image

Overheid wil bedrijven over specifieke cyberdreigingen gaan informeren

maandag 28 juni 2021, 12:12 door Redactie, 10 reacties

De overheid wil bedrijven over specifieke dreigingen en kwetsbaarheden in hun digitale omgeving gaan informeren, zo blijkt uit een wetsvoorstel van demissionair minister Blok van Economische Zaken. Op dit moment worden bedrijven die niet onder de doelgroepen van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, zoals vitale aanbieders, rijksoverheid en digitale dienstverleners, niet door de overheid geïnformeerd over specifieke dreigingen met betrekking tot hun digitale omgeving, ook al beschikt de overheid wel over deze informatie.

"Op het moment dat bedrijven deze informatie niet krijgen van de overheid kunnen zij slachtoffer worden", zo staat in een uitleg van het wetsvoorstel Wet bevordering digitale weerbaarheid bedrijven. Het wetsvoorstel moet via twee taken de digitale weerbaarheid van ondernemend Nederland bevorderen. Ten eerste wordt de doelgroep voorzien van generieke en algemene informatie over het nemen van beveiligingsmaatregelen. Ten tweede gaat het om het informeren van bedrijven over specifieke dreigingsinformatie als die bekend is bij de overheid.

Volgens de uitleg over het wetsvoorstel kan het delen van deze informatie ervoor zorgen dat erop termijn minder datalekken plaatsvinden. Daarnaast is er geen sprake van marktverstoring door de overheid. "De informatie die bij de overheid ligt over specifieke bedrijven kan niet door marktpartijen (al dan niet betaald) worden gedeeld. Deze taak ligt bij de overheid omdat zij over die informatie beschikt."

Naast het ontvangen van informatie kunnen bedrijven ook worden gevraagd om informatie met de overheid te delen die het informeren van bedrijven moet vergemakkelijken. Het Digital Trust Center van de overheid zou de informatie straks gaan delen. Het wetsvoorstel is nu ter consultatie aangeboden. Er kan tot 23 augustus op worden gereageerd.

Reacties (10)
28-06-2021, 13:27 door Anoniem
niet door de overheid geïnformeerd over specifieke dreigingen met betrekking tot hun digitale omgeving, ook al beschikt de overheid wel over deze informatie.

Waarom hebben ze dan die informatie?

En de ICT bij de Overheid is nogal gammel, dus dat onze Overheid die informatie heeft lijkt mij juist risico verhogend.
28-06-2021, 14:08 door Erik van Straten - Bijgewerkt: 28-06-2021, 14:10
Door Anoniem:
niet door de overheid geïnformeerd over specifieke dreigingen met betrekking tot hun digitale omgeving, ook al beschikt de overheid wel over deze informatie.

Waarom hebben ze dan die informatie?

En de ICT bij de Overheid is nogal gammel, dus dat onze Overheid die informatie heeft lijkt mij juist risico verhogend.
Sterker, veel organisaties hebben hun eigen asset-management/CMDB totaal niet op orde, dus hoe zou een derde dan moeten weten welke systemen jij hebt - met eventuele kwetsbaarheden daarin?

Of willen ICT'ers graag overstelpt worden met waarschuwingen voor systemen die zij helemaal niet hebben? Als je niet elke dag door een volle mailbox wilt ploegen, kun je beter dagelijks https://www.ncsc.nl/actueel/beveiligingsadviezen checken (of, m.i. véél overzichtelijker, minder onvolledig en meer up-to-date, https://www.cert-bund.de/overview/AdvisoryShort).

M.i. is het volslagen krankzinnig om dit bij de overheid neer te leggen. Dit leidt alleen maar tot nog meer excuus-Truus-types die na een hack de overheid de schuld geven: "het NCSC had ons niet gewaarschuwd". Met bovendien het risico dat, wij belastingbetalers, opdraaien voor schadeclaims.

Als je zelf een auto hebt zul je ook af en toe de verlichting moeten controleren en defecte lampjes (laten) vervangen; ook ICT-systemen vereisen nou eenmaal checks en onderhoud. Dat zul je toch echt zelf moeten doen of moeten uitbesteden aan een betrouwbare commerciële partij (en, niet te vergeten, meebegroten als je met iets nieuws begint).
28-06-2021, 15:50 door Anoniem
Overheid en ICT, dus de blinde gaat de lamme nu leiden??

