Nederland neemt nog steeds te weinig maatregelen tegen digitale ontwrichting

De weerbaarheid van Nederland tegen digitale ontwrichting is nog altijd onvoldoende. Volgens het jaarlijkse Cybersecuritybeeld worden basismaatregelen vaak niet of onvoldoende getroffen en zijn bestuurders aan zet om daar verandering in te brengen.

In de afgelopen jaren zijn er stappen gezet om de weerbaarheid te verhogen, maar door de groeiende dreiging blijft de weerbaarheid tegen digitale aanvallen onvoldoende. Dat staat in het jaarlijkse Cybersecuritybeeld Nederland, dat door de Nationaal Coördinator Terrorismebestrijding en Veiligheid is opgesteld in samenwerking met het Nationaal Cyber Security Centrum.

Het rapport haalt veel incidenten aan van vorig jaar, waaronder ransomewareaanvallen en misbruik van kwetsbaarheden in hardware en software. Geen van deze incidenten heeft geleid tot maatschappelijke ontwrichting, staat in het rapport, maar het risico daarop is onverminderd groot. Ook in de afgelopen jaren had het Cybersecuritybeeld Nederland een soortgelijke strekking.

Veel van de incidenten komen voort uit het niet naleven van basisregels, zoals het gebruik van sterke wachtwoorden en het tijdig patchen van kwetsbaarheden, aldus het rapport. Het NCSC verwijst daarbij onder andere naar de Citrix- en Microsoft Exchange-kwetsbaarheden, die vorig jaar actief misbruikt werden en waar ook Nederlandse organisaties kwetsbaar voor waren.

Volgens het NCSC zijn er positieve ontwikkelingen zoals een toename in het gebruik van multifactorauthenticatie, het uitfaseren van onveilige technologieën en een verbeterde detectie en respons op cyberaanvallen. Ook is er een 'breed scala' aan initiatieven om de weerbaarheid van organisaties te verbeteren.

Ondanks die positieve punten is de weerbaarheid nog niet voldoende. Het NCSC verwijst naar het rapport van de Algemene Rekenkamer, die in mei concludeerde dat de informatiebeveiliging bij veel overheidsorganisaties nog niet op orde is. Volgens dat rapport was er over de gehele linie geen verbetering ten opzichte van een jaar eerder. Het NCSC verwijst ook naar het adviesrapport van de Cyber Security Raad, die stelt dat Nederland 833 miljoen euro extra moet investeren in cyberweerbaarheid.

Het NCSC heeft een Handreiking Cybersecuritymaatregelen geschreven, die is bedoeld voor organisaties om hun digitale weerbaarheid te verhogen. Hierin staan basismaatregelen die elke organisatie zou moeten treffen, zoals loggen, wachtwoordbeleid, back-ups maken en het versleutelen van informatie.

Bij het treffen van dergelijke maatregelen zijn bestuurders aan zet volgens het rapport. 'Risicomanagement zonder buy-in van bestuurders zal hoogstwaarschijnlijk mislukken: CISO's die beveiliging op eigen houtje proberen te regelen komen er vroeg of laat achter dat de organisatie zich geen eigenaar voelt van het probleem', schrijft het NCSC. Datzelfde geldt niet alleen voor organisaties, maar ook voor landen, aldus het rapport.

Door Julian Huijbregts

Nieuwsredacteur

28-06-2021 • 15:45

64

Lees meer

Reacties (64)

Sorteer op:

Weergave:

Misschien is het in Nederland wel te goed geregeld allemaal. Er gebeurt gewoon te weinig om maatregelen te nemen.

Kijk bijvoorbeeld naar de stroom toevoer. Er zijn heel weinig mensen die bewust een ups hebben draaien. Het elektriciteitsnetwerk in NL is zo goed dat niemand er aan denkt zelf maatregelen te nemen. En zo zijn er nog veel meer zaken.

Kijk naar de weerstand van NL tegen besmettelijke ziekten. De afgelopen 20 jaar zijn er veel besmettelijke ziektes over de wereld gegaan, maar nu met covid zijn we aan de beurt en nemen we maatregelen.
Kijk naar de weerstand van NL tegen besmettelijke ziekten. De afgelopen 20 jaar zijn er veel besmettelijke ziektes over de wereld gegaan, maar nu met covid zijn we aan de beurt en nemen we maatregelen.
Nu noem je een interessant punt. Maar stel eens de vraag. Waarom zou je een enorme overcapaciteit op het IC aanhouden voor een incident dat eens per pakweg 20 jaar voorkomt? Wil je hier voor betalen? Jij misschien wel, gross van Nederland vermoedelijk is. De hele wereld had er last van en niemand is er goed van af gekomen, hoeveel IC capaciteit er ook was.

Zo is het met alles in Nederland. Waarom een UPS als ons stroomnet een van de stabielste ter wereld is?
Het kost allemaal geld voor wat, die paar uur / max 24 uur? De belangrijkste gebouwen hebben een UPS, meer is gewoon niet nodig.

En vergeet niet; hoe redundant je iets ook maakt (IT systemen, nutsvoorzieningen, verkeerssystemen), er is altijd 1 zwakste schakel dat de hele keten uit kan schakelen. Er is altijd ergens een risico dat je nooit zult kunnen afdekken.

EDIT: Ik ben overigens niet TEGEN redundantie en preventie, maar wel tegen met miljaren smijten om vervolgens die 0,0001% eruit te filteren.

[Reactie gewijzigd door Luchtbakker op 22 juli 2024 22:26]

Een enorme overcapaciteit op de IC is een mogelijke oplossing. Een achterwacht waarmee de overcapaciteit kan worden opgeschaald is eenvoudiger te regelen.
Nu was het zo dat er wel genoeg ruimte was en ook aparatuur was wel te regelen. Het opschalen van de IC lukte vooral niet wegens gebrek aan gekwalificeerd en getraind/ervaren personeel. Door iets meer personeel aan te houden en al het personeel breder te trainen is het mogelijk wat meer op te schalen. Zomaar een idee uit de losse pols.

Een ups? Besef dat tegenwoordig steeds meer gebruikers een ups hebben zonder het te beseffen: Iedere laptop is al uitgerust met een ups. Trek de stekker er maar eens uit. Mogelijk lukt dat niet omdat die niet eens is aangesloten. Zie je wel dat het werkt?

Het gaat er om dat we de calamiteiten in de gaten moeten houden en moeten zien wat er nodig hebben om de gevolgen van die calamiteiten te kunnen ondervangen. Stroom uit is geen probleem, het probleem is dat je werk kwijt bent en niet meer verder kunt. Het is geen probleem als je het werk van de laatste 10 minuten kwijt raakt maar wel een probleem als je het werk van de hele ochtend kwijt raakt. Met een desktop pc en een lokaal geïnstalleerde tekstverwerker (en vergeten af en to te saven) ben je met een pc-crash veel kwijt. Zou je met een chromebook in google-documents zitten werken, dan is het geen porbleem, pak de volgende computer/tablet/whatever-iets-met-een-browser, login in je google-omgeving en je zal merken dat je maar een paar minuten kwijt bent. Dat is nog wel te reproduceren nadat je weer toegang tot je document hebt gevonden.

Terug over UPS: Er zijn steeds meer organisaties die geen ups meer hebben. Voor zover ik weet heeft google ook bijna nergens een ups. Voor zover ik begreep zijn daar alle servers uitgerust met een enkelvoudige voeding vanuit het netwerk.... en een eigen accu blok waarmee ze het een kwartiertje vol houden, net genoeg om het werk over te dragen aan andere systemen.
Gaat dit niet over een heel andere situatie? Ik zou het zelf liever willen vergelijken met vaccinaties. Het overgrote deel van Nederland heeft netjes zn vaccinatie gehad in de jongere jaren. Elke keer als een ernstig virus om de hoek kwam is er een vaccin toegevoegd. Nu met Corona kwam het allemaal wel heel erg snel waardoor het een beetje ad hoc is gegaan :p

In ICT is het vergelijkbaar alleen lijkt het alsof het overgrote deel van de organisaties zichzelf niet laten vaccineren (geen virus scanner, geen updates, geen sterke wachtwoorden etc).
[...]


