image

Dijkhoff: Energiebedrijven zelf verantwoordelijk voor it-security

donderdag 24 augustus 2017, 13:31 door Redactie, 4 reacties

Energiebedrijven zijn zelf verantwoordelijk voor hun informatiebeveiliging, zo heeft staatssecretaris Dijkhoff van Veiligheid en Justitie op Kamervragen van de PvdA laten weten (pdf). PvdA-Kamerlid Attje Kuiken stelde de vragen naar aanleiding van de Industroyer-malware, ook CrashOverride genoemd.

De malware werd in juni door verschillende securitybedrijven bekendgemaakt en is mogelijk verantwoordelijk voor de aanval op Oekraïense energiebedrijven eind vorig jaar, waardoor 225.000 mensen enkele uren zonder stroom kwamen te zitten. Het PvdA-Kamerlid wilde weten of de Industroyer-malware schade aan Nederlandse energiebedrijven kan aanrichten. Verder vroeg Kuiken of de Rijksoverheid in het geval van de vitale infrastructuur zoals energiebedrijven een verantwoordelijkheid heeft in de bescherming daarvan.

Volgens Dijkhoff wordt in de Nederlandse energiesector veelal gebruik gemaakt van apparatuur en communicatieprotocollen die gelijk zijn aan, dan wel vergelijkbaar met, de apparatuur en protocollen waar de Industroyer-malware zich op richt. "Dit is inherent aan standaardisering en interoperabiliteit. Het is niet uit te sluiten dat de malware ingezet zou kunnen worden tegen systemen van Nederlandse energiebedrijven", aldus de staatssecretaris.

Hij merkt op dat een aanvaller die de malware wil inzetten eerst van buitenaf toegang tot het netwerk van het doelwit dient te krijgen. "Het is qua weerbaarheid dan ook zaak dat partijen er zorg voor dragen dat een aanvaller van buitenaf niet binnendringt op het netwerk om deze aanvalstechniek in te zetten", aldus Dijkhoff, die stelt dat het installeren van software-updates en het implementeren van detectie- en monitoringoplossingen hierbij kan helpen.

Verantwoordelijkheid

Als het gaat om het managen van cybersecurityrisico's en de verantwoordelijkheid voor de informatiebeveiliging, ligt dit volgens Dijkhoff primair bij de energiebedrijven zelf. Wel werken overheid en vitale organisaties in Nederland samen aan de bescherming van de vitale infrastructuur. "De rol van de overheid wordt in generieke zin onder andere ingevuld door middel van wet- en regelgeving", laat de staatssecretaris weten. Daarnaast worden er via het Nationaal Cyber Security Centrum (NCSC) aan vitale organisaties adviezen over dreigingen gegeven en waar nodig bijstand verleend.

Reacties (4)
24-08-2017, 16:01 door Anoniem
Daarnaast worden er via het Nationaal Cyber Security Centrum (NCSC) aan vitale organisaties adviezen over dreigingen gegeven en waar nodig bijstand verleend.

De werkelijkheid is eerder omgekeerd; het NCSC ontvangt van vitale organisaties adviezen (danwel van andere partijen uit de IT sector, zoals hard- en software leveranciers), en dient veelal als doorgeef luik voor het delen van de informatie met andere partijen. De politiek profileert de overheid natuurlijk graag als de ''expert'' waar het bedrijfsleven van kan leren.
24-08-2017, 17:43 door Anoniem
Door Anoniem:
Daarnaast worden er via het Nationaal Cyber Security Centrum (NCSC) aan vitale organisaties adviezen over dreigingen gegeven en waar nodig bijstand verleend.

De werkelijkheid is eerder omgekeerd; het NCSC ontvangt van vitale organisaties adviezen (danwel van andere partijen uit de IT sector, zoals hard- en software leveranciers), en dient veelal als doorgeef luik voor het delen van de informatie met andere partijen. De politiek profileert de overheid natuurlijk graag als de ''expert'' waar het bedrijfsleven van kan leren.
Alsof je geen experts nodig hebt om informatie te analyseren, trends te herkennen en advies te formuleren die voor iedereen geschikt is. Anders hadden die vitale organisaties het van hun eigen centen wel geregeld.
25-08-2017, 07:26 door Anoniem
Door Anoniem: De werkelijkheid is eerder omgekeerd; het NCSC ontvangt van vitale organisaties adviezen (danwel van andere partijen uit de IT sector, zoals hard- en software leveranciers), en dient veelal als doorgeef luik voor het delen van de informatie met andere partijen. De politiek profileert de overheid natuurlijk graag als de ''expert'' waar het bedrijfsleven van kan leren.
Een doorgeefluik is passief, dat wordt geopend en gesloten door iemand die iets doorgeeft (bijvoorbeeld tussen de keuken en de gastenruimte van een restaurant) en doet zelf helemaal niets.

NCSC monitort actief, verzamelt actief informatie en geeft advies. Dat is niet passief. Advies geven vergt kennis en inzicht in zowel de materie in het algemeen als van de specifieke situatie van de geadviseerde in het bijzonder. Ze zijn duidelijk actiever dan een doorgeefluik. Hoe ze zichzelf omschrijven, als informatieknooppunt en expertisecentrum, doet meer recht aan wat ze zijn dan jouw omschrijving.

En denk je trouwens dat er veel experts op welk gebied dan ook rondlopen op aarde die alles wat ze weten zelf hebben ontdekt? Iedereen met kennis geeft in belangrijke mate kennis van anderen door. Een expert doet meer dan dat, die snapt de kennis die hij doorgeeft en kan er uitleg en advies bij geven. NCSC voldoet volgens mij aan dat beeld.
25-08-2017, 10:00 door Anoniem
Mensen zijn er ook zelf verantwoordelijk voor om geen misdaden te begaan maar het helpt wel als de overheid daar ook een beetje op stuurt...

Zoals het bedrijfsleven ook steeds de overheid smeekt om wat aan het milieu te doen (want als er regels komen die voor iedereen gelden, dan kunnen bedrijven er best mee uit de voeten maar ieder voor zich begint niks en onderling afspraken maken mag dan weer niet van de overheid) zo helpt het energiebedrijven ook een stuk op weg als de overheid strengere eisen stelt aan hun ICT beveiliging, dan moeten ze allemaal en dan hebben ze een goede (economische) reden om dat te doen.

Bovendien, net zoals we toch van de overheid verwachten een rol te spelen in de volksgezondheid, verwachten we ook van de overheid dat ze de kritische infrastructuur een beetje in de gaten houden. Als de overheid alles aan de markt over wil laten, waarom betalen we dan de overheid nog? Om eindeloos te dimdammen op vijfsterrenlocaties over een nieuw kabinet, zeker?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.