Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht

De Onderzoeksraad voor Veiligheid heeft zijn onderzoek naar aanleiding van de Citrix-kwetsbaarheid afgerond. De raad ziet veel verbeterpunten en beveelt de Nederlandse overheid aan om verantwoording over digitale risico's te laten afleggen.

Zowel bedrijven als organisaties en de overheid zouden op eenduidige wijze verantwoording moeten afleggen over de wijze waarop zij digitale veiligheidsrisico's beheersen, schrijft de Onderzoeksraad voor Veiligheid in zijn 143 pagina's tellende rapport. Het document beschrijft de lessen die getrokken zijn uit de kwetsbaarheid in Citrix, die in december 2019 wereldwijd voor grote problemen zorgde.

De raad noemt verschillende mogelijke manieren om organisaties verantwoording over digitale risico's af te laten leggen. Dat kan het verplicht maken van het vermelden van dergelijke risico's en maatregelen in jaarverslagen zijn, onder controleverklaring van een accountant. Bij de overheid zou er een eenduidig mandaat voor ciso's moeten komen, onder toezicht van de minister.

Tijdlijn uit rapport over Citrix-kwetsbaarheid
Tijdlijn uit het rapport

Een belangrijke conclusie uit het onderzoek is dat niet alle betrokkenen op tijd werden ingelicht over de ernst van het Citrix-lek door het Nationaal Cyber Security Centrum. Volgens het rapport werd slechts een deel van de gebruikers gewaarschuwd en konden aanvallers daardoor op grote schaal systemen binnendringen. Volgens het rapport hebben criminelen 'tot op de dag van vandaag' nog toegang tot systemen, die ze op elk moment kunnen activeren.

De Onderzoeksraad wil dat het Nederlandse kabinet er op korte termijn voor zorgt dat potentiële slachtoffers van cyberaanvallen snel en doeltreffend gewaarschuwd kunnen worden. Dat moet gevraagd en ongevraagd kunnen gebeuren. De rol van het NCSC is daar nu te beperkt voor, zeggen de onderzoekers. Zij vinden dat de overheid hiervoor moet samenwerken met private partijen en dat er 'voldoende mandaat en wettelijke waarborgen' ingesteld moeten worden. Het NCSC heeft op dit moment alleen een mandaat om overheden en bedrijven te waarschuwen die als vitale infrastructuur zijn aangemerkt. Andere bedrijven worden gewaarschuwd door het Digital Trust Center, al zijn er vergevorderde plannen tussen die partijen om meer samen op te trekken.

De Onderzoeksraad beveelt ook aan om te bevorderen dat Nederlandse organisaties en consumenten 'gezamenlijk veiligheidseisen formuleren en afdwingen' bij softwarefabrikanten. De overheid moet daarbij een voortrekkersrol spelen.

De Onderzoeksraad voor Veiligheid begon het onderzoek naar de Citrix-kwetsbaarheid in juli vorig jaar. Doel daarvan was onder meer om te kijken hoe de overheid heeft gehandeld bij het melden van de kwetsbaarheid en de manier waarop bedrijven die hebben gepatcht. Door de ernstige kwetsbaarheid in Citrix was onder andere remote code execution mogelijk. Veel Nederlandse bedrijven en overheidsinstellingen bleken kwetsbaar te zijn voor het lek.

De conclusies van het onderzoek liggen in lijn met die van eerdere onderzoeken naar de manier waarop Nederland omgaat met digitale dreigingen. Volgens het jaarlijkse Cybersecuritybeeld van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum worden er nog steeds te weinig maatregelen genomen. Daardoor loopt Nederland grote kans op digitale ontwrichting, waarschuwen zij.

