Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister wil dezelfde veiligheidseisen voor alle vitale infrastructuur

Minister Grapperhaus van Justitie en Veiligheid wil dat alle bedrijven die vitale infrastructuur in Nederland aanbieden, verplicht een bepaald beveiligingsniveau hanteren. Nu hoeven niet alle vitale bedrijven dat niveau te halen, maar de minister wil dat wettelijk vastleggen.

Aanleiding zijn onder andere de recente beveiligingsproblemen rondom Citrix, schrijft Grapperhaus in een brief aan de Tweede Kamer. Grapperhaus reageert met de brief op een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid. Die schreef eerder rapporten over de mogelijkheid dat de Nederlandse samenleving te maken krijgt met 'digitale ontwrichting'. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde daarvoor.

Minister Grapperhaus schrijft nu dat hij de Wet beveiliging netwerk- en informatiesystemen of Wbni wil aanpassen. Daarin staat nu dat sommige 'vitale aanbieders' verplicht zijn om 'passende beveiligingsmaatregelen' te nemen om ervoor te zorgen dat hun systemen blijven werken. Ook hebben ze een meldplicht voor incidenten bij het Nationaal Cyber Security Centrum. Die passende veiligheidsmaatregelen gelden echter niet voor alle bedrijven. Door de Wbni aan te passen wil de minister dat wel voor iedere vitale aanbieder laten gelden.

In het WRR-rapport waarop Grapperhaus reageert, werd ook aangeraden dat de overheid gemakkelijk bij bedrijven kan ingrijpen bij grote incidenten. Daarover schrijft Grapperhaus in de brief niets. Wel wordt bij het ministerie van Defensie en Rijkswaterstaat gekeken of bijvoorbeeld de eigen glasvezelnetwerken kunnen worden ingezet bij 'maatschappij-ontwrichtende ict-uitval'.

Door Tijs Hofmans

Redacteur privacy & security

23-03-2020 • 11:12

44 Linkedin

Reacties (44)

Wijzig sortering
In theorie een logische gedachte, in de prakijk vrees ik dat het al snel verzandt in papieren rompslomp en een enorme extra administratieve ballast omdat er weer extra audits, controles en verantwoording moeten worden ingeregeld. Kortom: of dit succesvol wordt valt of staat bij de uitwerking. Wanneer is iets trouwens vitale infrastructuur?

[Reactie gewijzigd door zordaz op 23 maart 2020 11:27]

Wanneer is iets trouwens vitale infrastructuur?
Goede vraag, volgens mij doelt hij op de sectoren zoals hier benoemd: https://www.nctv.nl/onder...verzicht-vitale-processen
Al het maatwerk valt hier dus niet onder. Denk hierbij aan een psychiater of een jeugdzorg.
Valt hier dan ook iets als een Facebook onder?
Lijkt me niet echt vitaal...
Zijn wel communicatie kanalen van lokale politie, kranten e.d. en helpdesks.
Mag toch hopen dat dit niet hun primaire kanelen zijn? Begrijp al niet dat mensen hun zaken via facebook regelen. Wat is er mis met mail en de telefoon of een chatfunctionaliteit op de site.
Lijkt mij ook niet.

Ze hebben echter zaken als nieuws wel opgevangen met
"Elektronisch berichtenverkeer en informatieverschaffing aan burgers"

Maar Facebook lijkt mij daar wat minder vitaal in, ook doordat de informatievoorziening niet efficient is (snel laden, weinig data, etc).
Lijkt mij heel vitaal. Stel je voor dat Facebook wegvalt. Wat moeten die arme verslaafde mensen dan doen? ;)
"passende maatregelen" is al vrij onduidelijk.
En bijna de hele overheid had bij hun netscalers de mitigatie niet op tijd doorgevoerd.
5 minuten werk waar zij al meer dan 3 weken voor nodig hadden.

Dus laat hem eerst maar eens zorgen dat dit de overheid zich aan de regels houdt en de regels smart maken. "passende maatregelen" is verre van smart verwoord en te vaag om ook maar iets mee te kunnen doen.
Grapperhaus ziet een (terecht) risico in slecht beveiligde vitale infrastructuur en wil hier iets aan doen. Doormiddel van een brief aan de Tweede Kamer wil hij zijn intentie om hier iets aan te doen duidelijk maken. Wat "passende maatregelen" zijn kan later worden uitgewerkt door mensen die hier verstand van hebben. Je kan natuurlijk niet eisen dat de beste man met een eigen normenkader voor cyber security op de proppen komt zetten, voordat hij dit idee mag uitten.

