Prima, maar jammer en tegelijk belachelijk dat dit nodig is. En ik hoop niet dat dit ertoe leidt dat men nog verder indut - tot de overheid belt.

Heeft men hier de "manschappen"wel voor?
Nederland is een land die wel allerlei maatregelen/wetten/voorschriften inplementeert.
Maar handhaving: ho maar.
Veel geschreeuw maar weinig wol....

Oei, naast verbinder, ondersteuner en adviseur nu ook verklikker... Ik weet niet of dat nu op alle vlakken een handige taakuitbreiding is. Je gaat nu als organisatie een keer extra nadenken voor je iets open met het NCSC bespreekt.

Eens, echter ben ik benieuwd hoe men dit gaan invullen. In hoeverre zullen organisaties in de vitale sector nog vrijwillig advies gaan vragen bij het NCSC met het risico dat er een melding wordt gedaan bij de toezichthouders?

De minister zet een aantal zaken vrees ik nog altijd in onvoldoende perspectief;

1- De minister wil de cyberweerbaarheid van vitale sectoren verhogen;
maar tegelijk vergroot de minister steeds met z'n collega's de cirkel van maatschappelijk en persoon en privacy-kwetsbare processen.
Een grotere keten van kwetsbare elementen maakt het per definitie ingewikkelder en dus ook lastiger om zo'n doel overeind te houden.
Deze kabinetten willen processen minder door mensen maar meer via internet en internetopslag laten willen regelen.
Dat staat natuurlijk echt haaks op het bovengenoemde beleid-streven.

De ontwikkelingen lopen andere via het ministerie van Economische Zaken.
Die promote en pushen. Soms via externe adviseurs in de keten die te maken hebben met organisaties met nuts-functies. En mede door proeven op te tuigen onder mom van innovatie.
Proeven die soms solitair binnen organisaties met nuts-functies worden uitgerold, terwijl de functionarissen met bredere blik en eind-verantwoordelijkheden buiten gesloten worden of niet worden meegnomen vanwege tijdsdruk.
Zaken worden niet uit en te na getest voordat ze een innovatie traject ingaan en al- dan niet tijdelijk onderdeel uitmaken van het dienstenpakket-keten van die organisaties met nuts-functies.
Een en ander maakt het de hele keten van diensten van organisaties met nuts-functies daarmee automatisch niet-fail safe.

Denk aan monitoring van hartritme van patiënten (iemand van EZ ging even buurten op een beurs bij een stand van het Frauenhofer instituut en was helemaal onder de indruk van diens redundante oplossing).
Denk ook bijvoorbeeld de digitalisering van paspoorten en id-systemen, de digitalisering van verkiezing processen en tal van andere maatschappelijk verkeer processen.
Denk ook aan het tot op heden weigeren van het op alle aspecten willen testen van de aanstaande 5G ketens.


