Opstelten: volledig gescheiden netwerken geen optie
Volledig gescheiden ict-netwerken zijn in Nederland geen realistische optie, zo heeft minister Opstelten van Veiligheid en Justitie aan de Tweede Kamer laten weten. De minister reageerde op het onderzoek naar de haalbaarheid en wenselijkheid van gescheiden netwerken voor vitale processen in Nederland. In de Tweede Nationale Cybersecurity Strategie (NCSS-2) was toegezegd dat zo'n onderzoek zou worden uitgevoerd.
De onderzoekers stellen dat bij geen van de voorbeelden van bestaande (deels) gescheiden netwerken er in brede zin sprake is van een volledige scheiding op aspecten als productieketen, netwerkhiërarchie en fysieke dan wel virtuele scheiding. Hoewel er in de voorbeelden wel sprake is van het gebruik van gescheiden netwerkvoorzieningen, zoals bij de Rijksoverheid en vitale sectoren gebeurt, is de haalbaarheid van een volledige netwerkscheiding twijfelachtig, aldus de onderzoekers.
In de verkenning (PDF) wordt verder gesteld dat een gescheiden netwerk kostbaar is, het open internet in haar functionaliteit beperkt en een schijnveiligheid creëert doordat het idee bestaat dat het netwerk per definitie dan veiliger zal zijn. Dit terwijl het na volledige scheiding mogelijk juist een aantrekkelijker doelwit zal vormen voor gerichte cyberaanvallen. Op basis van de genoemde aspecten hebben de onderzoekers dan ook zowel over de haalbaarheid als wenselijkheid van een volledig gescheiden netwerk hun twijfels.
Niet realistisch
Volgens Opstelten laat de verkenning zien dat een volledig gescheiden netwerk op zichzelf geen realistische optie is. Dit geldt eveneens voor het gesloten maken van delen van het internet. "Dit onderschrijft het door het kabinet gehechte belang aan een open en vrij internet", aldus de minister. Het onderzoek wil echter niet zeggen dat sommige partijen op basis van een risicoanalyse toch voor bepaalde scheidingsmaatregelen kiezen, zoals bijvoorbeeld bij de Rijksoverheid plaatsvindt door fysieke en/of virtuele scheiding van specifieke netwerkvoorzieningen.
Maatregelen
Hoewel de onderzoekers hun twijfel over gescheiden netwerken hebben, worden in de verkenning wel verschillende maatregelen aanbevolen die de Rijksoverheid zal toepassen, merkt Opstelten op (PDF). Zo streeft het Rijk bij de ontwikkeling van een Rijksnetwerkinfrastructuur naar het creëren van een veilige omgeving waarmee naast de interne communicatie ook digitale communicatie met burgers en bedrijven kan worden geborgd. Deze veilige omgeving kan worden gecreëerd met gebruik van de vier Overheidsdatacenters.
De onderlinge verbinding tussen deze datacenters wordt gerealiseerd via bestaande eigen fysieke en/of virtueel gescheiden netwerken en, afhankelijk van het vereiste beveiligingsniveau, aanvullende maatregelen zoals encryptie, gaat de minister verder. Opstelten benadrukt dat de verkenning aangeeft dat een volledig gescheiden netwerk voor vitale processen onhaalbaar is, maar dat het toch van belang is om aanvullende acties te blijven ondernemen om de beschikbaarheid, integriteit en vertrouwelijkheid te kunnen blijven borgen.
Ik lees in de PDF wat tegenstrijdige dingen met de werkelijkheid die ik ken, naja ... ze zullen het vast wel goed hebben onderzocht?
Twee conclusies uit het rapport, die ik niet vreemd vind:
"Op basis van de zeer uitgebreide lijst vitale processen, bestaande gescheiden netwerken in Nederland en de bestaande situatie waarin vitale sectoren al over eigen infrastructuur beschikken, concluderen we dat er geen sprake hoeft te zijn van één gescheiden Nederlands netwerk maar dat er sprake kan zijn van meerdere afzonderlijke gescheiden ICT-netwerken naargelang de vitale sector, proces, product of dienst."
"Volledige scheiding van ICT-netwerken van vitale sectoren lijkt echter illusoir. Afhankelijk van de sector, de dienst of het product verschilt de haalbaarheid voor het scheiden van ICT-netwerken uit het oogpunt van technische haalbaarheid, juridische armslag, beschikbare kennis en financiële middelen."
Politie systemen (zelfs nu we nationale politie hebben is het nog steeds gescheiden van elkaar, het ¨GBA¨, heeft een compleet eigen netwerk.