Edit: En wat betreft je andere punt. Jij hebt dus liever dat de overheid geen eisen stelt aan de security van onze watervoorziening, ons elektriciteitsnetwerk, etc., puur omdat de ICT voorzieningen van de overheid niet altijd veilig zijn?

[Reactie gewijzigd door Vedette. op 23 maart 2020 14:36]

Nee, maar wat voor nut heeft het eisen te stellen als je er toch niet aan hoeft te houden. En wat voor eisen gaan het worden als ze nu hun eigen systemen niet eens binnen een normale tijd kunnen onderhouden? Daarnaast kan de overheid bijna geen smart eisen stellen. Wie gaat het controleren? Welke boete kun je er aan geven? En wat voor eisen kun je stellen? En kun je zo’n boete uitdelen als je je zelf niet eens aan je eigen richtlijnen houdt?

De richtlijn is er nu ook al voor enkele vitale onderdelen en is nu ook al zo wazig. Die Passende maatregelen hadden al lang beschreven moeten zijn voor de huidige ‘sommige vitale aanbieders’. Voordat die passende maatregelen zijn omschreven zijn we jaren verder.

Ik weet er wel alvast een eis... zorg dat een patch binnen 21 dagen na uitbrengen is geïnstalleerd op alle systemen.

En ja, dat is haalbaar. De Amerikaanse defensie gebruikt die richtlijn al sinds 2016 en is onderweg naar de 14 dagen. Homeland security installeert patches al binnen 15 dagen in hun omgeving bij kritische patches en soms zelfs binnen 10 dagen. (Cyber.dhs.gov/directives)

Over 2 jaar kan bijgesteld worden naar 14 dagen.

Maar het zal wel omschreven worden in de zin van ‘patches moeten zo snel mogelijk worden geïnstalleerd’ waardoor je het alle kanten op kan buigen.
Nogal een boude uitspraak.
Heb je hier ook bronnen voor?

In mijn ervaring bij de rijksoverheid worden oplossingen voor dit soort high-prio incidenten dezelfde dag nog doorgevoerd.

[Reactie gewijzigd door 2cents op 23 maart 2020 12:55]

Zoek maar in het nieuws.. gemeente Amsterdam, tweede kamer, gemeente Rotterdam, Den Haag, Zutphen...
De enige reden waarom de netscalers uit moesten was omdat de mitigatie niet op tijd was doorgevoerd (lees niet binnen 2 weken) of achterliepen op patch level waardoor de mitigatie niet werkte.
Doorvoeren is het werk niet, maar impact managen op je landschap des te meer, vooral als er veel legacy draait.
Voor de medewerkers die extra taken opgelegd krijgen voelen audits vaak als een papieren rompslomp. Zelf heb ik een bedrijf geholpen met het behalen van het ISO27001 certificaat. Daarbij kwamen de meest onnozele zaken naar voren waarbij de medewerkers wel afwisten van risico's, maar het nooit oppakten.
Een audit helpt als dwangmiddel om deze verantwoording wel op je te nemen. Het probleem is dat het "nut' bijna nooit bewezen wordt omdat je nooit zeker weet of een probleem in een ander geval wel -of erger- was opgetreden.
In het geval van cisco zou de impact hoogstwaarschijnlijk minder groot zijn geweest, maar dat valt lastig te bewijzen.
Dit kan toch gewoon een pass/fail test zijn, maak er een standaard penetratie test/zwakheden scan van.
meer dan 75% fout, niet geslaagd, en sommige onderdelen moeten dan zwaarder wegen dan anderen.

En dan met 3-5 nivo's met testen die navenant zijn, ik voel een matrix aankomen :) ,
waarbij je als PC sjoppie bijvoorbeeld aan 1 voorwaarde moet voldoen, alles up to date, en als grote Carrier zorgen dat al je in en uitgaande lijnen redundant zijn bijvoorbeeld.

Het pakket waarmee de testen uitgevoerd moeten worden moet dan open source zijn, met een oversight commissie uit alle lagen van de betrokkenen. Documenteren moet in de source, Of ala BSD stijl op de website. werkinstructie niet moeilijker dan: Dubbelklik Start of type start op de commandprompt... 8-) en volg de aanwijzingen.

aah je mag dromen toch.
"werd ook aangeraden dat de overheid gemakkelijk bij bedrijven kan ingrijpen bij grote incidenten"

De overheid? Ingrijpen? Diezelfde overheid met wie ik vele jaren heb samengewerkt als externe adviseur en architect en waar de incompetentie zo schrijnend is (een paar uitzonderingen daargelaten). Die overheid?

