image

Opstelten: volledig gescheiden netwerken geen optie

vrijdag 28 november 2014, 16:52 door Redactie, 21 reacties

Volledig gescheiden ict-netwerken zijn in Nederland geen realistische optie, zo heeft minister Opstelten van Veiligheid en Justitie aan de Tweede Kamer laten weten. De minister reageerde op het onderzoek naar de haalbaarheid en wenselijkheid van gescheiden netwerken voor vitale processen in Nederland. In de Tweede Nationale Cybersecurity Strategie (NCSS-2) was toegezegd dat zo'n onderzoek zou worden uitgevoerd.

De onderzoekers stellen dat bij geen van de voorbeelden van bestaande (deels) gescheiden netwerken er in brede zin sprake is van een volledige scheiding op aspecten als productieketen, netwerkhiërarchie en fysieke dan wel virtuele scheiding. Hoewel er in de voorbeelden wel sprake is van het gebruik van gescheiden netwerkvoorzieningen, zoals bij de Rijksoverheid en vitale sectoren gebeurt, is de haalbaarheid van een volledige netwerkscheiding twijfelachtig, aldus de onderzoekers.

In de verkenning (PDF) wordt verder gesteld dat een gescheiden netwerk kostbaar is, het open internet in haar functionaliteit beperkt en een schijnveiligheid creëert doordat het idee bestaat dat het netwerk per definitie dan veiliger zal zijn. Dit terwijl het na volledige scheiding mogelijk juist een aantrekkelijker doelwit zal vormen voor gerichte cyberaanvallen. Op basis van de genoemde aspecten hebben de onderzoekers dan ook zowel over de haalbaarheid als wenselijkheid van een volledig gescheiden netwerk hun twijfels.

Niet realistisch

Volgens Opstelten laat de verkenning zien dat een volledig gescheiden netwerk op zichzelf geen realistische optie is. Dit geldt eveneens voor het gesloten maken van delen van het internet. "Dit onderschrijft het door het kabinet gehechte belang aan een open en vrij internet", aldus de minister. Het onderzoek wil echter niet zeggen dat sommige partijen op basis van een risicoanalyse toch voor bepaalde scheidingsmaatregelen kiezen, zoals bijvoorbeeld bij de Rijksoverheid plaatsvindt door fysieke en/of virtuele scheiding van specifieke netwerkvoorzieningen.

Maatregelen

Hoewel de onderzoekers hun twijfel over gescheiden netwerken hebben, worden in de verkenning wel verschillende maatregelen aanbevolen die de Rijksoverheid zal toepassen, merkt Opstelten op (PDF). Zo streeft het Rijk bij de ontwikkeling van een Rijksnetwerkinfrastructuur naar het creëren van een veilige omgeving waarmee naast de interne communicatie ook digitale communicatie met burgers en bedrijven kan worden geborgd. Deze veilige omgeving kan worden gecreëerd met gebruik van de vier Overheidsdatacenters.

De onderlinge verbinding tussen deze datacenters wordt gerealiseerd via bestaande eigen fysieke en/of virtueel gescheiden netwerken en, afhankelijk van het vereiste beveiligingsniveau, aanvullende maatregelen zoals encryptie, gaat de minister verder. Opstelten benadrukt dat de verkenning aangeeft dat een volledig gescheiden netwerk voor vitale processen onhaalbaar is, maar dat het toch van belang is om aanvullende acties te blijven ondernemen om de beschikbaarheid, integriteit en vertrouwelijkheid te kunnen blijven borgen.

Reacties (21)
28-11-2014, 18:14 door Anoniem
Ja hoor, digibeet Opstelten weer aan het woord!
28-11-2014, 19:33 door Anoniem
Ligt helemaal aan de omvang van het probleem of een systeem losgekoppeld kan worden van het internet. Kleine bedrijfsnetwerken of overheidsnetwerken kunnen of moeten zelfs in sommige gevallen (fysiek) compleet afgesloten zijn van het internet. Deze situatie is niet nieuw, die bestaat al een hele tijd.

Ik lees in de PDF wat tegenstrijdige dingen met de werkelijkheid die ik ken, naja ... ze zullen het vast wel goed hebben onderzocht?
28-11-2014, 19:52 door Flashback956
"Overheidsdatacenters", mooie naam voor datacenters waar de informatie van burger wordt opgeslagen en geanalyseerd.
28-11-2014, 20:04 door Anoniem
Tja,dan krijg je automatisch,een tolweg op internet waarschijnlijk.
28-11-2014, 23:17 door Anoniem
Door Anoniem: Ja hoor, digibeet Opstelten weer aan het woord!
Ja hoor, alweer een politieke nitwit aan het woord!
28-11-2014, 23:51 door Anoniem
LOL De grootste digibeet laat zich weer eens van alles in fluisteren. Zelf weet die er geen bal van. Natuurlijk is het mogelijk sterker het is noodzakelijk. Zo kan je bepaalde verkeer juist goed neerzetten. Een LAN en WAN netwerk. Maar dat zal wel te moeilijk zijn om te begrijpen.
29-11-2014, 03:30 door Anoniem
Ik ben het niet met deze uitspraak eens vooral dat er binnen de overheid zeer weinig standaard wordt geencrypt is een zeer slechte zaak. Helaas weet ik dat omdat ik hier zelf werkzaam ben.
29-11-2014, 09:30 door Bati
Aan alle mensen die direct kritiek hebben (kan wel, moet wel, tuurlijk wel enz.): lees het rapport eens vluchtig door, het zijn maar 40 pagina's. Uiteraard zal de overheid als opdrachtgever de bevindingen zoveel mogelijk naar eigen voordeel interpreteren.

