image

AIVD en NCSC geven bedrijven advies over netwerkbeveiliging

maandag 30 november 2015, 16:43 door Redactie, 15 reacties

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) hebben een document gepubliceerd waarin ze bedrijven praktisch advies over het beveiligen van netwerken geven. Volgens beide partijen gebruiken bedrijven vaak allerlei preventieve maatregelen om hun gegevens te beveiligen, maar is niet altijd duidelijk hoe een aanval kan worden gedetecteerd of er kan worden gekeken dat de genomen maatregelen ook echt werken.

Om hierbij te helpen hebben het NCSC en de AIVD de 'Handreiking voor implementatie van detectie-oplossingen' gepubliceerd. Met deze handreiking willen beiden partijen Information Officers en technisch specialisten informeren over nut en noodzaak om in een zo vroeg mogelijk stadium te ontdekken of er een incident is in een netwerk. Ook bevat de handreiking praktische tools, technieken en tips om detectie-oplossingen te testen.

Hoewel het document ingaat op het monitoren van verkeer en processen om incidenten te detecteren, is het volgens de AIVD en NCSC belangrijk om te beseffen dat deze activiteiten geen alles oplossend antwoord geven op alle beveiligingsproblemen. "Het is en blijft van belang om het grotere geheel te zien. Dit betekent dat preventieve maatregelen zoals het versleutelen van data, het beveiligen van verbindingen en het creëren van bewustzijn over risico’s bij gebruikers nog altijd net zo belangrijk zijn", aldus de 44 pagina's tellende handreiking (pdf).

Reacties (15)
30-11-2015, 16:46 door [Account Verwijderd]
[Verwijderd]
30-11-2015, 17:15 door Anoniem
Ja,dat is raar inderdaad,ze zijn juist zo voor makkelijker af kunnen tappen bij netwerkverkeer e.t.c en nu geven ze advies over beveiliging.
Maar net iets anders denk ik dat bedrijven,lekken of een achterdeurtje verzwegen blijft bij dat advies.
Zodat dan toch de Dienst erin kan snuffelen in het netwerkverkeer van die bedrijven.
Ja ja,want een geheime dienst zou een geheime dienst niet kunnen zijn,als ze geen internet en dataverkeer af konden tappen.
30-11-2015, 17:44 door Anoniem
AIVD en NCSC geven bedrijven advies...
Laat maar. Geen interesse in wat dan ook afkomstig van deze twee organisaties.
30-11-2015, 20:17 door karma4
Door Anoniem:
Ja ja,want een geheime dienst zou een geheime dienst niet kunnen zijn,als ze geen internet en dataverkeer af konden tappen.
Klopt want wat dacht je wat voor werk ze te doen hebben?
Ik geloof niet: a/ zoete broodjes bakken b/ hondehokken timmeren c/ openbaar volksvermaak bieden
30-11-2015, 21:43 door Anoniem
Ik meen dat de veiligheidsdiensten tekort wordt gedaan. Daarom wil ik ook graag reageren.
Mijn positie: Ik ben militair, ik werk in de informatiebeveiliging, ik ben groot voorstander van privacy, ik weet welke offers er in het verleden zijn gebracht voor onze vrijheid. Ik schrijf dit op persoonlijke titel.

De veiligheidsdiensten hebben opdracht te speuren naar zaken die de staatsveiligheid in gevaar brengen. Terrorisme is zo iets. Economische spionage ook. Ik hoop dat onze veiligheidsdiensten hun werk goed doen. Dat is ook in mijn belang. Zowel voor mijn vrijheid als ook voor mijn welvaart.

