image

Grapperhaus: onwenselijk dat NCSC buiten de wet om dreigingsinformatie deelt

vrijdag 19 november 2021, 13:58 door Redactie, 17 reacties

Het is onwenselijk dat het Nationaal Cyber Security Centrum (NCSC) zich door wettelijke beperkingen genoodzaakt ziet om buiten de wet om informatie over cyberdreigingen te delen, zo vindt demissionair minister Grapperhaus van Justitie en Veiligheid.

Eind september meldde de Volkskrant op basis van anonieme bronnen dat het NCSC nog geen vijf procent deelt van alle dreigingsinformatie die het ontvangt. De organisatie ontvangt dagelijks informatie over aanvallen, maar mag die door wettelijke beperkingen slechts beperkt delen. Uit frustratie zou het NCSC in dringende gevallen buiten de wet om dreigingsinformatie met partijen delen, aldus de krant.

De berichtgeving was aanleiding voor CDA-Kamerleden Amhaouch en Palland om de minister om opheldering te vragen. "Bent u bekend met signalen dat vanwege veel te stringente wettelijke beperkingen het NCSC genoodzaakt is om buiten de wet om te werken? Acht u dat acceptabel? ", zo vroegen ze. "Wij zijn bekend met deze signalen en deze situatie is onwenselijk", antwoordt Grapperhaus.

De minister merkt op dat het NCSC informatie over cyberdreigingen en incidenten op dit moment vanwege een "leemte in de wet" niet kan altijd kan delen met aanbieders die geen vitale aanbieder zijn of deel uitmaken van de rijksoverheid. Een wijziging van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) moet ervoor zorgen dat het NCSC de bevoegdheid krijgt om dreigingsinformatie wel met deze andere aanbieders of hun schakelorganisaties te delen.

Scannen van internet

Amhaouch en Palland wilden ook van Grapperhaus weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde kwetsbaarheden en wat er moet worden gedaan om dit mogelijk te maken. Daarop stelt de minister dat het NCSC technisch onderzoek uitvoert voor het informeren en adviseren van organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders over voor hen relevante dreigingen en incidenten.

"In het kader van deze taakuitoefening scant het NCSC ook op kwetsbaarheden voor zover dit mogelijk is zonder daarbij de netwerk- en informatiesystemen van organisaties binnen te dringen. Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid", zo laat de minister weten.

Reacties (17)
19-11-2021, 14:01 door majortom - Bijgewerkt: 19-11-2021, 14:01
Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid", zo laat de minister weten.
En dat is maar goed ook. Omgevraagd scannen op vulnerabilities (laat staan ongevraagd binnendringen) kunnen ook verstoringen opleveren. In zo'n geval zou het middel wel eens slechter kunnen zijn dan de (potentiele) kwaal.
19-11-2021, 14:11 door MrMerlin
Voor het scannen zou ik terughouden zijn, als bedrijfsleven worden we al genoeg gescand, ik heb daar het NCSC niet extra bij nodig.

Wat betreft het delen van informatie ben ik ernstig gefrustreerd. Als burger en bedrijf betalen wij belasting om oa het NCSC te financïeren en vervolgens krijgen wij geen info terug die ons kan helpen?

Ik weet ook dat het DTC aan de weg timmert om dit te ondervangen, maar het blijft een "vreemde" zaak.
19-11-2021, 14:43 door Anoniem
Door majortom:
Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid", zo laat de minister weten.
En dat is maar goed ook. Omgevraagd scannen op vulnerabilities (laat staan ongevraagd binnendringen) kunnen ook verstoringen opleveren. In zo'n geval zou het middel wel eens slechter kunnen zijn dan de (potentiele) kwaal.

Ja want al die scanners die nu dagelijks het internet scannen leiden bij dagelijks tot verstoringen.... het NCSC zal geen full scan uitvoeren, maar een gerichte scan naar aanleiding van dreigingsinformatie. Wat bestaat uit een banner grab of een request (http, smb, etc.) naar een kwetsbare bestand/service. Als door een een eenvoudige scan je brakke Pentium 2 omvalt is niet de schuld van NCSC maar moet je in de spiegel kijken.

Er is al enige tijd een behoefte aan informatie bij het MKB/niet vitale infra. De afgelopen kritieke kwetsbaarheden in VPN apparaten en exchange worden van APT tot ransomwaregroepen en alles wat er tussen zit gebruikt. Laat NCSC helpen i.p.v. het burger initiatieven (0xdude, DIVD) over te laten. Maarja, volgens mij moeten ze in Den Haag eerst nog leren wat een IP adres is.
19-11-2021, 14:47 door Anoniem
De organisatie ontvangt dagelijks informatie over aanvallen, maar mag die door wettelijke beperkingen slechts beperkt delen.

Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?

Ach ja, het gaat om het gevoel van veiligheid.
19-11-2021, 15:33 door Anoniem
De grap moet gewoon de wet aanpassen.
NCSC informatie is een nationaal belang.
19-11-2021, 16:25 door Anoniem
Door Anoniem:
De organisatie ontvangt dagelijks informatie over aanvallen, maar mag die door wettelijke beperkingen slechts beperkt delen.

Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?

Ach ja, het gaat om het gevoel van veiligheid.

Beperkt delen betekent "van alles delen - MAAR ALLEEN MET HUN DOELGROEP" .
Die doelgroep is op moment gedefinieerd als overheid/overheden en vitale sectoren - daar heb je dus het loket voor, en voor die sectoren is het ook meer dan alleen maar een gevoel .

En het is te prijzen dat als het NCSC of een individuele analyst daar dan iets ziet of hoort langskomen dat acuut en relevant is voor partijen die ze wel kennen maar niet formeel vitale sector of overheid zijn , ze daar 'the right thing' voor proberen te doen .
Alleen formeel mogen ze dat niet , en je kunt niet van MinJus verwachten dat ie zegt dat formeel de wet overtreden prima is als je het goed bedoelt.

Ik weet niet waar die mensen vandaan halen dat dit dan te maken heeft met actief scannen door het ncsc .
19-11-2021, 16:31 door Anoniem
Door majortom:
Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid", zo laat de minister weten.
En dat is maar goed ook. Omgevraagd scannen op vulnerabilities (laat staan ongevraagd binnendringen) kunnen ook verstoringen opleveren. In zo'n geval zou het middel wel eens slechter kunnen zijn dan de (potentiele) kwaal.

Dan heb je als bdrijf dus wel een probleem aangezien internet-facing systemen waarschijnlijk constant gescand worden.
19-11-2021, 17:18 door Anoniem
Wat Palantir wel kan, kan de NCSC kennelijk niet.
De a priori grote substantiele onveiligheid op de infrastructuur blijft.

Gek dat het vertrouwen in overheidsinstanties de laatste tijd enorm afkalft.
Niet vreemd dat het al lange tijd flink tanende is.

Maar ja als er eenmaal hogerop echt aan de touwtjes getrokken wordt
en er andere belangen zijn, kun je zoiets verwachten.

Toch wordt dit niet voldoende aangekaart en straks zijn we echt allemaal slachtoffer.
Een paar belanghebbenden uitgezonderd. Die lopen vervolgens giga binnen.

#sockpuppet
19-11-2021, 22:25 door Anoniem
Nou ik las net dat Gordon vanuit Dubai naar Rotterdam ging verhuizen. Gelijk zware rellen. Dan is een beetje info wel handig.


Ik bedoel dat je van te voren weet dat die terugkomt.
19-11-2021, 22:50 door Anoniem
Ik verlang wel vaker terug naar GovCert, toen NCSC justitie werd ging de dienstverlening achteruit en werd cyber ineens verjuridificeerd. (dat woord bestaat vast niet) En exclusief voor vitaal en gekoppeld aan de WBNI. Ja dan zeg je automatisch dat het onwenselijk is, justitie is er niet voor gewone bedrijven en gewone mensen...

