Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederland en andere EU-lidstaten willen 'cyber rapid response teams' opzetten

Nederland heeft samen met acht andere EU-lidstaten de intentie kenbaar gemaakt om 'cyber rapid response teams' op te zetten. Die moeten onderlinge hulp tussen lidstaten bieden, bijvoorbeeld bij internetaanvallen.

Het ministerie van Defensie van Litouwen schrijft dat Nederland samen met Kroatië, Estland, Roemenië, Spanje en initiatiefnemer Litouwen maandag de intentieverklaring tekende. Finland, Frankrijk en Polen volgen later. Het ministerie heeft de verklaring maandag gepubliceerd. Het schrijft dat de landen België, Griekenland, Slovenië en Duitsland als observers fungeren. Volgens AFP heeft Litouwen in de afgelopen jaren zijn inspanningen op ict-gebied verhoogd, na 'vijandelijke acties' vanuit Rusland die op de energiesector zouden zijn gericht.

Uit de intentieverklaring is op te maken dat het de bedoeling is dat de teams uit roterende experts bestaan, bijvoorbeeld uit nationale computer security incident response teams, oftewel csirts. Die experts combineren hun werk in de twee teams. Bovendien moet samenwerking mogelijk zijn tussen militaire en civiele csirts.

In eerste instantie zouden de teams gebruik kunnen maken van bestaande tools, maar in de toekomst zou een 'unified deployable toolkit' in het leven kunnen worden geroepen met behulp van financiering vanuit de EU. De eerste teams moeten in 2019 operationeel zijn en de deelnemers stellen zich ten doel tegen het einde van dit jaar een memorandum of understanding te ondertekenen. Een eerste proef vindt in de herfst in Litouwen plaats.

Minister van Defensie Ank Bijleveld bij de ondertekening. Via Commissie

Door Sander van Voorst

Nieuwsredacteur

26-06-2018 • 11:31

25 Linkedin Google+

Reacties (25)

Wijzig sortering
Wat ik me vooral afvraag: wat kunnen dit soort teams pro-actief doen?

Een command&control-server of domein in beslag nemen lijkt een optie, maar nu al zie je dat die vaak buiten de EU gehost worden.

De belangrijkste weerstand tegen aanvallen blijft toch van de private sector komen.
- Goeie security-procedures
- Waaronder: Patchen, patchen, patchen

Initiatieven om computing veiliger te maken (bijvoorbeeld het bijwerken van de lachwekkende staat van security van IoT-devices) zijn daarmee eerder een kwestie van de lange adem, dan een snel responsteam.

Cybercrime wordt teveel gezien als een kwestie van 'boeven bestrijden', in plaats van 'burgers beschermen'.

Het voelt een beetje alsof er in een gebied vaak overstromingen zijn en de overheid een 'snelle brigade' opricht, die erheen rent bij overstroming om te gaan hozen. Dat zet geen zoden aan de dijk. Het aanleggen van een dijk wel.

Zo geldt dat ook voor bestrijding van veel van de huidige cybercrime. De wereld is nog te winnen door het promoten en investeren in goede en veilige infrastructuur, door bewustwordingscampagnes en door keurmerken en controles.

Totdat op dat niveau het beleid goed is, komen dit soort snelle responsteams op mij over als hoosbrigades. Leuk voor incidenten, maar niet voor een structurele reductie.
Ik ben het met je eens dat structurele oplossingen de voorkeur moeten hebben. Maar er kunnen zich altijd onvoorziene omstandigheden opdoen, in dat geval kun je niets anders dan reactief het probleem proberen op te lossen en/of de gevolgen in te dammen. Het is geen overbodige luxe om deze verantwoordelijkheid bij een groep mensen te leggen die weten hoe met deze situaties om te gaan. Ik zie in het artikel nergens dat het team pro-actief moet zijn, maar begrijp dat het een secundaire taak wordt van experts die reeds elders een relevante positie hebben. Is dit initiatief dan niet ook volledig complementair aan wat jij voorstelt.
Dure woorden :-)

Korte antwoord: ja.

Iets langere antwoord: ik zie dat structurele domweg nog niet en zie in eerste instantie liever dat daar het geld heen gaat.

Goeie preventie zonder incidentrespons is effectiever dan alleen maar incidentrespons... dan blijf je brandjes blussen.
Als ISO kan ik dit niet vaak genoeg onderstrepen.

