Kabinet komt met nadere regels om 5G-netwerken tegen spionage te beschermen

Het Ministerie van Economische Zaken en Klimaat heeft een nieuwe regeling gepubliceerd met nadere regels die mobiele operators moeten implementeren om de weerbaarheid van 5G-netwerken te verhogen. De regeling is woensdag in consultatie gegaan.

Het gaat om een conceptversie van de Regeling veiligheid en integriteit telecommunicatie, waar geïnteresseerden tot 16 december op kunnen reageren. In deze regeling staan nadere regels over beveiligingsmaatregelen die mobiele netwerkoperators moeten treffen. In totaal zijn er negentien organisatorische en technische beveiligingsmaatregelen opgesteld.

Het gaat bijvoorbeeld om het geautomatiseerd actueel houden van mechanismen die actief kwaadaardige malware detecteren en deactiveren. Verder is er de verplichting om alle toegang tot apparatuur en software te reguleren en tot een minimum te beperken, waarbij enkel persoonsgebonden accounts mogen worden gebruikt die periodiek worden gecontroleerd en waarbij meerfactorauthenticatie verplicht is. Ook is er een regel dat derde partijen alleen toegang tot de apparatuur en software van de netwerkaanbieder krijgen via een afgeschermde virtuele desktopomgeving. Daarnaast zijn er voorschriften voor cryptografische technieken, de bewaking van de infrastructuur en het voeren van een programma om het beveiligingsbewustzijn van intern beheerpersoneel te verhogen.

Deze beveiligingsmaatregelen vormen een aanscherping van de zorgplicht zoals geformuleerd in de Telecommunicatiewet. Ze komen voort uit door TNO opgestelde aanvullende technische en organisatorische maatregelen en zijn volgens het ministerie in lijn met de technische maatregelen zoals eerder door de EU opgesteld. De beheersmaatregelen zien toe op de kritieke onderdelen van de mobiele netwerken.

Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk. De regeling laat echter wel ruimte aan mobiele aanbieders om een of meer maatregelen nog niet te hoeven implementeren. Daar moet de minister van Economische Zaken en Klimaat dan een ontheffing voor verlenen. De regeling treedt na de publicatie direct in werking, maar de verschillende maatregelen moeten pas op 1 oktober 2022 zijn geïmplementeerd.

Huawei-zendmast

Door Joris Jansen

Redacteur

Feedback • 11-11-2020 07:52 26

11-11-2020 • 07:52

26

Lees meer

Hoge frequenties moeten wachten

8 nov 2020

Hoge frequenties moeten wachten

Waarom we nog geen supersnel 5G hebben

184
TNO: meeste thuiswerkende Nederlanders gebruiken eigen hardware
TNO: meeste thuiswerkende Nederlanders gebruiken eigen hardware Nieuws van 4 februari 2021
Overheid veilt 3,5GHz-frequenties voor 5G-gebruik in eerste kwartaal van 2022
Overheid veilt 3,5GHz-frequenties voor 5G-gebruik in eerste kwartaal van 2022 Nieuws van 17 december 2020
Kabinet: gemeenten moeten ondanks zorgen plaatsing 5g-antennes accepteren
Kabinet: gemeenten moeten ondanks zorgen plaatsing 5g-antennes accepteren Nieuws van 19 februari 2020
Providers betalen minimaal 900 miljoen euro bij eerste Nederlandse 5g-veiling
Providers betalen minimaal 900 miljoen euro bij eerste Nederlandse 5g-veiling Nieuws van 5 december 2019
Ministerie stelt waarschijnlijk Nederlandse veiling 5g-frequenties uit
Ministerie stelt waarschijnlijk Nederlandse veiling 5g-frequenties uit Nieuws van 4 juni 2018
Nederlandse kabinet komt mogelijk medio dit jaar met plan voor 5g op 3,5GHz-band
Nederlandse kabinet komt mogelijk medio dit jaar met plan voor 5g op 3,5GHz-band Nieuws van 14 februari 2018
Meer producten en artikelen
Economie en maatschappij Politiek en recht 5g Nederland Overheid spionage Telecom

Reacties (26)

-Moderatie-faq
26
26
10
3
0
12
Wijzig sortering
Keypunchie
11 november 2020 07:56
Okay, dus een 5G aanbieder moet ISO27001 implementeren voor het netwerk?

