Overheid verplicht telecomproviders meer beveiligingsmaatregelen door te voeren

Nederlandse telecomaanbieders moeten in het komende jaar verplicht nieuwe beveiligingsmaatregelen nemen. De ISP's moeten van het demissionair kabinet betere controle houden op incidenten, personeel beter screenen en meer beveiligingsupdates doorvoeren.

De eisen staan in de Ministeriële regeling veiligheid en integriteit telecommunicatie. Die richtlijn komt vanuit de overheid. Die wil de beveiliging van telecomnetwerken daarmee verbeteren. Volgens demissionair minister Stef Blok van Economische Zaken en Klimaat moeten Nederlandse burgers en bedrijven 'altijd en overal kunnen rekenen op betrouwbare en veilige mobiele infrastructuur'. "Immers, de maatschappij en economie kunnen alleen functioneren als bijvoorbeeld onze data, financieel verkeer en communicatie veilig zijn", schrijft Blok.

Providers moeten voor 1 oktober 2022 aan verschillende basisregels voldoen. Die vallen binnen vijf categorieën. Een daarvan is de beveiliging van fysieke technologie. Providers moeten die verplicht 'geautomatiseerd en up-to-date beschermen tegen kwaadaardige software'. Ook is het verplicht om de infrastructuur te beveiligen door 'kritieke gegevens gericht te versleutelen'.

Providers moeten daarnaast technische infrastructuur doorlopend gaan monitoren op incidenten, en er komen strengere eisen voor leveranciers en beheerders van software. Ook moeten werknemers die aan bepaalde infrastructuuronderdelen werken structureel gescreend worden en worden achtergrondonderzoeken verplicht.

De overheid begon vorig jaar al een consultatie voor het plan. Telecomnetwerken vallen onder zogeheten vitale infrastructuur. Storingen aan zulke infrastructuur zouden 'ernstige ontwrichting van de samenleving kunnen veroorzaken'. De nieuwe regeling is dan ook onderdeel van een breder overheidsinitiatief om zulke netwerken beter te beveiligen.

Door Tijs Hofmans

Nieuwscoördinator

06-10-2021 • 07:38

41

Reacties (41)

Sorteer op:

Weergave:

En dat alles binnen één jaar. Als de overheid net zo snel was met het nemen van milieu maatregelen, was Tata Steel al een decennia dicht...

Ik heb nu al te doen met de techneuten die het in één jaar voor elkaar moeten krijgen. Ik weet ook wel dat het al lang standaard had moeten zijn in de industrie, maar als techneut kreeg je daar nauwelijks de tijd voor. Nu dus ook niet, één jaar....
Een wereld zonder staal, is dat mogelijk?
Dat is een probleem voor Tata Steel. Dat wij toestaan dat een dergelijk bedrijf decennia lang niet investeert in het verlagen van de uitstoot is alleen maar uit te leggen door precies wat jij aangeeft, commerciele belangen. Als de overheid dat van Tata Steel had geeist, dan was Tata Steel verhuisd naar een land waar ze het niet zo nauw nemen met het milieu en hadden we een hoop ontslagen gehad. Geld boven milieu en gezondheid, dat is altijd al zo geweest.

Wat je nu ziet is dat het economisch pijn gaat doen als je maar blijft uitstoten, zo ook met de kern van dit artikel, we lopen een economische risico als systemen door slechte beveiliging uitvallen. En daar wringt de schoen. De telecom bedrijven kunnen niet verkassen naar een ander land, want de regels gelden dan nog steeds, Tata Steel kan dat wel. Telecom bedrijven krijgen één jaar. Tata Steel krijgt nog steeds geen ultimatum (al begint het de laatste tijd wel behoorlijk te borrelen).
Dat probleem los je niet op door in Nederland een fabriek te sluiten en het staal elders te kopen. Het zou helpen als het weer een Nederlands bedrijf zou worden.
https://nl.wikipedia.org/wiki/Koninklijke_Hoogovens

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:54]

Net alsof dat wat uitmaakt. De prikkel om niks te doen aan schoner produceren is voor een Nederlands bedrijf net zo groot als voor een buitenlands bedrijf.