- Hoe voorkomen we hacks? patchen (alles dan ook patchen dus)!
- Hoe voorkomen we malware en exoloits? moderne AW met behavior analyses (dus niet alleen signatures)!
- Hoe voorkomen we een mitm? encryptie zonder weak-meuk! Encrypt gewoon al je data transport.
- Hoe voorkomen hacks deel 2: gebruik ook goed afgestelde en in gestelde firewall (ook tussen verschillende netwerkzones)
- Hoe beschermen we de number one entry point (cough email) voor alle prut? Een echt email security suite nemen (dus geen Spam Assesisinsisi, en ook voor O365 en G Suite)!

De basis hygiëne op orde zorgt er niet alleen voor dat de kans op vervelende zaken ontzettend veel kleiner wordt, maar ook een SIEM/SOC zal minder false positives strooien.

En dan... dan pas heeft een CRRT pas echt zin, want je weet dat je met state-actors of proffesionele criminele organisaties te maken hebt. En niet een script-kiddie die een hail-mary op je onbeschermde poortje gooit van je kerncentrale.

[Reactie gewijzigd door teusink op 27 juni 2018 09:51]

Inderdaad. Dit voelt als een soort online SWAT - en die gedachte is heel cool - maar ik zie ook niet in wat er door dit team snel gedaan kan worden om een situatie te voorkomen of op te lossen.
Het voelt een beetje alsof er in een gebied vaak overstromingen zijn en de overheid een 'snelle brigade' opricht, die erheen rent bij overstroming om te gaan hozen. Dat zet geen zoden aan de dijk. Het aanleggen van een dijk wel.
Als je deze analogie doortrekt kun je dit RRT dus vergelijken met militairen die als eerste in een rampgebied aankomen om ervoor te zorgen dat de burgers 'op het droge komen' en de situatie niet meer levensbedreigend is, daarna komen hulpverleners pas om de boel mee opnieuw op te bouwen.

Een RRT zou juist moeten bestaan om kritische situaties aan te pakken, daarom is het een rapid response team. net zoals de luchtmobiele brigade snel ingezet kan worden om slachtoffers van een natuurramp snel te redden.

Burgers beschermen, zoals je omschrijft, wordt al door andere teams gedaan, de CERTs, in Nederland dus het NCSC:
Het NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief.
Je antwoord op je eigen vraag. Inderdaad: de focus op burgers beschermen leggen i.p.v. op boeven bestrijden.

M.a.w. focus op encryptie en verplichten dat diensten informatie van EU burgers veilig behandelen.

Voor heel wat phishing aanvallen (die heel vaak via E-mail gebeuren) zou het al voldoen te verplichten dat een Mail User Agent zoals Outlook in de EU PGP moet aanmoedigen (m.a.w. niet geëncrypteerde E-mails aanduiden als onveilig, integreren met public/private key infrastructuur en het in de UI eenvoudig maken voor de gebruikers om dit te gebruiken, en zo verder).

Daarna zal het voor een aanvaller véél moeilijker zijn om phishing campagnes uit te voeren. Wil hij encrypteren, dan heeft hij de public key van zijn slachtoffer nodig. Tekent hij de E-mails, dan kan zijn identiteit vrij eenvoudig achterhaald worden moest zulke public/private key infrastructuur goed in elkaar zitten (en daarom ook geblokkeerd).

Bv. voor IoT is men begonnen in de juiste richting te gaan door te eisen van fabrikanten dat de toestellen veilig upgradebaar moeten zijn. Door de fabrikant verantwoordelijk voor één en ander te stellen. En zo verder.

De GDPR is ook een correcte toevoeging die ook burgers beter zal gaan beschermen.
Eens dat er met betere technische oplossingen en een betere samenwerking veel problemen kunnen worden voorkomen (preventief). Echter zal er veel meer in moeten worden gezet in detectie. Zodat erger voorkomen kan worden. Hogere dijken betekent niet dat er geen gaten zijn. Met het tijdig ontdekken van breaches kan veel leed voorkomen worden.
De Nederlandse Cybersecurity Agenda:

1. Nederland heeft zijn digitale slagkracht op orde.
2. Nederland draagt bij aan internationale vrede en veiligheid in het digitale domein.
3. Nederland loopt voorop in het bevorderen van digitaal veilige hard- en software.
4. Nederland beschikt over weerbare digitale processen en een robuuste infrastructuur.
5. Nederland werpt door middel van cybersecurity succesvol barrières op tegen cybercrime.
6. Nederland is toonaangevend op het gebied van cybersecurity kennisontwikkeling.
7. Nederland beschikt over een integrale, publiek-private aanpak van cybersecurity.

gehele stuk is hier te vinden = een .pdf bestand, en dus te lezen, voor de liefhebbers.

[Reactie gewijzigd door SSDtje op 26 juni 2018 15:23]

Nou ja, opzich geen slecht idee, wordt bij mij dan wel weer erg twijfelachtig wanneer er weer meer macht bij belgie en Duitsland moet worden neergelegd, en dat het geld natuurlijk weer vanuit de EU moet komen ipv gewoon de deelnemende landen waardoor het weer een politiek speeltje wordt.

