Kabinet komt met nadere regels om 5G-netwerken tegen spionage te beschermen

Het Ministerie van Economische Zaken en Klimaat heeft een nieuwe regeling gepubliceerd met nadere regels die mobiele operators moeten implementeren om de weerbaarheid van 5G-netwerken te verhogen. De regeling is woensdag in consultatie gegaan.

Het gaat om een conceptversie van de Regeling veiligheid en integriteit telecommunicatie, waar geïnteresseerden tot 16 december op kunnen reageren. In deze regeling staan nadere regels over beveiligingsmaatregelen die mobiele netwerkoperators moeten treffen. In totaal zijn er negentien organisatorische en technische beveiligingsmaatregelen opgesteld.

Het gaat bijvoorbeeld om het geautomatiseerd actueel houden van mechanismen die actief kwaadaardige malware detecteren en deactiveren. Verder is er de verplichting om alle toegang tot apparatuur en software te reguleren en tot een minimum te beperken, waarbij enkel persoonsgebonden accounts mogen worden gebruikt die periodiek worden gecontroleerd en waarbij meerfactorauthenticatie verplicht is. Ook is er een regel dat derde partijen alleen toegang tot de apparatuur en software van de netwerkaanbieder krijgen via een afgeschermde virtuele desktopomgeving. Daarnaast zijn er voorschriften voor cryptografische technieken, de bewaking van de infrastructuur en het voeren van een programma om het beveiligingsbewustzijn van intern beheerpersoneel te verhogen.

Deze beveiligingsmaatregelen vormen een aanscherping van de zorgplicht zoals geformuleerd in de Telecommunicatiewet. Ze komen voort uit door TNO opgestelde aanvullende technische en organisatorische maatregelen en zijn volgens het ministerie in lijn met de technische maatregelen zoals eerder door de EU opgesteld. De beheersmaatregelen zien toe op de kritieke onderdelen van de mobiele netwerken.

Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk. De regeling laat echter wel ruimte aan mobiele aanbieders om een of meer maatregelen nog niet te hoeven implementeren. Daar moet de minister van Economische Zaken en Klimaat dan een ontheffing voor verlenen. De regeling treedt na de publicatie direct in werking, maar de verschillende maatregelen moeten pas op 1 oktober 2022 zijn geïmplementeerd.

Door Joris Jansen

Redacteur

11-11-2020 • 07:52

26 Linkedin

Reacties (26)

Wijzig sortering
Okay, dus een 5G aanbieder moet ISO27001 implementeren voor het netwerk?

Dit verplicht een telecomreus tot patchen, de virusscanner bijwerken en geen generieke accounts.

Goed advies, maar ergens treurig dat dit in de wet moet, van de telecomsector mag je dit als standaard verwachten...

[Reactie gewijzigd door Keypunchie op 11 november 2020 07:57]

Er staat ook nergens dat dat niet al gebeurd. Ik neem aan dat het hele slechte reclame is voor een bedrijf als uitlekt dat ze laks zijn geweest. Dat gaat ze veel klanten kosten.

Dus leuk zo'n wet, maar ik vermoed dat degene die hacken wel beter zijn dan dit. En daarmee het vooral is voor de pers en niks werkelijk veranderd.

Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk.

Dat stukje had ik over het hoofd gezien. Maar zoals ik al zei, er veranderd dus niks. Het klinkt leuk en veiliger, maar dat is het niet.
Dus leuk zo'n wet, maar ik vermoed dat degene die hacken wel beter zijn dan dit. En daarmee het vooral is voor de pers en niks werkelijk veranderd.
We hebben het hier over een aantal zaken die als een basishygiëne gezien kunnen worden, maar die het externe partijen wel degelijk een heel stuk moeilijker maken om daadwerkelijk misbruik te maken van een omgeving.

Zeker MFA is bij red-teaming oefeningen iets wat direct de 'moeilijkheid' enorm omhoog brengt. Gecombineerd met de eisen inzake monitoring en vaststelling van volwassenheid en inrichting van beheer bij derden zit ook de keten afgedekt.

Het meeste werk van dit hele verhaal gaat juist de vele actieve toetsing zijn die ook geëist wordt in het stuk. Daar zit enorm veel 'papierwerk' in om dat allemaal vast te leggen (zowel toetsing als evidence). Zowel intern als bij de eerder genoemde leveranciers.

Ik ben het wel met @Keypunchie eens dat het jammer is dat het in een wet moet, maar dan is er tenminste ook een stok om mee te slaan naar organisaties. De overheid kan nu ook gaan handhaven op deze inrichting. Daarnaast maakt een wettelijke vereiste het voor mij bijvoorbeeld ook een stuk makkelijker om wijzigingen doorgevoerd te krijgen, anders ben je toch vaak managers aan het overtuigen van nut, noodzaak en risico. Ook een leuke discussie vaak hoor, maar die wil je hebben over exotische zaken, niet over deze basishygiëne.

Dus vanuit mijn optiek ben ik er blij mee dat dit nu opgelegd wordt aan de telecomsector voor de bescherming van de kritieke (core) infrastructuur, van mij mag dit snel breder toegepast worden naar alle kritieke infrastructuur in Nederland.
Dit soort ontwikkelingen brengt altijd vooraf/achteraf en vernieuwde wetgeving met zich mee.
Onze maatschappij is redelijk complex geworden en er zijn helaas bedrijven/mensen die de grenzen van de wet opzoeken Soms niet eens met kwade bedoelingen maar bijvoorbeeld om (winst)marges te verhogen. Ook eens met @Keypunchie maar niets regelen en het aan de markt overlaten is denk ik, zeker voor overheden, steeds meer een 'no go' geworden. Het niet nemen van een verantwoording (wet) brengt ook een verantwoording met zich mee ;)
Fijn dat e.e.a aansluit bij
[..] de technische maatregelen zoals eerder door de EU opgesteld.
Dit lijkt mij nogal af te wijken van de gedachte bij de EU om "versleuteling zonder sleutel bij derde partijen" verboden zou moeten worden...

Stel je voor dat door effectieve maatregelen tegen spionage, als voorbeeld, de sleepwet zijn waarde verliest. De overheid is niet erg consistent in beleid:
  • Aan de ene kant spionage (sleepwet, "leesbare" versleuteling) verplicht mogelijk maken
  • Aan de andere kant verplichte maatregelen om spionage tegen te gaan
Zeker MFA is bij red-teaming oefeningen iets wat direct de 'moeilijkheid' enorm omhoog brengt.
Vraagje; wat is MFA?
multi factor authentication
Ik zal eerlijk zijn. Ik ben niet op de hoogte van of de telecomsector dit (al) wel of niet doet. Maar dat er nieuwe wet en regelgeving wordt geïntroduceerd betekend niet dat de bedrijf zich er niet (al) grotendeels aan houden.
Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk.
Als ik dit zo lees heeft dit ‘moeten van’ minder te maken met de inzet van de telecomsector, die er blijkbaar al mee bezig was, maar meer met de, laten we zeggen, ‘vernieuwde’ interesse van buitenlandse mogenheden.
Ach het is toch net zo treurig dat de overheid zelf op ict gebied nu niet echt een goed voorbeeld is, misschien is dat nog triester.
Technisch gezien zegt ISO27001/2 hier niks concreets over. Ik noem het zelf altijd het 'zwemdiploma A' van de informatiebeveiliging. Je kunt je hoofd boven water houden door wat te trappelen, maar bij de eerste beste golf wordt je nat...

ISO geeft veel te veel vrijheid en ruimte om invulling te geven aan controls. Als jij in je framework zet dat je patches beoordeeld en uitvoert als dit technisch mogelijk is, dan is dat voldoende. Een auditor zal dit checken. Maar als jou systeem dan geen patches heeft met als argument dat het 'technisch niet mogelijk was' (want: legacy of whatever), dan is dat prima voor je ISO-certificering. ISO geeft dan wel aan dat je 'compenserende controls' moet hebben (bv. netwerksegmentatie van kwetsbare systemen), maar ook daar heb je weer de ruimte dit risk-based in te vullen...

ISO is echt 100% schijnveiligheid. Bewijs? Vrijwel ieder bedrijf dat een grote ransomware aanval heeft gehad was ISO-certified.
Dit dus. Auditing is BS. Neem bijvoorbeeld Wirecard AG. Die werden geaudit door KPMG. Er zit wellicht wat verschil tussen de Big Four, maar uiteindelijk komt het op hetzelfde neer. Een wassen neus. Toch ligt de lat van zo'n audit laag. En is zo'n norm halen eenvoudig. Daardoor is het niet hebben verdacht.
Ik vraag me af waarom het hebben van geen generieke accounts bijdraagt aan de veiligheid. Ik ken meerdere bedrijven die computers gebruiken in kiosk mode, met een account met zeer beperkte rechten die specifiek alleen daarvoor bedoeld is.
In het wetsvoorstel wordt ook de verplichting opgenomen dat het gebruik van 3DES per 2024 uitgefaseerd moet zijn. Dat is over 4+ jaar! Als dat de huidige staat is van beveiliging bij telecomproviders, dan moeten zij zich daar echt voor gaan schamen. Het is mij gelijk duidelijk waarom iedereen zich zo'n zorgen maakt over de veiligheid bij (mobiele) telecomproviders...

Los daarvan mis ik enige referentie aan de call spoofing problemen, waar bijvoorbeeld Kassa en Radar recent aandacht aan besteedde. In de VS is inmiddels al wetgeving waardoor telecomproviders worden verplicht hier maatregelen tegen te nemen. Het is een gemiste kans om dat niet ook hier in Nederland (of Europa) in te voeren.

[Reactie gewijzigd door Darses op 11 november 2020 09:03]

Wel apart dat het "gewone" netwerk vergeten lijkt. Daar zitten corerouters van bepaalde merken in. Voor fiber DSLAM's worden ze ook gebruikt en je hoort er niemand over.

Verder kan je een simpel VOGje overleggen, dan de certificaten halen om de HVD's binnen te gaan en je hebt toegang tot het netwerk. Daar zit geen extra check op en er wordt zeker geen antecedenten onderzoek gedaan. Geldt ook voor potentieel gevoelige info wat te vinden is in b.v. KANVAS of GEOS.
Hahahha.... sorry.... de *hint* is prachtig: "corerouters van bepaalde merken"

Je heb gelijk. :)
pak 2 kanten van het spectrum, Cisco v.s. Huawei, de ene heeft spyware voor VS en UK, de andere voor China

oh wacht... het eerste is bewezen, het 2de niet, maar is potentieel mogelijk doordat Huawei Chinees is.

[Reactie gewijzigd door TobyP op 11 november 2020 10:00]

Gaan ze dan ook eisen stellen aan leveranciers? Want er zijn meerdere gevallen bekend van leveranciers die routers, switches en dergelijke, hebben geïnfecteerd ten behoeve van gleufhoeden wereldwijd.

- https://www.wired.com/201...partially-the-nsas-fault/
- https://arstechnica.com/t...-phone-networks-wsj-says/

Zowel de VS als China zouden moeten afvallen.
Dit heeft T-Mobile toch al met "veilig online" met hun duurste 5g abbo? Of zit ik er nou compleet naast en is het wat anders
Nee dit is totaal iets anders en heeft niets met eind gebruikers zoals jij en in te maken.
We hebben toch al even 5G
Is dat niet een beetje laat om er over na te gaan denken
Zijn ze hier wel goed in , van ooooh ja dat hadden misschien beter anders kunnen doen
Ik lees alleen over de toegang tot de hardware via 'vaste' lijnen. Hoe zit het met een 'backdoor' door een verbinding via een draadloze verbinding naar het netwerk?
Ik mis kwaliteitseisen in vage doelstellingen. Voorbeeld "een programma om het beveiligingsbewustzijn van intern beheerpersoneel te verhogen" klinkt leuk, het kan ook 1 x per jaar door een powerpoint klikken op je pc met een "certificaat van deelname" dat je dan kan downloaden en zelf je naam mag invullen. Het kan ook zijn dat je zwaar gedrild wordt met een relevant examen.
Binnen ISO27001 lossen ze dat op doordat onderdeel van de audit is om te kijken of de maatregelen de doelstellingen behalen.

Dus een (minor)audit-bevinding kan best zijn: het 1x-tje powerpointen is onvoldoende om beveiligingsbewustzijn te bereiken, zelfs als het heel braaf is uitgevoerd. En dan moet het management verbetermaatregelen implementeren, of ze falen hun ISO-certificering.
verkeerde locatie

[Reactie gewijzigd door walder op 11 november 2020 12:53]

0Anoniem: 428562
11 november 2020 13:34
Ondertussen kan iemand met toegang tot SS7 gewoon je telefoon blijven monitoren.

https://www.wired.com/201...entication-bank-accounts/

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee