyse lag bij Stuxnet totaal anders dan bij de gemiddelde script kiddie die met wat freeware tooltjes gaat scannen en een lek weet te vinden in een component dat al dan niet onbedoeld aan het internet hangt. Iets met kans, impact en risico.

En over die ontwrichting: bij 2 cm sneeuw ligt het hele land tegenwoordig plat, dus ik verwacht op dat punt helemaal niets van mijn medelandgenoten. Bescherm jezelf door je goed voor te bereiden. Niet als een doorgeschoten prepper met een voorraad munitie voor een jarenlange burgeroorlog, maar als iemand die nadenkt over slechtere tijden. Er staan genoeg richtlijnen op internet (ook in het Nederlands, zoals op https://www.crisis.nl/) waarin aandacht wordt besteed aan zaken zoals:

- Water en voedsel
- Radio en (satelliet)telefoon
- Belangrijke telefoonnummers
- Batterijen
- Medicatievoorraden
- Hulpmiddelen bij problemen
- Wat basale technische kennis
- ...


Ook zeer handig als de pleuris uitbreekt buiten het digitale domein. Niemand gedraagt zich dan nog netjes. Dat bleek b.v. enkele jaren geleden al, toen in Vlaardingen de e-coli bacterie in het drinkwater werd gevonden. Ik heb mensen elkaar letterlijk om de oren zien slaan bij de flessen water in de supermarkt. Bij ellende is het "ieder voor zich, God voor ons allen".
09-09-2019, 14:49 door Ron625 - Bijgewerkt: 09-09-2019, 14:50
Door Bitje-scheef:Rijkswaterstaat heeft dus een apart netwerk voor bruggen, pompen, etc.
Dus weltrusten Ron625.
https://nos.nl/artikel/340971-sluizen-slecht-beveiligd.html februari 2012
https://eenvandaag.avrotros.nl/item/sluizen-en-gemalen-kunnen-eenvoudig-worden-gehackt december 2017
https://www.ad.nl/binnenland/kinderlijk-eenvoudig-om-vanuit-huis-sluis-te-bedienen~a217eaa9 augustus 2016
https://www.computable.nl/artikel/nieuws/security/6634379/250449/waterwerken-slecht-beveiligd-tegen-hackers.html maart 2019

Zomaar de eerste 4 die ik tegenkom..........
Slaap lekker Bitje-scheef :-)
09-09-2019, 14:56 door Anoniem
De aanhoudende focus op de digitale ontwrichting... het zal wel aan mij liggen, maar gezien het dramatische opsporingspercentage, Amsterdam als drugs doorvoerhaven, corrupt politiepersoneel en continue gegoochel met cijfers om misdaad te drukken, etc. volgens mij is Nederland in werkelijkheid al behoorlijk ontwricht, door problematiek welke adequaat opgelost kan worden wanneer men eindelijk eens achter het bureau uitkomt en eens gaat handhaven en vervolgen.

Je kunt niet eens meer contant een vervoersbewijs aanschaffen, en contant gaat haast geheel in de ban, omdat men zaken zoals overvallen niet meer IRL kan handhaven. (het is triest)

We worden met z’n alle voor de gek gehouden door mensen die flink verdienen aan theoretische oplossingen die in de praktijk toch geen veiligheid brengen.

Het wordt voor de politiek belangrijk om eens goed na te denken wat het is dat ze nu eigenlijk veilig willen stellen.
09-09-2019, 15:28 door Anoniem
Wat een toeval.

In dezelfde week dat door NOS wederom melding wordt gemaakt van de problemen bij de regionale 1-1-2 meldcentrales, en het boek Het is oorlog, maar niemand die het ziet (Podium, 2019), van de Volkskrant journalist Huib Modderkolk, bij de betere boekhandel momenteel niet meer aan te slepen valt, komt de WRR uit met dit rapport.

Wat zou daar de reden van zijn?

Huib Modderkolk: "In de digitale wapenwedloop is Nederland niet alleen slachtoffer maar ook dader."

https://www.volkskrant.nl/nieuws-achtergrond/in-de-digitale-wapenwedloop-is-nederland-niet-alleen-slachtoffer-maar-ook-dader~b31483a1/

Damage control?

De AIVD deed na inzage van het concept van zijn boek, aangifte tegen de genoemde Volkskrant-journalist. Daarop werden bepaalde zinsnedes en passages, als staatsgeheim, onder dreiging van dwangsommen geschrapt en/of aangepast.
09-09-2019, 15:48 door Anoniem
Door Anoniem:
De overheid moet zijn poten van bedrijven afblijven, ze kunnen zelf al niets op digitaal vlak, en dan moeten ze zeker niet met hun fikken aan andermans organisaties komen.
Sure, als stroom, licht, water en andere essentiele middelen uitvallen, moet men achterover hangen, en niets doen. Betalingsverkeer plat ? Who cares.
Dan weet je gelijk dat de privatiseringsdrift die nog niet zo lang geleden algemene politieke mode was toch niet zo een geweldig idee was. Want onder andere Interessante Problemen op dit vlak.
09-09-2019, 18:37 door Anoniem
Door Bitje-scheef: NL is ook niet voorbereid op een grote EMP.
Daar is in de jaren 70-80 heel veel geld in gestoken en een hoop aan gedaan, maar men is uiteindelijk tot de conclusie
gekomen dat het niet erg zinvol is om een hoop geld te besteden aan het beveiligd zijn tegen een directe kernaanval.
En dat lijkt me ook wel een goede beslissing.
Het zou zinvoller zijn om iets te doen tegen schade door zonnestormen. Wat uiteraard gerelateerd is.