Twee conclusies uit het rapport, die ik niet vreemd vind:
"Op basis van de zeer uitgebreide lijst vitale processen, bestaande gescheiden netwerken in Nederland en de bestaande situatie waarin vitale sectoren al over eigen infrastructuur beschikken, concluderen we dat er geen sprake hoeft te zijn van één gescheiden Nederlands netwerk maar dat er sprake kan zijn van meerdere afzonderlijke gescheiden ICT-netwerken naargelang de vitale sector, proces, product of dienst."

"Volledige scheiding van ICT-netwerken van vitale sectoren lijkt echter illusoir. Afhankelijk van de sector, de dienst of het product verschilt de haalbaarheid voor het scheiden van ICT-netwerken uit het oogpunt van technische haalbaarheid, juridische armslag, beschikbare kennis en financiële middelen."
29-11-2014, 14:04 door Anoniem
De overheid heeft al eigen netwerken... en dat is natuurlijk ook nodig als het gaat om veiligheid.
Politie systemen (zelfs nu we nationale politie hebben is het nog steeds gescheiden van elkaar, het ¨GBA¨, heeft een compleet eigen netwerk.
29-11-2014, 15:30 door Anoniem
Door Anoniem: LOL De grootste digibeet laat zich weer eens van alles in fluisteren. Zelf weet die er geen bal van. Natuurlijk is het mogelijk sterker het is noodzakelijk. Zo kan je bepaalde verkeer juist goed neerzetten. Een LAN en WAN netwerk. Maar dat zal wel te moeilijk zijn om te begrijpen.

De meeste critici van de uitkomst hebben nooit geprobeerd een separaat netwerk in een complexe organisatie op te zetten en te beheren. Vooral voor zaken als de kritieke infrastructuur krijg je honderden afzonderlijke bedrijven die beheer moeten doen van de onderdelen van die infrastructuur. Een groot deel daarvan heeft geen kaas gegeten van beveiliging en koppelt de machine, die een VPN naar het kritieke netwerk heeft, gewoon aan hun interne netwerk. Dat hoeft er maar eentje te zijn en je bent de beveiliging van het aparte netwerk kwijt.

Het wordt nog erger, want iedereen die een machine op dat interne netwerk inricht, zal dat minder veilig doen omdat hem verteld wordt dat het netwerk veilig is. Ophalen van patches wordt ook lastig, dus wordt dat minder snel gedaan.

We hebben bij ons 10 jaar een speciaal netwerk gehad voor alarminstallatie, GBS e.d. Maar de gaten werden alleen maar groter doordat er steeds meer kritiek werd bestempelt en dus op dat netwerk werd aangesloten. Inclusief de externe beheerspartijen. Nu (eindelijk) is besloten om het netwerk open te gooien en de eindpunten te gaan beveiligen. Verder hoop ik er een IDS in te krijgen, zodat we ook weten wat er gebeurt.

Peter
29-11-2014, 16:03 door Anoniem
Je gaat ook geen 2x geld uitgeven... 1 x is genoeg namelijk door de Nederlandse infrastructuur te beleggen bij de overheid en niet meer bij een KPN. Kwestie van tijd....... O ja beleggen= overnemen
29-11-2014, 16:41 door Anoniem
Wat een gekakel over Opstelten toch steeds. Hij hoeft dat toch allemaal zelf niet te weten, te bedenken of te kunnen. Diegenen die dat wel beweren weten niet hoe een grote organisatie werkt. Bovendien, het rapport is geschreven door de accountants van Price Waterhouse, en zoals je weet weet een accountant overal alles van. Opvallend dat zo'n rapport niet geschreven is door een beveiligingsbedrijf.
29-11-2014, 16:55 door Anoniem
vind het wel een gemiste kans
Naast de continuïteit van de vitale processen ( capaciteit ook) kunnen binnen het gescheiden netwerk eigen dataopslag of een cloud worden ontwikkeld. Een excellarotor om te komen tot echte cloud diensten zou mooi zijn , waarbij het vergaren van informatie en het gemakkelijker te faciliteren een resultaat kunnen zijn. Uiteindelijk meer efficiency en kostenbeheersing met als resultaat meer focus en geld naar opsporing.
En als we uitgaan van het genoemde dat een Volledige scheiding van ICT-netwerken van vitale sectoren illusoir lijkt omdat; , afhankelijk van de sector, de dienst of het product verschilt de haalbaarheid voor het scheiden van ICT-netwerken uit het oogpunt van technische haalbaarheid, juridische armslag, beschikbare kennis en financiële middelen.", als uitgangspunt en gegeven hanteren dan gebeurt er ook nooit wat.....en geef je direct aan dat je eigenlijk niet capabel bent om ICT te bedrijven als overheid.
29-11-2014, 19:53 door Anoniem
Door Anoniem:
Door Anoniem: Ja hoor, digibeet Opstelten weer aan het woord!
Ja hoor, alweer een politieke nitwit aan het woord!
Opstelten weet niet eens wat Safari is, terwijl hij wel een iPhone en Macbook gebruikt.
29-11-2014, 20:21 door Anoniem
Door Anoniem: Wat een gekakel over Opstelten toch steeds. Hij hoeft dat toch allemaal zelf niet te weten, te bedenken of te kunnen. Diegenen die dat wel beweren weten niet hoe een grote organisatie werkt. Bovendien, het rapport is geschreven door de accountants van Price Waterhouse, en zoals je weet weet een accountant overal alles van. Opvallend dat zo'n rapport niet geschreven is door een beveiligingsbedrijf.

Heb je er wellicht overna gedacht dat PWC (IBM) een van de grootste ict auditors is in Nederland ?
29-11-2014, 21:02 door Joep Lunaar
Door Anoniem: LOL De grootste digibeet laat zich weer eens van alles in fluisteren. Zelf weet die er geen bal van. Natuurlijk is het mogelijk sterker het is noodzakelijk. Zo kan je bepaalde verkeer juist goed neerzetten. Een LAN en WAN netwerk. Maar dat zal wel te moeilijk zijn om te begrijpen.

Wat een weinig onderbouwd geblaat. Laat het nu juist gaan om de uitkomst van een onderzoek waarover de minister de Tweede Kamer informeert. Jouw geweldige mening telt blijkbaar zwaarder dan een door deskundigen onderbouwde conclusie.
Enige bescheidenheid a.u.b.!
29-11-2014, 21:09 door Joep Lunaar
Door Anoniem: Ik ben het niet met deze uitspraak eens vooral dat er binnen de overheid zeer weinig standaard wordt geencrypt is een zeer slechte zaak. Helaas weet ik dat omdat ik hier zelf werkzaam ben.

Wederom een anoniem die het beter weet zonder enige onderbouwing.

Om je gerust te stellen: er wordt veel netwerkverkeer versleuteld bij de overheid. Voor veel gegevensuitwisselingen gelden stringente wettelijke normen gelden vertrouwelijkheid, integriteit en autorisatie van de gegevensuitwisselingen (RINIS, SUWI net, enz). Of de genomen maatregelen voor de beveiliging altijd volstaan is een andere vraag.
29-11-2014, 21:59 door Joep Lunaar - Bijgewerkt: 29-11-2014, 21:59
Door Anoniem: vind het wel een gemiste kans
[knip /]
.....en geef je direct aan dat je eigenlijk niet capabel bent om ICT te bedrijven als overheid.

en nog zo een prachtig onderbouwde mening van Anoniem.
30-11-2014, 08:40 door Anoniem
Door Anoniem:
Door Anoniem: ... Bovendien, het rapport is geschreven door de accountants van Price Waterhouse, en zoals je weet weet een accountant overal alles van. Opvallend dat zo'n rapport niet geschreven is door een beveiligingsbedrijf.

Heb je er wellicht overna gedacht dat PWC (IBM) een van de grootste ict auditors is in Nederland ?

Jammer genoeg zijn auditors vaak geen experten en dat geldt net meer voor de grote die "in alles gespecialiseerd" zouden zijn.
30-11-2014, 13:49 door Anoniem
Beste Joep,
Goed dat je ergens voor staat maar wanneer het gemiddelde ondernemers risico als argument wordt gebruikt om dingen niet te doen is dat naar mijn menig ( staat letterlijk in het rapport 4.2) een te gemakkelijke manier om dingen af te schieten. Hoe verhoudt deze uitkomst zich met andere ICT trajecten binnen de overheid ? Erg makkelijk allemaal ....... Samenwerking met industrie en het steeds maar met wantrouwen benaderen van nieuwe technologieën ( cloud) en leveranciers moet gewoon anders.. Anders moet je nergens aan beginnen en dus geen ICT doen.

Een rapport met een conclusie die niet erg verrast. Visie en ambitieloos. Leuk is wel om die 4.2 genoemde punten eens tegen het licht van alle grote ICT projecten te houden ....en ook de awarness van de hoge ict ambtenaren. Want die willen vooral veel zelf blijven doen... Blijf het een gemiste kans vinden.... Voorbeeld van Canada in het rapport spreekt mij aan... Consolidatie en focus....waarbij verdere veiligheidsmaatregelen Centraal dus zoveel mogelijk gestandaardiseerd kan worden doorgevoerd. Maar goed noem een succesvol interdepartementaal traject....
30-11-2014, 15:37 door Anoniem
Het was een eerste verkenning.... Dus ze kunnen er nog wat tijd en geld tegenaan gooien
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.