De meeste critici van de uitkomst hebben nooit geprobeerd een separaat netwerk in een complexe organisatie op te zetten en te beheren. Vooral voor zaken als de kritieke infrastructuur krijg je honderden afzonderlijke bedrijven die beheer moeten doen van de onderdelen van die infrastructuur. Een groot deel daarvan heeft geen kaas gegeten van beveiliging en koppelt de machine, die een VPN naar het kritieke netwerk heeft, gewoon aan hun interne netwerk. Dat hoeft er maar eentje te zijn en je bent de beveiliging van het aparte netwerk kwijt.
Het wordt nog erger, want iedereen die een machine op dat interne netwerk inricht, zal dat minder veilig doen omdat hem verteld wordt dat het netwerk veilig is. Ophalen van patches wordt ook lastig, dus wordt dat minder snel gedaan.
We hebben bij ons 10 jaar een speciaal netwerk gehad voor alarminstallatie, GBS e.d. Maar de gaten werden alleen maar groter doordat er steeds meer kritiek werd bestempelt en dus op dat netwerk werd aangesloten. Inclusief de externe beheerspartijen. Nu (eindelijk) is besloten om het netwerk open te gooien en de eindpunten te gaan beveiligen. Verder hoop ik er een IDS in te krijgen, zodat we ook weten wat er gebeurt.
Peter
Naast de continuïteit van de vitale processen ( capaciteit ook) kunnen binnen het gescheiden netwerk eigen dataopslag of een cloud worden ontwikkeld. Een excellarotor om te komen tot echte cloud diensten zou mooi zijn , waarbij het vergaren van informatie en het gemakkelijker te faciliteren een resultaat kunnen zijn. Uiteindelijk meer efficiency en kostenbeheersing met als resultaat meer focus en geld naar opsporing.
En als we uitgaan van het genoemde dat een Volledige scheiding van ICT-netwerken van vitale sectoren illusoir lijkt omdat; , afhankelijk van de sector, de dienst of het product verschilt de haalbaarheid voor het scheiden van ICT-netwerken uit het oogpunt van technische haalbaarheid, juridische armslag, beschikbare kennis en financiële middelen.", als uitgangspunt en gegeven hanteren dan gebeurt er ook nooit wat.....en geef je direct aan dat je eigenlijk niet capabel bent om ICT te bedrijven als overheid.
Heb je er wellicht overna gedacht dat PWC (IBM) een van de grootste ict auditors is in Nederland ?
Wat een weinig onderbouwd geblaat. Laat het nu juist gaan om de uitkomst van een onderzoek waarover de minister de Tweede Kamer informeert. Jouw geweldige mening telt blijkbaar zwaarder dan een door deskundigen onderbouwde conclusie.
Enige bescheidenheid a.u.b.!
Wederom een anoniem die het beter weet zonder enige onderbouwing.
Om je gerust te stellen: er wordt veel netwerkverkeer versleuteld bij de overheid. Voor veel gegevensuitwisselingen gelden stringente wettelijke normen gelden vertrouwelijkheid, integriteit en autorisatie van de gegevensuitwisselingen (RINIS, SUWI net, enz). Of de genomen maatregelen voor de beveiliging altijd volstaan is een andere vraag.
[knip /]
.....en geef je direct aan dat je eigenlijk niet capabel bent om ICT te bedrijven als overheid.
en nog zo een prachtig onderbouwde mening van Anoniem.
Heb je er wellicht overna gedacht dat PWC (IBM) een van de grootste ict auditors is in Nederland ?
Jammer genoeg zijn auditors vaak geen experten en dat geldt net meer voor de grote die "in alles gespecialiseerd" zouden zijn.
Goed dat je ergens voor staat maar wanneer het gemiddelde ondernemers risico als argument wordt gebruikt om dingen niet te doen is dat naar mijn menig ( staat letterlijk in het rapport 4.2) een te gemakkelijke manier om dingen af te schieten. Hoe verhoudt deze uitkomst zich met andere ICT trajecten binnen de overheid ? Erg makkelijk allemaal ....... Samenwerking met industrie en het steeds maar met wantrouwen benaderen van nieuwe technologieën ( cloud) en leveranciers moet gewoon anders.. Anders moet je nergens aan beginnen en dus geen ICT doen.
Een rapport met een conclusie die niet erg verrast. Visie en ambitieloos. Leuk is wel om die 4.2 genoemde punten eens tegen het licht van alle grote ICT projecten te houden ....en ook de awarness van de hoge ict ambtenaren. Want die willen vooral veel zelf blijven doen... Blijf het een gemiste kans vinden.... Voorbeeld van Canada in het rapport spreekt mij aan... Consolidatie en focus....waarbij verdere veiligheidsmaatregelen Centraal dus zoveel mogelijk gestandaardiseerd kan worden doorgevoerd. Maar goed noem een succesvol interdepartementaal traject....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