Alleen als je er echt een staatsbedrijf van zou maken, zou je mogelijk de prikkels om maar niets te doen kunnen onderdrukken, maar je ziet dat de overheid ook weinig haast heeft gemaakt de afgelopen 20 jaar om met behulp van regelgeving druk te zetten, dus of dat echt veel zou hebben veranderd is nog maar de vraag.
Maar je ziet nu toch hoe kwetsbaar je bent als je afhankelijk bent van chips, medicijnen of gas uit het buitenland. Of het nu door corona komt of omdat men dacht dat kan in het buitenland goedkoper gemaakt kon worden. Opeens vliegen de prijzen de pan uit of zijn goederen niet meer verkrijgbaar.
En jij denkt dat Nederlandse bedrijven dit op magische wijze beter kunnen, puur omdat ze in Nederlandse handen zijn?
Dan kan niemand zeggen:daar kunnen wij niets aan doen, het hoodkantoor (in een ander land) neemt de belangrijke beslissingen. Daar gaan wij niet over.
En jij hebt al regelmatig beslissingen van bijvoorbeeld Shell beïnvloed omdat het hoofdkantoor hier in Nederland zit?

De enige invloed dit jij op bedrijven die in Nederland gevestigd zijn hebt, of ze nou een binnenlandse of buitenlandse eigenaar hebben, is dat jij de Kamerleden kunt kiezen die wetten kunnen aannemen die die bedrijven beïnvloeden. Tenzij je toevallig rechtstreeks zaken met ze zou kunnen doen, dan kun je er voor kiezen om dat wel of niet te doen. Of het bedrijf officieel vanuit Nederland geleid wordt of niet, maakt daar niet of nauwelijks voor uit.
Tja, daar ga je het ook niet mee oplossen, want dan kun je wel aan de gang blijven. Ook een Nederlands bedrijf kan besluiten om zijn productie elders op te zetten in de wereld als ze daarmee "goedkoper" staal kunnen produceren.
Irrelevante vraag. Het doel is niet om te stoppen met het produceren van staal. Het doel is te stoppen met het produceren van staal op een manier die een onleefbare/zeer ongezonde omgeving oplevert.
Als je nu nog helemaal niets versleuteld zou hebben, is dit enorm veel werk (want ook elke change moet getest worden) en kostelijk. Maar persoonlijk verwacht ik dat de belangrijke datastromen toch al versleuteld zijn. Zeker gezien de focus op cyber security de laatste jaren flink gestegen is (zie ook bedrijven die niet in orde waren en negatief in het nieuws kwamen).
Het is natuurlijk veel meer dan encryptie, dat lijkt me nog een redelijk recht-to-recht-aan stuk. Je hebt ook systemen nodig voor centrale authenticatie en authorisatie. Heb je die nog niet geintegreerd, dan heb je ook een programma van een jaar te pakken.
Monitoring is ook zo'n dingetje wat soms nog niet gebeurd bij een kleinere speler maar bij elke serieuze operator toch al meer dan een decenium standaard moet zijn.

Ik ben wel benieuwd wat die screening van werknemers in gaat houden. En hoe dat effect gaat hebben op de privacy in je werknemer-werkgever relatie. Zou dit zo ver gaan dat als je bv een Chinese vrouw hebt, dit je carriere zou kunnen beperken?
Volgens mij is die wending, gatenkaas, voorkomen en wordt in ieder geval binnen onze grenzen de veiligheid aangescherpt. Hopelijk zien EU landen dit ook als een opstap naar een veilige netwerk.
Kritieke gegevens gericht versleutelen slaat noga haaks op de overheid die meer en meer wil meeluisteren. Benieuwd hoe dit geïmplementeerd gaat raken, versleutelen met backdoor is natuurlijk niet versleuteld.
Het gaat hier om kritieke data. Welke data dat is wordt hier niet vermeld.

Daarnaast heeft justitie en economische zaken allebei een eigen agenda.

