Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cyber Security Raad wil waarschuwing aan alle bedrijven bij internetaanval

Door , 32 reacties

De Cyber Security Raad, een adviesorgaan van het kabinet, wil dat alle Nederlandse bedrijven een waarschuwing krijgen als er een internetaanval plaatsvindt. Momenteel gaat er alleen een waarschuwing uit naar bedrijven in vitale sectoren, zoals telecom en energie.

Ron de Mos, lid van het adviesorgaan, doet zijn uitspraken woensdagochtend tegen BNR. De CSR geeft het advies bovendien af aan de regering in de vorm van een rapport. Volgens De Mos worden niet-vitale bedrijven momenteel alleen gewaarschuwd via het algemene nieuws of 'via-via'. Hij stelt dat het soms dagen duurt voordat een niet-vitaal bedrijf op de hoogte is van een aanval.

Het NCSC is er alleen voor vitale bedrijven en de overheid. De Mos vindt dit niet voldoende en zegt dat een vroege waarschuwing aan andere bedrijven schade kan voorkomen. Hij wijst daarbij naar de internetaanval van afgelopen week, die onder meer het Rotterdamse APM Terminals trof. Dat bedrijf herstelt nog steeds van de aanval. De Mos vindt wel dat bedrijven ook zelf een verantwoordelijkheid hebben.

Ronald Prins, directeur van beveiligingsbedrijf Fox-IT, zegt tegen BNR dat hij een dergelijke waarschuwing niet nodig vindt. Zo zou het vaak al te laat zijn en zouden alleen grote instellingen in staat zijn om iets te doen met een waarschuwing. De rest van het bedrijfsleven is nog niet zover, aldus Prins. Hij ziet meer in een overheidskeurmerk voor beveiligingsdiensten, zodat bedrijven betere keuzes kunnen maken.

De Nationaal Coördinator Terrorismebestrijding publiceerde eind vorige maand een rapport waarin werd gesteld dat Nederland achterblijft als het gaat om 'digitale weerbaarheid'. Een eerder rapport van het Potomac Institute concludeerde dat Nederland te weinig budget toewijst aan beveiliging.

Door Sander van Voorst

Nieuwsredacteur

05-07-2017 • 09:56

32 Linkedin Google+

Reacties (32)

Wijzig sortering
Goed initiatief opzich, maar wat moet een bedrijf doen op moment dat er een aanval plaats vindt, alle stekkers eruit trekken?
Ja, en ik zou dat volledig kunnen snappen nog ook Liever 1 dag uit de lucht ipv 5 dagen herstellen en data kwijt.
Maar je bent lang niet altijd getroffen. Ook met NotPetya waren er maar een handvol bedrijven in Nederland die er last van hadden. Wil je echt met elke nieuwe worm dat alle Nederlandse bedrijven gelijk plat gaan?

En in het geval van NotPetya had het sowieso niks opgeleverd, die zat al maanden in het netwerk en werd binnen een uur overal getriggered. Stekkers eruit trekken als een aanval plaatsvindt is gewoon niet realistisch: zelfs als je getroffen bent, en de worm heeft nog niks kwaadaardigs gedaan weet je dat pas zeker wanneer je de drives offline bekijkt. Kun je je voorstellen dat een bedrijf de drives uit al z'n servers gaat trekken op het moment dat er een aanval gemeld is?

Om nog maar te zwijgen van alle laptops en computers die je handmatig moet controleren voordat ze weer het netwerk op mogen - dat gaat bakken met geld kosten, reken maar dat na een paar keer false alarm die hele procedure naar het grijze archief mag.

Met een goed update beleid bereik je veel meer, dan is het simpelweg controleren of je de kwetsbaarheid gepatched hebt, en zoja, business as usual. Als bedrijven daar al maanden voor nodig hebben, zie ik ze niet binnen een uur reageren op een dergelijke aanval. De bedrijven die wel aandacht hiervoor hebben, zullen toch al mensen in dienst hebben die ervoor zorgen dat kwetsbaarheden gepatched worden en dat hun netwerk in de gaten gehouden wordt.
Medewerkers informeren hun mails beter te controleren, eventueel IP-adressen blacklisten, en eventueel het backup-plan tijdelijk aanscherpen.
Deze NotPetya aanval ging niet via e-mail.
Maar dan nog, soms zijn de phising mail niet van echt te onderscheiden. In elk geval niet door mensen die gewoon aan het werk zijn. Zet dan liever een goed spam/virus filter neer bv. de Barracuda.
En een backup-plan moet je niet tijdelijk aanscherpen, maar continu.
En zorg voor noodplannen, maar generiek. De volgende aanval is weer op een andere manier.
Slechts je hoofd- & backupaansluitingen die direct aan het internet zitten zou voldoende moeten zijn.
Waarschijnlijk het zelfde als dat je bericht krijgt dat een inbreker actief is in jou regio.
Je controleert een keer extra als je weggaat of de deur op nacht-slot zit, en je schaft de dieven-klauwen aan voor het raam wat je al lang had moeten doen.