Door Julian Huijbregts

Nieuwsredacteur

16-12-2021 • 14:43

24

Submitter: Anonymoussaurus

Lees meer

Reacties (24)

Sorteer op:

Weergave:

Waarom wordt hier telkens het probleem bij de klant/gebruiker van de software gelegd?
In het bovenstaande Citrix voorbeeld was het grootste probleem dat commerciële, niet vitale bedrijven door Citrix niet of veel te laat zijn geïnformeerd over de kwetsbaarheid en dat een patch ook nog eens veel te lang uitbleef.
Dan kun je wel zeggen: je moet patchen zodra patches beschikbaar komen, maar als je

1. niet eens weet dat er een kwetsbaarheid is
2. niet geïnformeerd wordt over beschikbaarheid van een patch

valt er niet veel te patchen.
Mijns inziens heeft Citrix hier enorme steken laten vallen en dat is mijn probleem met zo'n beetje alle leveranciers binnen de IT wereld op dit moment.
Verantwoordelijkheid voor krakkemikkige software wordt zoveel mogelijk afgewezen en dat moet wat mij betreft veranderen.
Leveranciers moeten aangesproken worden op zowel de kwaliteit van hun software als op hun processen om eventuele kwetsbaarheden pro-actief aan te pakken en op te lossen. Als je dat als leverancier goed geregeld hebt, mag je van klanten verwachten dat ook zij hun verantwoordelijkheid nemen.
Je hebt vaak met buitenlandse bedrijven te maken die echt niet onder de indruk zijn van een Nederlandse wet. Trouwens regels maken is makkelijk ze handhaven is onmogelijk. De Nederlandse overheid die weer een 5 jaar lang juridisch proces aangaat met Citrix wordt niemand beter van.

Het lijkt me beter dat de markt dit oplost: koop geen slechte software.
Allemaal leuk en aardig. Maar als er geen officiële NEN-norm komt hoe digitale risico's beheersbaar moeten blijven gaat dadelijk iedereen zomaar wat doen.

Het beste zou zijn om een ISO norm te hebben waarmee security assessments overal op de wereld gestandaardiseerd word. Vele ISO normen hebben enorm bijgedragen om zaken beheersbaar te maken en zorgt ervoor dat alle neuzen dezelfde kant opstaan (b.v ISO 14001 milieuzorgsystemen heeft enorm bijgedragen aan het verminderen van milieurampen)

[Reactie gewijzigd door rickboy333 op 23 juli 2024 02:12]

ISO27001 is al een redelijke stap de goede kant op.
Dit certificaat vereist de overheid al als men zaken/diensten wil aanbieden aan overheidsinstanties.
Aangezien beheersbaar kunnen maken sterk afhangt van de interpretatie en kunde van wie het toe past, zelfs de wil om het toe te passen, is het beste dus niet zomaar een norm. Maar ik ben het met je eens dat het kan helpen.
Goed initiatief - veelal wordt iedere verantwoordelijkheid contratueel door leveranciers uitgehold. Als nationale overheden dergelijke eisen gaan stellen, dan zal het moeilijker worden om die praktijk aan te houden.

In de praktijk is er natuurlijk wel meer nodig dan een 'beter contract' - het bewijs leveren dat een leverancier een fout heeft gemaakt die (als enige) in oorzakelijk verband staat met de schade is haast onmogelijk, vrees ik.
Ik heb het stuk nog niet gelezen (ga ik zeker doen), maar gebrek aan verantwoordelijkheid is naar mijn idee het grootste probleem binnen cybersecurity. Er komt een hoop techniek kijken bij cybersecurity, maar ICT is slechts een middel, informatie is het doel. Informatie is een bedrijfsmiddel, net als geld en personeel. De directie heeft een eindverantwoordelijkheid, maar omdat alles managen te veel werk is, belegt de directie de dagelijkse zorg bij het lijnmanagement neer. Dat doen we dus wel voor geld en personeel (afdelingsbudgetten, personeel onderverdeeld over afdelingen), maar nog niet voor informatie, want we zien, onterecht, informatie als onderdeel van ICT, dus als iets voor de ICT-afdeling en ICT-manager. Als je dan de vergelijking maakt met geld, geld is vandaag de dag ook grotendeels digitaal, en zegt 'dus de afdeling financien mag daarom ook onder verantwoordelijkheid van de ICT-manager komen?', dan valt het kwartje wel.