Dit verplicht een telecomreus tot patchen, de virusscanner bijwerken en geen generieke accounts.

Goed advies, maar ergens treurig dat dit in de wet moet, van de telecomsector mag je dit als standaard verwachten...

[Reactie gewijzigd door Keypunchie op 24 juli 2024 03:46]

Kevinp @Keypunchie11 november 2020 08:07
Er staat ook nergens dat dat niet al gebeurd. Ik neem aan dat het hele slechte reclame is voor een bedrijf als uitlekt dat ze laks zijn geweest. Dat gaat ze veel klanten kosten.

Dus leuk zo'n wet, maar ik vermoed dat degene die hacken wel beter zijn dan dit. En daarmee het vooral is voor de pers en niks werkelijk veranderd.

Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk.

Dat stukje had ik over het hoofd gezien. Maar zoals ik al zei, er veranderd dus niks. Het klinkt leuk en veiliger, maar dat is het niet.
Prx @Kevinp11 november 2020 08:17
Dus leuk zo'n wet, maar ik vermoed dat degene die hacken wel beter zijn dan dit. En daarmee het vooral is voor de pers en niks werkelijk veranderd.
We hebben het hier over een aantal zaken die als een basishygiëne gezien kunnen worden, maar die het externe partijen wel degelijk een heel stuk moeilijker maken om daadwerkelijk misbruik te maken van een omgeving.

Zeker MFA is bij red-teaming oefeningen iets wat direct de 'moeilijkheid' enorm omhoog brengt. Gecombineerd met de eisen inzake monitoring en vaststelling van volwassenheid en inrichting van beheer bij derden zit ook de keten afgedekt.

Het meeste werk van dit hele verhaal gaat juist de vele actieve toetsing zijn die ook geëist wordt in het stuk. Daar zit enorm veel 'papierwerk' in om dat allemaal vast te leggen (zowel toetsing als evidence). Zowel intern als bij de eerder genoemde leveranciers.

Ik ben het wel met @Keypunchie eens dat het jammer is dat het in een wet moet, maar dan is er tenminste ook een stok om mee te slaan naar organisaties. De overheid kan nu ook gaan handhaven op deze inrichting. Daarnaast maakt een wettelijke vereiste het voor mij bijvoorbeeld ook een stuk makkelijker om wijzigingen doorgevoerd te krijgen, anders ben je toch vaak managers aan het overtuigen van nut, noodzaak en risico. Ook een leuke discussie vaak hoor, maar die wil je hebben over exotische zaken, niet over deze basishygiëne.

Dus vanuit mijn optiek ben ik er blij mee dat dit nu opgelegd wordt aan de telecomsector voor de bescherming van de kritieke (core) infrastructuur, van mij mag dit snel breder toegepast worden naar alle kritieke infrastructuur in Nederland.
DeComponeur
@Prx11 november 2020 10:34
Dit soort ontwikkelingen brengt altijd vooraf/achteraf en vernieuwde wetgeving met zich mee.
Onze maatschappij is redelijk complex geworden en er zijn helaas bedrijven/mensen die de grenzen van de wet opzoeken Soms niet eens met kwade bedoelingen maar bijvoorbeeld om (winst)marges te verhogen. Ook eens met @Keypunchie maar niets regelen en het aan de markt overlaten is denk ik, zeker voor overheden, steeds meer een 'no go' geworden. Het niet nemen van een verantwoording (wet) brengt ook een verantwoording met zich mee ;)
janbaarda @Prx11 november 2020 11:30
Fijn dat e.e.a aansluit bij
[..] de technische maatregelen zoals eerder door de EU opgesteld.
Dit lijkt mij nogal af te wijken van de gedachte bij de EU om "versleuteling zonder sleutel bij derde partijen" verboden zou moeten worden...

Stel je voor dat door effectieve maatregelen tegen spionage, als voorbeeld, de sleepwet zijn waarde verliest. De overheid is niet erg consistent in beleid:
  • Aan de ene kant spionage (sleepwet, "leesbare" versleuteling) verplicht mogelijk maken
  • Aan de andere kant verplichte maatregelen om spionage tegen te gaan
kramer65 @Prx11 november 2020 12:10
Zeker MFA is bij red-teaming oefeningen iets wat direct de 'moeilijkheid' enorm omhoog brengt.
Vraagje; wat is MFA?
Remcojurjus @kramer6511 november 2020 12:27
multi factor authentication
er0mess @Keypunchie11 november 2020 08:07
Ik zal eerlijk zijn. Ik ben niet op de hoogte van of de telecomsector dit (al) wel of niet doet. Maar dat er nieuwe wet en regelgeving wordt geïntroduceerd betekend niet dat de bedrijf zich er niet (al) grotendeels aan houden.
Volgens het ministerie zijn netwerkaanbieders nauw betrokken geweest bij de totstandkoming van de beheersmaatregelen, waardoor ze in principe moeten aansluiten op de huidige praktijk.
Als ik dit zo lees heeft dit ‘moeten van’ minder te maken met de inzet van de telecomsector, die er blijkbaar al mee bezig was, maar meer met de, laten we zeggen, ‘vernieuwde’ interesse van buitenlandse mogenheden.
bbob
@Keypunchie11 november 2020 10:18
Ach het is toch net zo treurig dat de overheid zelf op ict gebied nu niet echt een goed voorbeeld is, misschien is dat nog triester.
RobbieB @Keypunchie11 november 2020 10:28
Technisch gezien zegt ISO27001/2 hier niks concreets over. Ik noem het zelf altijd het 'zwemdiploma A' van de informatiebeveiliging. Je kunt je hoofd boven water houden door wat te trappelen, maar bij de eerste beste golf wordt je nat...

ISO geeft veel te veel vrijheid en ruimte om invulling te geven aan controls. Als jij in je framework zet dat je patches beoordeeld en uitvoert als dit technisch mogelijk is, dan is dat voldoende. Een auditor zal dit checken. Maar als jou systeem dan geen patches heeft met als argument dat het 'technisch niet mogelijk was' (want: legacy of whatever), dan is dat prima voor je ISO-certificering. ISO geeft dan wel aan dat je 'compenserende controls' moet hebben (bv. netwerksegmentatie van kwetsbare systemen), maar ook daar heb je weer de ruimte dit risk-based in te vullen...

ISO is echt 100% schijnveiligheid. Bewijs? Vrijwel ieder bedrijf dat een grote ransomware aanval heeft gehad was ISO-certified.
Jerie @RobbieB11 november 2020 21:53
Dit dus. Auditing is BS. Neem bijvoorbeeld Wirecard AG. Die werden geaudit door KPMG. Er zit wellicht wat verschil tussen de Big Four, maar uiteindelijk komt het op hetzelfde neer. Een wassen neus. Toch ligt de lat van zo'n audit laag. En is zo'n norm halen eenvoudig. Daardoor is het niet hebben verdacht.
Neophyte808 @Keypunchie11 november 2020 15:13
Ik vraag me af waarom het hebben van geen generieke accounts bijdraagt aan de veiligheid. Ik ken meerdere bedrijven die computers gebruiken in kiosk mode, met een account met zeer beperkte rechten die specifiek alleen daarvoor bedoeld is.
Darses 11 november 2020 08:58
In het wetsvoorstel wordt ook de verplichting opgenomen dat het gebruik van 3DES per 2024 uitgefaseerd moet zijn. Dat is over 4+ jaar! Als dat de huidige staat is van beveiliging bij telecomproviders, dan moeten zij zich daar echt voor gaan schamen. Het is mij gelijk duidelijk waarom iedereen zich zo'n zorgen maakt over de veiligheid bij (mobiele) telecomproviders...

Los daarvan mis ik enige referentie aan de call spoofing problemen, waar bijvoorbeeld Kassa en Radar recent aandacht aan besteedde. In de VS is inmiddels al wetgeving waardoor telecomproviders worden verplicht hier maatregelen tegen te nemen. Het is een gemiste kans om dat niet ook hier in Nederland (of Europa) in te voeren.

[Reactie gewijzigd door Darses op 24 juli 2024 03:46]

black_eye 11 november 2020 08:19
Wel apart dat het "gewone" netwerk vergeten lijkt. Daar zitten corerouters van bepaalde merken in. Voor fiber DSLAM's worden ze ook gebruikt en je hoort er niemand over.

Verder kan je een simpel VOGje overleggen, dan de certificaten halen om de HVD's binnen te gaan en je hebt toegang tot het netwerk. Daar zit geen extra check op en er wordt zeker geen antecedenten onderzoek gedaan. Geldt ook voor potentieel gevoelige info wat te vinden is in b.v. KANVAS of GEOS.
ViperXL75 @black_eye11 november 2020 08:28
Hahahha.... sorry.... de *hint* is prachtig: "corerouters van bepaalde merken"

Je heb gelijk. :)
TobyP @ViperXL7511 november 2020 09:58
pak 2 kanten van het spectrum, Cisco v.s. Huawei, de ene heeft spyware voor VS en UK, de andere voor China

oh wacht... het eerste is bewezen, het 2de niet, maar is potentieel mogelijk doordat Huawei Chinees is.

[Reactie gewijzigd door TobyP op 24 juli 2024 03:46]

Eonfge 11 november 2020 08:13
Gaan ze dan ook eisen stellen aan leveranciers? Want er zijn meerdere gevallen bekend van leveranciers die routers, switches en dergelijke, hebben geïnfecteerd ten behoeve van gleufhoeden wereldwijd.

- https://www.wired.com/201...partially-the-nsas-fault/
- https://arstechnica.com/t...-phone-networks-wsj-says/

Zowel de VS als China zouden moeten afvallen.
Anoniem: 767041 11 november 2020 08:40
Dit heeft T-Mobile toch al met "veilig online" met hun duurste 5g abbo? Of zit ik er nou compleet naast en is het wat anders
xbeam @Anoniem: 76704111 november 2020 09:50
Nee dit is totaal iets anders en heeft niets met eind gebruikers zoals jij en in te maken.
Johnny D 11 november 2020 08:49
We hebben toch al even 5G
Is dat niet een beetje laat om er over na te gaan denken
Zijn ze hier wel goed in , van ooooh ja dat hadden misschien beter anders kunnen doen
HoleinOne 11 november 2020 10:09
Ik lees alleen over de toegang tot de hardware via 'vaste' lijnen. Hoe zit het met een 'backdoor' door een verbinding via een draadloze verbinding naar het netwerk?
FrostyPeet 11 november 2020 10:34
Ik mis kwaliteitseisen in vage doelstellingen. Voorbeeld "een programma om het beveiligingsbewustzijn van intern beheerpersoneel te verhogen" klinkt leuk, het kan ook 1 x per jaar door een powerpoint klikken op je pc met een "certificaat van deelname" dat je dan kan downloaden en zelf je naam mag invullen. Het kan ook zijn dat je zwaar gedrild wordt met een relevant examen.
Keypunchie
@FrostyPeet11 november 2020 10:50
Binnen ISO27001 lossen ze dat op doordat onderdeel van de audit is om te kijken of de maatregelen de doelstellingen behalen.

Dus een (minor)audit-bevinding kan best zijn: het 1x-tje powerpointen is onvoldoende om beveiligingsbewustzijn te bereiken, zelfs als het heel braaf is uitgevoerd. En dan moet het management verbetermaatregelen implementeren, of ze falen hun ISO-certificering.
walder 11 november 2020 12:52
verkeerde locatie

[Reactie gewijzigd door walder op 24 juli 2024 03:46]

Anoniem: 428562 11 november 2020 13:34
Ondertussen kan iemand met toegang tot SS7 gewoon je telefoon blijven monitoren.

https://www.wired.com/201...entication-bank-accounts/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq