Nederlandse overheid waarschuwt niet-vitale bedrijven voor digitale aanvallen

Het Digital Trust Center, onderdeel van het ministerie van Economische Zaken en Klimaat, informeert bedrijven vanaf maandag proactief over digitale aanvallen en dreigingen. Eerder deed het Nationaal Cyber Security Centrum dat al bij de Rijksoverheid en vitale sectoren.

Het DTC kan bedrijven informeren als ze hun digitale beveiliging niet op orde hebben en als er bijvoorbeeld een ernstige kwetsbaarheid is ontdekt en bedrijven geen treffende maatregelen genomen hebben. Het DTC doet dat aan de hand van informatie van het Nationaal Cyber Security Centrum en richt zich op het niet-vitale bedrijfsleven. De organisatie zal 'waar mogelijk' ook advies geven over hoe bedrijven schade kunnen voorkomen of beperken.

De Rijksoverheid en vitale sectoren zoals financiële instellingen, energieleveranciers en telecomproviders worden al langer actief op de hoogte gehouden over digitale dreigingen en aanvallen door het NCSC. Volgens de wet kunnen niet zomaar alle bedrijven op die manier geïnformeerd worden. Daarvoor is het DTC opgezet en die organisatie heeft een status gekregen die het mogelijk maakt voor het NCSC om specifieke dreigingsinformatie te delen.

De waarschuwingen van het DTC zijn in eerste instantie gericht op ernstige dreigingen en de schaal waarop proactief geïnformeerd zal worden, zal aanvankelijk beperkt zijn. Op lange termijn wil de organisatie een systeem opzetten waarbij dreigingsinformatie aan grotere groepen bedrijven gekoppeld kan worden. Het ministerie van EZK werkt aan een wetsvoorstel dat de overheid meer mogelijkheden geeft voor het informeren en adviseren van het niet-vitale bedrijfsleven over digitale dreigingen.

Tot 17 september kunnen Nederlandse bedrijven zich nog aanmelden voor een pilot van het DTC om gericht dreigingsinformatie te ontvangen. Daarbij geven deelnemers onder andere alle IP-adressen die ze gebruiken door aan het DTC. Deze worden vervolgens doorlopend vergeleken met de dreigingsinformatie die de instantie heeft. Aan de pilot kunnen veertig bedrijven deelnemen.

Beeld frontpage: Gettys Images/anyaberkut

Door Julian Huijbregts

Nieuwsredacteur

13-09-2021 • 10:19

66 Linkedin

Reacties (66)

66
60
27
4
0
23
Wijzig sortering
Uitstekend initiatief, bij iedere grote kwetsbaarheid circuleren de Shodan/BinaryEdge/door onderzoekers zelfgescande lijsten rond in de InfoSec community. Dat tot dusver die bedrijven op die lijsten niet door de overheid werden geïnformeerd is jammer en heeft ongetwijfeld tot incidenten geleid. Gelukkig hebben partijen zoals de DIVD dit in de tussentijd deels opgevangen.

Daarom vind ik het ook vreemd, en jammer, dat ik zoveel negatieve reacties op dit onderwerp langs zie komen. In geen van de aankondigingen staat bijvoorbeeld dat men zelf gaat scannen, maar die gedachte zie ik wel rondslingeren, inclusief negatieve connotaties. Of nog sterker, dat de overheid bedrijven gaat hacken om aan te tonen dat ze kwetsbaar zouden zijn.

Wat mij betreft is dit een mooie eerste stap om het Nederlandse bedrijfsleven wat veiliger te maken. Het is makkelijk te roepen dat alle bedrijven hun informatiebeveiliging maar gewoon goed moeten doen, maar de praktijk is weerbarstiger. Als de overheid daar een bijdrage aan kan leveren door een bedrijf een seintje te geven dat ze een kwetsbare versie van Exchange draaien, des te beter.
Dat is wel een hele makkelijke zeg. Heb je veel voorbeelden van overheidsorganen die de mist in gaan met beveiliging die aantonen dat die ENORME sector het in zijn geheel niet goed voor elkaar heeft?

In de praktijk is het natuurlijk zo dat overheidsorganen weten dat zij voortdurend onder een vergrootglas liggen. Vandaar dat digitale beveiliging bij overheidsinstanties in vrijwel alle gevallen beter is geregeld dan bij het gemiddelde MKB bedrijf.

Ik denk dat het beste voorbeeld van een slecht securiybeleid bij de Waterschappen ligt. Hierover heeft FTM uitgebreid gerapporteerd de afgelopen jaren. En wat was daar nu precies mis?
  • Mensen werkten thuis op een onbeveiligde verbinding
  • Een kritisch onderzoek naar die beveiliging werd niet publiek gemaakt
  • De Directie snapt niet hoe beveiliging werkt
  • Er zijn geen processen om logbestanden te controleren
Nou, ik denk dat je dat lijstje ook prima naast jouw bedrijf en dat van de buurman kan leggen. Alleen bij overheidsorganen (en zeker bij waterschappen) moet het beveiligingsniveau [PDF] beter op orde zijn.

Maar hou alsjeblieft op met 'Overheid Boe Boe Bah'. Zo flauw.
Landbouw: https://www.vpngids.nl/ni...dt-tientallen-datalekken/

DUO: https://www.trouw.nl/nieu...n-ligt-op-straat~bcb911a4

GGD: https://www.volkskrant.nl...criminele-handen~b7f17bea

RIVM: https://www.rivm.nl/nieuw...uik-datalek-infectieradar

Justitie en Veiligheid: https://www.volkskrant.nl...-bij-ministerie~b958d6b0/

Dit is wat het nieuws heeft gehaald. Dit zegt nog niks over de versie niveau van de diverse publiekelijke websites/applicaties die men gebruikt bij de overheid en daarbij horende risico's als deze EOL zijn. Maar goed dat zullen wij nooit te weten komen.

Begrijp mij goed. Is dit door elk bedrijf goed te doen vs de kosten die het met zich mee brengt? Ik heb daar ook mijn twijfels over, maar das een andere discussie.
Nou, dank voor je uitgebreide lijst voorbeelden.

Ik vind ze niet helemaal ondersteunen dat 'de overheid' altijd slecht handelt, maar je hebt gelijk: veel zal het nieuws ook niet halen. Tegelijk kun je ook zeggen: juist bij de overheid halen de gevallen wél het nieuws, bij MKB zal dat meestal niet de krant halen. Dat zijn er natuurlijk veel meer, maar zoals je zelf al aangeeft: er is ook een kosten-baten analyse bij het neerzetten van je Security Protocol.

Jouw voorbeelden betreffen eigenlijk allemaal datalekken van persoonsgegevens, waarvan het GGD-lek veruit de ernstigste is. Dit artikel gaat natuurlijk over een meer directe vorm van digitale aanvallen voornamelijk ransomware. Daar lijkt gelukkig nog geen sprake van, zelfs niet als je criminelen uitnodigt door openbaar te publiceren over hoe slecht Waternet de zaakjes voor elkaar heeft in sommige gebieden ;)

Ik bagatelliseer niks, maar ik ging vooral aan op de eeuwige 'overheid=slecht' toon.
Is er ergens een overheids open data bestand met lijsten van niet vitale bedrijven? Op zich wel interessant om te bepalen of mijn baan nog iets bijdraagt aan deze maatschappij.
Er zit wel wat lucht tussen vitaal (kan geen dag gemist worden) en 'draagt iets bij aan de maatschappij'.

De lijst die je zoek is vrij lang: het complete KvK bestand minus de bedrijven die als vitaal staan aangemerkt, dan zit je in de buurt van 1,5 miljoen.

Opvallend aan de lijstjes die @fwrite en @Arnoud Engelfriet linken: gezondheidszorg komt er niet op voor.
Dat is besproken en afgewezen met deze overweging:
In dit verband is van belang dat de gevolgen van eventuele uitval of verstoring in systemen zijn op te vangen. Dit komt voornamelijk omdat de zorg in Nederland niet centraal georganiseerd is. Een incident zal zich doorgaans beperken tot één instelling. Er kan dan voor specifieke diensten en processen altijd teruggevallen worden op zorginstellingen in de omgeving of regio. Zelfs wanneer een incident meer dan één instelling treft, is zorg in de regio meestal nog voorhanden. Scenario’s waarbij grote aantallen instellingen in een of meerdere regio’s tegelijkertijd worden geraakt door een incident zijn zeer onwaarschijnlijk, mede gelet op het feit dat instellingen software zelfstandig inkopen, eigen afspraken maken en updates niet gelijktijdig verwerken.
Kort door de bocht: als een ziekenhuis plat gaat door een cyberincident, dan zijn er nog andere ziekenhuizen die niet per definitie (incompatibele ICT) ook plat zijn.