Als je nu kijkt naar een directe dreiging denk ik dat de dreiging door naieve milieupolitici die denken dat ze het hele
energienet kunnen ombouwen naar iets waarvan zij denken dat dat beter voor de toekomst is reeeler is dan enige
dreiging.
09-09-2019, 19:53 door Anoniem
Ach wat een onzin allemaal,alles is te hacken als je je er goed in verdiept,tussen hackers en beveiligers blijft het altijd een kat en muisspel want nooit krijg je alles water dicht.
10-09-2019, 10:03 door Anoniem
Dat begint al goed...website overbelast met het bewuste document. lol

Helaas heb ik het dus niet kunnen lezen maar ik wil wel wat meegeven aan de huidige generatie IC'Térs.

Vanuit mijn vorige functie in dienst v.e. werkgever welke belangrijke diensten verrichte voor de overheid zonder namen te noemen was ik regelmatig lid van speciale kerngroepen waarin dan ook het management van beide partijen aanwezig was.

(ik kan niet in details treden vanwege geheimhouding clausules)

Er was een soort red button aanwezig om personen op te roepen bij calamiteiten. En dat werkte doorgaans erg goed. Er werd dan ook echt geluisterd naar de personen met kennis van zaken.

Ze moesten wel want ze zaten met de handen in het haar. Niet iedereen heeft als kerncompetentie ICT. Maar beslissingsbevoegdheid en kennis en nog MEER aandachtspunten zijn dan ook erg belangrijk. ( een soort optrommel stuurgroep)

Beschikbaarheidscijfers en constructies en boetes om die alsnog te halen worden veelal ingehaald door de praktijk, het eindresultaat telt dan.Je kan je huis niet blijven aanvegen met stoffer en blik, daar waar een grondige renovatie nodig is.

Echter veelal kost de renovatie (wat natuurlijk een investering is voor de lange termijn) dus danig veel. Dat het aanwezige management er veelal voor past om in hun ogen ..risico's te nemen want wat krijg je er nou eigenlijk voor terug voor al die maatregelen ..security. Zolang er nog geen kwaad is geschiedt?

De meeste managers zitten veelal niet langer dan 3 jaar op hun plaats en schuiven dit soort projecten doorgaans naar...het volgende kabinet.

En ja ik ken de hele CISSP riedel..risk management etc...

Maar het is om moe van te worden.

Maar goed het kwaad kan alleen geschieden als goede mensen het opgeven. Mijn tijd zit erop en ik hoop dat de huidige generatie ICTérs ook dit motto hanteren, met respect naar anderen natuurlijk. Aan dolle stieren en ongeautoriseerde changes hebben we niets..

En natuurlijk is het niet alleen aan ICTérs en management te wijten. Het is een veel voorkomend probleem wat bij veel bedrijven heerst.

Godzijdank hebben ze mijn SOC voorstel toen goedgekeurd. Dat was al heel wat.

Het is gewoon de praktijk van alle dag.. Maar zodra de juiste personen de wake up call ontvangen en ook beslissingsbevoegd zijn moeten we als een brandweerkorps gereed staan en daadkrachtig optreden. Dit om de huidige samenleving en de toekomst van uw kinderen veilig te stellen.

En hierin is ook een belangrijke taak voor de overheid weggelegd als opdrachtgever. Maar wel met de juiste mensen want aan die pappen en nathouden mentaliteit daar schiet de samenleving niets mee op.

Doet u mee?
10-09-2019, 10:06 door [Account Verwijderd]
Door Anoniem: Willen ze overtuigend zijn met hun goede bedoelingen zonder landjepik, dan pak je het totaal anders aan. Bijvoorbeeld door op preventie door goed ontwerp en betrouwbare bouwstenen in te zetten. Dat is inclusief besturingssystemen en zelfs hardware. Maar dat levert dan weer niet een machtsoverdracht naar de overheid op en is dus niet interessant. Duidelijk.

Een paar jaar geleden had de EU een grant gegeven van 3 miljoen euro voor de doorontwikkeling van MINIX-3 om het te laten werken met een NetBSD userland. Dat OS werkte uiteindelijk wonderwel hartstikke goed. Dan heb je het dus over een in Nederland ontwikkelde OS, dat goed is doordacht, geen rommel bevat. Ik bedoel, kijk maar naar de filmpjes op Youtube. En MINIX-3 werd ook de backbone van Intel's microships, dus het werkt wel degelijk...
10-09-2019, 10:25 door [Account Verwijderd]
Door Anoniem: Ik wil terug naar een nederland anno nog voor 2002.

Dat is grappig, maar voor mij geldt het 2001 (het jaar dat Bush toesloeg).