2- De minister kondigt een heuse wet aan.
Namelijk de Wet beveiliging netwerk en informatiesystemen (Wbni).
Alles met als doel om het digitale weerbaarheidsniveau van vitale infrastructuur structureel te verhogen.
Het gaat dus niet enkel om digitale infrastructuur maar ook om voorzieningen waar digitale middelen op aangetakt of ingeweven zijn.
Het pakket van maatregelen moet een publiek-private oefenagenda omvatten welke het oefenen met preventieve maatregelen moet stimuleren.
Er moet een algemeen basisniveau van beveiligingsdoelen komen en sector specifieke beveiligingsdoelen.
En nog meer verplichtende maatregelen.
De minister meet zich hiermee een centrale positie aan om andere partijen z'n beveiliging moraal op te leggen.
Hij snapt kennelijk maar half hoe extreem verzakkend en vertragend en dus gevaarlijk hij hiermee zelf handelt.
Half, want hij meldt wel dat de beveiliging primair een eigen verantwoordelijk van organisatie zelf blijft.
Ook half,
want de minister (gaat toezichthouders aanstellen en) treed namelijk met het totaal pakket van maatregelen als centraal gezaghebber in op decentrale verantwoordelijkheden van organisaties met nuts-functies.
Dat doorbreekt wel MEERDERE belangrijke bestuurs- en beveiliging principes.
Enerzijds het goed bestuur principe van de landelijke overheid om dingen OFWEL nationaal OFWEL lokaal te regelen.
Anderzijds de autonomie van die organisaties die nu waar mogelijk zelf hun maatschappelijk-verkeer moesten en konden regelen maar daar opeens met een meng-vorm worden geconfronteerd.
Zo creëert de minister een wir-war en meng vorm aan van verantwoordelijkheden.
Die kunnen het beveiligniveau ook tegelijk reëel verder verdunnen.
Dit omdat het geheel over meer schijven en schakels moet worden ingeregeld, getoetst en gehandhaafd.
Dat verlaagt de wendbaarheid en aanpassing snelheid want het dwingt tot een meer volgend geheel in plaats van zelf-sturend en autonoom handelend geheel.
Ook verlaagt het pakket van maatregelen per definitie in bepaalde het haalbare optimum onder aan de streep.
Op dergelijke en mogelijk ook andere effecten van z'n maatregelen reflecteert hij nog nauwelijks.


3- De brief maakt niet direct duidelijk in hoeverre innovatie initiatieven en control keuzes wellicht TE autonoom binnen organisaties worden genomen terwijl die juist ook primair bepalend kunnen zijn in verzwakking van beveiliging niveau's van die organisaties maar ook over de hele linie van keten.
In brieven waar de minister naar verwijst is wel even een ontwikkeling als Bring Your Own device aangehaald maar een bredere en meer fundamentele inventarisatie lijkt afwezig.
Wil de minister met z'n eer het pakket van maatregelen (2) doel treffen dan moet hij daar beter aangeven hoe z'n pakket van maatregelen tegen de dynamiek op de vloer (3) überhaupt aansluiten en tegelijk passend en effectief werkend kan zijn.
Het lijkt me dat de veelzijdigheid en veranderlijkheid van binnen organisaties met nuts-functies van nu en qua verwachting voor de komende 5-10 jaar eerst 100% expliciet onderzocht en gestaafd moet worden.


4- Gaat de minister naast de wet ook nog Algemene Maatregelen van Bestuur c.q. Ministeriële besluiten doorvoeren?
Dat is niet ongebruikelijk bij invoering van een wet om bepaalde zaken met meer maatwerk en/of flexibiliteit te kunnen regelen.
En gaat de minister bijkomend een publiek-private samenwerking tender-traject uitschrijven voor z'n oefenagenda?
Dus wat wordt de (extra) regeldruk en bureaucratie op ministerie en bij organisaties zelf?


5- Is het beeld van wat onder vitale infrastructuur valt nog steeds hetzelfde als sinds de eerste rapporten en de eerste aanzetten voor de aangekondigde wet?
Valt op de grens wat wel en wat niet vitale infrastructuur is harde knippen te maken?
Wat betekent die knip vervolgens voor infrastructuur die niet hard is maar wel een geheel vormt met de vitale infrastructuur?
Behoren kranten en NOS-redacties ook tot vitale infrastructuur?
Worden organisaties geacht voor hun infrastructuur aan dezelfde regels te voldoen of gelden die enkel voor zo nodig aparte onderdelen c.q. onder apart beheersegels op te tuigen steunpunten?
Moeten toezichthouders en inspecteurs van het ministerie van V&J tot alles toegang toegang krijgen???