Eind vorig jaar is men tot voortschrijdend inzicht gekomen dat de zorg toch wel erg belangrijk is en misschien toch ook maar vitaal moet worden verklaard (https://www.raadvanstate.nl/@122823/w16-20-0357-ii/) .Het proces loopt nog.
Het is een jargonterm, maar hier vind je een relevante lijst:
https://zoek.officielebekendmakingen.nl/stb-2017-476.html

Onder deze term worden producten, diensten en onderliggende processen verstaan die van essentieel belang zijn voor het dagelijkse leven van de meeste mensen in Nederland zoals toegang tot drinkwater, elektriciteit, internet en betalingsverkeer.
Grappige lijst. ik vond het opvallend:
- Effectenverkeer (wat gebeurt er als de beurs een week down is? gaat de economie dan kapot? of draait alles door? 8)7 ik snap hem, als dit gehackt wordt, kunnen criminelen er met miljarden vandoor, dan wil je wel dat dit zsm gemeld wordt)
- De KLM staat er op, maar dan wel als "elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen"
- De Groninger gasbel (niet de andere) - betekent dit ook dat een demonstratie tegen gaswinning in Groningen gezien kan worden als een aanval op vitale infrastructuur?
De gasbel staat er niet op? Wel de NAM, dat is een bedrijf en als het daar misgaat dan kan dat enorme gevolgen hebben: geen energie, mogelijk een enorm gaslek en/of ontploffing.

Een demonstratie zou de bedrijfsvoering van de NAM niet plat moeten leggen. Sterker nog, daar hoort NAM expliciet maatregelen tegen te nemen juist omdat ze vitale infrastructuur is. Natuurlijk kan iemand wat bedenken om door die maatregelen heen te breken en de boel plat te leggen (of te laten ontploffen) maar dan zijn we het niveau van demonstraties wel ontstegen denk ik.
Misschien was mijn reactie iets te kort
Het product "aardgaswinning uit het Groningenveld" is staat er op, maar andere velden worden niet genoemd (opmerkelijk, maar kennelijk is de Groninger gasbel voldoende in tijden van crisis).

Mijn quasi-serieuze opmerking was dan ook of het (door middel van een demonstratie) uitoefenen van politieke druk om de gaskraan in Groningen dicht te draaien de Nederlandse vitale infrastructuur in gevaar brengt (leveringszekerheid).
Dus je kan alleen maar bijdragen als je werk als vitaal gezien wordt? Ik zie het zelf anders. Infeite zorgt iedereen wel voor positieve verandering als je lang genoeg nadenkt. Iemand die (werkloos is en) een uitkering heeft wordt vaak genoeg als niet positief gezien in de maatschappij want ze kosten alleen maar geld. Maar zelfs door zulke mensen zijn er toch extra banen want nu bestaat het uwv.

Ook hackers, virus makers, ect zorgen voor extra banen want anders waren DTC en NCSC oom niet nodig geweest en hadden banen als programmeurs voor virusscanners ook niet bestaan. En door criminelen bestaat de politie. Dus een hoop mensen hebben hierdoor een baan of ieder geval (tijdelijke) werkzaamheden zoals het bouwen van alle gebouwen, auto's en andere materialen die ze gebruiken. Hiermee wil ik natuurlijk niet zeggen dat we hackers en criminelen maar hun gang moeten laten gaan. Ze veroorzaken waarschijnlijk meer problemen dan dat ze positief bijdragen. Alleen dat er toch wel een hoop mensen wel dus ook positieve ervaring hebben door zulke mensen.

Het is dus maar net hoe je het wil zien maar uiteindelijk draagt iemand op hun eigen manier bij aan de maatschappij ook al zie je het misschien niet direct.
Je spreekt jezelf al tegen met:

. Infeite zorgt iedereen wel voor positieve verandering als je lang genoeg nadenkt

en

Ze veroorzaken waarschijnlijk meer problemen dan dat ze positief bijdragen

Even buiten beschouwing gelaten de reden dat iemand werkloos is en een uitkering heeft. Maar zo'n persoon kan best van positieve invloed zijn op de maatschappij. Er zijn genoeg werkzaamheden waar men financieel geen / niet genoeg geld voor over heeft, maar wat wel positief bijdraagt (bv. bepaalde soorten vrijwilligerswerk).

Daarop voortbordurend is de term 'vitaal' misschien wat onduidelijk gekozen, maar vitaal betekent zeer zeker niet 'onder de streep positief' of 'bijdragend'. Het is enkel een indicatie voor de mate van 'noodzakelijkheid'. En dan nog zijn er banen aangemerkt als vitaal terwijl ze in de praktijk helemaal niet zo noodzakelijk zijn gedurende day-to-day-business, en vice-versa.