Door gebrek aan verantwoordelijkheid is informatie van niemand. Iedereen doet van alles met informatie, maar niemand legt daar verantwoordelijkheid over af. Risico's inzichtelijk maken is iets voor de CISO (als we die al hebben) en we schenken vooral geen aandacht aan hetgeen die roept, behalve als het mis gaat. Dan kijken we naar de CISO en zeggen 'hoe heeft dit nu kunnen gebeuren?'

Zo, dat is in het kort mijn werk-frustratie. Fijne kerst allemaal! ;)

[Reactie gewijzigd door Faeron op 23 juli 2024 02:12]

De overheid legt op dit gebied al verantwoording af via ENSIA. Dit omvat de staat van informatiebeveiliging op basis van de BIO (Baseline Informatiebeveiliging Overheid). Je wilt niet weten hoe omvangrijk de ENSIA is maar ik hoop dat ze die desnoods uitbreiden met extra vragen dan dat er nog iets nieuws wordt opgetuigd wat dubbel werk gaat betekenen. Die tijd kan beter in andere zaken worden gestoken.
Leuk die papieren werkelijkheid, maar informatiebeveiliging gaat om de praktijk. En die is toch echt anders.
In dit soort discussies moet je goed onderscheid maken tussen "IT beveiliging" en "Information security" en tussen "veiligheid" en "verantwoordelijkheid". Al die onderwerpen hebben met elkaar te maken maar ze zijn niet hetzelfde. "Veiligheid" en "IT beveiliging" gaan over de praktische kanten van veiligheid. Dat gaat over configuratiekeuzes, bugs, 0-days en dat soort dingen die allemaal draaien rond de vraag "hoe veel moeite kost het om iets kapot te maken of te stelen".

"Information Security" en "verantwoordelijkheid" gaan over de theoretische kanten van veiligheid. Het gaat over procedures, inspecties, contracten die uiteindelijk allemaal terug te brengen zijn tot "hoe groot is de kans dat het fout gaat, wat kost dat en wie moet er voor opdraaien?".

Er zit een enorm gat tussen wat mensen belangrijk vinden. Ik ben hier niet om te zeggen dat een van de twee overbodig is maar vooral om te benadrukken dat je beiden nodig hebt. Helaas is de wereld daar best wel over verdeeld en geeft dat heel verschillende conclusies.

De valkuil waar veel organisaties mee worstelen is praktische veiligheid heel duur en moeilijk is terwijl het heel goedkoop is om verantwoordelijkheid af te schuiven naar iemand die dat eigenlijk niet kan weigeren. Het doet me af en toe denken aan de katvangers die tal van auto's of telefoons op hun naam hebben staan zodat de grote criminelen buiten schot blijven.
in kort; men is laks met updaten
Dat is wel HEEL makkelijk verwoord...
Soms is updaten niet eens mogelijk omdat er geen goed werkend alternatief is en moet je een andere weg inslaan om alsnog verantwoord verder te kunnen werken. Dat heeft tijd nodig.
Je moet dan ook nog maar de kennis in huis hebben...
Mind you er is een redelijk groot tekort aan IT'ers.

[Reactie gewijzigd door firest0rm op 23 juli 2024 02:12]

nee; gewoon updaten - punt!

moet wel heel goed excuus hebben om dat niet te doen. dat truus bij administratie of jan van de orders ineens een probleem heeft; zie ik dan wel weer

werk volgens pci-dss, een standaard die in mijn optiek prima als basis kan dienen voor -iedere- IT omgeving.

updaten met getrekt been erin, doe dat ~20jr. gaat niet altijd vlekkenloos. Maar zeker de laatste 10jr gaat dat praktisch foutloos. (incentje uitgesloten) maar 99/100x gaat dat zonder issues

[Reactie gewijzigd door himlims_ op 23 juli 2024 02:12]

Dus eerst is je samenvatting updaten, en als je kritiek krijgt dat het te kort door de bocht is omdar het om meer gaat blijf je bij je standpunt om meteen daarna ook andere zaken belangrijk te vinden. Wat is het nu?