Oftewel het is eigenlijk een reminder voor bedrijven om zaken die geen aandacht hadden nog extra te bekijken, en maatregelen die al lang hadden moeten genomen eindelijk door te voeren.
Als secundair effect zouden ze veel vaker een bericht krijgen en een herinnering van "he jongens, check of je systemen up to date zijn".
Je kan de aardlekschakelaar ook om zetten, dan licht gelijk het hele bedrijf plat.
Één ding is dan 100% zeker, en dat is dat ze er sowieso niet meer inkomen.
Aangezien je dan de gehele stroomtoevoer hebt uit gezet.
Al is dit wel erg overdone natuurlijk, maar goed.
Gaat in elk geval sneller dan alle PC's en servers één voor één uitzetten en de stekkers er uit trekken, das één ding wat zeker is.
:P

(Al kunnen er nog meerdere Uninterruptible Power Supply's (UPS) aanwezig zijn binnen het bedrijf natuurlijk, wat dan maakt dat dit in eerste instantie nog niets uithaald, zolang deze het nog volhouden bedenk ik me nu net, en dus nog even aan mijn reactie toegevoegd)

[Reactie gewijzigd door SSDtje op 5 juli 2017 20:06]

Mijn vraag is wat ze met 'alle bedrijven' bedoelen? Iedereen die bij de KVK staat ingeschreven? Dan zal het mij benieuwen hoe ze die bedrijven dan bereiken.

En hoeveel particulieren zijn dan ook een 'bedrijf'? Iedereen met zonnepanelen die de btw heeft teruggevraagd? En hoeveel inschrijvingen zijn uiteindelijk 1 bedrijf?
Wat een gesprek over het uitbreiden van een mail lijst :)
Daar gaat het niet om.

Het is eerder "pissing contest".

Overheid die meer macht wil en daar eerst zogenaamd gratis dienst voor weggeeft, volgende stap is verplichten dat advies opvolging krijgt etc..

En dan heb je een ex-ambtenaar Ronald Prins die weet dat dat ten koste van zijn marktaandeel zal gaan.
Daarom snap ik de de reactie van Fox-IT ook niet. Het gaat om een relatief simpel iets en baat het niet dan schaadt het niet. Ik zie nog teveel kleine bedrijven die er na weken nog geen weet van hebben en misschien alleen iets oppikken in het nieuws zo nu en dan. Daarnaast kweek je ook awareness. Als "de baas" allerlei mail voorbij ziet komen van security issues komt uiteindelijk misschien ook het besef dat er aandacht aan besteed moet worden.
Idealieter moet een goeie netwerk-beheerder zelf pro-actief het cybersecurity nieuws (op)volgen en op de hoogte blijven van de laatste hacking trends. Maar goed, is dit wishfull thinking?
Je kans als beheerder nooit alles in de gaten houden tijdens je dagelijkse werkzaamheden. Het is niet voor niets dat hier veelal specifieke teams op gezet worden. Maar zelfs dan kan het zijn dat je net wat mist. Want juist voor de vroege meldingen moet je deelnemen in bepaalde chats welke niet altijd publiek bekend gemaakt worden, je moet lid zijn van een community wil je de juiste informatie vroegtijdig krijgen. De netwerkbeheerder die het nieuws volgt is altijd later.

Het NCSC moet niet te moeilijk doen en bedrijven zich gewoon laten registreren voor al hun meldingen. De melding wordt toch al uitgestuurd naar de virale sector. Precies de zelfde melding kunnen ze gewoon door zetten. Maar zelfs dan krijg je de melding pas als er wat aan de hand is en de informatie gemakkelijker te vinden is.
En daarvoor heb je CISMs, dat is hun taak. Echter heb ik bij de vorige aanvallen via dat kanaal intern niets mogen ontvangen. Al een geluk dat andere medewerkers onderling wel communiceerden.
Tja dat is dan een intern communicatieprobleem.
Eigenlijk ben ik het wel eens met Ronald Prins, ik zou werkelijk niet weten wat bedrijven zouden moeten doen als het alarm afgaat. Snel alle computers naar binnen brengen en ramen en deuren sluiten?

In theorie zou je snel alle firewalls kunnen sluiten en routers uitschakelen maar dat lijkt me niet realistisch. Los van dat het technisch ingewikkeld is om snel en betrouwbaar alle netwerkverbindingen te verbreken, want dat is nog wel oplosbaar. Een groter probleem is dat veel bedrijven zo afhankelijk zijn van hun apparatuur en netwerk dat ze liever het risico van zo'n aanval nemen dan het werk stil te leggen. Zelfs als iedereen mee zou willen werken dan heeft het nog geen zin, de meeste aanvallen gaan zo snel dat het voorbij is voor je kan reageren. Je moet niet denken dat je nog even je backup kan draaien als het alarm gaat.

Om echt te reageren heb je vooral ook kennis nodig; mensen die het probleem kunnen begrijpen en er naar handelen. Personeel met die kennis en kunde is over het algemeen vrij duur. Digitale beveiliging is heel anders van fysieke beveiliging. Als je een gebouw wil beschermen heb je vooral ogen en voeten nodig, goedkope beveiligers om 's nachts te patrouilleren kun je bij talloze bedrijven afnemen. Een digitale nachtwaker is een stuk duurder.
Nou ja, tenzij je het automatiseert een "next-gen firewall" inzet (slechtste naam ooit, maar dat terzijde). Maar als het automatisch werkt heb je dat alarm ook niet nodig.
Nu zou het nog handig kunnen zijn dat bedrijven een seintje krijgen dat er iets is gebeurd en dat ze hun systemen moeten controleren, maar dat is een te ingewikkelde boodschap voor een eenvoudig alarm. Dat is meer een bericht gericht aan systeembeheerders. Een centrale mailinglijst waar systeembeheerders zich kunnen aanmelden zodat ze gewaarschuwd worden als er iets is gebeurd zou wel een beetje toevoegen, maar niet veel. Ten eerste heb je systeembeheerders nodig, dat heeft niet ieder bedrijf, en ten tweede moeten die een beetje alert zijn. Als je dagen na een grote aanval nog niet op het idee bent gekomen om je eigen organisatie te onderzoeken dan ben je zo "out of the loop" dat een mailtje van de overheid ook niet gaat helpen.

Nu wil ik het idee niet helemaal afkraken want tot op zekere hoogte kan het nut hebben. Maar dan vooral als waarschuwing achteraf, niet als een soort lucht-alarm dat moet waarschuwen tegen een aanval die onderweg is.

Onderwijs en voorlichting is veel belangrijker. Organisaties moeten gaan beseffen dat ze digitale beveiligers nodig hebben ook al is dat erg duur. Als je IT van de plank koopt kun je er helaas niet van uit gaan dat het veilig is, zeker niet als er nog iets te configureren of in te stellen is. Veiligheid is een continu proces, niet iets dat je kant-en-klaar kan kopen.
Ik hoop dat de IT ooit het niveau bereikt dat je er gewoon van uit kan gaan dat software veilig is, maar ik denk niet dat ik dat nog ga meemaken.
Ik begrijp zelf vooral niet hoe een voorstel voor het vergroten van de kring waarin informatie wordt gedeeld tot discussie leidt. Het punt lijkt me vooral dat men constateert dat er informatievoorziening is die niet breed gedeeld wordt. Het voorstel is om die informatie wel breder te delen. Lijkt me een prima plan.

Of een bedrijf daar wel of niet beter van wordt is inderdaad afhankelijk van veel van de zaken die je noemt maar het een hoeft het ander niet uit te sluiten. Zo'n reactie vanuit Fox-It vind ik dan toch wat jammer. De bedoelingen zijn vast goed maar het klinkt ook een beetje als een bedrijf dat slabbetjes verkoopt en het geen goed idee vindt dat mensen hun kinderen zelf netjes leren eten. Tsja.
Als het alarm afgaat kunnen bedrijven op basis van de dreiging actie ondernemen. Beetje serieuze IT afdeling heeft een noodplan liggen, kan zo simpel zijn als de onsite backups offline gooien gedurende de aanvalsgolf zodat je sneller kan recoveren.

Die Prins word ik een beetje moe van, betwetertje die vooral zijn handel veilig wil stellen. Deel de informatie maar eens die je hebt.
Zie bij de recente uitbraken de grote AV leveranciers online oplossingen beschikbaar stellen zodra ze beschikbaar zijn. En niet alleen maar roepen, ja dan had je onze software maar moeten kopen. Ik vraag me af hoe hij zich zo de media in heeft kunnen kopen.
Hij ziet meer in een overheidskeurmerk voor beveiligingsdiensten, zodat bedrijven betere keuzes kunnen maken.
...zegt de directeur van beveiligingsbedrijf Fox-IT. Ja ja, het is wel weer duidelijk dat zijn aanbevelingen niet helemaal objectief zijn.
zijn aanbevelingen niet helemaal objectief zijn
Even verbeteren: zijn aanbevelingen niet helemaal niet objectief zijn. ;)

Terzijde, dat heb ik al wel vaker gedacht bij "reacties op nieuws" van die man. Die komt de laatste tijd wat vaker voor als bron bij Tweakers artikelen.
Dat hier uberhaupt anno 2017 nog overleg over plaatsvindt spreekt al boekdelen. We zijn hier ongeveer tien jaar te laat mee.
Mochten ze de bedrijven op voorhand met een mailtje willen waarschuwen, dan hoop ik voor deze bedrijven dat al hun PC's nog te gebruiken zijn tegen de tijd dat ze het mailtje hebben kunnen lezen, en dus meteen actie kunnen ondernemen.
En dus niet vlak voor de tijd hun netwerk al plat licht.
Vaak zoals laatst ook het geval, lopen we toch vaak achter de feiten aan, en is het al te laat.
Ik ben dan ook zeer benieuwd naar hoe ze dit voor de tijd al willen kunnen zien aankomen / voorspellen.
Verder een prima ontwikkeling tho...
Alleen zijn we met deze maatregel inderdaad wel wat laat.
Maar goed, beter laat dan nooit natuurlijk.
:Y)

Edit: Typo

[Reactie gewijzigd door SSDtje op 5 juli 2017 11:56]

De Mos vindt wel dat bedrijven ook zelf een verantwoordelijkheid hebben.
en
Ronald Prins, directeur van beveiligingsbedrijf Fox-IT, zegt tegen BNR dat hij een dergelijke waarschuwing niet nodig vindt. Zo zou het vaak al te laat zijn en zouden alleen grote instellingen in staat zijn om iets te doen met een waarschuwing.
Is precies hoe ik het zelf ook zie. Voordat de CSR ervan af weet zijn er al bedrijven geinfecteerd en gaat er dus al nieuws rond en is het dus eigenlijk al te laat (al kan je de schade wel beperken), ik denk dat je als bedrijf eigenlijk wel een IT'er moet hebben die over dit soort zaken geinformeerd blijft (een tweaker dus :+ ) en er dus ook zelf op let in plaats van afhankelijk zijn van een instituut.

Tevens zie ik het gevaar ontstaan dat bedrijven er geen verantwoordelijkheid meer voor gaan nemen maar gewoon afhankelijk worden van de CSR.
Ik zie zo'n waarschuwing nog wel werken. Niet zozeer als de systeembeheerders een ping krijgen en overal de stekker uit trekken. Vooral als hun manager/bedrijfsleider deze melding ook ontvangt en bewuster wordt van de risico's die het bedrijf loopt als ze IT niet serieus nemen.
Hmm. Normaal heb ik Fox-IT hoog zitten, maar hier slaat Fox-IT in de persoon van de heer Prins de plank zwaar mis. Het één sluit het ander niet uit. Ik denk dat veel meer bedrijven in staat zijn maatregelen te nemen dan de heer Prins inschat. Al was het maar een bericht aan alle gebruikers met een waarschuwing om extra alert te zijn. Ik vind het verminderen van risico door een waarschuwing, zelfs al is het maar heel weinig, veel en veel belangrijker dan de commerciële belangen van een paar beveiligingsbedrijven.
Inderdaad zo dacht ik dus ook, beetje zelfingenomen zelfs.
Als MSP zou ik het heel handig vinden, voor Petya of NotPetya had ik nog even snel nog een aantal extra checks kunnen uitvoeren bij onze clienten. Ik zie voor andere bedrijven ook mogelijkheden als de awareness omhoog geschroefd wordt, niet zozeer als oplossing dus maar eerder een toevoeging. De infrastructuur ligt er al dus waarom geen toegevoegde waarde voor andere bedrijven die als distributie kunnen dienen voor andere aanvallen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*