Zo is, als voorbeeld de gehele Gasunie in Groningen als 'vitaal' aangemerkt. Je kunt stellen dat het vervoer van gas zeer zeker noodzakelijk is, maar de gemiddelde midden-management communicatie-expert woordvoerder is dat zeker niet.
Je spreekt jezelf al tegen met:

. Infeite zorgt iedereen wel voor positieve verandering als je lang genoeg nadenkt

en

Ze veroorzaken waarschijnlijk meer problemen dan dat ze positief bijdragen
Nee hoor, ik spreek me niet tegen. Ook al is de negatieve kant groter betekent niet dat de positieve kant ineens niet bestaat. De zon geeft vitamine D maar de zon je ook verbranden en huidkanker veroorzaken. De (gevolgen van de) negatieve kant is groter dan de positieve kant. Betekent dit dan dat de zon geen vitamine D meer geeft of betekent dit gewoon dat het positief en negatief tegelijk naast elkaar bestaat? Zou iedereen bijvoorbeeld een positief ding doen kan er ook een negatieve kant zijn. Stel je voor dat iedereen op een treinstation gewoon echt compleet netjes zou zijn en echt alle vuil in de prullenbakken gooit. De negatieve kant kan dan zijn dat er dus minder schoonmakers nodig zijn (minder werkgelegenheid). Uiteindelijk heeft gewoon bijna alles een voor en nadelen en dit hoeft niet door iedereen op dezelfde manier gezien te worden. Ik zeg trouwens niet dat hackers en criminelen het doen voor de positieve kant. Alleen dat er daarom ook wel een positieve kant is.
Even buiten beschouwing gelaten de reden dat iemand werkloos is en een uitkering heeft. Maar zo'n persoon kan best van positieve invloed zijn op de maatschappij.
Ik bedoelde ook niet dat zulke mensen alleen maar een last zijn. Ik heb zelf een uitkering dus ik weet dat er vaak wel een (tijdelijke) probleem is waardoor men een uitkering nodig heeft. Alleen omdat CopyCatz het over zijn/haar werk had heb ik dus alleen over werkgelegenheid gesproken. Daarom heb ik juist mensen met uitkering als voorbeeld genomen. Ook dat juist zulke (werkloze) mensen dus ook een positieve kant hebben. Dat er dus extra werkgelegenheid is omdat nu UWV bestaat.

[Reactie gewijzigd door Daoka op 13 september 2021 15:25]

Ik denk dat de verwarring ontstaat over het verschil tussen positieve verandering(en) en een netto positief effect. Er zijn mensen die wel degelijk positieve veranderingen veroorzaken, maar onder de streep netto geen positief effect hebben op de samenleving.

Ik ben het overigens met je oneens dat in jouw redenering een vervuiler een positief effect heeft omdat het werkgelegenheid oplevert voor schoonmakers. Dát vind ik echt te ver gezocht.
Ik wou met die vervuiler ook zeker niet zeggen van laten we nu allemaal de blikjes en flessen maar op de grond gooien zodat er meer werk is. Ik gaf alleen aan dat het negatieve ook dus wel een positieve kant heeft. Of eigenlijk meer het omgekeerde dus: dat waar mensen misschien alleen maar een positief iets zouden zien dus wel ook een negatieve kant heeft die je niet gauw ziet. Voor jou zal het misschien niet uitmaken. De schoonmakers zullen misschien ook niet altijd blij zijn met hun werk maar waarschijnlijk wel dat ze een werk hebben. Waarschijnlijk zullen de meeste schoonmakers wel ergens anders in dienst geweest zijn.

Maar als ik dit dus groter maakt en doortrekt naar de criminelen, hackers, fraudeurs, ect. Zouden die er niet bestaan dan zouden volgens deze site https://www.infopolitie.n...20van%20heel%20Nederland. ongeveer 40000 banen niet hebben bestaan in Nederland. En dan hadden de criminelen ook nog eens een baan nodig. Trek dit dan een door over de hele wereld en ik verwacht wel dat we dan richting een miljoen banen/mensen gaan. En ik denk wel meer als je verder denkt. Een hoop dingen zullen wel onnodig zijn dan. Https, SSL, encryptie, ect zouden bijvoorbeeld niet meer nodig zijn. Dus waarschijnlijk ieder geval een aantal mensen/bedrijven zouden daar niet meer werken of zelfs dat bedrijven niet zouden bestaan. Bij Microsoft bijvoorbeeld zouden er misschien minder programmeurs zijn. Want waarom zouden ze iemand een bug laten repareren die andersmans computer kan overnemen als dit toch nooit misbruikt zal worden. Nogmaals nee dit is niet een goedkeuring voor slecht gedrag. Alleen dat er dus gewoon ook positieve dingen ontstaan door slechte dingen.
Ik denk dat de verwarring ontstaat over het verschil tussen positieve verandering(en) en een netto positief effect.
Hebben schoonmakers dan geen netto positief effect dan/vitale baan? Uiteraard ligt het aan de definitie die je gebruikt maar ik denk wel dan de meeste schoonmakers meer effect hebben dan dat je op eerste oogopslag zal zien. Stel dat er geen schoonmakers zijn op de stations. Hoe lang zal het duren voordat mensen de trein niet meer willen gebruiken omdat ze niet over de troep heen willen stappen. Er zullen best nog mensen zijn die de trein moeten nemen maar veel mensen zullen de auto gaan pakken. En dit leidt weer naar meer vervuiling.

Dan bijvoorbeeld de schoonmakers op kantoren. Ik verwacht dat de meeste kantoor mensen geen zin en/of tijd hebben om naast hun werkzaamheden ook nog eens schoon te maken. Hoe lang zou het daar duren voordat men zo ontevreden is over de werk condities zijn voordat ze met tegenzin gaan werken of zelfs ontslag nemen. Als ik zo denk klinkt het mij echt wel vitaal werk en is hun invloed op de maatschappij erg groot. Alleen omdat dit nooit grootschalig is voorgekomen lijkt hun werk niet vitaal. Vooral niet in vergelijking met sommige andere werkzaamheden.
Alles waar iemand bereid is om voor te betalen draagt in principe iets bij maar is niet direct vitaal. Dus zolang jouw klanten willen betalen voor jouw werk draag je iets bij.
Tjah, blijkbaar kunnen de ultra competitieve en efficiënte bedrijven het niet zelf of weigeren ze er geld aan uit te geven want "geen core business' aangezien elk gevolg van een hack door de gemeenschap betaald moet worden (collectieve verzekeringen, politie-inzet, eventuele ontslagen naar WW etc) heeft de overheid het idee dat zij dan maar de kar moeten trekken aangezien het bedrijfsleven steken laat vallen.
Hoezo weigeren ze geld uit te geven als ze 'het' hebben uitbesteed?

En hoezo draait de gemeenschap op voor de gevolgen? Sinds wanneer leidt een hack per direct tot ontslagen en/of politie-inzet?

En waarom zou politie-inzet ongewenst zijn als er is 'ingebroken'?

En als een (collectieve?) verzekering iets uitbetaald dan heeft de onderneming het blijkbaar tot serieus genomen en verzekeringspremie betaald.

En dat de overheid de kar moet trekken??? Hoezo is roepen "Pas op" de kar trekken???
Bij elk bedrijf is winst maken topprioriteit nr1. De aandeelhouders eisen dit, de eigenaren eisen dit en alles naar beneden wordt aangespoord om toch zoveel mogelijk winst te halen en zo min mogelijk te verspillen. Dataretentie, backup beleid, uitvallocaties e.d. heb je 99% van de tijd niet nodig dus zijn dat overbodige kosten.

Als het dan toch mis gaat, dan doen ze aangifte van een hack, moet er politie komen om aangifte op te nemen, kijken wat er mist en bij afpersing e.d. doen zij ook nog flink wat. Bedrijf krijgt hier niet de rekening van. Dat betalen wij met z'n allen.

Als ze vervolgens na veel pijn en moeite toch weer up and running zijn zullen er dagen/weken omzet mis zijn gelopen. Moet toch ergens weer bezuinigd worden en wat is nou makkelijk om te bezuinigen dan wat mensen te lozen?

En als de hack dan toch door de verzekering gedekt wordt, gaat de premie omhoog en mag de rest van de mensen/bedrijven die bij die verzekeraar zitten ook gaan genieten van een verhoging van de premie als dit te vaak gebeurt (Wat gewoon gaat gebeuren)

Een bedrijf gaat geen poot uitsteken als het hun niet direct voordeel oplevert, dus moeten wij collectief opstaan om te roepen dat ze het beter moeten gaan doen. Als wij dit niet gedaan hebben in het verleden zou kinderarbeid gewoon nog legaal zijn.
Bedrijf krijgt hier niet de rekening van. Dat betalen wij met z'n allen.
Juist - daarom hebben we in deze maatschappij een politie-dienst. Dus als jij geen gracht graaft voor je huis en slechts beperkt geld over(?) had voor sloten, dan ben je verkeerd bezig? Dat je een bepaalde minimale moeite moet doen is 1 ding. Dat je schuld zou hebben aan een ander die zich misdraagt gaat wat ver.

En verlies van omzet/winst door pech is een normaal bedrijfsrisico. Dat het kan leiden tot bezuinigingen, tja... Denk je nu echt dat mensen lozen wordt gekozen als oplossing?

En als een verzekeraar meer premie gaat vragen - prima. Dan worden bedrijven dus mooi indirect gedwongen om te kijken naar alternatieven of betere beveiliging en minder verzekering.

Een bedrijf dat pas wat doet als het voordeel oplevert? Gog, wat bijzonder.... of toch niet?

Je laat nu klinken dat beveiliging een eenzijdig maatschappelijk probleem is - dat is het niet. Het is onderdeel van bedrijfsvoering. Als een bedrijf besluit geen alarm-systeem of geen sloten op z'n deuren te plaatsten dat is dat haar keuze. En de gevolgen worden niet op de maatschappij als geheel afgewenteld.