Ik wordt nu al nerveus als ik er aan denk. De blinde die ingrijpt bij de lamme...

Het ergste is dat als iemand me vraagt hoe IK het dan zou oplossen, ik heel eerlijk antwoorden moet "ik weet het niet". Ik heb vroeger vaak tranentrekkende problemen blootgelegd bij diverse ministeries, die gewoon onder het tapijt werden geveegd. Op een gegeven moment wilde ik gewoon niet meer naar Den Haag. Te frustrerend. Er lopen daar "Dilbert - pointy haired bosses" rond die de levensenergie uit je zuigen met hun incompetentie...
Overheid kan natuurlijk wel afdwingen dat de streamingsdiensten tijdelijk op zwart gaan, of al het internetverkeer standaard via een bepaald knooppunt loopt of in 't ergste geval internet plat gaat.
Wat heeft dat met de beveiliging van vitale bedrijven te maken als je een stremming dienst blokkeert?

[Reactie gewijzigd door jongetje op 23 maart 2020 12:35]

Je hebt zeker geen ongelijk, maar wat je beschrijft is niet typerend voor de overheid. In de commerciële hoek heb ik vaak een vergelijkbare incompetentie gezien op het gebied van informatiebeveiliging.
Ik heb in het verleden ook weleens te maken gehad met incompetent bestuur op mijn werk en ik wist de incompetentie een keer te omzeilen met de boodschap dat mijn idee niet alleen efficiënter was, maar dat de initiële kostprijs ook nog eens stukken lager was dan wat tot dan toe als gebruikelijk werd beschouwd.

Je had het eens moeten zien toen ik dat laatste argument noemde. De ommekeer in werkwijze die er op volgde is één van de mooiste werkervaringen die ik ooit heb gehad.

Dat verhaal ging over de voordelen van eenheid in aangeschafte systemen.

Ik heb nu gelukkig veel competenter leidinggevenden die zo'n verhaal direct begrijpen.

Met de nadruk leggen op het dubbel uitvoeren van essentiële systemen ben ik wel altijd problemen blijven houden. Het probleem met redundancy is dat je je leidinggevende naar de toekomst wilt laten reizen zodat hij kan zien welk geweldig voordeel dubbel uitgevoerde systemen hebben.

Maar stel dat dat kan: dan loop je het risico dat je leidinggevende uit de toekomst terugkeert met de boodschap dat de systemen het binnen de afschrijvingstermijn gewoon blijven doen en dat de kosten aan redundancy weggegooid geld blijken te zijn.

Dus ja, je hebt zeker een punt als je zegt: "Ik weet het niet". Ik weet het namelijk heel vaak ook niet.

[Reactie gewijzigd door Uruk-Hai op 23 maart 2020 12:36]

Je geeft het al aan soms moet je andere argumenten die minder logisch zijn gebruiken om je doel te bereiken. Probleem is natuurlijk het vinden van het juiste niet voor de hand liggende argument om anders denkende te kunnen overtuigen.
Makkelijke open deur. Maar concreet, wat houdt dat allemaal in. Waren die passende maatregelingen dan niet aanwezig bij Citrix?
Het lijkt me dat het inrichten van patch en vulnerability management tot de minimale maatregelen zou behoren.
In het geval van het recente Citrix-lek wordt het echter wel lastig: Er was voor lange tijd geen goede patch beschikbaar en het was ook onduidelijk of de mitigatie die Citrix communiceerde effectief was.
zover Ik weet was die mitigatie effectief als je op de laatste firmware zat en je het op tijd (binnen een week) had doorgevoerd. Was je daar later mee, dan was je niet zeker of er al niet iemand binnen was geweest.
"Minister Grapperhaus van Justitie en Veiligheid wil dat alle bedrijven die vitale infrastructuur in Nederland aanbieden, verplicht een bepaald beveiligingsniveau hanteren"

Kan iemand mij vertellen hoe je een beveiligingsniveau kunt definieren? Voor zover ik weet heeft security geen 'eenheid', en dus lijkt een definitie mij erg lastig en erg afhankelijk van de implementatie.
Er zijn een aantal standaarden of frameworks die hierbij als rode draad kunnen dienen, ISO27001 of NIST bijv.
Zo kun je een ISO27001 certificering krijgen waarmee je aantoont dat je verschillende aspecten 'goed' ingeregeld hebt.