Ik vind het dan ook belangrijk dat de bevoegdheden van onze veiligheidsdiensten passen bij hun opdracht. Tegelijkertijd vindt ik het ook belangrijk dat mijn persoonlijke vrijheid wordt gerespecteerd. Mijn privacy (zelfbeschikking over info die over mij gaat) betekent nu en voor (veel) later mijn vrijheid. Hoe meer onze veiligheidsdiensten wettelijke inperking hebben over wat zij met de vergaarde informatie kunnen doen, des te ruimer mag wat mij betreft de verzamelbevoegdheid zijn. In de wet op de Inlichtingendiensten staat expliciet dat de veiligheidsdiensten informatie uitsluitend mogen verzamelen voor de doelstelling staatsveiligheid. Er staat zelfs expliciet dat de gegevens zelfs niet gebruikt mogen worden voor het opsporen van strafbare feiten. Wat mij betreft mogen de veiligheidsdiensten dus alles (over mij) verzamelen. Dit wordt extern gecontroleerd en gerapporteerd naar de Tweede Kamer. En dit is de enige werkbare manier.

Wat (volgens mij) helaas niet voldoende geregeld is, dat is oneigenlijk gebruik van informatie dat op alle andere plaatsen op basis van (meestal niet echte) vrijwilligheid wordt verzameld. Zo kon de belastingdienst op grond van haar wettelijke opsporingsbevoegdheden de informatie vorderen bij een parkeerbedrijf. Om de frauduleuze leaserijder te vangen. Er kwam protest, maar zelfs de rechter stelde de belastingdienst in het gelijk. Gelukkig heeft de rijksoverheid later opgemerkt dat dit buitenproportioneel is en deze opsporing is (voor zover ik weet) beeindigd. (de lessen: wettelijke proportionaliteit aanbrengen in hergebruik van data, meer wettlijke zelfbeschikking in datasets, kortere vernietigingstermijn van ruwe data). Niettemin is hiermee imagoschade voor de rijksoverheid ontstaan. En dat straalt natuurlijk af naar de veiligheidsdiensten.

Dan kom je op de opstelling van de veiligheidsdiensten.
1. Ja. De veiligheidsdiensten (en het NCSC) is er veel aan gelegen dat Nederlandse organisaties en burgers ook in het digitale verkeer veilig zijn. En ja, dat betekent dat er veel adviezen worden gegeven aan de Nederlandse samenleving. Dat is niet strijdig, maar juist helemaal in overeenstemming met de taken van de veiligheidsdiensten.
2. Ja. De veiligheidsdiensten willen uitgebreid informatie vergaren. Informatie verzamelen is het belangrijkste middel van een veiligheidsdienst (in de inlichtingen taak). En nee, die informatie wordt niet voor andere doeleinden gebruikt dan alleen staatsveiligheid.

Bertholee (AIVD) zegt : "hoeveel veiligheid wil je opgeven voor je privacy?". Betholee mag zich overigens bedenken dat de staat er primair is om mij maximale vrijheid te bezorgen. Daar hebben velen in de Tweede Wereldoorlog hun leven voor gegeven.
Benjamin Franklin zei: "Those who desire to give up freedom in order to gain security will not have, nor do they deserve, either one".
Bovenstaand worden privacy, vrijheid en veiligheid met elkaar in verband gebracht. Ik meen dat privacy een voorwaarde is om vrijheid te behouden. Niettemin heb ik veiligheid nodig om mijn vrijheid te kunnen gebruiken. Als de veiligheidsdiensten informatie over mij vergaren én als die veiligheidsdiensten niets anders met deze informatie mag doen dan alleen staatsveiligheid te dienen, dan heb ik nog steeds zelfbeschikking over informatie in het (semi) publieke domein die over mij gaat. Dan heb ik nog steeds mijn vrijheid. Met deze aanvulling heeft Bertholee meer dan gelijk. Ik geef dan namelijk géén privacy op voor mijn veiligheid. Als hier misbruik van gemaakt wordt, dan heeft de staat gefaald, dan hebben we een groter probleem dan mijn privacy.

Ik ben veel banger voor het informatiegraaien (nu wel) van allerhande commerciele en/of publieke organisaties. Ongeacht de goede bedoelingen die zij steeds (vooral voor zichzelf) hebben. Die hebben namelijk niet een wettelijke inbeperking als de veiligheidsdiensten (denk aan het parkeerbedrijf, denk aan de belastingdienst; denk aan de apps, de Internet of Things, de auto's, de CV thermostaten, de ....). Ik geloof zelfs dat onze volgende grote probleem gaat bestaan uit Internet Of Things violations of Privacy.