En wat gaat dit alles werkelijk doen met het beveiliging niveau?
Neemt de minister hier nog zelf een standpunt over in?
Hij bedoelt vast niet in zwart-wit termen te praten.
Dus beperkt de minister zich met het concretiseren ervan tot een verwijzing naar een rapport van en "100% veiligheid is een illusie" uitspraak?
Waarom kon de minister het in dit stadium met aankondiging van een stevige verhoging en mogelijk maken van stevige bestuurlijke ingreep dit niet iets specifieker in een bandbreedte gieten?
Bij Ruimtelijke Ordening wet- en regelgeving is het gewoon om bandbreedtes voor fysieke veiligheid aan te geven.
Saillant is deze wet- en regelgeving gewoon in samenspraak met veiligheid ambtenaren van Grapperhaus' ministerie tot stand kwam.
Het invoeren van een wet is echt geen sinecure.
Niet in de laatste plaats omdat er van premier Rutte met nieuwe regels niet tegelijk ook bureaucratie-creep mocht insluipen.
Dus wellicht heeft het ministerie van V&J zich nog wat beperkt op de aangekondigde wet, omgeving analyse en relevante best-practices georiënteerd???

En niet in de laatste plaats,
waarom is deze wet GEEN kopie van NSA wetgeving die per 2002 werd gelanceerd?
Hoe is de wet van Grapperhaus eventueel anders dan de wet waarmee die diensten toegang kregen tot niet alleen internet-knooppunten maar ook tal van andere onderdelen van het internet?
Toch niet enkel theoretisch omdat dit Nederland is en geen VS.
En omdat Nederland wel een deel vormt met de Europese Economische Ruimte,
wat voor effecten en invloed moet z'n wet hebben op voorzieningen die uit landen als Noorwegen, Zwitserland en IJsland worden afgenomen?
En wat voor effecten en invloed moet z'n wet hebben op voorzieningen die uit kandidaat EU-landen als Albanië, Turkije en Oekraïne worden afgenomen?
Moet Nederlandse vitale infrastructuur voor alle scenario's uit dergelijke landen bestand zijn/worden??

Ik denk dat de nationale veiligheid ook in het geding is als, door het targeten van gewetenloze sociale netwerken, verkiezingen veranderen in verziekingen.

Daar zou de minister ook een koppie krab over mogen doen. Het lijkt me ook niet leuk om op een ministerspost te zitten terwijl je niet meer zeker bent of je daar nou echt had gezeten als verkiezingen eerlijk waren verlopen. Terwijl dus ook je geloofwaardigheid in twijfel getrokken kan worden. Omdat het niet de vrije kiezer meer was die je hakken over de sloot trok, maar gewetenloze sociale manipulatie voor ordinair geld. Wat heeft het debat nog voor zin als iedereen in zijn eigen paradigma begraven wordt door die "sociale" media????????

Tsja Microsoft misschien ook eens op de vingers tikken dan ??
Microsoft staat er nu wel berucht om updates uit te brengen die systemen crashen en onstabiel maken, dat men dan een update ontwijkt zoals KB4517389 snap ik volledig... Maar dan zouden ze Microsoft ook op de vingers moeten tikken, zo eerlijk is het dan wel hé.

Regels zijn regels !

@c12:39 anoniem:

Is Uw reactie niet wat te lang om nog duidelijk te zijn?
Ik krijg op een gegeven moment de neiging om te zeggen: "gooi het maar in mijn pet,dan zoek ik het morgen wel uit "

Lijkt wel de gemiddelde reactie op dit forum.

Ik zou zeggen als die reactie van u in de pet mag dan kan de minister ermee aan de slag.
Als de reactie dan toch niet in de pet mag, pas of uw reactie / formulering dan aan of kies wat ervan wat u betreft wel in de pet mag.
Verder denk ik dat uit de lengte van de reactie spreekt dat het geen 1-2tje is waar de minister mee bezig is.

De grootste en ernstigste problemen zitten bij oss en andere wat met grote commerciëlen meekomt en door evangelisten klakkeloos neergezet wordt. Privileged identity management is een hard beveiligingsadvies wordt met voeten getreden in die oss wereld. Tijd voor harde acties inderdaad. Wel jammer dat je dan veel rond linux compleet moet herbouwen.
Tja een gevolg om het wel zo eerlijk te doen.

Pot verwijt de ketel. Bij J&V zelf is het niveau zeer laag en wordt elke opmerking hierover genegeerd. Ze gebruiken geen PGP, geen beveiligde telefoons, etc. Het is één grote grap daar wat betreft beveiliging.

noot:

het grootste probleem zit hem in evangelisten die andere evangeliste op fora als een heksenjacht off topic achter na zitten zodra er kritiek op hun stokpaardjes is. geen van de twee heren hierboven zijn on-topic.

on topic weer:

korte termijn commerciele en continuiteits belangen prevaleren in risico afwegingen. dat komt door de opgezet organisatische manegement structuren bij bedrijven en overheden en brengen daardoor een assymetrie door het top down gedoe. ieman dop ene werkvloer ziet de warning / CVE. schiet een change in of start een process om die CVE door te voeren want diezelfde persoon op de werkvoer is ook de persoon die de troep straks mag gaan opruimen en de schuld gaat krijgen mocht het allemaal weeer mis gaan. de change of procedure doorslaggevende besluiten worden echter niet door werkvloer gedaan maar door management dat veel te ver weg van die inhoud en werkzaamheden staat. iemand die geen benul heeft maar wel op papier verantwoordelijk gehouden wordt (en als het mis gaat naar beneden trapt) krijgt een keuze gergarandeerde intteruptie voor een change versus misschien eens een dingetje dat vaag is voor de persoon. guess welke richting de bias is in het besluit.

Wat een ongelofelijk domme opmerking. Beveiligingsmaatregelen moeten passend en proportioneel zijn. Ze hebben daar ook niet een twee meter dikke stalen voordeur die tegelijk door drie sleutels geopend moet worden met een wachttijd van 45 minuten, waar mensen doorheen moeten als ze 's ochtends beginnen met werken.

PGP en beveiligde telefoons zijn maatregelen die voor sommige toepassingen een zeer doeltreffende en passende maatregel zijn, en voor veel toepassingen gewoon complete overkill zijn. En sommige onderdelen van J&V (bijvoorbeeld het NCSC) gebruiken welzeker beveiligde telefoons en PGP wanneer dat nodig is. Dus je hebt het op meerdere manieren gewoon fout.

Als je de kamervragen van D66 hebt gehoord, dan blijken staatsgeheimen gewoon opgeslagen te zijn bij servers in handen van commerciële ICT bedrijven.

Of ze zijn niet van toepassing of iemand "denkt" het allemaal beter te weten, maar heeft eigenlijk geen idee waarover hij praat?

Wordt zakelijk ook bijna niet gebruikt. S/MIME wordt meestal gebruikt icm Exchange servers en Outlook. PGP plugins loopt altijd flink achter. Daarnaast PGP wordt wel degenlijk gebruikt om met sommige externe partijen te communiceren.
PGP Keys zijn ook slecht te beheren en onderhouden voor bedrijven. PKI icm S/MIME werkt een stuk beter, out of the box voor gebruikers en beheerders.

Daarnaast PGP is een techniek, geen doelstelling. Secure email versturen kan namelijk op verschillende manieren werken.

Is vaak ook niet noodzakelijk. Een goede MAM/MDM toepassing voldoet vaak genoeg aan eisen die gesteld worden.
En dat is alles? Je hebt namelijk nu niet echt een goed punt gemaakt.

Je kinkt als iemand die eigenlijk niet weet hoe bedrijven of overheiden werken of wat de requirements eigenlijk zijn voor bepaalde eisen.

Niet de minister van veiligheid & justitie moet zich per definitie aan zet achten.
De minister van Economische Zaken names de toezichthouder van de Telecom & ICT is het meest geeeigende loket.
De minister bepeilt immers dat in gevallen ingrijpen.
Een toezichthouder die zelf niet kan ingrijpen - als er tekortkomingen zijn geconstateerd - is geen echte toezichthouder.
En de hele top van het ministerie veiligheid & justitie apparaat blijkt qua opsporende - handhavende en wetgevende macht structureel verrunieneerd, dis-functioneel, langdurig onderbezet en bol te staan van koninkrijkjes.
De voorgestelde ingrijpen zijn ernstige maatregelen, zoiets moet je dus niet door het al overbelasste ministerie van veiligheid & justitie laten doen.
Derhalve moet de minister dit dossier neerleggen c.q. laten voeren door de minister van Economische Zaken.
De minister van Economische Zaken kan en moet effectiever toegerust toezicht gaan houden wil de maatregelen überhaupt door de tweede- en eerste kamer compleet, geïnformeerd en proportioneel overwogen kunnen worden.

Als simpel voorbeeld een casus van 's-lands grootste telecom aanbieder zelf.
Die grote telecom aanbieder bleek niet uit zichzelf bij langdurige klanten vast internet de nieuwe versie van een type router te vervangen.
Dit terwijl de router-fabrikant zelf waarschuwingen over de noodzaak ervan had uitgebracht en ook nog eens via persberichten had rondgestuurd.
Het betrof een security gat dat inmiddels meer dan 200.000 keer was uitgenut.
Nou had de router-frabrikant voor het type router 2 versies, eentje waarvoor wel een firmware update was vrijgegeven en eentje waarvoor de firmware voor het security issue niet bijgewerkt kon worden.
De landelijk grootste telecom aanbieder vond het desgevraagd, ook na bespreking van de urgentie, niet nodig de router variant waar geen firmware voor werd uitgebracht te vervangen voor de versie die wel geupdate werd.
De geupdate versie voerde de telecom aanbieder nota bene wel aan nieuwe klanten.
Maar met haar naar bestaande klanten dupeerde het tegelijk de klant-relatie en de langdurige klanten-trouw.
De niet ge-update router-versie stond volgens opgaaf van de telecom "waarschijnlijk bij toch zeker 1000 klanten, mogelijk wel meer"!
Alleen hadden zich niet naar hun eigen zeggen zoveel klanten zich bij de telecommer gemeld, het was namelijk "nogal technisch".
Derhalve zou de telecommer "niet alsnog de klanten gaan informeren" en verder met de handen op elkaar blijven.

De moraal van deze casus, veel klanten worden standaard als klant slecht bediend en ongeïnformeerd gehouden.
De juiste minister moet bij het begin beginnen en eerst goede regie en beheer gaan voeren over alle schakels in de telecom netwerken en aangetakte onderdelen als routers bij klanten.
Die routers bij klanten zijn cruciaal en moeten vanuit de telecomwet wel beter belegd gaan worden.
Anders blijft het dweilen met de kraan open en blijft Grapperhaus tegelijk maar doorgaan met geheel of gedeeltelijk overbodige c.q. onnodige privacy-en privaat-domein-invasieve maatregelen.

En wat is de bottum line dan echt?
Ik lees de typering van een zeer laag niveau zelf namelijk als tekort schietend en een dus niet voldoende effectief niveau.
Ik kan me daar eerlijk gezegd echt wel iets bij voorstellen.
Willekeurig voorbeeld;
het ministerie betoogde bijvoorbeeld dat er achterdeurtjes in software moesten blijven.
Daarin schemert door dat het ministerie geïnformeerd en wel toch het hele digitale veiligheid niveau lager wilde krijgen omwille van de analoge veiligheid.
Hoe ondersteunend die werkwijze in theorie kan zijn voor de analoge veiligheid in absolute zin wil het ministerie dus een lager veiligheid niveau.
Dat lijkt mij een absolute verzwakking en alleen daarom al dus getuigen van een zeer laag niveau bij dat ministerie.

Kan de reactie van de ander over J&V om andere redenen misschien toch ook nog valide zijn?