Een overheid moet zorgen voor een veilige maatschappij. Niet aanraden dat bedrijven en/of huizen zich moeten vestigen in een bunker. Dat ze het criminelen niet makkelijk moeten maken is wel goed natuurlijk.
Bij elk bedrijf is winst maken topprioriteit nr1.
Ik ken een aantal bedrijven waar dit niet geldt.
In de tijd dat ik bij de NS zat, was "niet negatief in de media komen" toch wel de topprioriteit
De twee vorige MKB bedrijven waar ik zat, was het "ja we willen groeien, maar wel door onze huidige kwaliteit te blijven leveren en op organische wijze klanten te winnen". In alle drie deze gevallen keken de aandeelhouders/eigenaren niet naar het geldelijk gewin of directe financiële belangen. De homo economicus is een handig model, je moet weten wanneer het opgaat, en wanneer niet.

Nu bonussen van sommige topmannen samenhangen met de plek van hun bedrijf in de duurzaamheidslijstjes, zou je zelfs kunnen zeggen dat duurzaam overkomen ineens een topprioriteit is, wat aandeelhouders ook mogen eisen.
Niet negatief in het nieuws komen is goed, dat sluit iets anders niet uit.
Want als je een willekeurige oude laptop voorziet van het ns logo en een achter grond met ns. Dan staan morgen de kranten er vol mee als je die ergens achterloos op het station dumpt. Zelfs als ze er nooit in komen en er niks opstaat.
Ieder initiatief is beter dan niks, misschien worden zelfs de mkb bedrijven wakker. Zeker nu bijna dagelijks in het nieuws komt dat bedrijven gegijzeld worden
Niet elke bedrijf kan alle bronnen snel en overzichtelijk doorlopen. Daarnaast krijgt het NCSC soms inzicht in bronnen die anderen niet krijgen ivm de hoge beveiligingsrisico's die aan de informatie kleeft waardoor deze niet openbaar mag komen.
Dan is het wel handig dat je je kan aanmelden bij het deel wat die informatie wel mag inzien en jouw kan waarschuwen als er informatie in staat die jou veiligheid bedreigt.

De overheid zelf houdt zich alleen bezig met de vitale processen. Zie https://www.nctv.nl/onder...verzicht-vitale-processen
En die vitale processen zijn wat vaag. Zo valt de divisie Havenmeester bij de haven van Rotterdam onder het vitale proces Scheepvaartafwikkeling, maar de warehouses achter de haven vallen daar officieel niet onder (ondanks dat de divisie Havenmeester zelf, dit wel weer een vitaal onderdeel van zichzelf vindt). De NCSC mag de warehouses dus niet informeren, maar wel de divisie Havenmeester). De oprichting van DTC moet er voor zorgen dat ook alle processen erachter (warehouses, achterlandtransportprocessen) ook geïnformeerd gaan worden.
Voor de meeste bedrijven is het inderdaad geen core business. Net zoals er maar weinig bedrijven zijn die zelf het wagenpark onderhouden of de panden schoonmaakt.
Dit is gewoon een prima initiatief aangezien heel veel bedrijven niet of nauwelijks beleid t.a.v. cyber security voeren.
Dat de overheid alle blunders, flaters en mislukte projecten openbaar moet maken betekent niet dat het in het bedrijfsleven zoveel beter gaat als het om IT-projecten gaat.
Dit is gewoon een prima initiatief aangezien heel veel bedrijven niet of nauwelijks beleid t.a.v. cyber security voeren.
Aangezien je jezelf moet aanmelden verwacht ik eigenlijk niet dat er in deze pilot bedrijven zitten die nauwelijks een security beleid hebben.
Voor velen is het een centenkwestie. Aanmelden i.p.v. veel geld betalen zal veel van die bedrijven wel aanspreken.
Wat een onzin. Verreweg de meetste IT-projecten bij de overheid gaan wel goed, maar die komen niet in het nieuws. Het is dus meer dat iemand die geen geheelonthouder is komt vertellen dat alcohol slecht voor je is.
De "overheid" is een verzamelnaam voor heel veel diensten. Het feit dat een ministerie een blunder op IT-gebied maakt, betekent niet dat het DTC of NCSC niets mag roepen over IT-veiligheid.
Eh - dit was een reactie op het feit dat het wel wat ironisch klinkt. En vervolgens geef ik een gechargeerd voorbeeld. Natuurlijk is niet alles slecht wat de overheid doet/regelt.