Natuurlijk wil justitie meer data beschikbaar hebben, om zo criminele organisaties makkelijker aan te pakken. Waarbij economische zaken ook ziet dat als we niet goed beveiligen, aanvallen van buitenaf makkelijker is en dus schade aan de economie kan veroorzaken.

Tussen die twee ministeries zit dus een belangen verschil.

Het versleutelen betekend overigens niet dat de provider de sleutel niet heeft om de data te ontsleutelen. Dus verzoeken van justitie zouden niet belemmerd hoeven te zijn.

[Reactie gewijzigd door To_Tall op 23 juli 2024 09:54]

Tussen die twee ministeries zit dus een belangen verschil.
Beetje offtopic...
En dat zie je dus vaker:
De Inspectie Leefomgeving en Transport (ILT) constateerde tijdens een controlebezoek in 2018 dat er marineschepen in de marinehaven van Den Helder lagen, en dat de marine hier geen (juiste) vergunning voor had. De inspectie legde in januari 2019 een dwangsom op van maximaal 1 miljoen euro; de marine moest de activiteiten zonder vergunning per september 2019 beëindigen.
De overheid die de overheid een dwangsom oplegt, omdat in een marinehaven marineschepen liggen. 8)7
Een telco kan niet bepalen wat kritiek is dus je moet alles versleutelen
Versleutelen wil zeggen niemand kan er aan, dus ook de overheid niet.
Als de overheid alsnog wil meelezen heb je een backdoor nodig, hetzij doordat de telco de keys heeft, hetzij door een mitm tap. Op dat moment is imo de versleuteling waardeloos,(vals gevoel van veiligheid) want als 1 partij er aan kan kunnen anderen dat potentieel ook

[Reactie gewijzigd door Yalopa op 23 juli 2024 09:54]

Op dat moment is imo de versleuteling waardeloos,(vals gevoel van veiligheid) want als 1 partij er aan kan kunnen anderen dat potentieel ook
Het doel van versleutelen is altijd dat er minimaal één partij bij kan, anders kun je de data net zo goed direct vernietigen. Het is een beetje kort door de bocht om te stellen dat versleutelen van data waardeloos is. Het gaat hierbij om een extra vector in de beveiliging. Eén enkele vector is nooit voldoende voor de algehele beveiliging, maar dat maakt het niet direct waardeloos.
Ik denk dat hij doelt op '1 derde partij' ;)
Waarom een backdoor? Nergens voor nodig.
Een bedrijf op Nederlands grondgebied kan door de opsporingsinstanties zo van een vordering worden voorzien. Zolang er de wettelijke basis voor de vordering er bij zit gaat dit bedrijf de gegevens aanleveren.
Wil je als burger deze data hebben wordt het een rondje rechter.
Dr backdoor zou gericht gebruikt kunnen worden voor de minder goedwillenden. Die ga je niet rustig vooraf of achter vragen of je hun appjes mag lezen, want dan weet je zeker dat je niet krijgt wat je zoekt (of te laat, de plannen voor de moordaanslag lees je liever vooraf)
Dat data versleuteld is betekend niet dat de overheid deze niet meer kan lezen. Zij hebben geen backdoor nodig, maar kunnen dit gewoon aanvragen om te lezen. Wellicht gaat er dan een kopie hun kant op, verleuteld met een sleutel die de overheid zelf bezit.
Daarbij iets wat je encrypt moet je ook zelf weer kunnen decrypten als je de data nodig hebt, daar heb je geen backdoor voor nodig. Momenteel is er al heel erg veel versleuteld in een telecom netwerk, het is niet alsof dit iets nieuws is. Veel zakelijke klanten (zeker overheid) eisen dit ook van hun operator. Wat nieuw is, is dat de overheid het nu zelf verplicht voor elke operator en het niet gehoorzaam zijn ook zware gevolgen kan hebben.
Om versleutelde gegevens te ontsleutelen zonder toestemming/gewaarwording van de gebruikers heb je een backdoor nodig. Period. Hoe zie je het voor je als een, bijv, whatsapp-gesprek afgetapt moet worden? Dan heb je met e2e encryptie gewoon een backdoor nodig, niks meer niks minder.

