CSR vraagt Grapperhaus om informatie over cyberincidenten sneller te delen
De Cyber Security Raad (CSR) heeft minister Grapperhaus van Justitie en Veiligheid in een brief gevraagd om informatie over cyberincidenten sneller met burgers en bedrijfsleven te delen. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie, informeert nu alleen de Rijksoverheid en vitale aanbieders over kwetsbaarheden, aanvallen en gecompromitteerde systemen.
"Een van de belangrijkste instrumenten om de cyberweerbaarheid van organisaties en burgers te verhogen, is hen snel te informeren wanneer hun it-systemen kwetsbaarheden vertonen of gehackt zijn. Ons Nationaal Cyber Security Centrum is aangewezen als ons nationaal centraal contactpunt en ontvangt in die hoedanigheid elke dag duizenden meldingen over Nederlandse ip-adressen waar zich gecompromitteerde systemen bevinden", schrijft het CSR in de brief.
Om ook andere organisaties te kunnen bedienen die geen onderdeel van de Rijksoverheid en vitale aanbieders zijn, is in 2018 begonnen met een Landelijk Dekkend Stelsel (LDS). In het LDS wisselen publieke en private partijen, zoals CERTs, sectorale en regionale samenwerkingsverbanden, het NCSC en het Digital Trust Center (DTC), informatie en kennis uit over dreigingen, incidenten en kwetsbaarheden. Het LDS is echter nog in opbouw.
Begin deze maand liet minister Grapperhaus weten dat er wordt gekeken of het NCSC in bijzondere gevallen informatie rechtstreeks aan individuele organisaties kan verstrekken die geen deel uitmaken van de Rijksoverheid of van de vitale infrastructuur in Nederland. Daarnaast wordt overwogen om het NCSC vertrouwelijk herleidbare informatie over aanbieders, zoals ip-adressen, met OKTT’s te laten delen.
OKTT’s (Organisaties die Kenbaar Tot Taak) zijn schakelorganisaties die weer andere organisaties kunnen waarschuwen. In dit geval zouden de OKTT's de betreffende aanbieders in hun achterban over de informatie van het NCSC kunnen informeren. De Cyber Security Raad steunt de plannen van Grapperhaus, maar stelt dat het nog waarschijnlijk twee jaar zal duren voordat de benodigde wetswijzigingen zijn doorgevoerd die het NCSC toestaan om met meer partijen informatie te delen.
Vooruitlopend op de voorgestelde wetswijzigingen adviseert de CSR om nu al informatie over cyberincidenten met OKTT's te delen. "Dit komt ten goede aan de bescherming van de belangen van de duizenden bedrijven, organisaties en burgers die nu niet geïnformeerd worden, terwijl de overheid wel informatie heeft dat zij slachtoffer of kwetsbaar zijn", aldus de Cyber Security Raad. De Raad is een adviesorgaan van het kabinet en bestaat uit vertegenwoordigers van publieke en private organisaties en de wetenschap.
Hoewel het in de praktijk net even krommer gaat, je gaat ook geen auto's afnemen van een fabrikant die keer op keer op keer de auto maar half rijdend weet te krijgen en steeds tussendoor extra onderhoudsbeurten moet krijgen om operationeel te blijven.
In context van nog meer automatisering steeds verder doorvoeren in de eigen dienstverlening en dus de hele samenleving door de strot willen duwen is een rem hierop juist nu op z'n plek (jezelf als overheid beheersen). Oftewel stop met het creeren van nog meer ingangen van digitale kwetsbaarheden.
Daarnaast is het steeds updaten (naar de garage brengen van je ICT) duidelijk onvoldoende zolang je je als politiek allerlei goedbedoelde scherp afgebakende doelen en eisen over weerbaarheid van internet gaat uitbesteden aan mooie woorden, mooie uitkomsten en mooie vooruitgang terwijl de kwetsbaarheden in de ICT slechts in een flits van een seconde boven komen drijven. Oftewel, een minimale detectie-graad op ICT vlak kan geen maximaal resultaat bieden.
Een maximale detectie-graad is onverkort een Orwelliaans concept.
Ergens daartussen is geen kwestie van goede balans vinden, maar een middenweg zoeken maar ondertussen een scheepladen aan hacks en kwetsbaarheden missen.
Doe dan ook niet bij ontstane hacks alsof.
Doe niet alsof je aardig hebt kunnen vaststellen wat de omvang van de hack daadwerkelijk was, of dat je met de eerste voortijdige inzichten toch goed bezig was.
Nee, je hebt consequent gekozen voor een operationeel model (ICT) met chronisch korte levenscycli en volwassenheid van producten die welliswaar ver ontwikkeld is maar desondanks toch kwakkelende veiligheid biedt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
