Pleio

Engels | Nederlands
Menskracht

Menskracht

Inspiratie en ontwikkeling van professionele passie en talent

 3.7/5 Sterren (3)

Gerelateerde blogs

Krijgt informatie-uitwisseling in het sociaal domein een risico-status?

Krijgt informatie-uitwisseling in het sociaal domein een risico-status?

Ik zal in deze blog een aantal ontwikkelingen...
Zijn we ons bewust van de risico's van cybercriminaliteit?

Zijn we ons bewust van de risico's van cybercriminaliteit?

Cybercriminaliteit als ook digitale spionage...
Conferentie Let's Connect 2014 over e-portfolio

Conferentie Let's Connect 2014 over e-portfolio

 Zet direct in uw agenda1313donderdag 13 februari...

Meldingsplicht cybercrime-incidenten komt er aan !

    Henk Thielens
    Door Henk Thielens in de groep Menskracht 1233 dagen geleden

     0/5 Sterren (0)

    imageMinister Opstelten is er zich van bewust dat de risico’s van cybercriminaliteit toenemen en als niet adequaat wordt ingegrepen er hierdoor zelfs maatschappelijke ontwrichting kan ontstaan.   

    In het Cybersecuritybeeld 2013 komen ontwikkelingen en kwetsbaarheden in ICT en (informatie)-beveiliging aan bod.  De inherente dynamiek van cybersecurity vereist een vernieuwende aanpak. Het creëren van bewustwording (awareness) op alle niveaus, van bestuurders tot (ict)medewerkers en consumenten, is noodzakelijk om (informatie)veiligheid  te verbeteren. Daarnaast zijn speciale detectiemiddelen en capaciteit nodig om snel en adequaat te kunnen handelen bij acute dreigingen. Cybersecurity vereist een actueel en breed inzicht op nieuwe ontwikkelingen, kwetsbaarheden, aanvalsmethoden en verdedigingsmechanismen.

    Om een snelle en effectieve aanpak van digitale veiligheidsincidenten te versterken, moeten organisaties binnen vitale sectoren daar voortaan verplicht melding van maken bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie van Veiligheid en Justitie.

    Het gaat daarbij om ICT-inbreuken die de continuïteit van dienstverlening in de vitale sectoren in belangrijke mate kunnen verstoren en in potentie tot grote maatschappelijke ontwrichting kunnen leiden. In dergelijke gevallen is het van belang dat de overheid snel kan handelen om door het verlenen van hulp de beschikbaarheid van voor de samenleving vitale diensten te waarborgen en zo maatschappelijke ontwrichting te voorkomen of beperken. Dat staat in een wetsvoorstel dat minister Opstelten van Veiligheid en Justitie voor advies naar verschillende instanties heeft gestuurd (zoals VNO-NCW, Nederland ICT en de Nederlandse Vereniging van Banken) en daarnaast voor internetconsultatie heeft opengesteld.

    Maatschappelijke ontwrichting

    De meldplicht zal gaan gelden voor organisaties binnen de volgende sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, transport (mainports Rotterdam en Schiphol), financiën en (Rijks)overheid. Voor al deze sectoren geldt dat het gaat om onderdelen van de vitale infrastructuur van Nederland waarbij een uitval direct of indirect tot maatschappelijke ontwrichting kan leiden. Door deze vitale organisaties wettelijk te verplichten melding te maken van ICT-inbreuken, kan het NCSC de risico’s voor de samenleving inschatten én hulp verlenen aan de getroffen organisatie. Bovendien is het NCSC hierdoor in staat om andere vitale organisaties zo nodig te waarschuwen en te adviseren. Deze hulp en advisering aan vitale organisaties, met als doel om maatschappelijke ontwrichting te voorkomen of te beperken, staat bij de meldplicht aan het NCSC centraal.     

    Wanneer moet een melding worden gedaan?

    Een melding moet worden gedaan wanneer 1. ‘de continuïteit van de eigen of andermans dienstverlening in belangrijke mate wordt verstoord en 2. dat leidt tot (potentieel) maatschappelijke ontwrichting’. Als factoren voor de vraag wanneer een melding moet worden gedaan worden meegegeven: de duur van de uitval, grootschaligheid en publiek belang. Een voorbeeld van een incident die een maatschappelijke ontwrichting tot gevolg had wordt (impliciet) DigiNotar genoemd.

    Het doel is bij deze meldplicht dat het NCSC van ernstige incidenten wordt geïnformeerd en het centrum hulp kan verlenen door ‘het duiden van de aard en ernst van de melding’.
    Daarnaast worden vergelijkbare bedrijven/overheden in de sector ingelicht over de kwetsbaarheid of incident om verdere schade te voorkomen.

    ‘De overheid’ moet volgens Opstelten de bevoegdheid krijgen 1. informatie te verkrijgen tijdens een groot cybersecurity incident, 2. een aanwijzing met een last onder bestuursdwang te geven om te nemen maatregelen af te dwingen en 3. een functionaris aanwijzen die toezicht houdt op de uitvoering van de maatregelen. Het ministerie van Veiligheid en Justitie zou de regie moeten voeren ‘op het tot stand komen van een gelijkwaardig stelsel met departementale bevoegdheden, dat voorziet in de mogelijkheid om snel en adequaat te kunnen handelen tijdens een ICT-crisis met (potentieel) maatschappelijke ontwrichting tot gevolg’

    Vertrouwen

    Bij het doen van de meldingen is van belang dat deze in vertrouwen gedaan worden om kwetsbaarheden te beperken of in de toekomst te vermijden. De meldplicht past daarbij in het bredere kader van de ingezette publiek-private samenwerking om cybersecurity binnen de (Rijks)overheid en de vitale sectoren te realiseren. Met de wettelijke regeling geeft het kabinet uitvoering aan de motie-Hennis-Plasschaert waarin wordt gevraagd om een meldplicht voor security branches voor organisaties die zijn betrokken bij voor de samenleving vitale informatiesystemen.

    Tot en met 17 september 2013 staat het wetsvoorstel open voor commentaar op www.internetconsultatie.nl/meldplicht_ict_inbreuken.

    Zaken die naar voren springen waarom de meldingsplicht wordt ingevoerd.

    • De afhankelijkheid van ICT neemt door cloudcomputing, hyperconnectiviteit en het massale gebruik van internet toe.
    • Digitale spionage en cybercriminaliteit blijven de grootste bedreigingen en ze nemen toe. Het betreft: digitale spionage uit staten (China, Rusland, Iran en Syrië), overname van ICT via malware door criminelen en manipulatie van informatie (fraude internetbankieren) door criminelen.
    • Cybercrime-as-a-service is nadrukkelijk zichtbaar geworden en is daarmee laagdrempelig voor verschillende actoren. Werkwijzen kunnen onderdeel zijn van (internationaal) georganiseerde criminaliteit.
    • Burgers, bedrijven en overheden zijn regelmatig het slachtoffer van botnets en ransomware. Er vindt manipulatie van financiële transacties plaats en de schadelijke impact van criminele acties is moeilijk vast te stellen omdat niet altijd duidelijk is welke gegevens gestolen zijn en wat er vervolgens mee gebeurd is. Kwetsbaarheden in soft- of hardware kunnen niet meteen verholpen worden waardoor “oude” exploits nog langer kunnen worden uitgebuit. Aanvallers hebben altijd een voorsprong omdat ze nieuwe kwetsbaarheden weten op te sporen.  
    • De kwetsbaarheid  van ICT en mobiel opgeslagen informatie blijft onverminderd groot. Bij 41 van de 100 onderzochte Apps konden onderzoekers inloggegevens  voor creditcard, paypal, bankrekeninggegevens etc. vergaren. Bring Your Own Device (BOYD) kan als een device besmet is, of als er geen adequate authentificatie plaatsvindt, voor organisaties risicovol zijn.
    • In meer dan 40 procent van de gevallen blijkt SSL kwetsbaar, of niet veilig geconfigureerd. Het aantal geregistreerde kwetsbaarheden bedraagt in 2012 5.300, een stijging met 27% t.o.v. 2011. Het aantal van de meest ernstige  kwetsbaarheden is begin 2012 verdubbeld waardoor ze relatief eenvoudig zijn uit te buiten (op afstand, niet complex en zonder authenticatie) en ze hebben een hoge impact. Zowel beschikbaarheid als integriteit en vertrouwelijkheid komen in het geding.  
    • De gebruiker krijgt een grotere verantwoordelijkheid toegedicht voor beveiliging, maar hij heeft vaak (te) weinig kennis van configuratie van soft- en hardware. De veiligheid van (cloud)diensten kan (door de consument) ook nauwelijks beoordeeld worden.
    • DDoS-aanvallen tonen niet alleen kwetsbaarheden en ketenafhankelijkheid aan van DigiD en Ideal, maar kunnen ook tot aanzienlijke financiële- en reputatieschade leiden als diensten langer onbereikbaar zin.
    • Basismaatregelen, zoals het patchen en updaten van systemen en het wachtwoordenbeleid zijn vaak nog niet op orde. Het digitale veiligheidsbeleid is bij gemeenten met minste geborgd, gemeenteambtenaren geven de laagste rapportcijfers aan de eigen organisatie, collega’s en zichzelf.
    • Publieke en private partijen nemen initiatieven om de weerbaarheid te vergroten. De effectiviteit is op lange termijn nog niet in te schatten.

    Grootste bedreigingen voor overheden.

    Voor de overheden is de grootste dreiging momenteel gericht op het belang van vertrouwelijkheid  van informatie (spionage), continuïteit van online dienstverlening (inclusief generieke voorzieningen) en eigen ICT. De dreiging komt uit verschillende hoeken: o.a. beroepscriminelen, hackactivisten en cybervandalen. In de aard van de incidenten bij de overheid is er een relatieve stijging te zien van malware-infecties (+13 procent) en van het totaal aantal incidenten heeft 44% hier betrekking op. Pogingen tot hacken zijn met 5% procent gestegen. Er is sprake van een relatieve afname van kwetsbaarheden in websites. De grootste dreigingen van vooral staten en beroepscriminelen zijn toegenomen, terwijl de weerbaarheid ongeveer gelijk is gebleven.