Mijn opstelling:
Ik zal alles wat ik kan vercijferen (maar meestal kan de ontvanger niet ontcijferen).
Ik zal me zo weinig mogelijk (digitaal) laten volgen (maar heb altijd wel mijn smartphone bij).
En vroeg of laat heb ook ik een nieuwe auto nodig ;-)
Ik maak me wel druk om de heel grote bedrijven die gericht zijn op hun winstmaximalisatie, hun risicoinperkingen (hoe ruw heb ik gereden vs mijn garantie en verzekering)
Ik maak me heel druk om onbedoelde effecten van dataverzamelingen bij derden (bijv uit IoT)
Ik maak me helemaal niet druk om de veiligheidsdiensten. Die zijn wettelijk ingeperkt.

Tot slot
Ik weet dat veiligheidsdiensten informatie uitwisselen met buitenlandse diensten. Ik weet dat veel buitenlandse diensten in hun opdracht ook hebben staan dat zij commerciele spionage moeten uitvoeren ten faveure van de economische positie van hun landen. Ik veronderstel en verwacht (weet dat dus niet) dat het gepast gebruik van de uitgewisselde informatie is geregeld. Bijv over welke info wordt uitgewisseld, bijv over de reikwijdte van het gebruik, of nog anders.
30-11-2015, 23:24 door [Account Verwijderd]
Door MAC-user: Toch leuk om te horen van een organisatie die graag in je eigen post wil snuffelen..

Hilarisch wanneer ze een advies aan burgers zouden geven.
01-12-2015, 03:25 door Anoniem
Door Anoniem:
AIVD en NCSC geven bedrijven advies...
Laat maar. Geen interesse in wat dan ook afkomstig van deze twee organisaties.
Waarom niet? Geen interesse in beveiliging, weet je het beter, heb je geen vertrouwen, iets anders?
01-12-2015, 07:29 door Anoniem
Door Rotsmoel:
Door MAC-user: Toch leuk om te horen van een organisatie die graag in je eigen post wil snuffelen..

Hilarisch wanneer ze een advies aan burgers zouden geven.
Sterker nog, ze tappen alle gemeentelijke netwerken onder het mom van 'security monitoring' en hebben daardoor toegang tot vrijwel het gehele gemeentelijke netwerk. In feite maakt het geen zak uit of ze meer bevoegdheden gaan krijgen want die hebben ze al, de discussie is alleen een soort schijndiscussie om het klootjesvolk de illusie te geven dat deze nog iets te zeggen hebben. Maar in deze parlementaire dictatuur is dat natuurlijk al jaren niet meer het geval.
01-12-2015, 08:35 door Overcome
Door Rotsmoel:
Door MAC-user: Toch leuk om te horen van een organisatie die graag in je eigen post wil snuffelen..

Hilarisch wanneer ze een advies aan burgers zouden geven.

Nogal kortzichtige reacties hierboven. Heeft een van de posters überhaupt het document doorgebladerd, of wordt er gewoon wat geroepen? Om een voorbeeld te noemen: vanwaar de referentie naar "advies aan burgers"? De scope van het artikel is "Information Security Officers en technisch specialisten, opererend op de tactische en operationele laag binnen een organisatie." Burgers staan daar los van.

Ik vind het helemaal geen slecht document en is denk ik best geschikt voor een bedrijf dat in één overzicht wil weten wat er allemaal bij detectie komt kijken. Hoewel de informatie zeker niet nieuw is (er zijn de nodige special publications van de NIST die veel beschreven facetten veel grondiger behandelen, zoals bijvoorbeeld de incident response handling op http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf), geeft het een duidelijk overzicht van verschillende relevante onderwerpen en aandachtspunten. Dat staat los van het aftapgedrag van de AIVD en de discussie die nu speelt rondom de nieuwe wet- en regelgeving van Plasterk.