Dit staat dan nog los van de implementatie van de verschillende onderdelen.

Voorbeeld; hoe ga je om met autorisaties op systemen. Wat en hoe is dat ingeregeld.
Met zo'n standaard kan je vervolgens een beveiligingsniveau kwantificeerbaar maken.
Tja de allerhoogste beveiliging behaal je door non-connected, powered en locked down te zijn. Zou grappenmans iets anders bedoelen ? Eerder een betrouwbaarheids gradatie ? Daarentegen wordt een politicus niet gehinderd door enige kennis, kortom je kun je ze weinig kwalijk nemen...
Ik hoop dat de vitale bedrijven zelf nog een stapje extra willen zetten boven de uniforme normen van de overheid, anders hebben ze allemaal dezelfde kwetsbaarheden.
Toezicht houden heeft niet zoveel zin: de kennis balans is gewoon veel te scheef. Het blijft dan hangen in vage leuterkoek. Het is veel beter als de overheid een verplicht aandeel heeft in de hut en 'kennis-link' heeft naar de medewerkers die weten waar ze over praten.
Ik noem het wel eens kennis-interfacen. Als de overheid geen/te weinig mensen in dienst heeft die door te doen weten waar ze het over hebben kun je ook niet met de doeners van het bedrijf een fatsoenlijk gesprek voeren over de 'nitty gritty'.
Als grapperhaus hier nu eens de wettelijke basis voor legt voor dergelijke interventies. De aanzet tot een ecologie. Dan kan ik me voorstellen dat het iets zinnigs wordt. Maar ik vrees dat hij en zijn bestuurders/beleidsmedewerkers gewoon niet de kennis hebben om überhaupt te snappen waar ik het over heb. Digibeten bestaan echt... en digibeten op bestuurlijk niveau die een cursusje hebben gevolgd en dan denken waar ze over praten is zo mogelijk nog vervelender omdat je dan ook nog door de eigenwijsheid heen moet breken. Excuus voor mijn enigszins cynische toon. Er valt best wat te doen maar het begint met inzicht in het eigen kennisgebrek, nederigheid en echt willen luisteren...

[Reactie gewijzigd door oks op 23 maart 2020 12:02]

Wat ik bij de corona crisis nu eens zou willen zien is nadenken over echt vitale bedrijven. Waarom moeten de mondkapjes uit China komen, ze leveren daar schijnbaar virus en mondkapjes. In dit soort situaties moeten er al draaiboeken liggen dat productie van vitale goederen in eigen land moet kunnen gebeuren.
Het probleem is dat men zich meestal voorbereid op de 'vorige' oorlog. Je kunt veel gewoon niet voorzien en overal draaiboeken voor opstellen. Wat nu als vitaal bestempeld wordt is bij de volgende crisis waarschijnlijk helemaal niet vitaal. Mooi voorbeeld uit de geschiedenisboekjes is de Hollandse Waterlinie. En wie had na de kredietcrisis van 10 jaar terug kunnen bedenken dat mondkapjes opeens zo belangrijk zouden worden?

[Reactie gewijzigd door zordaz op 23 maart 2020 13:00]

Of men zou met die mondkapjes eens niet op de blauwe ogen van de leverancier moeten vertrouwen. Een belofte tot levering is dus nu jammer joh geworden.

Er zijn in diverse landen diverse programma's opgezet na de SARS uitbraak van een aantal jaar geleden. Zodra ze wisten dat het virus naar NL zou komen (corona) hadden ze gelijk moeten gaan inslaan.

Maar, ik heb makkelijk praten vanachter mijn schermpjes, vanuit mijn huis...
In slaan? Ze hadden onze voorraad nooit naar China moeten sturen.
De kans was zeer groot dat het virus daar niet zou blijven.
Hij kan wel meer willen, laat ze eerst maar eens waterdichte contracten leren opstellen vanuit de overheid. Zodat ze bij grotere belangrijke projecten een keer gaan krijgen waarvoor ze betalen. Alles valt en staat met helderheid en transparantie. Met een goed contract heb je voor bijna alles van te voren alle risico's afgedekt.
Dat bedrijven graag voor de overheid werken mag ook wel eens wat opleveren voor de samenleving. Ik neem een project voor de belastingdienst, hoeveel miljoen is daar al door de plee gespoeld vanwege een onduidelijke afkadering?
Meerwerk schrijven kunnen al die bedrijven wel, maar projecten gaan te vaak mis imho.

Dus voordat Dhr Grapperhaus eisen gaat stellen mag hij eerst de hand in eigen boezem steken voordat hij nog meer wetten wil laten maken.
Ook veiligheid is prima te handhaven met goede duidelijke afspraken.
Hij kan wel meer willen, laat ze eerst maar eens waterdichte contracten leren opstellen vanuit de overheid. Zodat ze bij grotere belangrijke projecten een keer gaan krijgen waarvoor ze betalen.
Ik ben het helemaal met je eens, maar in praktijk is het niet te doen. Af en toe heb ik met dit soort contracten te maken en zie daar dan grote gaten in. Als ik ze probeer te dichten dan weigert de partner het contract of verhoogd de prijzen tot onacceptabel niveau. Die bedrijven weten best dat ze software leveren vol gaten en bugs en dat ze dat met hun huidige manier van werken niet kunnen voorkomen. Je zou dan zeggen "pas je manier van werken aan", maar dan wordt de software/dienst al snel zo duur dat niemand er nog voor kan betalen.

Het probleem wordt groter doordat het bijzonder moeilijk is om vast te stellen hoe veilig iets is. Beveiliging is niet binair, het is niet iets dat je wel of niet hebt, het is een schaal. Helaas is er geen eenduidige standaard of keurmerk wat alle aspecten van beveiliging dekt, bruikbaar is voor gewone mensen en een beetje betaalbaar is.

De pijnlijke realiteit is dat het vrijwel onmogelijk is om IT-contracten waterdicht te maken. De achterliggende risico's en problemen zijn zo groot dat geen enkele leverancier zo'n contract accepteert.

In mijn ogen hebben we juist de wet nodig om iets te veranderen. Door het wettelijk te regelen verhoogd je de ondergrens voor iedereen. Of je er nu verstand van hebt of niet en of je er geld voor over hebt of niet. Daardoor hoeven bedrijven die op zich welwillend zijn niet te concurreren met bedrijven die lak hebben aan beveiliging en daardoor goedkoop zijn, en hoeven we geen discussies meer te hebben over basale veiligheid maar kunnen we gewoon zeggen "dit is de wet, zorg er voor".
IN plaats van te filosoferen over WAT een veilige infrastructuur is, lijkt het mij slimmer om uit te zoeken wie bepaald wat daar onder valt.
Ik heb wel een idee.
En wat het allemaal mag kosten ? Aanbestedingen, richtlijnen, baten en kosten zijn niet altijd met een boeren rechttoe rechtaan verstand in 'moers taal' goed te praten bij de overheid.... Ze zijn echter wel goed in het regeltjes verzinnen en geld van anderen uitgeven....
Nog nooit in de gaten gehad dat de overheid werkt met 'andermans geld' en ze echt geen moeite hebben om dat uit te geven.
Elke minister, maar dan ook elke wil graag een den-Uiltje worden. je weet wel de man die de BTW bedacht heeft en dat nu letterlijk over de hele wereld gebruikt word. Ofwel jij maakt wist en hun profiteren.
Het was niet Den Uijl. De EUEG heeft dit soort belasting geharmoniseerd en dat is de btw geworden.
Naar frans idee; TVA. via wikipedia gevonden. nl.wikipedia.org/wiki/btw

[Reactie gewijzigd door onetime op 25 maart 2020 16:12]

De EU bestond nog niet eens toen de btw werd ingevoerd in 1969, https://www.anderetijden....g/566/De-komst-van-de-BTW
Hier de wetgeving https://www.parlementaire...vij5epmj1ey0/vi3afw6t35pg
Den Uyl was de aangewezen minister om het in te voeren, hij staat daarom ook op het publikatie blad En IDD hij heeft het niet bedacht, maar ook de Fransen niet die hebben het weer van de Grieken. Maar het werd den Uyl aangerekend. vandaar toen ook de kreet; nu nog even een den uyltje erbij doen. Er waren voor ondernemers toen boekje met BTW tabellen zie ook die naam hadden.
En onze wetgeving is overigens volledig gebaseerd op de trais politica bedacht door een Frans filosoof. Ook van die fijne wiki
https://nl.wikipedia.org/wiki/Trias_politica


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True