Overigens heb ik geen sleutels van heel veel https verkeer van onze users, juist om mitm aanvallen te voorkomen. Als je als user je verkeer zelf versleuteld is er ook geen isp die erbij kan. Juist omdat je op openbare wifi-netwerken bijvoorbeeld niet echt veilig bent is e2e encryptie een noodzaak geworden zodat niemand, zelfs je isp niet, daar bij kan komen zonder backdoors. En dat is een goed iets, als er in https bijv. een backdoor nodig wordt voor operators knal ik 443 wel dicht, dan weet ten minste iedereen dat ze niet veilig zijn en de echt noodzakelijk te beveiligen applicaties worden dan niet meer mogelijk.
Jij hebt het over end2end versleuteling, daar gaat dit volgens mij niet over. In een telecom netwerk is het standaard om data tussen systemen onderling te versleutelen. Uiteraard heb je geen backdoor om het in die systemen terug te ontsleutelen, dat is gewoon hoe het hoort te werken.
Neem inderdaad een whatsapp bericht. Het bericht zelf zal end2end versleuteld zijn. Maar de signalering niet, die heeft de operator namelijk nodig om de dienst te laten werken. Maar ik verwacht wel dat dezelfde operator de signalering versleuteld tussen systemen onderling.
Dan houd je de metadata over, die al word bewaard. Ik verwacht overigens niet dat men op link-layer data versleuteld. We doen dat wel voor bijv. accesspoints, maar dat is meer een praktische overweging om roaming te verbeteren. PON netwerken worden ook versleuteld omdat het downstream verkeer een point-to-multipoint architectuur heeft. Je glasvezeltje is, mits p2p, 99% zeker niet versleuteld. Veelal kan je gewoon je eigen mediaconverter/router eraan knopen. Als je dat wil gaan versleutelen heb je veel meer computing power nodig ook die dat versleuteld. Bovendien voegt het niet heel veel toe gezien vrijwel alle belangrijke dingen al op de client worden versleuteld en mogelijk dubbel icm een vpn.
Deze tekst is dan ook heel sluw. Eigenlijk zou álles goed versleuteld moeten zijn. Door alleen te focussen op het subjectieve 'kritieke' wordt een groot gat gecreëerd om ter overheids beoordeling de ontstane ruimte te gebruiken om een variabel deel 'niet-kritiek' meeluisterbaar te houden. Alsof je bij een waterleiding alleen op kritieke plekken gericht beveiligd tegen verontreiniging, nou dan durf ik niet zomaar meer overal uit de kraan te drinken.
De overheid verzameld vooral metadata (wie belt wie en wanneer). Wanneer men meer wil heeft men daar een bevel van de officier van justitie voor nodig.
Het gaat nu ook niet om versleutelen, maar vooral om de algehele veiligheid van het netwerk. Voor de gebruikers heeft dit vooral voordelen omdat er toch weer een extra laag wordt ingebouwd die het hacken en stelen van data en uitvoeren van ddos aanvallen iets lastiger maakt.
Van het demissionair kabinet. Blijf het vreemd vinden dat een demissionair zoveel macht blijft hebben. Zoals Rutte laatst al zei, nog meer macht als een gewoon kabinet.
Als een kabinet demissionair is, krijgt de Tweede Kamer de bevoegdheid om onderwerpen controversieel te verklaren. Daar verliest het kabinet macht. Dit is simpelweg niet controversieel verklaard.

Het is ook niet gek dat er weinig controversieel is verklaard, er is geen politieke aardverschuiving geweest na de verkiezingen.
Er zal toch iemand al die tijd dat ze als kleine kinderen niet met elkaar willen spelen aan het formeren zijn een paar niet-controversiële dingen moeten regelen.

Het zou mooi zijn als de partijen in Den Haag wat meer bezig waren met het belang van Nederland en wat minder met het belang van hun partij bij de volgende verkiezingen, maar blijkbaar is dat al ruim een half jaar teveel gevraagd.