[Reactie gewijzigd door kodak op 23 juli 2024 02:12]

Ik zeg dat updaten prioriteit 1 is

Dat daarna zaken onderuit vallen als gevolg van patch - lossen we dat daarna wel op.

Maar die security update blijft staan

@kodak kijk eens naar de eerdergenoemde richtlijnen van pci-dss

[Reactie gewijzigd door himlims_ op 23 juli 2024 02:12]

Ik zeg dat updaten prioriteit 1 is
Dat schrijf je niet. In je eerste reactie laat je niet blijken dat je samenvatting breder is dan 1 prioriteit. Toen je werd gewezen dat het te kort door de bocht is hield je vol aan de stelling dat het je om patchen ging, om vervolgens tegelijk meer te beweren door een standaard te noemen die niet alleen om patchen gaat en daar ook niet de eerste prioriteit aan geeft. Je kan niet beiden gaan beweren.

Als bedrijven op jou manier gaan beveiligen met de prioriteit op patchen dan maakt het kennelijk minder uit dat een leverancier te laat patches kan leveren of software op welke manier dan ook maakt. Met patchen alleen hou je dus niet alle problemen op tijd tegen.

[Reactie gewijzigd door kodak op 23 juli 2024 02:12]

En tussen ontdekking en updaten --- wat dan. Gewoon wachten tot je aangeschoten bent?
Er is een klasse van problemen waar het probleem EERST het issue ontstaat / bekend wordt en daarna pas een patch gemaakt wordt (en dan moet die ook nog werken) en dan kun je updaten.....

Bij het Cirtix issue was er een issue dat NIET gepatched was , RCE bleef zelfs MET patch nog mogelijk pas een paar weken later is het lek met een patch te dichten.
Later met Meltdown & Spectre een soortgelijk dingetje... het heeft maanden geduurd (en feitelijk heeft nog steeds niemand van Intel een ander CPU zonder probleem ontvangen te vervanging)..
De mirocode patches zijn maar gedeeltelijk een fix voor het probleem van te vroege lookahead op plaatsen waar geen toegang is.

De eerste 2 a 3 dagen is bij het Citrix issue het boeven gilde eerst overal maar eens toegang gaan verschaffen en C&C bereiken, als vanaf het eerste moment alle externe toegang was afgesloten had een hoop ellende voorkomen kunnen worden in afwachting van de patch.
Dat is waar het rapport over gaat.

[Reactie gewijzigd door tweaknico op 23 juli 2024 02:12]

PCI-DSS gaat wel erg ver voor menige omgeving. Zelfs ISO 27001 is fors. Probleem is dat beide standaarden zijn geschreven voor grotere organisaties met allerlei verplichte procesflows en boekwerken waar je in de praktijk weinig mee doet. Ik zou zelf voorstander zijn van een eenvoudige GDPR checklist waar ook betaalbare certificering gesubsidieerd vanuit de EU voor kan worden behaald.
Wij kijken nu naar NTA 7516/7530, en ook al voldoen we 95% kost het toch al snel 15k+ om zo'n stom stempeltje te halen. Dat is voor starter/MKB een boel geld... En jaarlijks.
Het lijkt vaak of er naar excuses worden gezocht om niet te hoeven patchen. Alsof het tijdverspilling is.
  • "Onze servers hangen niet rechtstreeks aan het internet."
  • "Hebben we nu geen tijd voor, we zetten het binnenkort op de agenda."
  • "Die servers worden binnenkort toch vervangen, daar steken we geen energie meer in."
  • "Alles werkt nog, wij hebben er geen last van."
  • "We maken heel vaak backups."
  • "Het zal wel wat meevallen, waarom zou iemand ons willen hacken?"
  • "We hebben een hele goeie firewall, die houdt alles tegen."
Je hebt assertieve security-mensen nodig die duidelijk kunnen maken hoe cruciaal vulnerability-scanning en patching is, en met hun vuist op tafel durven te slaan.
En bewustwoording van de hoeveelheid werk die onderzoek en patchen met zich meebrengt (en de daarmee gepaard gaande kosten verhoging).
In theorie is de theorie gelijk aan de praktijk, maar in de praktijk niet.

