Dijkhoff: Energiebedrijven zelf verantwoordelijk voor it-security
Energiebedrijven zijn zelf verantwoordelijk voor hun informatiebeveiliging, zo heeft staatssecretaris Dijkhoff van Veiligheid en Justitie op Kamervragen van de PvdA laten weten (pdf). PvdA-Kamerlid Attje Kuiken stelde de vragen naar aanleiding van de Industroyer-malware, ook CrashOverride genoemd.
De malware werd in juni door verschillende securitybedrijven bekendgemaakt en is mogelijk verantwoordelijk voor de aanval op Oekraïense energiebedrijven eind vorig jaar, waardoor 225.000 mensen enkele uren zonder stroom kwamen te zitten. Het PvdA-Kamerlid wilde weten of de Industroyer-malware schade aan Nederlandse energiebedrijven kan aanrichten. Verder vroeg Kuiken of de Rijksoverheid in het geval van de vitale infrastructuur zoals energiebedrijven een verantwoordelijkheid heeft in de bescherming daarvan.
Volgens Dijkhoff wordt in de Nederlandse energiesector veelal gebruik gemaakt van apparatuur en communicatieprotocollen die gelijk zijn aan, dan wel vergelijkbaar met, de apparatuur en protocollen waar de Industroyer-malware zich op richt. "Dit is inherent aan standaardisering en interoperabiliteit. Het is niet uit te sluiten dat de malware ingezet zou kunnen worden tegen systemen van Nederlandse energiebedrijven", aldus de staatssecretaris.
Hij merkt op dat een aanvaller die de malware wil inzetten eerst van buitenaf toegang tot het netwerk van het doelwit dient te krijgen. "Het is qua weerbaarheid dan ook zaak dat partijen er zorg voor dragen dat een aanvaller van buitenaf niet binnendringt op het netwerk om deze aanvalstechniek in te zetten", aldus Dijkhoff, die stelt dat het installeren van software-updates en het implementeren van detectie- en monitoringoplossingen hierbij kan helpen.
Verantwoordelijkheid
Als het gaat om het managen van cybersecurityrisico's en de verantwoordelijkheid voor de informatiebeveiliging, ligt dit volgens Dijkhoff primair bij de energiebedrijven zelf. Wel werken overheid en vitale organisaties in Nederland samen aan de bescherming van de vitale infrastructuur. "De rol van de overheid wordt in generieke zin onder andere ingevuld door middel van wet- en regelgeving", laat de staatssecretaris weten. Daarnaast worden er via het Nationaal Cyber Security Centrum (NCSC) aan vitale organisaties adviezen over dreigingen gegeven en waar nodig bijstand verleend.
De werkelijkheid is eerder omgekeerd; het NCSC ontvangt van vitale organisaties adviezen (danwel van andere partijen uit de IT sector, zoals hard- en software leveranciers), en dient veelal als doorgeef luik voor het delen van de informatie met andere partijen. De politiek profileert de overheid natuurlijk graag als de ''expert'' waar het bedrijfsleven van kan leren.
De werkelijkheid is eerder omgekeerd; het NCSC ontvangt van vitale organisaties adviezen (danwel van andere partijen uit de IT sector, zoals hard- en software leveranciers), en dient veelal als doorgeef luik voor het delen van de informatie met andere partijen. De politiek profileert de overheid natuurlijk graag als de ''expert'' waar het bedrijfsleven van kan leren.
NCSC monitort actief, verzamelt actief informatie en geeft advies. Dat is niet passief. Advies geven vergt kennis en inzicht in zowel de materie in het algemeen als van de specifieke situatie van de geadviseerde in het bijzonder. Ze zijn duidelijk actiever dan een doorgeefluik. Hoe ze zichzelf omschrijven, als informatieknooppunt en expertisecentrum, doet meer recht aan wat ze zijn dan jouw omschrijving.
En denk je trouwens dat er veel experts op welk gebied dan ook rondlopen op aarde die alles wat ze weten zelf hebben ontdekt? Iedereen met kennis geeft in belangrijke mate kennis van anderen door. Een expert doet meer dan dat, die snapt de kennis die hij doorgeeft en kan er uitleg en advies bij geven. NCSC voldoet volgens mij aan dat beeld.
Zoals het bedrijfsleven ook steeds de overheid smeekt om wat aan het milieu te doen (want als er regels komen die voor iedereen gelden, dan kunnen bedrijven er best mee uit de voeten maar ieder voor zich begint niks en onderling afspraken maken mag dan weer niet van de overheid) zo helpt het energiebedrijven ook een stuk op weg als de overheid strengere eisen stelt aan hun ICT beveiliging, dan moeten ze allemaal en dan hebben ze een goede (economische) reden om dat te doen.
Bovendien, net zoals we toch van de overheid verwachten een rol te spelen in de volksgezondheid, verwachten we ook van de overheid dat ze de kritische infrastructuur een beetje in de gaten houden. Als de overheid alles aan de markt over wil laten, waarom betalen we dan de overheid nog? Om eindeloos te dimdammen op vijfsterrenlocaties over een nieuw kabinet, zeker?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