Het lijkt mij zeer juist en iets waar iedereen het wel mee eens kan zijn dat telecommunicatie inmiddels behoorlijk vitaal is voor Nederland. Dat een demissionair kabinet kan bepalen dat providers dit beter moeten beveiligen vind ik dan ook niet zo vreemd. Daar zal vrijwel niemand op tegen zijn.
De ambtenaren werken gewoon verder zoals van hen verwacht mag worden. Er is ook een nieuwe begroting voorgesteld met prinsjesdag.

Verder mogen er best vragen worden gesteld bij de onderwerpen waar een demissionair kabinet zich mee bezig lijkt te houden. Zie er niet veel kwaad in om een regering scherp te volgen. Ze zitten er immers voor ons allemaal.
Het zou zeer fijn zijn, als de Rijksoverheid zich zelf ook deze regels oplegt. Zie jammer genoeg, te vaak het tegen over gestelde.
Nvm. @Yalopa was me voor.

[Reactie gewijzigd door noostenb op 23 juli 2024 09:54]

Maar ondertussen wel je hele backbone op Chinese Staatstechnologie bouwen…
Jij en andere consumenten en bedrijven in Nederland kiezen daarvoor met de portemonnee.

Wij hebben vaker na een aanbieding gehoord dat het gebruik van bijvoorbeeld Huawei apparatuur (zoals netwerkswitches) niet wenselijk is. Dan maken we een vergelijkbare aanbieding met bijvoorbeeld Nokia of Juniper, die vanzelfsprekend een stuk duurder uitvalt. Dan wordt er onder protest toch maar gekozen voor Huawei, want je krijgt een betere prijs voor dezelfde kwaliteit.
[...]
Dan maken we een vergelijkbare aanbieding met bijvoorbeeld Nokia of Juniper, die vanzelfsprekend een stuk duurder uitvalt. Dan wordt er onder protest toch maar gekozen voor Huawei, want je krijgt een betere prijs voor dezelfde kwaliteit.
Die laatste opmerking is dus de fout: Het is niet de zelfde kwaliteit. Dat moeten de boekhouders toch eens een keer gaan begrijpen.

Met kwaliteit voor communicatie apparatuur ging het er in het verleden vooral om dat de communicatie gevoerd kan worden. Dat wordt al jaren bewezen doordat er veel communicatie ook andere kanten op gaat. Tegenwoordig gaat het er met communicatie ook en vooral om dat de communicatie vooral niet de verkeerde kant op gaat. En dat laatste is bij sommige leveranciers een punt van aandacht.
Is dat ook zo?
KPN koopt liever eigen aandelen in dan dat geld te investeren in het bedrijf.
https://www.telecompaper....len-teruggekocht--1399381

Op welke website kan je providers vergelijken op het punt van netwerkapparatuur?
Dit heeft niets met wat wij als consument daarvoor betalen te maken. We betalen al in verhouding meer dan de ons omringende landen en onze infrastructuur investeringen zouden al meer kans hebben om beter te renderen aangezien we een grote dichtheid hebben qua bevolking.

Los daarvan is mij als consument niet gevraagd of ik kies voor een Huawei of Nokia router, bij groene / grijze stroom is daar wel sprake van. Deze casus is gewoon anders.
Naar ik had begrepen is er geen enkele netwerkprovider in NL die geen Chinese apparatuur/software gebruikt, toch? (Mocht dat wel zo zijn dan kom ik dat graag te weten)

Sowieso is het erg lastig om dit als consument te evalueren. Het is niet iets waarmee de providers adverteren, en ook niet iets waar je direct als consument bij stilstaat.
Dat geldt voor T-mobile maar volgens mij zit Vodafone op ericsson en KPN weet ik even niet.
Maar wellicht gaan deze nieuwe eisen mogelijk ook meer werk zijn voor T-mobile (e.g. screenen van iedereen) dan voor een Vodafone met een lokale ericsson partner.

Op dit item kan niet meer gereageerd worden.