En verder redenerend,
in uw ogen waren oneigenlijke argumenten op tafel gelegd.
In uw argumentatie zie ik namelijk op uw beurt een vrij algemene en impliciete stellingname terug.
Namelijk dat de requirements wel van niveau zijn en dat daarmee automatisch aangetoond is dat het niveau bij het ministerie onder aan de streep over de hele keten voldoende effectief zou blijken te zijn.
Wat als die requirements door een aantal knappe koppen zijn geforumuleerd maar door de rest van het ministerie niet worden begrepen?
En dat is echt geen hypothetisch voorbeeld omdat veel begrip en kennis van uitgeschreven requirements nou eenmaal project gebonden is en dus volledig in de hoofden van maar een paar projectleden zit.
Ik lees verder ook geen concrete voorbeelden/bewijzen van het requirements niveau zelf.
Kan ook een misverstand zijn.
Kunt u dit zelf dus nou echt niet aanvullen?

bedoelt de minister eigenlijk dat hij een uitgebreider hiërarchisch bestuurlijk kader optuigt?
Een die meerdere ministeries onder het ministerie van V&J en het ongekozen Cybercommando gaat plaatsen.

In zijn brief stelt de minister:
Waar nodig zal gebruik worden gemaakt van de interventiemogelijkheden onder de Wbni als dat nodig is in het kader van nationale veiligheid. Het NCSC zal bijvoorbeeld vaker toezichthouders informeren over situaties waarin een vitale aanbieder beveiligingsadviezen onvoldoende opvolgt waardoor risico’s voor de nationale veiligheid blijven bestaan.

Wat bedoelt de minister hier werkelijk?

GEEN doorwuif constructies optuigen met voorwaarden en toezicht bij introductie van minder veilig gekozen infratsurctuur alternatieven?
Dus dat er sowieso geen digitale stemmen.
Dit betreffende verkiezingen die plaatsvinden onder toezicht en uitvoering van het ministerie van Binnenlandse Zaken en de kiesraad+kieskringen.
En sowieso geen 5G/LTE+ antenntes voor eventueel autonoom rijden, maar slechts zo mogelijk autonome LiDar antennes op exclusieve frequenties.
Welke aanstaande zijn als onderdeel van het Nederlandse wegverkeer, dat valt onder Verkeer & Waterstaat.
Dat juist wel doen kan toch geen behoorlijk bestuurlijk zijn?

De minister zegt dat het doel volgens hem het volgende is:

........
de regie versterken door de bewustwording van de risico’s voor de digitale weerbaarheid te vergroten, het beveiligingsniveau en het toezicht te versterken en meer te oefenen en te testen. Dit alles om het digitale weerbaarheidsniveau structureel te verhogen
.......

Wat betekent deze stellingname voor introductie van nieuwe infrastructuur-onderdelen c.q. innovatieve maatregelen?
Dat nieuwe elementen er niet toe kunnen leiden dat het weerbaarheid niveau lager kan vallen?
Ook niet als het toevallig een de minder nadelige of minst kwade van alle opties betreft?
Zoiets leidt immers alsnog tot een lager weerbaarheidsniveau.
En dat staat dus haaks op het streven van de minister.

Wat betekent het verder?
Doet de minister met zijn brief juist ALLE smartcity en 5G in de ban?
Daaronder 5G voor telecom diensten.
Die laatste wordt namelijk nog minder wordt getest dan rondom de 4G introductie destijds.
En nog weer x-keer minder dan destijds rondom introductie 3G.
Dat stellen insiders en de ervaren mensen vast die al eerder 3G en 4G introductie-golf in de telecom infra-innovatie sector en Nederlandse (niet zelfbenoemde) kopstukken aan Internationale industriële normering commissies zelf hebben meegemaakt.

En de minister kan toch ook niet bedoelen dat zijn beleid er toe leidt dat er zijdelings zaken worden gelanceerd en tegelijk de telecom-infrastructuur tegen haar eigen waarschuwingen wordt gestraft omwille van het "vitale" netwerken beleid??
Ergo, de veiling / aanbestedingen met 5G wordt dus bijvoorbeeld per ommegaande gestaakt?