Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse providers willen bedrijven gaan waarschuwen voor beveiligingslekken

Nederlandse providers werken aan een systeem om Nederlandse bedrijven te waarschuwen als die misschien last hebben van beveiligingslekken. De Nederlandse Beheersorganisatie voor Interproviders krijgt de informatie van het NCSC en gaat die doorgeven aan het bedrijfsleven.

De NBIP, waarin Nederlandse providers en infrastructuurbeheerders zijn vertegenwoordigd, ontwikkelde het systeem samen met de TU Delft. Het Financieele Dagblad schrijft dat het gaat om een meldingssysteem waarmee beveiligingsproblemen in de netwerken van de providers kunnen worden aangekaart. Er komt informatie 'uit verschillende bronnen samen', schrijft de krant.

Het nieuwe systeem waarschuwt niet alleen voor kwetsbaarheden bij de providers zelf. De NBIP heeft ook een speciale status gekregen waardoor de organisatie meldingen kan krijgen van de overheid, met name het Nationaal Cyber Security Centrum. Het NCSC krijgt nu vaak berichten over beveiligingslekken bij bedrijven. Die bedrijven worden soms gewaarschuwd voor die lekken, maar dat gebeurt alleen als het gaat om 'vitale infrastructuur'.

Door de nieuwe status van de NBIP kan die organisatie nu ook andere meldingen van het NCSC krijgen. De NBIP heeft nu 'objectief kenbaar tot taak' andere organisaties te informeren over veiligheidslekken. Onder die OKTT-status kan de NBIP de aangeleverde informatie delen met andere bedrijven. Het platform is inmiddels actief. "We zijn die informatie met een grote pilotgroep aan het verfijnen", zegt NBIP-directeur Octavia de Weerdt tegen Tweakers. "We zijn nu al in staat om gericht, relevant en in real time te informeren, en dat doen we ook indien nodig. Het NCSC kan een van de partijen zijn die ons van informatie voorzien, en we kunnen deze informatie gericht delen."

Vooralsnog is niet bekend welke informatie het securitycentrum gaat aanleveren aan de providers. Evenmin is bekend hoe en hoe vaak dat gebeurt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

06-10-2020 • 13:15

31 Linkedin

Reacties (31)

Wijzig sortering
Ik vind het sowieso raar dat het NCSC soms de info wel heeft, maar niet deelt.

Nu gaan de providers dus samenwerken om deze info alsnog door te spelen, ik zou liever zien dat het NCSC hierin zelf zou voorzien, dat je bijvoorbeeld ook als bedrijf kan aanmelden om de berichten van het NCSC te ontvangen en dat dit zich niet alleen beperkt tot de overheid en ministeries.
Zoals aangegeven in het artikel deelt de NCSC alleen informatie aan de "vitale infrastructuur". Dit is, uiteraard, vanuit nationaal belang. Daar is de NCSC dan ook voor opgericht, ze zijn er niet voor het "gemakzuchtige" bedrijfswereldje die zelf niet bovenop deze cybersecurity 'leaks' staan.

Ik ben dan ook zeer blij dat de NCSC zich voornamelijk bezig houdt met onze vitale infrastructuur en er voor zorgt dat niet een (sorry voor de persoonlijke aanval) Rusland even onze delta werken open gooit en ons land onder water zet.

Als zij zich inderdaad met het zakenleven zouden gaan bemoeien, zou ons dat weleens fataal kunnen worden.
Er is regelmatig veel "bijvangst" van meldingen die bij het NCSC binnenkomen, als ik dit zo lees. Dus meldingen van externe bronnen die aangeven dat er e.e.a. speelt in de Nederlandse IP space. Als het NCSC alleen maar die info mag delen met de vitale infrastructuur, dan blijft er best veel informatie liggen. Die vitale infrastructuur is dan wellicht beter beschermd, maar de omringende partijen niet. Dus ja, ik ben blij dat er een methode is gevonden om die "bijvangst" toch te kunnen delen met de markt. Dat betekent NIET dat dit bedrijven ontslaat van hun verantwoordelijkheid om hun beveiliging op peil te houden. Die initiatieven kunnen zich volgens mij prima tot elkaar verhouden.
Ik vind het altijd wel opvallend dat internetproviders zelf blijkbaar geen vitale infrastructuur zijn.
Vallen internetproviders niet onder Internet en datadiensten / Internettoegang en dataverkeer?

