Grapperhaus: onwenselijk dat NCSC buiten de wet om dreigingsinformatie deelt
Het is onwenselijk dat het Nationaal Cyber Security Centrum (NCSC) zich door wettelijke beperkingen genoodzaakt ziet om buiten de wet om informatie over cyberdreigingen te delen, zo vindt demissionair minister Grapperhaus van Justitie en Veiligheid.
Eind september meldde de Volkskrant op basis van anonieme bronnen dat het NCSC nog geen vijf procent deelt van alle dreigingsinformatie die het ontvangt. De organisatie ontvangt dagelijks informatie over aanvallen, maar mag die door wettelijke beperkingen slechts beperkt delen. Uit frustratie zou het NCSC in dringende gevallen buiten de wet om dreigingsinformatie met partijen delen, aldus de krant.
De berichtgeving was aanleiding voor CDA-Kamerleden Amhaouch en Palland om de minister om opheldering te vragen. "Bent u bekend met signalen dat vanwege veel te stringente wettelijke beperkingen het NCSC genoodzaakt is om buiten de wet om te werken? Acht u dat acceptabel? ", zo vroegen ze. "Wij zijn bekend met deze signalen en deze situatie is onwenselijk", antwoordt Grapperhaus.
De minister merkt op dat het NCSC informatie over cyberdreigingen en incidenten op dit moment vanwege een "leemte in de wet" niet kan altijd kan delen met aanbieders die geen vitale aanbieder zijn of deel uitmaken van de rijksoverheid. Een wijziging van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) moet ervoor zorgen dat het NCSC de bevoegdheid krijgt om dreigingsinformatie wel met deze andere aanbieders of hun schakelorganisaties te delen.
Scannen van internet
Amhaouch en Palland wilden ook van Grapperhaus weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde kwetsbaarheden en wat er moet worden gedaan om dit mogelijk te maken. Daarop stelt de minister dat het NCSC technisch onderzoek uitvoert voor het informeren en adviseren van organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders over voor hen relevante dreigingen en incidenten.
"In het kader van deze taakuitoefening scant het NCSC ook op kwetsbaarheden voor zover dit mogelijk is zonder daarbij de netwerk- en informatiesystemen van organisaties binnen te dringen. Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid", zo laat de minister weten.
Wat betreft het delen van informatie ben ik ernstig gefrustreerd. Als burger en bedrijf betalen wij belasting om oa het NCSC te financïeren en vervolgens krijgen wij geen info terug die ons kan helpen?
Ik weet ook dat het DTC aan de weg timmert om dit te ondervangen, maar het blijft een "vreemde" zaak.
Ja want al die scanners die nu dagelijks het internet scannen leiden bij dagelijks tot verstoringen.... het NCSC zal geen full scan uitvoeren, maar een gerichte scan naar aanleiding van dreigingsinformatie. Wat bestaat uit een banner grab of een request (http, smb, etc.) naar een kwetsbare bestand/service. Als door een een eenvoudige scan je brakke Pentium 2 omvalt is niet de schuld van NCSC maar moet je in de spiegel kijken.
Er is al enige tijd een behoefte aan informatie bij het MKB/niet vitale infra. De afgelopen kritieke kwetsbaarheden in VPN apparaten en exchange worden van APT tot ransomwaregroepen en alles wat er tussen zit gebruikt. Laat NCSC helpen i.p.v. het burger initiatieven (0xdude, DIVD) over te laten. Maarja, volgens mij moeten ze in Den Haag eerst nog leren wat een IP adres is.
Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?
Ach ja, het gaat om het gevoel van veiligheid.
NCSC informatie is een nationaal belang.
Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?
Ach ja, het gaat om het gevoel van veiligheid.
Beperkt delen betekent "van alles delen - MAAR ALLEEN MET HUN DOELGROEP" .
Die doelgroep is op moment gedefinieerd als overheid/overheden en vitale sectoren - daar heb je dus het loket voor, en voor die sectoren is het ook meer dan alleen maar een gevoel .
En het is te prijzen dat als het NCSC of een individuele analyst daar dan iets ziet of hoort langskomen dat acuut en relevant is voor partijen die ze wel kennen maar niet formeel vitale sector of overheid zijn , ze daar 'the right thing' voor proberen te doen .
Alleen formeel mogen ze dat niet , en je kunt niet van MinJus verwachten dat ie zegt dat formeel de wet overtreden prima is als je het goed bedoelt.
Ik weet niet waar die mensen vandaan halen dat dit dan te maken heeft met actief scannen door het ncsc .
Dan heb je als bdrijf dus wel een probleem aangezien internet-facing systemen waarschijnlijk constant gescand worden.
De a priori grote substantiele onveiligheid op de infrastructuur blijft.
Gek dat het vertrouwen in overheidsinstanties de laatste tijd enorm afkalft.
Niet vreemd dat het al lange tijd flink tanende is.
Maar ja als er eenmaal hogerop echt aan de touwtjes getrokken wordt
en er andere belangen zijn, kun je zoiets verwachten.
Toch wordt dit niet voldoende aangekaart en straks zijn we echt allemaal slachtoffer.
Een paar belanghebbenden uitgezonderd. Die lopen vervolgens giga binnen.
#sockpuppet
Ik bedoel dat je van te voren weet dat die terugkomt.
Kortweg gezegd, GovCert is naar de kloten geholpen en de dienstverlening ook. Gelukkig probeert het Trustcenter in dat gat te springen en we hebben decentrale CERTS die een stuk actiever zijn voor hun doelgroepen. Nu de burger nog.
Ik bedoel dat je van te voren weet dat die terugkomt.
Ja, maar het blijft een Amsterdammer, hè - terug, alla, dat wist je, maar dan ook nog naar Rotterdam is wel een brug te ver.
Het is ook wel een heel verkeerde ruil - Berghuis naar 020, en wat krijg je terug : Gordon !
Waarom heb je dan iemand aan een loket om deze informatie wel te ontvangen?
Ach ja, het gaat om het gevoel van veiligheid.
Beperkt delen betekent "van alles delen - MAAR ALLEEN MET HUN DOELGROEP" .
Die doelgroep is op moment gedefinieerd als overheid/overheden en vitale sectoren - daar heb je dus het loket voor, en voor die sectoren is het ook meer dan alleen maar een gevoel.
...
In Nederland kun je niet vertrouwen op JenV of Defensie als het om veiligheid gaat.
Rob Bauer zei het nog in een interview met Buitenhof: "Nederlandse Defensie kan Nederland niet verdedigen."
https://www.youtube.com/watch?v=5AXfbm0Vmnk
Zelf denk ik dat Defensie intern bedorven is, en een verrotte cultuur heeft. Waar men absoluut niet weet wat er om hen heen in de wereld gebeurt. Wat ze doen is nog geeneens fout, het is gewoon onzinnig.
Gek genoeg lukt mij dat bij oom agent of belastingdienst nooit, maar voor G. is het heel normaal. Verschil moet er zijn.
Krijg je dan ook de resultaten van die scans die je voorbij ziet komen (die nu gebeuren)?
Want je eigen scan kan nog zo compleet zijn, een 0/1-day die het NCSC kent maar jij niet kun jij niet vinden.
Ik geef graag m'n ranges aan hen door zodat die gemonitord kunnen worden, als extratje.
En als spullen omvallen, dan vallen ze toch wel om, want over een uur scant een ander het.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