Een mogelijk probleem dat ik zie is dat het een té generiek document is, hoewel dat mogelijk de bewuste scope is van het document. Zoals wel vaker is de implementatie van detectie-oplossingen heel wat weerbarstiger en heel wat lastiger te realiseren dan een document zoals dit doet voorkomen. Helaas zijn die hands-on documenten met praktische tips veelal niet ruimschoots aanwezig en loopt ieder bedrijf daardoor apart tegen die muren aan. Misschien een idee voor een vervolgartikel.
01-12-2015, 08:52 door Anoniem
@anoniem, 30-11, 21:43
Wat mij betreft mogen de veiligheidsdiensten dus alles (over mij) verzamelen.
En mogelijk wijzigingen in wat de geheime dienst en de rest van de overheid mogelijk in de toekomst wel met die informatie mag, dat maakt je niks uit? Er is namelijk niets dat garandeert dat wat ze in de toekomst mogen met de data over jou niet verruimd wordt. Dat is voor mij de belangrijkste reden dat ik niet wil dat de overheid allerlei informatie over mij verzameld zonder dat ik daar zicht op heb of de mogelijkheid heb om foute informatie te laten corrigeren of zelfs te laten verwijderen.

Dit wordt extern gecontroleerd en gerapporteerd naar de Tweede Kamer.
Ja, en we hebben de afgelopen tijd gezien hoe effectief dat gebeurt. De AIVD heeft willens en wetens tegen de wet in advocaten afgeluisterd. We hebben dus hier te maken met een organisatie die onschuldige mensen bespioneert en zich niet aan de wet houdt. Voor mij een reden om de AIVD op een lijn te zetten met internet criminelen en er alles aan te doen om die ongewenste personen buiten de (digitale) deur te houden.
01-12-2015, 08:54 door PietdeVries - Bijgewerkt: 01-12-2015, 08:55
Door Overcome: Nogal kortzichtige reacties hierboven. Heeft een van de posters überhaupt het document doorgebladerd, of wordt er gewoon wat geroepen? Om een voorbeeld te noemen: vanwaar de referentie naar "advies aan burgers"? De scope van het artikel is "Information Security Officers en technisch specialisten, opererend op de tactische en operationele laag binnen een organisatie." Burgers staan daar los van.

Beste Overcome,
Ik ben het helemaal eens met je beschrijving van het overgrote deel van de reacties hier - niet alleen op dit artikel, maar op security.nl in het algemeen. Bij elk stuk waarin de AIVD wordt genoemd, of de NCSC, wordt steevast de hele trukendoos waar je hierboven een deel van zag opengehaald. De mopperende mannetjes van de Muppets zijn er tam bij!
Het punt is dat security maar een deel van de "gouden driehoek" is - security, usability, features (pick any two). Door te hameren op security verminder je dus of de features, of de usability. Dat zie je overal terugkomen: wachtwoorden die elke 30 dagen moeten worden gewijzigd, liefst in iets van 12 karakters. Geen WPS om makkelijk je wifi op te zetten - dat wordt gekraakt. Geen Wifi in de auto - de AIVD kijkt mee. Vooral niks op Facebook zetten, want de NSA kijkt ook mee. De hele overheid verplicht aan de PGP (onbruikbaar - maar oh zo veilig). Whatsapp? Bedacht door de duivel! (beetje jammer dat 3 miljard klanten er anders over denken). De frustratie komt denk ik voort uit het feit dat 'ze' voelen een roepende in de woestijn te zijn, immers iedereen gebruikt WPS, Wifi in de auto is geweldig, en Whatsapp: wie kan er zonder?

Anyway - wen er maar aan, het wordt niet beter ;-)
01-12-2015, 08:55 door Anoniem
Wat veel mensen niet weten is dat de AIVD zowel verantwoordelijk is voor het verzamelen van inlichtingen (door afluisteren o.a.), als voor de informatiebeveiliging van de overheid. Beide afdelingen zijn ook vertegenwoordigd bij de AIVD, in welke mate de afdelingen samenwerken blijft altijd een heikel punt. Dat de AIVD en NCSC zo'n document publiceren is niet echt raar, dit had namelijk al veel eerder moeten gebeuren.
01-12-2015, 10:34 door Anoniem
Document gelezen ..zo bijzonder is het allemaal niet. Loop al langer mee dan menigeen die daar uberhaupt werkt.

Al die geheime diensten behoeden ons voor terroristische aanslagen. De wereld is een stuk grimmiger dan elke European kan vermoeden. Al jaren lang gaat er wereldwijd minstens 1 bom per dag af buiten Europa en dat aantal neemt toe. En nu komt het ook naar Europa. Ik volg dit al jaren en ik vind het bijzonder beangstigend.

En ik vind het goed dat die instaties er zijn en sommige zaken zijn gewoon noodzakelijk.

Echter waar ik altijd last van heb is de kwantitieve aanpak van bedrijven ...Op zich logisch maar je zou het graag anders willen. Door deze aanpak zijn in feite alle bedrijven zo lek als een mandje want er is geen threat...die ze kunnen zien of waarnemen. Het staat in feite allemaal op losse schroeven..

Wat ik veel interessanter vind hoe is het met die Britse Karma instantie is dat wel veilig? Die kunnen ook wel een piatje gebruiken..oke galgen humor.

Want ik moet er niet aan denken als dat gehackt wordt...

Security by obscurity..


De azijnzeiker.
01-12-2015, 12:57 door Anoniem
[@anoniem, 01-12, 08:52
Wat mij betreft mogen de veiligheidsdiensten dus alles (over mij) verzamelen.
En mogelijk wijzigingen in wat de geheime dienst en de rest van de overheid mogelijk in de toekomst wel met die informatie mag, dat maakt je niks uit? Er is namelijk niets dat garandeert dat wat ze in de toekomst mogen met de data over jou niet verruimd wordt. Dat is voor mij de belangrijkste reden dat ik niet wil dat de overheid allerlei informatie over mij verzameld zonder dat ik daar zicht op heb of de mogelijkheid heb om foute informatie te laten corrigeren of zelfs te laten verwijderen.

Ja, dat maakt mij wel uit. De wet is nu expliciet wat er wel mag en alle andere dingen mogen niet. Hier heb ik vrede mee. Het is inderdaad denkbaar dat er verruiming komt. Daar ben ik ernstig op tegen. Het zou betekenen dat de rechtszekerheid van burgers er niet meer is. Het zou betekenen dat dat ieder op voorhand zich gaat indekken omdat ieder zich op den duur bespioneerd zou gaan voelen. Het zou betekenen dat naar een politiestaat wordt afgegleden. Hoewel ik onze volksvertegenwoordigers over het algemeen als digibeten zie, meen ik dat er voldoende common sense is dat zij dit gevaar zien. Ik geloof dat juist dit ook de reden is van de zo nadrukkelijke inperking van gebruik van de data. Nogmaals: hier heb ik vrede mee.
Uw bezwaar herken en erken ik natuurlijk. Een mogelijkheid om de effecten van een evt latere verruiming van gebruik te beperken is een verplichte vernietiging van de informatie (als er geen specifieke staatsveiligheidsreden voor lang bewaren bestaat) na een bepaald moment. Dan kan een eventuele verruiming van gebruik niet leiden tot een historisch plaatje waar je zelf niet blij mee bent.


Dit wordt extern gecontroleerd en gerapporteerd naar de Tweede Kamer.
Ja, en we hebben de afgelopen tijd gezien hoe effectief dat gebeurt. De AIVD heeft willens en wetens tegen de wet in advocaten afgeluisterd. We hebben dus hier te maken met een organisatie die onschuldige mensen bespioneert en zich niet aan de wet houdt. Voor mij een reden om de AIVD op een lijn te zetten met internet criminelen en er alles aan te doen om die ongewenste personen buiten de (digitale) deur te houden.[/quote]
Ja. Ik begrijp wat je bedoelt. Ik heb hier geen studie naar gedaan. Ook ik heb alleen maar informatie uit de media en die heb ik niet eens scherp. Ik denk dat hier twee vergaande bevoegdheden met elkaar strijden. De vergaande bevoegdheid van de veiligheidsdiensten om informatie te verzamelen met als doel de staatsveiligheid te verzamelen. En de vergaande bevoegdheid van verdachten en advocaten om met elkaar vertrouwelijk te overleggen. Deze laatste zie ik als een van de belangrijkste principes om de rechtsstaat te behouden. De veiligheidsdienst kan menen dat de verzamelde informatie toch niet in een rechtszaak gebruikt mag worden. De advocaat wil elke twijfel over de vertrouwelijkheid weg hebben. Bij een zaak die ook de staatsveiligheid betreft is er dan een dilemma. Ik denk dat hier inderdaad de vertrouwelijkheid tussen advocaat en verdachte voorrang zou moeten hebben. Daar zal niet iedereen het mee eens zijn.
Het goede aan deze zaak is dat het wel naar buiten is gekomen. Volgens mij omdat advocaten de bel hebben geluid. Maar hoe dan ook heeft het externe toezicht de zaak wel gerapporteerd. Dit zegt dat de diensten wel fouten maken (of verkeerde afwegingen maken) en het zegt ook dat toezicht uiteindelijk wel werkt.
01-12-2015, 16:53 door Profeet
@ 21:43 door Anoniem
Laat ik ten eerste is zeggen dat het goed is dat mensen "van binnen uit" (op persoonlijke titel of niet) de discussie aangaan.

Ik denk dat zelf dat het grootste probleem in deze zaken nooit benoemd wordt. We hebben het over de veiligheidsdiensten of de overheid. Totaal anonieme begrippen die het onderling of zelfs intern al met elkaar oneens zijn. Het werkelijke probleem is volgens mij de cultuur: Deze diensten (en de maatschappij in zijn geheel) zijn totaal de weg kwijt door 1000 jaar aan oorlog en angst terreur. The War on...... communisme / drugs / terreur, en daarvoor had je religie met zijn War on ketters/Satan. En hebben 1 van deze oorlogen het probleem waar ze tegen streden opgelost? Nope.


De Staat veranderd (gedreven door angst van zichzelf en zijn burgers) "langzaam" in de nieuwe inquisitie. Anders denkende moeten bestreden worden want die haten onze goedheid..... Privacy hoeft niet want bonuspas,...Werkelijk? Serieus?!.... Het is de propagandist die zijn eigen angst boodschap zo vaak herhaald heeft dat hij hem nu zelf ook gelooft. Een vorm van extreme beroepsdeformatie zeg maar.


Ik begrijp wat u (staat/leger/aivd) probeert te bereiken, maar ik zeg u, U bent onderdeel van het probleem aan het worden. Een dogmatische blik dat alles wat de ander doet onterecht en ongeprovoceerd is en wij altijd alleen maar slachtoffer zijn. Het gaat te ver om nu in alle details te treden, maar iedereen kan weten wat de rol van westerse personen is (ja die zitten ook binnen de staat/leger/veiligheidsdiensten) in het creëren van terrorisme. Uiteraard is dat wat anders als dat iedereen het ook wil weten. Zolang wij niet stoppen met het doelbewust creëren van deze vijanden, is het echt hypocriet om aan mij te gaan vragen dat de balans verschoven moet worden voor mijn eigen veiligheid. De realiteit van dit alles is dat ik justitie/aivd/etc net zulke dogmatische extremisten vind als IS.

Ik kan hier nog een hele boom opzetten over alle tekenen van een schizofrene of psychotische maatschappij. Maar ik zal het kort houden:
Oorlog voor Vrede

Ik zeg:
Eerst is goed in de spiegel kijken wie we zelf geworden zijn. Daarna kunnen we het weer over dreigingen van buitenaf hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.