Kortweg gezegd, GovCert is naar de kloten geholpen en de dienstverlening ook. Gelukkig probeert het Trustcenter in dat gat te springen en we hebben decentrale CERTS die een stuk actiever zijn voor hun doelgroepen. Nu de burger nog.
20-11-2021, 14:11 door Anoniem
Door Anoniem: Nou ik las net dat Gordon vanuit Dubai naar Rotterdam ging verhuizen. Gelijk zware rellen. Dan is een beetje info wel handig.

Ik bedoel dat je van te voren weet dat die terugkomt.

Ja, maar het blijft een Amsterdammer, hè - terug, alla, dat wist je, maar dan ook nog naar Rotterdam is wel een brug te ver.

Het is ook wel een heel verkeerde ruil - Berghuis naar 020, en wat krijg je terug : Gordon !
20-11-2021, 16:38 door Anoniem
Door Anoniem:
Door Anoniem:
De organisatie ontvangt dagelijks informatie over aanvallen, maar mag die door wettelijke beperkingen slechts beperkt delen.

Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?

Ach ja, het gaat om het gevoel van veiligheid.

Beperkt delen betekent "van alles delen - MAAR ALLEEN MET HUN DOELGROEP" .
Die doelgroep is op moment gedefinieerd als overheid/overheden en vitale sectoren - daar heb je dus het loket voor, en voor die sectoren is het ook meer dan alleen maar een gevoel.

...

In Nederland kun je niet vertrouwen op JenV of Defensie als het om veiligheid gaat.

Rob Bauer zei het nog in een interview met Buitenhof: "Nederlandse Defensie kan Nederland niet verdedigen."
https://www.youtube.com/watch?v=5AXfbm0Vmnk

Zelf denk ik dat Defensie intern bedorven is, en een verrotte cultuur heeft. Waar men absoluut niet weet wat er om hen heen in de wereld gebeurt. Wat ze doen is nog geeneens fout, het is gewoon onzinnig.
20-11-2021, 19:39 door Anoniem
Is het alweer tijd voor het volgende plakwetje van Grapperhaus? We hebben de laatste pas net gehad. Waarom zou je je aan de wet houden als je die achteraf gewoon even naar jouw wens corrigeert?


Gek genoeg lukt mij dat bij oom agent of belastingdienst nooit, maar voor G. is het heel normaal. Verschil moet er zijn.
21-11-2021, 18:37 door Anoniem
Welke nieuwe wet werkt er met terugwerkende kracht...denk zal maar een ff bommetje oplaten of was het nou een balonnetje?
22-11-2021, 08:06 door Anoniem
Door MrMerlin: Voor het scannen zou ik terughouden zijn, als bedrijfsleven worden we al genoeg gescand, ik heb daar het NCSC niet extra bij nodig.

Krijg je dan ook de resultaten van die scans die je voorbij ziet komen (die nu gebeuren)?
Want je eigen scan kan nog zo compleet zijn, een 0/1-day die het NCSC kent maar jij niet kun jij niet vinden.

Ik geef graag m'n ranges aan hen door zodat die gemonitord kunnen worden, als extratje.

En als spullen omvallen, dan vallen ze toch wel om, want over een uur scant een ander het.
22-11-2021, 11:37 door Anoniem
"De minister merkt op dat het NCSC informatie over cyberdreigingen en incidenten op dit moment vanwege een "leemte in de wet" niet kan altijd kan delen met aanbieders die geen vitale aanbieder zijn of deel uitmaken van de rijksoverheid". Hoe wordt er gedacht (en gehandeld) vanuit supply chain perspectief? Wel of niet delen? Of pas delen als de minister groen licht geeft...?
22-11-2021, 20:17 door Anoniem
Door Anoniem: Wat Palantir wel kan, kan de NCSC kennelijk niet.
Dat kunnen ze vast wel, maar ze mogen er niets mee doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.