https://www.nctv.nl/onder...verzicht-vitale-processen
Ik weet eerlijk gezegd niet of de NCTV en het NCSC dezelfde definitie van vitale infrastructuur hebben. Lijkt me logisch en dan zou dit inderdaad best kunnen...
Heb het even opgezocht. Voorheen was NCSC een onderdeel van de NCTV. Echter door de complexiteit van de digitale wereld is dit een aparte entiteit geworden. NCTV is nog wel een beleidsopdrachtgever van het NCSC. Dus denk dan ook wel dat ze dezelfde definitie hebben.

https://www.ncsc.nl/over-ncsc/onze-partners
https://www.nctv.nl/onder...al-cyber-security-centrum
Het NCSC is een overheidsinstantie en levert dus informatie aan overheidsinstanties.
Het bedrijfsleven moet zichzelf in principe maar in stand houden.
Je kunt het zien als een extra service van het NCSC als ze wel informatie doorgeven.
een overheid heeft als taak zijn burgers te beschermen. in die hoedanigheid lijkt mij ook dat ze hierbij melding dienen te maken. zowel medewerkers als klanten van het bedrijfsleven zijn burgers van het land. een overheid beschermt toch ook tegen bijv. malafide bank-constructies e.d. door wetgeving.
De overheid moet uiteraard zijn burgers en bedrijven beschermen, maar als die burgers en bedrijven dat net zo goed zelf kunnen is overheidsbemoeienis overbodig. In dit geval levert de overheid (een gedeelte van) de benodigde informatie, zodat het bedrijfsleven zelf het waarschuwingsmechanisme op kan zetten. Lijkt me een prima inzet van publieke middelen.
De overheid is in dienst van het volk en niet anders om. Althans, dat was ooit het idee van een georganiseerde overheid...

Zo hoeft de autobezitter ook geen asfalt aan te leggen naar de plekken die hij/zij graag bezoekt. Daar hebben we de overheid voor: Gedeelde resources.

[Reactie gewijzigd door Mushroomician op 6 oktober 2020 14:17]

Hmmz, m'n oprijlaan moest ik toch zelf betalen
Als het goed is deel je die niet en heeft niemand anders er wat aan.
Maar de overheid adviseert niet over het hek waarmee je de oprit af moet sluiten. Net zoals ze niet direct adviseren over IT lekken.
Niet helemaal gerelateerd aan een hek, maar genoeg hebben er een slot op, en daar word wel advies over gegeven, vanuit de overheid. https://www.maakhetzeniet...braak/goedgekeurde-sloten

[Reactie gewijzigd door dakka op 6 oktober 2020 17:58]

Toch vind ik het jammer dat ze niet wat meer doorgeven. In principe mag je toch wel verwachten dat de overheid ook minder vitale informatie doorspeelt. Dergelijke informatie kan grote consequenties hebben. In principe is het ook eigenbelang, gezien een bedrijf dan geen groot datalek of financiële problemen krijgt, wat weer zorgt dat er geen mensen op straat komen of een bedrijf helemaal ten onder gaat.
Tsja, ik zou ook graag willen dat de politie mijn huis regelmatig controleert of ik de deur niet open heb laten staan.

Beveiliging is ook een eigen verantwoordelijkheid. CVE lijsten zijn via allerlei bronnen beschikbaar, daar heb je het NCSC niet voor nodig.
Maar als de politie een bericht krijgt dat je deur al 3 maanden open staat plus je contactgegevens hebben en dan niet even de moeite neemt om je daarover in te lichten, dan is dat wel wat raar.

[Reactie gewijzigd door Martinspire op 6 oktober 2020 15:06]

Maar dan is het nog steeds geen verplichting maar eerder een pro-actieve actie van de wijkagent.
Voor het NCSC zou er heel veel tijd in gaat zitten om daar achteraan te gaan. Ze weten van een kwetsbaarheid af en mogelijk weten ze op welke IP-adres die kwetsbaarheid gevonden kan worden. Je hebt dan echter nog flink wat resources nodig om de bedrijven achter die IP adressen te vinden en dan ook nog een contactpersoon die weet waar het over gaat. Daar is het NCSC helemaal niet op ingericht en het is ook niet de taak van het NCSC om dat voor het bedrijfsleven te doen.

Het zou misschien een mooie taak zijn voor het https://www.digitaltrustcenter.nl/, maar ook die zijn daar nog niet op ingericht en hebben vooral nog een awareness doelstelling.
Is die organisatie daarop ingericht? Waarschijnlijk niet. Dan is het logischer dat providers de informatie oppakken en delen met hun klanten. Het maakt nogal wat uit of een NCSC informatie deelt met een klein aantal overheidsdiensten of met een paar honderd duizend bedrijven.
Ja, dat is op een bepaalde manier ook wel raar. Maar dit is niet (alleen) een verandering bij NCSC. NCSC is gewoon lekker bezig met NDN en dat soort ontwikkelingen.

Vooral 'de ISP's' (naja) zijn na een jaar of 10 van standpunt aan het veranderen. TU Delft (Pieter Hartel, Michel van Eeten) is al zeker zo lang aan het zoeken naar hoe ISP's een grotere rol kunnen spelen in security voor ons land.

ISP's hebben direct zicht op al het netwerkverkeer. Ze kunnen dus ongelooflijk veel betekenen in security. Het is bijna niet te onderschatten. Alleen ISP's moeten neutraal zijn.

ISP's moeten neutraal zijn om juridische redenen (bijv. 'netneutraliteit'). En ook politieke redenen (bijv. de vroegere angsten over 'deep packet inspection'). Maar zeker ook als belofte aan de klant. Denk maar eens aan hoe sommige ISP's zich jarenlang hebben geprofileerd op hoe ze met downloaders omgaan.

Die neutraliteit houden versus security monitoring / alerting is een enorm dilemma voor ISP's.

Dat er nu een deeloplossing is door NBIP de juiste status te geven, is super. NBIP is een stichting die is opgericht door de kleine ISP's zodat ze tapbevelen kunnen uitvoeren zonder dat elk van de kleine ISP's daarvoor eigen infra, processen, kortom overhead hoeft op te tuigen. Met de toename van DDoS, is NBIP daar ook voor hun achterban een anti-DDoS dienst gaan leveren. En nu is finally de tijd rijp om deze ISP's ook een klein beetje securiy monitoring & alerting te laten doen.

Maar het is nog maar een klein beetje en alleen de kleine ISP's, dus er is zeker nog wel werk aan de winkel.

[Reactie gewijzigd door iKiddo op 7 oktober 2020 21:40]

Ik vind dit alleen maar positief, met ze allen samenwerken voor een veiligere digitale omgeving.
<knip>

Eens! Erg positieve ontwikkeling. Hopelijk gaan de grote ISP's ook meedoen voor hun zakelijke klanten en hopelijk dat er zelfs voor consumenten een manier wordt gevonden om dit soort zaken op te nemen in de diensten die ISP's leveren.

[Reactie gewijzigd door iKiddo op 7 oktober 2020 21:42]

Hoe kunnen ze gerichte informatie geven zonder computervredebreuk te plegen?
Hoe is informatie doorgeven computervredebreuk?
Door bijvoorbeeld te scannen wat er aan het internet verbonden is. Veel van de laatste grote kwetsbaarheden was apparatuur dat direct aan het internet verbonden was en voor iedereen toegankelijk. De enige beperking was of je over de technische kennis en kunde beschikte om de scans te doen.

Denk bijvoorbeeld aan de Pulse VPN en de Citrix/Netscaler kwetsbaarheid. Sommige organisaties weten soms niet eens dat ze deze spullen in huis hebben en kunnen dan gewaarschuwd worden door zo'n partij. Het is soms triest dat bedrijven niet weten dat ze het in huis hebben, maar helaas komt dit met regelmaat voor.
Een simpel voorbeeld zou zijn is het checken van bijv. reverse proxy server tokens.
Zouden eigenlijk uit moeten staan, maar dat is niet altijd het geval.
Die geven de versie van de server aan, wat iedereen op het internet kan zien. Dan is het makkelijk om daar een lijstje met niet EOL versies mee te vergelijken.

Geen idee of het zo werkt in de praktijk, maar dat is iets wat me gelijk binnen schoot bij jouw vraag.
oooh top, dan hoef ik geen soc meer in te richten.
Zoals anderen al aangeven is het niet de taak van het NCSC om het bedrijfsleven voor aanvallen te waarschuwen, dus goed dat ze de informatie in ieder geval aan het NBIP gaan doorgeven.
Voor de providers is dit misschien een extra kans om zich in de markt te onderscheiden? Ik zie voor me dat voor een X bedrag per maand waarschuwingen extra snel worden doorgeven, eventueel met consultancy hoe het lek te dichten?
Dit lijkt me inderdaad ook iets voor providers. Die hebben een overeenkomst met hun klanten en willen daar waarde aan toevoegen. Bovendien zijn providers beter ingericht om dit soort informatie met hun klanten te delen dan een overheidsorganisatie die hier in principe niet voor is opgericht.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True