De realist in mij zegt echter dat die tijden vervlogen zijn.
10-09-2019, 11:28 door Anoniem
Door johanw: Ben ik de enige die hier een groot gat zie voor de overheid om via een false flag even gauw de controle over te nemen van systemen waar ze interesse in heeft?

nope
10-09-2019, 13:43 door Bitje-scheef
Door Ron625:
Door Bitje-scheef:Rijkswaterstaat heeft dus een apart netwerk voor bruggen, pompen, etc.
Dus weltrusten Ron625.
https://nos.nl/artikel/340971-sluizen-slecht-beveiligd.html februari 2012
https://eenvandaag.avrotros.nl/item/sluizen-en-gemalen-kunnen-eenvoudig-worden-gehackt december 2017
https://www.ad.nl/binnenland/kinderlijk-eenvoudig-om-vanuit-huis-sluis-te-bedienen~a217eaa9 augustus 2016
https://www.computable.nl/artikel/nieuws/security/6634379/250449/waterwerken-slecht-beveiligd-tegen-hackers.html maart 2019

Zomaar de eerste 4 die ik tegenkom..........
Slaap lekker Bitje-scheef :-)

Helaas klopt dit niet Ron... info uit eerste hand.
10-09-2019, 18:49 door karma4
Door Bitje-scheef: ….Helaas klopt dit niet Ron... info uit eerste hand.
De eerste drie links betreft een enkel geval waarna het napraten begint. Die kan je skippen als onderbouwing.
De laatste wijst door naar: https://www.rekenkamer.nl/publicaties/rapporten/2019/03/28/digitale-dijkverzwaring-cybersecurity-en-vitale-waterwerken

Deze is wat lastig voor velen maar lijkt me prima:
"Cybersecurity is het geheel aan maatregelen om schade door verstoring, uitval of misbruik van ICT1 te voorkomen en, indien er toch schade is ontstaan, het herstellen hiervan (NCTV, 2018a)."

"We zien een aantal oorzaken voor het niet tot uitvoer brengen van alle BWR-maatregelen en het achterblijven van bestendiging van de ingezette lijn:
• Het uitvoeren van maatregelen en deelname aan inspecties die cybersecurity toetsen wordt niet bij de regio’s afgedwongen.
• Oude onderhoudscontracten staan het afdwingen van cybersecurityeisen in de weg. Rijkswaterstaat is bezig dit knelpunt op te lossen.
• De financiering voor de resterende maatregelen en borging van cybersecurity in inspecties is niet geregeld, wat voor vertraging in besluitvorming en uitvoering zorgt."

Bldz 18 staat fraai de hele organisatie. Even verder op CSIR benoemd
Nee, ik denk dat jullie beide niet blij worden van dat rekenkamer rapport (wat betreft de inhoud).
11-09-2019, 08:33 door Bitje-scheef
Laat ik ea verduidelijken. Er zijn objecten die worden aangestuurd en beheerd door RWS en door andere partijen (lees andere overheden zoals gemeenten en waterschappen). Die objecten van de andere partijen hoeven niet op een apart netwerk te zitten, die van RWS wel. Alle objecten die beheerd worden door RWS zijn van een "hogere" categorie en importantie voor verkeer en waterstand. Objecten die verschoven zijn, naar RWS toe, zijn in een upgrade traject, waarvan de meeste al zijn aangepast.

De links afgegeven door Ron en de (deels) rapportage is achterhaald.
11-09-2019, 15:29 door Anoniem
Ik vind het een beetje vreemde kop, want wie kan zich nou wel voorbereiden op ontwrichting? Als je daar goed op voorbereid bent dan zou het niet plaats moeten vinden lijkt me.

Wat wel een goed idee is, is je voorbereiden op de gevólgen van digitale ontwrichting. Dus nadenken over wat je doet als er zaken uitvallen, een soort BCM plannetje eigenlijk...

Zetten we de OV-poortjes gewoon open als er een probleem is met inchecken zodat mensen wel kunnen reizen? Kunnen treinen en bussen dan nog rijden of wordt het een groot botsfeest?
Kunnen we in winkels betalen met credit kaart of via eenmalige-incassoformulieren als het betalingsverkeer uitvalt?
Kan logistiek Nederland nog vrachtwagens laden als het systeem eruit ligt?
Hoeveel varkens en kippen sterven er extra (afgezien van de reguliere verstikkingen en stalbranden) als de aansturing van de stallen uitvalt, en mogen we die dan gratis ophalen om boven een houtvuurtje te roosteren?

Er zijn genoeg vragen denkbaar en genoeg antwoorden nodig.

Want de suggestie dat iedereen maar gewoon een week op zolder gaat zitten met 8 blikken bruine bonen, kaarslicht en flessen water lijkt me toch niet de manier om de problemen snel onder controle te krijgen.
(nog afgezien van de risico's van de combinatie veel bonen eten en kaarslicht, want dat is een erg explosief mengsel).
11-09-2019, 20:55 door Ron625
Door Bitje-scheef:De links afgegeven door Ron en de (deels) rapportage is achterhaald.
Bedankt voor de info :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.