Nu noem je een interessant punt. Maar stel eens de vraag. Waarom zou je een enorme overcapaciteit op het IC aanhouden voor een incident dat eens per pakweg 20 jaar voorkomt? Wil je hier voor betalen? Jij misschien wel, gross van Nederland vermoedelijk is. De hele wereld had er last van en niemand is er goed van af gekomen, hoeveel IC capaciteit er ook was.
Of het gros van de nederlanders vindt dat we meer reservecapaciteit moeten aanhouden betwijfel ik, na deze barre periode. Er is ook brede steun voor verhoging van de salarissen in de zorg en mensen snappen heus wel dat dat geld kost. En het kan ook. Duitsland had vergelijkbare besmettingscijfers als wij en hadden IC capaciteit over. Het land is niet failliet aan het gaan onder de zorgkosten, de laatste keer dat ik keek.

Overgiens: bijna niemand is er goed vanaf gekomen. De landen die early warning en preventie goed op orde hadden zijn er op medische gebied met een schrammetje vanaf gekomen, maar dat terzijde.
Het niet de vraag of er een digitale aanval komt, maar wanneer. Bedrijven en instellingen die een essentiële rol vervullen (energie, water, riolering, hulpdiensten, ...) moeten aantoonbaar dus in staat zijn om de IT voorzieningen vanaf scratch snel te kunnen opstarten met een basisniveau aan dienstverlening. Het hoeft niet perfect te zijn, maar wel goed genoeg om de totale ontwrichting te voorkomen.
Zover ik weet van mijn vader (gemalen beheerder bij een gemeente) is de riolering wel prima geregeld en kan alles in principe handmatig gedaan worden. Alles kan tegenwoordig op afstand uit/aan gezet worden en uitgelezen worden. Maar IT kennis is daar vrijwel niet aanwezig en daar word van buitenaf mensen/bedrijven voor ingehuurd. Al zal dat voor iedere gemeente/provincie/waterschap anders zijn.
Ik denk dat het misschien beter zou zijn, om wetgeving in te voeren. Die de Internet aanbieder verplicht om te scannen op ongewenst verkeer en de gebruiker te waarschuwen. Na een aantal waarschuwing, afsluiten van Internet tot dat de klant ijn spul weer op orde heeft. ( Afsluiten als in een speciale zone te zetten, zodat ze updates kunnen installeren enzo )
Telfort deed dit in het verleden. Die hielden actief in de gaten of jij massaal malware of andere troep zat te verspreiden en blokkeerde dan je verbinding. 1ste keer deblokkeren ze je zonder problemen, bij een tweede keer mocht je een rekening van een computerdeskundige overhandigen voordat ze je internet weer deblokkeerde.(Bron: Ik werkte destijds bij Telfort)

Best een goed concept, helaas stapte die klanten liever over naar de concurrent en zijn ze er na enkele jaren al weer mee opgehouden. Mensen voelen zich best snel aangevallen als je als organisatie de schuld bij de gebruiker neerlegt.
Vergelijkbaar met XS4ALL..., alleen je kon bij XS4ALL zelf te rade gaan voor reparatie ... maar dat zal er vast ook niet meer zijn denk ik.
Daarom moeten andere ISP het ook doen.
Ik ben door xs4all ook al eens in quarantaine gezet. En was er best blij mee, ze konden mij vertellen waarom. Waardoor ik iemand iphone kon achterhalen, die heb hem geroot had met een verkeerd programma.
Waarom zou je die verantwoordelijk in hemelsnaam bij de ISP neer willen leggen? Een klant is verantwoordelijk voor zijn eigen beveiliging wat een ISP ook scant, die gaan echt alles detecteren en wat dan? Kan de klant zich dan beroepen op "ja maar mijn ISP detecteerde niks!"? Dat ISP's open email relays blokkeerden is tot daar aan toe.
De meest effectieve beveiliging moet bij de eindgebruikers vandaan komen, want digitale veiligheid is een combinatie van vele aspecten, zowel technische als menselijke.
De ISP bied de straat aan, waar de klant gebruikt van maakt volgens bepaalde voorwaarden.
De ISP is verantwoordelijk voor wat er zijn netwerk uitgaat.