[Reactie gewijzigd door Overlord2305 op 26 juni 2018 11:47]

Integendeel, Belgie en Duitsland krijgen zelfs alleen maar ‘observer’ statusdus doen niet mee aan de kerngroep.

Ik zou juist wel willen dat Duitsland bij de kerngroep zat.
Ah, dan interpreteerde ik de rol 'observer' verkeerd. Ik haalde er uit dat zij een toezichthoudende functie zouden hebben.
Ja, observer betekent letterlijk 'toekijker' in dit soort gevallen. In dit soort gevallen betekent het meestal iets als dat een partij wel mee mag lezen maar niet mag inspreken, of wel bij vergaderingen aanwezig is maar niet mag stemmen.

Het kan zijn dat observers op een later moment alsnog volledige deelnemers worden. Soms ligt dat aan de observer zelf of ze dat willen, soms ligt het aan de rest of ze een partij willen toelaten als volledig lid. In dit geval zal het het eerste zijn.
Mooi initiatief, hopelijk voegen nog meer lidstaten zich hier bij aan. Internet houdt nou eenmaal niet op bij de landsgrenzen dus informatieuitwisseling en gecoördineerde beveiliging kunnen geen kwaad.
In Oostenrijk verscheen het bericht vandaag, dat ze daar de Cyber Divisie van defensie gaan onderbrengen naast de hondenbrigade... Budget cuts... en dan verwacht de politiek dat de deliveries gelijk blijven... zucht.... https://derstandard.at/20...esheeres-wird-eingedampft

Ik ben blij dat Nederland wel investeert en capabilities blijft uitbouwen!
Misschien ligt het aan mij, maar zolang er iets cyber wordt genoemd hoef ik daar niet bij te werken.
Je zou maar ergens niet willen werken omdat ze "cyber" in de naam hebben. Waarom werk jij liever niet bij een bedrijf met dat in hun naam?
Omdat deze term niet in de professionele wereld gebruikt wordt. In mijn ogen straalt het amateurisme en onbekwaamheid uit. Daarom.
Ik denk dat jij het over een andere professionele wereld hebt dan waar het in dit artikel over gaat. In de IT wordt het woord 'cyber' inderdaad weinig gebruikt maar dit gaat niet over de IT sector.

Dit artikel en het initiatief spelen in de wereld van nationale of internationale beveiliging, internationale betrekkingen, diplomatie en het al het beleid daaromtrent. Daar is Cybersecurity (of in het Engels: Cyber Security) de gebruikelijke term.

https://www.ncsc.nl
https://ec.europa.eu/digital-single-market/en/cyber-security
https://www.ecs-org.eu
https://www.gov.uk/government/policies/cyber-security
https://www.dhs.gov/topic/cybersecurity
https://www.acsc.gov.au

[Reactie gewijzigd door Maurits van Baerle op 26 juni 2018 15:51]

Duidelijk, thanks! :)
Het woord "cyber" wordt vaak gebruikt als koepelterm voor alles wat de overheid niet begrijpt over digitale voorzieningen. Deze beeldvorming is vooral vanwege Ivo Opstelten die niet goed kon verwoorden of begrijpen wat hij zelf zei.
Daarnaast betekent "cyber" helemaal niets.

Wikipedia:
Cyber-, from "cybernetic", from the Greek for "skilled in steering or governing",

Het gaat hier om informatiebeveiliging / information security (InfoSec).
Als er stond "digital rapid response teams" was niemand er over gevallen.
Ohhh kijk is aan, het is eigenlijk een soort van aanwijzing dat er waarschijnlijk niet veel goeds uit kan komen? Of begrijp ik het zo verkeerd.
Nee hoor, 'cyber' is nou eenmaal de term die gebruikt wordt als je het over hoog niveau beleidsvorming hebt op dit gebied. Een beetje het hoogste abstractieniveau.

Zaken als Rapid Response, CERT, InfoSec zitten een niveau lager omdat je het dan over implementaties of tactieken hebt (kortom: dingen in je toolbox) niet over beleid.

[Reactie gewijzigd door Maurits van Baerle op 26 juni 2018 12:15]

Ik geef nergens een waardeoordeel over de kwaliteiten van de diverse ICT afdelingen.
De naamgeving die management gebruikt is niet veelzeggend.
Het voelt echter zo tenenkrommend wanneer Ivo Opstelten zegt "Het fenomeen van de cyber".
Mijn reactie is vooral bedoelt om uit te leggen waarom men zo veel afschuw heeft voor het woord "cyber".

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True