LOL.
28-06-2021, 16:18 door Anoniem
Door Anoniem: Overheid en ICT, dus de blinde gaat de lamme nu leiden??

LOL.

Het trieste is dat er bij de overheid soms wel goede kennis in huis is, maar die personen worden genegeerd of snel eruit gewerkt. Want bestuurlijke spelletjes.
28-06-2021, 19:24 door Anoniem
Een opt-in/out zou toch een prima optie zijn?
29-06-2021, 00:46 door Anoniem
Ah ja de overheid die nog steeds https, TLS niet verplicht vind voor overheid sites. Gebruik maakt van slecht beveiligde Wordpress voor kritieke inlogomgevingen. En om onverklaarbare reden altijd informatie kwijt is ook al hebben ze zelf wettelijke verantwoordelijkheid data voor X jaar op te slaan denkt andere te kunnen informeren over specifieke cyberdreigingen.

"de uitleg over het wetsvoorstel kan het delen van deze informatie ervoor zorgen dat erop termijn minder datalekken plaatsvinden."
Dus de overheid denkt met een wetvoorstel jaren van luiheid, kennisgebrek en gierigheid op te kunnen lossen wat zowat de gehele security community en branche al jaren *matig* lukt met miljoenen keren de resources?

Dit moet haast een verlate 1 april grap zijn.
29-06-2021, 00:59 door Anoniem
En de passwoorden hangen aan de beeldschermen.
29-06-2021, 06:06 door Anoniem
Door Erik van Straten:
Door Anoniem:
niet door de overheid geïnformeerd over specifieke dreigingen met betrekking tot hun digitale omgeving, ook al beschikt de overheid wel over deze informatie.

Waarom hebben ze dan die informatie?

En de ICT bij de Overheid is nogal gammel, dus dat onze Overheid die informatie heeft lijkt mij juist risico verhogend.
Sterker, veel organisaties hebben hun eigen asset-management/CMDB totaal niet op orde, dus hoe zou een derde dan moeten weten welke systemen jij hebt - met eventuele kwetsbaarheden daarin?

Of willen ICT'ers graag overstelpt worden met waarschuwingen voor systemen die zij helemaal niet hebben? Als je niet elke dag door een volle mailbox wilt ploegen, kun je beter dagelijks https://www.ncsc.nl/actueel/beveiligingsadviezen checken (of, m.i. véél overzichtelijker, minder onvolledig en meer up-to-date, https://www.cert-bund.de/overview/AdvisoryShort).

M.i. is het volslagen krankzinnig om dit bij de overheid neer te leggen. Dit leidt alleen maar tot nog meer excuus-Truus-types die na een hack de overheid de schuld geven: "het NCSC had ons niet gewaarschuwd". Met bovendien het risico dat, wij belastingbetalers, opdraaien voor schadeclaims.

Als je zelf een auto hebt zul je ook af en toe de verlichting moeten controleren en defecte lampjes (laten) vervangen; ook ICT-systemen vereisen nou eenmaal checks en onderhoud. Dat zul je toch echt zelf moeten doen of moeten uitbesteden aan een betrouwbare commerciële partij (en, niet te vergeten, meebegroten als je met iets nieuws begint).

Het NCSC kan en wil echt wel wat, maar die politieke sturing moet er vanaf.
De kerntaak is immers een belang wat niet verstrengeld met politiek belang behoort te zijn.
29-06-2021, 09:14 door Anoniem
Door Anoniem:
Door Anoniem: Overheid en ICT, dus de blinde gaat de lamme nu leiden??

LOL.

Het trieste is dat er bij de overheid soms wel goede kennis in huis is, maar die personen worden genegeerd of snel eruit gewerkt. Want bestuurlijke spelletjes.

inderdaad!
29-06-2021, 12:05 door Anoniem
Deze neiging is volgens de minister van V&J in tijden van dreigende overheid behoorlijk bedreigend.
Dat was een verfrissende vaststelling die vrijwel breek met voorgangers als op het paard getilde minister Donner, die zogenaamd niet feilbaar was maar wel onder diens leiding diverse dossiers liet uitgroeien tot onhandige & onhandelbare proporties.

Zeker als je rekening houdt met een paternalistische voorkeur van bepaalde 'top'-managers bij de overheid dan is de stap van het willen informeren van weet u dat u fout zit al een juridisch al een bestuurlijke aanwijzing, wellicht al een halve veroordeling.
Dossier-vorming voor een straf- of civiele procedure.
En dan te bedenken dat ministerie van V&J - op een paar lezingen aan de 2e kamer van recente ministers over privacy perikelen na - zelfs niet eens altijd dé escalerend voor hysterie & rust functioneert met hoofdzakelijk reactieve aanwijzingen uitbrengen.
Kijk je naar de neiging van hun ambtsgenoten bij Binnenlandse Zaken en het gehobby met digitaal stemmen, digitaal stem aantallen controleren, de verkiezing software dan moet toch de les zijn qua ict, less ict is more.
Minder ict is meer rust en minder bronnen met aanleiding voor "veiligheidaanwijzingen" / blootstelling aan hacks.
Het onpragmatische is wel dat de afgelopen jaren de lobbyclub "ambtenarenzaken" vanuit gemeente-wethouders flink aan de weg timmerde met niet alleen ontsluiten van omgeving gegevens van de categorie niet-direct privacy gevoelig, maar tegelijk wel bezig was met het verder willen digitaliseren en dus potentieel kwetsbaarder maken voor mee-kijkers op afstand & ongemerkt meekijken door beperkt/verlopen gemandateerde supervisors.

En dat is niet op zichzelf staand.
Zoals meerderen waarschijnlijk weten zijn de 'top-'managers in roulatie tussen de G4 gemeenten en ministeries.
En hebben bepaalde vacatures een voorkeur kandidaat wegens "vriendjes", talenten en/of wegprommoveringen.
Deze groep rouleren dus door en door.
En natuurlijk zijn ze niet allemaal kampioen zaken in de war sturen.
Wel overvleugelen die categorie in de war stuuders andere type ambtenaren met hun wil.
Hun wil om eindeloos te zeuren en te zanikken of het niet anders, beter, sneller kan terwijl alle mogelijkheden al lang uitputtend verkend en beklonken zijn.
Met hun wil aan een langer eind proberen te trekken en het afvloeien van ambtenaren met lagere voorkeur om in dillema's mee te gaan / mee te werken en met vrijwillig vertrek bonussen de aftocht te blazen.
Kijkend naar de belastingdienst-f%$ck-ups (Eric Wiebes)
Kijkend naar de aardbevingschade dossier. (Eric Wiebes)
Kijkend naar de organisatorisch gregoriaanse knopen die ze van AZC's hebben gemaakt. (cda ministers en ministers binnenlandse zaken)
Kijkend naar de ICT tekortkomingen bij politie diensten.(vvd ministers)
Kijkend naar de ICT bij rechtbanken die met veel kunst en vliegwerk volgens jaarrapportages niet richting de ondergrens zakt. (D66 bewindvoerders)
Dossiers waar D66-CDA-VDD aficionado's volgens media berichtgeving toch echt collectief verzaakten.
Zelfs in gevallen waar het als haalbaar werd gepresenteerd bleven quick-fixes uit.

Met name die rechtbank organisaties beseften dat het goede voorbeeld geven hier een minimale vereiste is wil je richting de rest van Nederland serieus de aandacht kunnen vasthouden qua ICT veiligheid.
Wil het niet dweilen met de kraan open blijven dan moeten ook maar eens de zero-bugs uit Microsoft, Google, Amazon en andere grootgrutters gehaald worden.
Maar wacht eens even, de minister wilde naar eigen zeggen wel weer bepaalde gaten in ICT middelen HOUDEN om geen nuttige effectieve opsporing mogelijkheden weg te gooien.
Dus het ministerie van Veiligheid & Justitie is er juist niet helemaal voor uw en mijn veiligheid.
Ze zijn er wel om een agenda te voeren.
Iets waarvan de ombudsman ook al in diens jaarverslagen over dat ministerie en de aanverwante diensten zoals de NCTV waarschuwde.
Het ministerie komt met deze agenda dus niet verder dan het hanteren van een rotation-list.
Om vervolgens om de zoveel tijd een item van die rotation-list wederom te droppen in een persbericht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.