In Luxemburg, is een last van de top 5 slechte ISP ivm beveiliging. Waarom dit niet in Nederland?
Het is een fijne lijn tussen privacy waarborgen en veiligheid handhaven ten behoeve van het collectief. Ik zou aan de ene kant niet willen dat mijn ISP gaat monitoren op kwaadwillende malware, omdat ze dan direct of indirect ook gewoon gedrag kunnen monitoren. Dat is overigens niet de rol van de 'straat beheerder' om jouw voorbeeld te gebruiken, daar hebben IRL politie en rechtstaat voor.

Echter heb ik in een ver verleden meegemaakt, toen ik nog XS4ALL klant was, dat bij het binnen halen van malware op mijn PC XS4ALL mijn verbinding in quarantaine zette. Toen ik met ze belde legde ze uit dat er verdacht verkeer van mijn IP kwam en er mogelijk een malware infectie was. Na wat zoek en speurwerk bleek dat ook zo te zijn. Vrij snel na het verwijderen en terugmelden is de quarantaine opgeheven.

Hoewel dit voor mij een positive ervaring was, ben ik nog steeds sceptisch als het gaat om monitoring door ISP's. Als infrastructuur er eenmaal ligt dan kan er ook misbruik van gemaakt worden. Zeg nooit nooit.

Waar ik dan weer terug wil komen op het voorbeeld van een straat beheerder en de politie die controleert en handhaaft. Een digitaal overkoepelend systeem lijkt me helemaal onwenselijk vanuit het privacy oogpunt.

Ik ben het daarom ook met @The Realone eens. Als hypothetische, zou ik nog wel wat voelen voor een computer 'rijbewijs'. Basics van gebruik en beveiliging moet je leren en begrijpen, net als bij autorijden. Er zijn best serieuze consequenties als je je zaken niet op orde hebt en dan heb ik het nog niet eens over lekken in (verouderde) huis-tuin-keuken apparatuur.

[Reactie gewijzigd door Xion op 22 juli 2024 22:26]

Ik werk bij XS4ALL en kan zeggen dat wij het verkeer zelf niet monitoren. We krijgen een melding binnen van derde partijen dat een XS4ALL ip adres connectie heeft gemaakt met een server die is betrokken bij malware/virus/ransomware/etc. Dit bericht komt van de hostende partij. Wij reageren hierop.

Oftewel, we hanteren geen sleepnet over alle klanten
Ik werk niet bij xs4all.nl, maar ben wel klant en enkele keren afgesloten geweest door hen.

Niet omdat mijn systemen daadwerkelijk met malware besmet waren, maar omdat ik security-onderzoek doe en ik handmatig verbinding had gemaakt met ondertussen door justitie in beslag genomen C&C servers (ook buiten NL). In zo'n geval krijgt xs4all een mailtje van justitie 'jullie klant met IP-adres X heeft op moment Y deze voormalige C&C server benaderd - en heeft "dus" een besmet systeem'.

Alle keren werden deze afsluitingen overigens snel verholpen door xs4all, daarvoor alle lof :-)
Zo heb ik mezelf ook eens een blokkade bezorgd op mijn verbinding, wilde even een url checken waardoor een klant was geblokkeerd.. Heel dom :D
Het rijbewijs moet dan wel internationaal zijn... of ?...
Dat kan alleen als een provider al het verkeer controleert met deep packet inspection. En dat mag gelukkig niet. Als je dan ook nog eens DoH gebruikt of DoT dan kan een provider helemaal niks meer. Computers op lokale problemen controleren kan natuurlijk helemaal niet.

Helaas is het sowieso niet mogelijk om dit allemaal uit te sluiten, de eindgebruiker is meestal de boosdoener.
"Dat kan alleen als een provider al het verkeer controleert met deep packet inspection. " Nee,
Er is wel meer mogelijk, zonder dpi, Zie berichten van DrWaltman
Maar mijn provider kan niet bij deze info, daar ging het hier toch om?
Wanneer er een nieuwe straat wordt aangelegd moet deze toch veilig zijn voor de gebruikers, omdat te bereiken worden er maatregelen genomen, eenrichtingsverkeer, maximale snelheid. Daarnaast moeten de gebruikers zich aan de regels houden en hun voertuigen moeten aan regels voldoen.
Wat ik wil zeggen is dat iedereen een verantwoordelijkheid heeft, dus ook de ISPs.
Je krijgt echter geen boete voor te hard rijden van degene die de straat aanlegt. Daar hebben we namelijk handhaving en justitie voor, niet degene die de infrastructuur aanbiedt.

Ik ben niet tegen wetgeving of regulering die bedrijven verplicht danwel dwingt hun digitale beveiliging op orde te hebben, maar de ISP is bij uitstek niet de partij die dit moet gaan regelen. Als je de verantwoordelijkheid bij hun legt, zullen zij er alles aan doen om niet verantwoordelijk gehouden te worden wanneer er iets fout gaat bij een klant. Kun je je alle false-positives al voorstellen? Of de meest bizarre regels opgelegd aan iedereen door de ISP, puur zodat ze die 1% risico ook nog even af kunnen dekken? Daar gaat niemand vrolijk van worden.
De ISP is niet verantwoordelijk maar kan wel helpen bij het tegengaan en verspreiden van malafide praktijken.
De ISP is niet verantwoordelijk maar kan wel helpen bij het tegengaan en verspreiden van malafide praktijken.
En dat is, zowel direct als indirect, in het belang van de klant zelf.

Direct omdat die klant zelf meestal niet weet dat een of meer systemen aan diens netwerk gecompromitteerd zijn; een waarschuwing of afsluiting kan helpen om een geplunderde bankrekening en/of veel ellende door identiteitsfraude te voorkomen (denk ook aan familieleden en bekenden die worden opgelicht doordat zij denken dat de ISP-klant zelf om hulp vroeg vanwege acute financiële problemen).

Indirect omdat het in het belang is van elke internetter dat systemen van thuisgebruikers niet worden gebruikt als springplank voor andere aanvallen, om vanaf te spammen en/of bij te dragen aan DDoS-aanvallen.
helemaal mee eens.
Dank voor beide reacties!
Ik denk niet dat dit gewenst zou zijn. Volgens mij geven ze zelf al goede maatregelen om het risico te verminderen. Uiteindelijk is het ook je eigen verantwoordelijkheid om security serieus te nemen.
Ik zie het al voor me: Geachte Bol.com, wij hebben geconstateerd dat u uw cybersecurity niet op orde heeft. We gooien uw winkeltje even in een sandbox... :P
Als bol.com na een waarschuwing* het nog niet opgelost heeft. Waarom niet?
Waarom zouden alle andere Internet gebruikers last moeten hebben, van iets wat bol.com niet doet?
Verwijderd @wica28 juni 2021 22:42
Dus, bol.com plat door een ddos of ransomware hebben wij last van. Maar bol.com verwijderd van het internet door de overheid niet?

T.net is niet meer wat het geweest is. Heel NL niet. Volledig doorgeslagen in alle vormen van risicobeheersing. Totaal geen realiteitszin meer.
Voor sommigen zijn de regeltjes een belangrijker doel dan het doel van de regeltjes.
Inderdaad. En hoe meer regels hoe beter. Nadenken doet de overheid voor je.
Zoals het je eigen verantwoording is om je auto te onderhouden? Oh nee, daar hebben we de APK voor. Zoals het je eigen verantwoordelijk is om je elektriciteit goed aan te sluiten op het hoofdnet? Oh nee, daar hebben we elektriciens voor.

We laten eigenlijk maar heel weinig dingen aan de eind gebruiker zelf over.
Nu heb je het meer over eind gebruikers, pure consumenten. Wel een andere groep van grote Nederlandse organisaties. En ik zeg niet perse dat de organisatie het letterlijk zelf moet doen, ze kunnen er ook iemand voor inhuren, maar dan is het alsnog hun eigen verantwoordelijkheid om dat zelf te doen. Maar als ze bijvoorbeeld de gegevens van mensen niet goed beveiligen kunnen ze gewoon een harde boete krijgen.
Het is wel degelijk je eigen verantwoordelijkheid om een APK test te regelen..., veel Importeurs en auto bedrijven helpen herinneren.
De APK plicht is gewoon een algemene eis.
Vroeger lieten we het onderhoud en de toestand van de auto over aan de individuele eigenaar inplaats van een pakket aan eisen. Dat werkte niet.

Dus de toestand van je auto is niet je eigen verantwoordelijkheid, die wordt afgedwongen door de overheid.
Dus de toestand van de internet aansluiting kan ook een eis aangesteld worden.
Als je onderhoud deugt is er niets aan de hand (net als bij APK)...
laat je het onderhoud lopen. tja dan kunnen er zomaar blaren op het zitvlak komen.
Dit soort dingen doen het in deze setting beter met een sarcasme-tag, zoals '/s'.

De kans is anders erg groot dat sommige mensen je grapje serieus gaan nemen...
Ik bedoel het ook serieus. Blijkbaar is het voor bepaalde mensen/bedrijven geen reden om hun security serieus te nemen. Waar wij als gebruikers van Internet last van hebben.
In de meeste algemene voorwaarden staat al, dat je geen virussen, spam etc, mag verspreiden. Nu nog het deel handhaven.
Het probleem is vooral dat je daarmee, in willekeurige volgorde:
  • Deep packet inspection verplicht stelt, wat in principe al een enorme privacyschending is
  • Providers deels aansprakelijk stelt voor (gevolg)schade
  • In het kader van accountability en bijhouden van waarschuwingen en accountgeschiedenis, je providers verplicht om enorme hoeveelheden gebruikersdata te loggen
  • Enorme kans op verstoring krijgt bij iedere false positive of bug in het systeem
  • Providers aanstelt als handhaver van de wet, dus als soort BOA, maar dan met aandeelhouders, danwel politie of inlichtingendiensten direct op providerniveau in ál het verkeer prikt
  • Er enorme discussies zullen ontstaan over wat wel of niet op lijst met toegestane zaken moet staan, waarbij de neiging eerder te streng dan te soepel zal zijn (zie bijv. censuur op kunst of Femen-activisten door Facebook)
  • Etc., etc.
Ik dacht echt dat je een grapje maakt, sorry. Veel discussies over sleepnetwet, encryptiebeperkingen en dergelijke komen dat soort suggesties ook vaak voorbij, daar dus wel als flauw geintje, vandaar mijn misverstand.
Ik dacht echt dat je een grapje maakt, sorry. Veel discussies over sleepnetwet, encryptiebeperkingen en dergelijke komen dat soort suggesties ook vaak voorbij,
Dit gaat mij ook heel erg om het hart. Maar het hoeft een verplichte karakter van klanten afsluiten niet in de weg te staan. En wat heb ik er aan, als een willekeurig bedrijf zijn beveiliging niet serieus neemt, waardoor gegevens van mij op straat komen te liggen of erger?
Dit ben ik met je eens, partijen als Amazon en Microsoft zouden moeten kunnen waarschuwen als grote databases open toegankelijk zijn. Uit ervaring weet ik ook dat enorm veel spam komt vanuit Amazon servers, maar die smtp servers van Amazon lijken dit net belangrijk te vinden.
False positives zijn op provider niveau nihil, je krijgt daar melding van bezoek van een malafide ip/url en die zijn eigenlijk altijd nooit te bezoeken zonder besmetting. (bizarre url's die je nooit zelf kan/zou typen)

Het probleem is juist dat er discussies ontstaan bij klanten die beweren dat het probleem echt niet bij hun ligt en naar een andere isp gaan waar hetzelfde weer gebeurt. De ISP controleert echt niet je verbinding zelf, die krijgt alleen een flag als vanaf een klant ip vreemde dingen worden gedaan.

ISP's in NL hebben een akkoord te reageren op meldingen van problemen mbt digitale veiligheid. Niet goedgekeurde inhoud (tekst en beeld) kan alleen door een rechter worden geblokkeerd.
Dat lijstje potentiële issues sloeg vooral op een door diegene voorgesteld scenario waarin je actief verkeer moet gaan scannen op kwalijke dingen. Dat is dan dus per definitie wél de ISP die je verbinding zelf checkt, dat kan niet anders. Dan zit je inherent toch op een soort blocklist of heuristic scan dmv deep packet inspection, lijkt me. Blocklist mis je per definitie nieuw opkomende dingen, heuristic scans hebben volgens mij bijna altijd wel wat false positives, hoe goed je scanner ook afgericht is.

Hell, we hadden op m'n werk al wat problemen met verkeer van ons IP-adres, omdat onze bovenburen kennelijk veel financiële transacties verwerken en dat ervoor had gezorgd dat dat hele IP-blok als risicovol werd beschouwd door diverse diensten voor spambescherming :+
Ik kan je zeggen dat ISP's dat niet doen en bij wet ook niet mogen. ISP'd reageren alleen op waarschuwingen van betrouwbare 3e partijen die verdacht verkeer op servers waarnemen. Met een VPN en zeker met de ondersteuning van DoH en DoT is voor een ISP echt niet te zien waar je contact mee zoekt. Wel zijn kwetsbare open poorten te herkennen natuurlijk.
Ik weet bij XS4ALL dit al gebeurt. Als we bij XS4ALL weten dat een klant is besmet dan wordt die geblokkeerd. Klanten krijgen dan melding van een infectie en wat er gedaan moet worden om hier vanaf te komen.

Maar dat werkt natuurlijk alleen als de klant geen vpn/proxy gebruikt, dit is alleen bekend wanneer vanaf klant ip adres verkeer is naar bepaalde honeypots, zowel voor internet servers als email adressen. Het is zelfs een afspraak tussen ISP's in Nederland om dit te doen.

Als duidelijk is dat er vanaf een NL ISP ip adres connectie wordt gemaakt met een server waarvan bekend is dat deze is betrokken bij malware/ransomware/hackpoginen/etc. dan wordt klant geblokkeerd (of meteen of een waarschuwing) en verzocht interne netwerk op te schonen (dit hangt natuurlijk af van de ernst van de besmetting, dit is alleen bij hoog risico voor ellende). Klanten kunnen dan alleen servers/websites bereiken die op een whitelist staan.
Top voor de extra info. +2
Herkenbaar. Met name RaaS (Ransomware as a Service) is een steeds dreigender fenomeen waar ik verwacht nog vele nieuwsberichten voorbij zal zien komen.

Ik heb jaren als cybersecurity consultant gewerkt en er is vanuit de top onvoldoende bewustzijn, waardoor cybersecurity vaak onder de CFO komt te vallen en het met name een kwestie van budget is i.p.v. een goede overall implementatie van security. De top van een organisatie ziet cybersecurity als iets wat hen niet zal overkomen. Gelukkig zijn er steeds meer initiatieven in Nederland die bijdragen aan de weerbaarheid en dus ook focussen op bewustzijn van het topmanagement.
Zelfde ervaringen hier in cybersecurity. Wordt nog steeds niet serieus genomen. Veel te gierig om echt goede oplossingen aan te schaffen.
Maak ransomware een legaal financieel product met bijbehorende verzekering/beschermingsgeld en het is net zo normaal als al die andere zaken die compleet verwerpelijk zijn. Ik noem maar wat fractionele reserve daar werd je voor opgehangen nu is het de hoeksteen van de financiële sector, rente nog zoiets meer conservatieve mensen zoals de moslim zien het nog steeds voor wat het is.
Ik heb er echt helemaal geen verstand van maar is de mens niet de zwakke schakel die ergens op klikt en dan ongemerkt wat installeert en of toegang geeft tot...valt wel op dat het heel veel voorkomt laatste tijd en miljoenen kost en soms een leven.
Da's het punt, als je beveiliging goed geregeld is beperk je die zwakste schakel flink in de mogelijkheden om schade aan te richten. Daarnaast heb je de boel goed gebackupped zodat eventuele schade snel verholpen is. Echter... kost dat heeel veel geld, en tijd, en medewerking van niet-ICT-ers in je bedrijf.

Daar ontbreekt het vooral aan de prikkel om er energie in te stoppen, want er zijn al 10 andere dingen die ook belangrijk zijn. Als nu bijvoorbeeld KPN failliet gaat omdat ransomware hun systeem te ver plat legt, staat het onderwerp opeens bovenaan de agenda van slimme bedrijven. So far komen bedrijven er goed vanaf door gewoon een paar miljoen te betalen (veel goedkoper dan medewerkers opvoeden, helaas), en weer door te gaan.
Ransomware bij Colonial Pipeline heeft laten zien dat maatschappij veel minder snel ontwricht is dan denktanks ons willen doen geloven. Malloten die benzine in plastic zakken willen bewaren is het ergste wat er is gebeurd. Er is geen moment een tekort aan brandstof geweest, zoals er in Nederland ook geen tekort aan toilet papier was tijdens het begin van corona epidimie.

Ransomware bij gemeente Hof van Twente en universiteit Maastricht zijn zonder echte langdurige problemen opgelost.

Een mens lijdt het meest door het lijden dat hij vreest.
Je noemt niet op waarom er geen groot tekort was of waarom gevolgen niet groot zouden zijn, maar klaagt ondertussen wel over nemen van maatregelen. Dat is nogal selectief en is ook niet zomaar bewijs van je stelling.
Daarbij gaat het er kennelijk juist om dat het erger kan terwijl de gevolgen ongewenst zijn, niet alleen om de snelheid.

Bij gokken is de waarschuwing dat resultaten uit het verleden geen garantie zijn voor de toekomst, maar zo lijk je het wel te gebruiken.
Bij Maastricht was de ellende niet groot omdat de inbrekers de sleutel na losgeld overhandigd hebben...
(en dus de volgende kraak mede gefinancierd is...) dat kan ook anders Maersk had veel meer ellende na hun ransomware aanval waar geen sleutel van bestond.... (en die hadden nog mazzel omdat er een DC-server offline was waarmee het een en ander weer gestart kon worden, maanden werk voor herstel).

En bij Colonial was geen tekort aan brandstof, maar er was niet bekend wat er op dat moment in de pijplijding zat... het is niet zo dat een pijplijding exclusief voor een vloeistof gebruikt wordt...,
eerst komt er 20.000 kuub diesel, gevolgd door 10000 kuub benzeen, gevolgd door 15000 kuub benzine, gevolgd door. 20.000 kuub kerosine.... En je wil niet het risico lopen dat er benzine in een vliegtuig komt en je benzine-auto doet het vrij slecht op kerosine. En als er op het eindpunt de verkeerde vloeistoffen gemengd worden het je zomaar 20000-40000 kuub chemisch en brandgevaarlijk afval.

Dus staken van levering is het enige dat je kan doen tot je weet wat er wel in de leiding zit.
Bij het treffen van dergelijke maatregelen zijn bestuurders aan zet volgens het rapport. 'Risicomanagement zonder buy-in van bestuurders zal hoogstwaarschijnlijk mislukken: CISO's die beveiliging op eigen houtje proberen te regelen komen er vroeg of laat achter dat de organisatie zich geen eigenaar voelt van het probleem', schrijft het NCSC.
Ik moest 2x lezen voordat begreep dat hiermee simpelweg bedoelt wordt dat als het management zich niet bewust is van de beveiliging(sproblemen), dat het dan niet goed gaat/komen met dit onderwerp.

Heel goed dat de NCSC hier weer aandacht aan geeft.
Wij zijn niet voorbereid voor een full scale digitale aanval, wat je daarna alleen maar kwetsbaarder maakt voor een daadwerkelijke invasie van personen en materieel.
De maximale vorm van digitale ontwrichting is een volledige uitval van elektronische apparaten.
Bijvoorbeeld als gevolg van een nucleaire explosie (NEMP) of een EMP aanval.

Ik word enigzins nerveus als het NCTV zich zo expliciet lijkt te beperken tot de gevolgen van ransomware/hacken. Dat is maar een zeer kleine scope gezien wat een totale digitale ontwrichting zou betekenen.
Met een bovenliggend plan, zouden de gevolgen van "gedeeltelijke uitval" (zoals ransomware/hacken) ook makkelijker te organiseren zijn. Immers, als je top-down voor alle digitale systemen een plan en/of alternatief achter de hand houdt, dan is het ransomware/hack-probleem ook minder ontwrichtend.

[Reactie gewijzigd door Zynth op 22 juli 2024 22:26]

Tegen EMP kun je je niet goed wapenen.., en al helemaal niet tegen de andere gevolgen van de oorzaak van een EMP.
Dus begin bij wat wel een oplossing kan opleveren, dan is het daarna mogelijk ook de moeite waard om de rest te beveiligen.
Laten we vooral ook niet de buy in van medewerkers vergeten; de trend lijkt te zijn om nu een SIEM oplossing op de pc te rammen, en dan zoekt de AI het verder wel uit neemt men aan. In ieder geval kun je dan de verantwoordelijkheid 1 deur verder schuiven..

Op dit item kan niet meer gereageerd worden.