    Het Pobelka-botnet heeft inzicht gegeven dat aanzienlijke aantallen computers (in dit geval zo’n 150.000) besmet kunnen worden. Vraag is of lokale overheden zelf voldoende capaciteit, kennis en de juiste detectiemiddelen in huis hebben om risico’s te analyseren en maatregelen te nemen. Het NCSC voert dagelijks controles uit en kan, als een organisatie de eigen netwerkinformatie heeft aangeleverd, op tijd waarschuwen en adviseren over tegenmaatregelen.

    Voor bedrijven gaat de belangrijkste dreiging uit van spionage gericht op concurrentiegevoelige informatie en misbruik van financiële gegevens voor diefstal van geldelijke waarden. Verstoring van de online dienstverlening  en het stelen van bedrijfsinformatie (klantgegevens en ICT-voorzieningen) is een groot risico.

    1 op de 8 Nederlanders is vorig jaar slachtoffer van cybercrime.

    Burgers worden geraakt door identiteitsfraude en chantage. Belangen als geld, privacy, beschikbaarheid van online diensten en digitale identiteit staan op het spel. Burgers hebben te kampen met het vrijwaren van smartphones, tablets, computers en elektronica van malware.  De introductie van smart grid en smart meters in de energiesector vergroten het belang van ICT (om de fluctuerende vraag en aanbod met elkaar te matchen) en daarmee ontstaan er nieuwe kwetsbaarheden. Elektriciteit, Telekom en IT-services zijn randvoorwaardelijk vitale produkten, evenals onlinediensten als DigiD en iDeal en kunnen door hun positie in de keten als ze worden uitgeschakeld grote impact (op openbare orde en veiligheid) hebben en er kan veel schade worden veroorzaakt.  Criminele activiteiten spitsen ook toe op fraude met internetbankieren, fraude met en stelen van gegevens voor criminele doeleinden (o.a. identiteitsfraude, afpersing, chantage). Burgers zijn bijna even vaak slachtoffer van ‘hacken’ als van fietsendiefstal.

    Vaak ingezette criminele tools.

    Actoren gebruiken het vaakste exploits (kwetsbaarheden in standaardsoftware) botnets, (spear)pishing en (mobiele) malware.  Cybercrime professionaliseert door als dienstensector producten as-a-service aan te bieden. Tools voor DDos aanvallen zijn laagdrempelig beschikbaar. Installatie van goede detectiemiddelen en het regelmatig updaten van software van de in gebruik zijnde devices is dus geen overbodige luxe.

    Achterwege laten van updates (thuis) verhogen kwetsbaarheid.

    De beveiliging van de computer is voor de (thuis)gebruiker is een kritische factor omdat het automatisch updaten wel vaker gebeurd, maar andere handelingen (opzoeken en installeren van de juiste softwareversie) achterwege blijven omdat men er de tijd niet voor neemt, er soms extra kosten zijn en het ook niet altijd even gemakkelijk is om de juiste software op websites te vinden.

    Risico’s mobiel bellen.

    Mobiel bellen kan onveilig zijn. Tijdens het congres security management in 2022’ is het bijvoorbeeld gelukt om een groot aantal telefoons van de deelnemers ‘te kapen’. De encryptie van de GSM-technologie is al in 2009 gekraakt. Met ‘open source’-software is het kunstje na te doen als je over een receiver beschikt die je voor weinig geld kunt kopen. Denk dus niet dat mobiel bellen helemaal veilig is want daarvoor wordt door criminelen ook allerlei malware ontwikkeld om transacties en telebankieren te beïnvloeden. En met een eigen zendmast en wat handigheid krijgt men ook inzicht in al het telefoon- en SMS-verkeer in de buurt.  

    Bronnen:

    1. Cybersecuritybeeld Nederland (CSBN-3)  d.d. 23 augustus 2013. Zie www.ncsc.nl
    2. https://www.ncsc.nl/actueel/nieuwsberichten/opstelten-versterkt-aanpak-bij-digitale-veiligheidsincidenten.html
    3. Zijn we ons bewust van de risico’s van cybercriminaliteit? Zie https://www.pleio.nl/blog/view/21271892/zijn-we-ons-bewust-van-de-risicos-van-cybercriminaliteit
    4. Jubileumcongres Hofman: “de toekomst van de securitymanager”. Zie http://www.facilicom.com/nl/trigion/Documents/Redactionele%20artikelen/Hoffmann%20congres.pdf&AuthResend1908BC2350124b5095AB75012FA405BA
    5. Bewustwording van ICT-risico’s versus paniek zaaien. Zie http://www.mt.nl/1/75108/home/bewustwording-van-ict-risico-s-versus-paniek-zaaien.html
    6. http://oerlemansblog.weblog.leidenuniv.nl/2012/07/13/de-cybersecurity-plannen-van-opstelten/

     

     

     

     

     

     

     

    Reageren is alleen mogelijk voor aangemelde gebruikers