CSR vraagt Grapperhaus om informatie over cyberincidenten sneller te delen
De Cyber Security Raad (CSR) heeft minister Grapperhaus van Justitie en Veiligheid in een brief gevraagd om informatie over cyberincidenten sneller met burgers en bedrijfsleven te delen. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie, informeert nu alleen de Rijksoverheid en vitale aanbieders over kwetsbaarheden, aanvallen en gecompromitteerde systemen.
"Een van de belangrijkste instrumenten om de cyberweerbaarheid van organisaties en burgers te verhogen, is hen snel te informeren wanneer hun it-systemen kwetsbaarheden vertonen of gehackt zijn. Ons Nationaal Cyber Security Centrum is aangewezen als ons nationaal centraal contactpunt en ontvangt in die hoedanigheid elke dag duizenden meldingen over Nederlandse ip-adressen waar zich gecompromitteerde systemen bevinden", schrijft het CSR in de brief.
Om ook andere organisaties te kunnen bedienen die geen onderdeel van de Rijksoverheid en vitale aanbieders zijn, is in 2018 begonnen met een Landelijk Dekkend Stelsel (LDS). In het LDS wisselen publieke en private partijen, zoals CERTs, sectorale en regionale samenwerkingsverbanden, het NCSC en het Digital Trust Center (DTC), informatie en kennis uit over dreigingen, incidenten en kwetsbaarheden. Het LDS is echter nog in opbouw.
Begin deze maand liet minister Grapperhaus weten dat er wordt gekeken of het NCSC in bijzondere gevallen informatie rechtstreeks aan individuele organisaties kan verstrekken die geen deel uitmaken van de Rijksoverheid of van de vitale infrastructuur in Nederland. Daarnaast wordt overwogen om het NCSC vertrouwelijk herleidbare informatie over aanbieders, zoals ip-adressen, met OKTT’s te laten delen.
OKTT’s (Organisaties die Kenbaar Tot Taak) zijn schakelorganisaties die weer andere organisaties kunnen waarschuwen. In dit geval zouden de OKTT's de betreffende aanbieders in hun achterban over de informatie van het NCSC kunnen informeren. De Cyber Security Raad steunt de plannen van Grapperhaus, maar stelt dat het nog waarschijnlijk twee jaar zal duren voordat de benodigde wetswijzigingen zijn doorgevoerd die het NCSC toestaan om met meer partijen informatie te delen.
Vooruitlopend op de voorgestelde wetswijzigingen adviseert de CSR om nu al informatie over cyberincidenten met OKTT's te delen. "Dit komt ten goede aan de bescherming van de belangen van de duizenden bedrijven, organisaties en burgers die nu niet geïnformeerd worden, terwijl de overheid wel informatie heeft dat zij slachtoffer of kwetsbaar zijn", aldus de Cyber Security Raad. De Raad is een adviesorgaan van het kabinet en bestaat uit vertegenwoordigers van publieke en private organisaties en de wetenschap.
Hoewel het in de praktijk net even krommer gaat, je gaat ook geen auto's afnemen van een fabrikant die keer op keer op keer de auto maar half rijdend weet te krijgen en steeds tussendoor extra onderhoudsbeurten moet krijgen om operationeel te blijven.
In context van nog meer automatisering steeds verder doorvoeren in de eigen dienstverlening en dus de hele samenleving door de strot willen duwen is een rem hierop juist nu op z'n plek (jezelf als overheid beheersen). Oftewel stop met het creeren van nog meer ingangen van digitale kwetsbaarheden.
Daarnaast is het steeds updaten (naar de garage brengen van je ICT) duidelijk onvoldoende zolang je je als politiek allerlei goedbedoelde scherp afgebakende doelen en eisen over weerbaarheid van internet gaat uitbesteden aan mooie woorden, mooie uitkomsten en mooie vooruitgang terwijl de kwetsbaarheden in de ICT slechts in een flits van een seconde boven komen drijven. Oftewel, een minimale detectie-graad op ICT vlak kan geen maximaal resultaat bieden.
Een maximale detectie-graad is onverkort een Orwelliaans concept.
Ergens daartussen is geen kwestie van goede balans vinden, maar een middenweg zoeken maar ondertussen een scheepladen aan hacks en kwetsbaarheden missen.
Doe dan ook niet bij ontstane hacks alsof.
Doe niet alsof je aardig hebt kunnen vaststellen wat de omvang van de hack daadwerkelijk was, of dat je met de eerste voortijdige inzichten toch goed bezig was.
Nee, je hebt consequent gekozen voor een operationeel model (ICT) met chronisch korte levenscycli en volwassenheid van producten die welliswaar ver ontwikkeld is maar desondanks toch kwakkelende veiligheid biedt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