Het is leuk om de oplossing bij “assertieve mensen die met de vuist op tafel durven slaan” te leggen en dat kan dan leuk gedaan worden, maar zolang diegene geen beslissingsverantwoordelijkheid heeft zal dat helemaal niets uitmaken.

Sterker nog; deze situatie heb ik tot nu toe bij al mijn werkgevers meegemaakt en nog nooit heeft een dergelijk aanpak tot resultaten geleid. Nog sterker; vaak werden deze medewerkers enkele maanden later ontslagen “omdat er niet mee samen te werken valt”.

Uiteindelijk ligt het, zoals je zelf al zegt, bij de managers die de besluiten maken, en dat los je niet op.
Want wat doen managers? Risico inschattingen maken. Wat is het risico? wat zijn de kosten? wat zijn de baten? Conclusie: komt volgend jaar wel.

En weet je wat? Zelfs als de manager in kwestie het zelf wel zou willen, dan zal hij er nog geen werk van maken. Waarom? Hij moet aan zijn manager verantwoorden dat hij bakken met geld uitgeeft aan iets dat niks oplevert, en dat zal hem mogelijk weer zijn baan kosten.

Er is gewoon 0,0 incentive om het juiste te doen, want er is geen tastbare ROI.

Zolang er geen verplichtingen, of exorbitant hoge boete bedragen die in 100% van de gevallen worden gegeven zijn gaat dit never nooit veranderen.

Hiervoor genoemde zorgt er namelijk voor dat de risico factor enorm stijgt waardoor het mogelijk zal opwegen tegen de kosten. En als in de praktijk blijkt dat het nog niet genoeg is, dan moet die risicofactor kunstmatig NOG hoger worden gemaakt. Net zolang tot het wel genoeg is.

[Reactie gewijzigd door Jaatoo op 23 juli 2024 02:12]

Het is leuk om de oplossing bij “assertieve mensen die met de vuist op tafel durven slaan” te leggen en dat kan dan leuk gedaan worden, maar zolang diegene geen beslissingsverantwoordelijkheid heeft zal dat helemaal niets uitmaken.
Je hebt wel een punt, dat verschilt natuurlijk ook per organisatie. Misschien is jouw ervaring dat, als iemand geen beslissingsverantwoordelijkheid heeft, dat diegene niets te zeggen heeft. Mijn ervaring is dat, zelfs als je geen beslissingsverantwoordelijkheid hebt, je nog steeds wel veel druk/invloed kunt uitoefenen en veel voorelkaar kunt krijgen.
Uiteindelijk ligt het, zoals je zelf al zegt, bij de managers die de besluiten maken, en dat los je niet op.
Want wat doen managers? Risico inschattingen maken. Wat is het risico? wat zijn de kosten? wat zijn de baten? Conclusie: komt volgend jaar wel.

En weet je wat? Zelfs als de manager in kwestie het zelf wel zou willen, dan zal hij er nog geen werk van maken. Waarom? Hij moet aan zijn manager verantwoorden dat hij bakken met geld uitgeeft aan iets dat niks oplevert, en dat zal hem mogelijk weer zijn baan kosten.
Dan heeft de verkeerde manager de beslissingsverantwoordelijkheid voor de beveiliging.
Ja en nee,
Dit was in 2019 al bekend.
Dacht dat er een inbraak was destijds waarbij de kernel was gehacked. en nooit opgelost was.
Waarom trek je alleen die conclussie?

Als je een auto koop ga je toch ook niet alleen maar regelen dat onderdelen worden vervangen maar dat je hoe dan ook voorkomt een wrak te kopen en dat je een leverancier hebt die op tijd reserveonderdelen levert?

Op dit item kan niet meer gereageerd worden.