Maar het blijft ironisch omdat de overheid (in het geheel) nu eenmaal geen beste reputatie heeft als het op IT-projecten aankomt.
Ik vind het helemaal niet ironisch. Dat mensen zich laten meeslepen door een kortzichtige beeldvorming maakt de situatie nog niet ironisch.
Hoezo kortzichtig? Ik heb jaren gewerkt voor de overheid en dankzij 'het kan niet op' principe kan een overheid zich nu eenmaal meer permiteren. Het is dus niet ens zozeer dat iedere IT-er bij de overheid, slecht werk levert. Nee, ook in het bedrijfsleven bestaan slechte IT-ers.
Maar daar wordt de stekker eerder uit een project getrokken en zijn de gevolgen waarschijnlijk anders voor de betrokken IT-er(s) indien deze schuld hebben aan het falen.
IT-projecten kunnen ook falen door invloeden van buitenaf. En juist bij de overheid hebben invloeden van buitenaf meer macht en zijn er ook veel meer partijen betrokken.
Alsof jij een alcoholist serieus neemt die jou vertelt dat bier drinken verderfelijk is.
Dat weet die alcoholist hoogstwaarschijnlijk erg goed als ervaringsdeskundige.

Dat hij er niet af kan blijven wil nog niet zeggen dat hij je er niet voor kan waarschuwen.
Ik vertrouw hem eerder dan iemand die niet eens echt weet wat alcohol is en het alleen van horen zeggen kent.
Ja - je hebt gelijk. Voorbeeld is matig... ;(
Dat laatste is een slecht voorbeeld: bij een alcoholist zie je wat alcohol kan aanrichten. Als waarschuwing werkt dat beter dan als bijvoorbeeld een supergezond topmodel zegt dat alcohol slecht is.
"Uw website bevat 10 kwetsbaarheden waarmee derden toegang kunnen verkrijgen tot uw systeem. Bedankt namens de AIVD."
Uw bedrijf is te hacken, we hebben ondertussen ook al maar de belastingen van je rekening gehaald zodat er geen andere hackers mee kunnen gaan lopen.
In heel veel niet-IT bedrijven heeft de directie geen idee waar het om gaat bij informatie beveiliging. Die leggen dat bij IT neer, die wellicht uit een paar systeembeheerders bestaat. De Service Desk is goedkoop extern ingekocht en met hun Hosting provider zijn daarover geen afspraken gemaakt. Er draaien tools die door kleine bedrijfjes zijn gemaakt omdat die goedkoop een maatwerk pakket konden maken. Onderhoud? Updates? Nee, dat draait al jaren.
Precies dit. Ik heb jaren als cybersecurity consultant gewerkt en hoe vaak de hoge pief binnen een organisatie deze gedachtes heeft. Ook zie je nog steeds dat informatiebeveiliging vaak wordt gezien als iets waar IT voor verantwoordelijk is, terwijl het zoveel meer is dan dat.
Ook mijn ervaring
Heeft volgens mij veel te maken met het dedain wat veel Alfa's en Gamma's hebben voor Beta's.

[Reactie gewijzigd door Jan Onderwater op 13 september 2021 12:03]

Wat voor gevolgen denk je dat het dan heeft als bij die bedrijven waarschuwingen gedaan worden terwijl ze dat kennelijk niet snappen?
Dan komen er waarschijnlijk security incidenten, in het ergste geval ransomware
De werkelijkheid is natuurlijk wel wat geneunanceerder. Als de service desk, organisaties die tooltjes maken en wel/niet onderhouden en onderhoud (veel) meer gaan kosten wordt het gemak of de efficientie die IT oplossing dan bieden ook weer duurder en komt er een overweging om het dan maar niet te doen.

Je kunt hetzelfde zeggen over andere zaken die een bedrijf misschien wel wil aanbieden of doen maar omwille van de kosten/baten verhouding toch achterwege laat. Om even heel breed te denken:
  • Kinderopvang voor alle werkende ouders: werknemers niet afgeleid, niet gehaast naar huis want kinderen van school, geen gedoe thuis wie meer/minder werkt of wel/niet opvang betaald. Maar kost wel wat...
  • Handmatige onderdelen in QC op de productielijn: werkt goed voor toch nog best wat automative lijnen om verfkwaliteit, panelgaps en dergelijke te checken en is (voorloplig?) goedkoper dan robots die dit overnemen. Zou je ook niet kunnen doen, wat er mogelijk toe leidt dat de klanten iets minder willen betalen voor jouw product.
  • Douche en fitness ruimte met lockers: ideaal om fietsen naar het werk, sporten tijdens pauze of voor het werk te stimuleren en werknemers lekker gezond en fit te houden. Maar ook best duur, zeker als kleinere werkgever.
Allemaal dingen die als het door een IT-er in een paar avonden in elkaar gezet kon worden overal gemeengoed zouden zijn. Veel vraag naar, maar te duur tenzij de branche of het bedrijf relatief wat ruimer zit qua financien.

Zo gebruik ik ook genoeg tooltjes, dashboards, aan elkaar geknoopte databases, etc. die het werk net wat efficienter, sneller en makkelijker maken. Maar als dat erg duur wordt kunnen velen ook wel uit de voeten met een Office365 account en een paar mensen in het secretariaat die het werk ondersteunen. Thuiswerken makkelijk maken brengt ook kosten met zich mee, en zolang die lager zijn dan de kosten (of gemiste omzet) die een gebrek aan goed personeel (dat niet kan of wil reizen naar kantoor) is het prima.
Dat de directie het niet weet komt omdat de IT afdeling de communicatieskills mist om hele specifieke technische zaken te vertalen naar managementniveau. De directie weet van heel veel andere afdelingen ook niet de ins- en outs, maar op die ander afdelingen zitten mensen die wat ze doen wel naar managementtaal kunnen vertalen. Gelukkig wordt hier bij informaticaopleidingen steeds meer aandacht aan besteed. Maak een solide risk analysis met business case en management snapt echt wel hoe het zit.
Pfff, als ondernemer wil je hier helemaal niet mee bezig zijn. Vervelend dat de criminelen de ondernemers hiertoe dwingen. Elke hulp voor deze ondernemers is welkom. Dit is niet de plaats, maar er is een lijst van maatregelen die relatief goedkoop zijn en effectief.

Maar wat je ook doet, het niet hebben van geteste(!) backups is een doodzonde. (wekelijks getest zodat je eventuele ge-encrypte backups vroeg detecteert).
als ondernemer wil je hier helemaal niet mee bezig zijn
Tja, dat ze er niet mee bezig (willen) zijn is dan ook de hele oorzaak van dit probleem. De manager van een bank vind het vast ook jammer dat criminelen hem "dwingen" om een dure kluis aan te schaffen om alle flappen in te bewaren. 8)7
Dit, en sloten op de deuren hebben.
Interessante ontwikkeling. Uiteindelijk zal je misschien nog wel op de situatie uitkomen dat je landelijk een SOC draait voor de gehele infra. Het is dan slechts een kwestie van selectors (en die IP adressen worden geleverd).
Aangezien ondernemers wettelijk vrijheden hebbben en ook geen plichten hebben om zich afhankelijk van anderen te maken lijkt het al heel wat te zijn dat de overheid bedrijven de mogelijkheid geeft om hier aan mee te doen. Als ondernemer zeg je daarmee dat je dus mogelijk van een ongewenste situatie wist, wat niet altijd goed uit komt als dan bijvoorbeeld blijkt dat ze daarna onvoldoende hebben gedaan.
Belasting nadeel als je gehackt kan worden door de overheid? Ik ben voor.
Dat is belastingnadeel voor iedereen, aangezien iedereen gehackt kan worden. 100% veilig is een illusie.
Maar dan ook voor particulieren. Meer belasting betalen als er een lek in je systemen zit. Ik denk dat we dan allemaal meer belasting gaan betalen.
Mooi dit..nu kun je als scammer gewoon een bedrijf bellen, zeggen dat je van het DTC bent en dat je een probleem hebt geconstateerd.
Als ze even teamviewer kunnen installeren dan kun je dat ook nog voor ze verhelpen.
En wat belet een scammer momenteel om het namens het NCSC of de Politie te doen (zoals bijv. slachtoffernotificatie)? Of organisaties zoals het DIVD die informeren? Zelfde verhaal, beetje doomsday denken dit. Als dat moet worden voorkomen zou niemand meer mogen bellen of praten.

[Reactie gewijzigd door Amendeon op 13 september 2021 13:02]

Daarbij geven deelnemers onder andere alle IP-adressen die ze gebruiken door aan het DTC
Misschien gewoon eens stoppen met die datahonger van alles en iedereen. Nemen de dreigingen ook af, als er niets te halen valt immers....
Vind persoonlijk de titel van het artikel misleidend. Het is slechts een pilot. Nu lijkt het net alsof de Nederlandse overheid elk bedrijf in NL gaat melden als ze slachtoffer zijn van een hack. Het is niet alsof er nu een politiedienst is opgericht die actief onderzoek gaat doen. Het is daarnaast ook een pilot waar bedrijven zich actief voor moeten aanmelden. En in het verleden las ik ook nog dat de eisen om te mogen aanmelden ook best nog wel hoog zijn. Oftewel een beperkte pilot die niet voor elk MKB bedrijf open staat.
Meer geld/aandacht voor bestrijding tegen cybercrime lijkt me ook niet overbodig, desnoods ook nog een bounty hunter systeem.
Internet is inmiddels al lang een nutsvoorzieningen lijkt mij.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee