Nieuws
image

VNO-NCW en MKB-Nederland willen breder mandaat NCSC

vrijdag 17 januari 2020, 12:36 door Redactie, 9 reacties

VNO-NCW en MKB-Nederland willen dat het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid een breder mandaat krijgt zodat informatie over cyberdreigingen niet alleen met overheden en vitale sectoren wordt gedeeld, maar ook met organisaties daarbuiten.

"Wat ons betreft wordt het mandaat van het NCSC echt verbreed", zegt een woordvoerder van beide koepels tegenover het FD. Aanleiding voor de uitspraken zijn de ontwikkelingen rondom het ernstige beveiligingslek in Citrix. Het NCSC staat overheden en de vitale sector bij met beveiligingsadvies. Op de website van het NCSC zijn echter beveiligingsadviezen te vinden waarin de dienst voor allerlei kwetsbaarheden waarschuwt. Deze adviezen zijn voor iedereen toegankelijk. Sinds 18 december vorig jaar is er gewaarschuwd voor de kwetsbaarheid in Citrix. Op 24 december, 9 januari en 11 januari volgden updates.

Sommige partijen vinden dat het NCSC meer en proactiever moet communiceren. De overheidsinstantie kan zich daar niet in vinden. "Als de politie zegt: je moet een hangslot hebben, dan hangen ze het ook niet proactief al voor je aan de deur', aldus een woordvoerder van het NCSC. Wat betreft het verbreden van het mandaat is dit volgens de overheidsinstantie een politieke beslissing. Hans Biesheuvel, voorzitter van ondernemersorganisatie ONL, stelt tegenover het FD dat bedrijven zelf meer kunnen doen. "Er is bij kleine bedrijven weinig aandacht voor cyberveiligheid."

Reacties (9)
17-01-2020, 12:49 door Erik van Straten
Onzin. In https://security.nl/posting/639598 schreef ik gisteren al:

De verantwoording hiervoor ligt ALTIJD primair bij de eigenaar/beheerder van systemen. Het NCSC, of welke externe adviserende partij dan ook, heeft geen idee welke hardware en software jij in huis hebt, en welke versies.

Het hoort een taak te zijn van een of meer aangewezen personen -in elke organisatie die gebruik maakt van ICT- om ervoor te zorgen dat ze op de hoogte zijn en blijven van actuele dreigingen. Op z'n minst zorg je dat je bent ingeschreven op maillijsten van de betrokken leveranciers, maar het is altijd verstandig om actief security-nieuws in de gaten te houden.

Elke organisatie die hier geen mensen voor in dienst heeft, of niet in de SLA heeft opgenomen dat een ICT onderhoudspartij dit voor haar rekening neemt, is geen knip voor de neus waard v.w.b. security.
17-01-2020, 12:58 door Anoniem
De kwetsbaarheid was in december al met een high:high bekend gemaakt. Je had er toen ook naar kunnen handelen. Niet nu gaan zitten huilen en met vingertjes wijzen, omdat je zelf een maand niks hebt gedaan.
17-01-2020, 12:58 door Anoniem
Zoiets heeft het NCSC al, namelijk het NDN: https://www.ncsc.nl/aan-de-slag/deelnemen-aan-het-ndn
17-01-2020, 13:10 door Anoniem
"Als de politie zegt: je moet een hangslot hebben, dan hangen ze het ook niet proactief al voor je aan de deur'

Nee, maar niet iedere deur is onderdeel van de "vitale infrastructuur". Het NCSC is mede opgericht om de "vitale infrastructuur" te beschermen, en daar nu juist wel die "extra stap" te zetten.

De vraag is wat er onder "vitale infrastructuur" verstaan moet worden. Ziekenhuizen vallen daar nu onder het huidige mandaat kennelijk (nog) niet onder. En dat kan gemakkelijk worden aangepast: dat betekent een breder mandaat voor het NCSC. Volledig eens..

En uit de berichtgeving blijkt dat ook een "regionale luchthaven" zich onder de 700 kwetsbare Citrix servers bevond. Valt deze niet onder de "vitale infrastructuur"?

Het NTSC heeft op 16 december een eerste waarschuwing gepubliceerd op haar site. De alertheid is dus in orde. Nu nog de actieve communicatie. Het moet toch niet moeilijk zijn om een gedifferentieerd (email) waarschuwingssysteem in te richten. Heeft u Citrix, Windows, Android (of om het even welk ander platform / software) ... u krijgt van het NTSC een mailtje.

Of misschien volstaat een dagelijks bezoek aan:
https://www.ncsc.nl/actueel/beveiligingsadviezen
17-01-2020, 13:19 door Anoniem
Zolang veel bedrijven denken dat je met compliancy de zaken oplost gebeurt er niets nuttigs. Dat zou het advies van VNO-NCW en MKB-Nederland aan hun achterban moeten zijn.

Praatjes vullen geen beveiligingsgaatjes.
17-01-2020, 16:53 door Anoniem
Rijksoverheden hebben al de mogelijkheid hun technische footprint en ip nummerplan te delen zodat het ncsc op maat informatie over kwetsbaarheden stuurt als deze zich voordoen. Het zou fijn zijn als ioc's met kleine en middelgrote bedrijven gedeeld worden obv abonnement.
17-01-2020, 18:34 door Anoniem
Die VNO-NCW (en de daarmee ondertussen wel heel erg innig verbonden MKB-Nederland) zijn zelf ondertussen niet erg onafhankelijk en behartigend voor hun eigen achterban meer. Wel een handige truuk om je landjepik voor te bereiden door een onafhankelijk-lijkende maar je vrindelijk gezinde organisatie. Leuk die een-tweetjes toch in bestuurlijk Nederland.
20-01-2020, 11:37 door Anoniem
Grappig dat er nu weer om uitbreiding van een mandaat wordt gevraagd. Het NCSC heeft eerder juist aangegeven de zorg niet meer als een vitale sector te zien. Inmiddels heeft een belangrijk deel van de zorg allang zelf stappen genomen door de Z-CERT op te richten. De aangesloten leden worden continue geïnformeerd over relevante kwetsbaarheden en kunnen dus tijdig maatregelen nemen. De Citrix-problemen bijvoorbeeld waren al ruim voor de kerst bekend bij de leden.
22-01-2020, 20:10 door Anoniem
Door Anoniem: Grappig dat er nu weer om uitbreiding van een mandaat wordt gevraagd. Het NCSC heeft eerder juist aangegeven de zorg niet meer als een vitale sector te zien. Inmiddels heeft een belangrijk deel van de zorg allang zelf stappen genomen door de Z-CERT op te richten. De aangesloten leden worden continue geïnformeerd over relevante kwetsbaarheden en kunnen dus tijdig maatregelen nemen. De Citrix-problemen bijvoorbeeld waren al ruim voor de kerst bekend bij de leden.
Fout: al dan niet aanwijzen van de Zorg als Vitaal doet het ministerie van VWS, het NCSC kan dat niet zelf bepalen. Wel goed dat Z-CERT er is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure