Nederlandse beveiligingsorganisaties beginnen Security Meldpunt

Verschillende Nederlandse bedrijven en instanties zijn het Security Meldpunt gestart. Organisaties en securityonderzoekers die bugs of kwetsbare configuraties ontdekken, kunnen dat via het meldpunt laten doorgeven aan een brancheorganisatie.

Het Nederlands Security Meldpunt is sinds maandag actief. Het project werd vorig jaar al aangekondigd door de initiatiefnemers, onder andere de AMS-IX en de Nationale Beheersorganisatie Internet Providers of NBIP. Ook doet securityvrijwilligersorganisatie DIVD mee, net als belangenverenigingen Connect2Trust, AbuseIO en SURFcert. De organisaties willen samen een algemeen meldpunt opzetten waarin bedrijven dreigingsinformatie kunnen delen over zowel kwetsbaarheden in software als specifieke aanvallen op elkaars systemen. De organisatie noemt de crisissituatie rondom log4j als voorbeeld van waarvoor het meldpunt straks bruikbaar kan zijn.

Instanties die zijn aangesloten, kunnen elkaar op de hoogte houden van kwetsbaarheden die ze in software vinden. Ook foutieve of kwetsbare configuraties kunnen aan het meldpunt worden doorgegeven. Het meldpunt stuurt de ontvangen dreigingsinformatie niet altijd zelf door naar bedrijven. Dat doet het via brancheorganisaties en 'doordelers', zoals het NCSC, Connect2Trust, het NBIP en SURFcert. Die sturen de meldingen weer door naar hun achterban. Het meldpunt kan wel bedrijven benaderen als die niet bij zo'n branchevereniging zijn aangesloten. "Een ontvanger ontvangt alleen die meldingen waarvoor de ontvanger heeft aangegeven handelingsperspectief te hebben", schrijven de oprichters.

Ook als de aangesloten bedrijven actieve aanvallen zien gebeuren, kan dat via het meldpunt worden doorgegeven aan anderen. Het Security Meldpunt zegt dat het 'voor alle organisaties werkt die niet direct informatie ontvangen van het NCSC'. Het Nationaal Cyber Security Centrum geeft alleen waarschuwingen aan bedrijven binnen de vitale infrastructuur. Het meldpunt zegt ook informatie te willen ontvangen van 'niet-erkende melders', zoals ethische hackers. Van hen worden de meldingen eerst door het DIVD beoordeeld.

Reacties (12)

prodesk 14 februari 2022 16:19

Niet slimmer om zoiets in Europees verband te doen?

Kingeling @prodesk • 14 februari 2022 16:25

Misschien juist eerst goed om nationaal te beginnen en te laten zien dat iets werkt, in plaats van gelijk groot te gaan met het risico dat het door regelzucht mis gaat.

litebyte @prodesk • 14 februari 2022 16:59

In EU verband bedoel je dan? Denk niet dat Rusland hieraan mee wil doen evenals tal van andere niet-EU landen.

Als je je profleert als unie met 1 visie en 1 richting dan is (digitale)veiligheid een van peilers waarop je dit het best kenbaar kan maken. Zie je dit gebeuren in de huidige EU?

Jochem

@litebyte • 14 februari 2022 18:27

[Reactie gewijzigd door Jochem op 23 juli 2024 03:44]

mdj84nl @Jochem • 14 februari 2022 19:33

Europese, slimmert.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@prodesk • 14 februari 2022 19:36

Niet slimmer om zoiets in Europees verband te doen?

Dat is inderdaad interessant maar ook gelijk behoorlijk lastiger. Klein beginnen is meestal een betere eerste stap.

mutley69 14 februari 2022 16:34

Zo iets kan je best gelaagd opbouwen - en dan vooral veel moeite steken in goeie doorstroming - als het ergens mee mis loopt is het met de communicatie in 2 richtingen... (zoals zo vaak).

Keypunchie

Malware

14 februari 2022 17:16

Tsja, meldpunten. Mooi hoor, nog een organisatie die staat te roepen dat je dingen moet patchen.

Wat de meerwaarde rondom log4j daar zou zijn geweest is me niet helemaal duidelijk. Aan alle kanten gingen de alarmbellen af. Op zich goed.

Maar waar ik me achteraf wel over heb verbaasd is hoe weinig er geleerd lijkt te zijn. Iedereen schouderklopjes uitdelen dat log4j zo goed is opgepakt, maarreh, hoe zit het met alle andere dependencies die je hebt?

Veel grote organisaties hebben in de weken na de bekendmaking van het lek hun leveranciers volkomen doorgezaagd over log4j. Maar dieper ingaan op security beleid gebeurde niet. Voelde nogal als een operatie die om procesbevrediging ging, in plaats van dat er nou daadwerkelijk verbetering in beveiligingsbeleid zijn doorgevoerd.

Als organisatie zelf heeft mijn bedrijf wel lessen geleerd, maar de indruk dat onze afnemers of de Nederlandse IT sector nou echt wat structureel veranderd heeft, lijkt het niet. Een tijdelijke 'awareness-boost' en dat is het dan wel.

Dat gevoel krijg ik ook bij dit meldpunt. Wat voegt het nou echt toe?

[Reactie gewijzigd door Keypunchie op 23 juli 2024 03:44]

OxWax 14 februari 2022 17:14

https://www.security.nl/ niet goed genoeg?

MazDaMan1970 @OxWax • 14 februari 2022 17:35

Was ook mijn 1e gedachte. De zoveelste club die zich bemoeit met security. Er was ook al een particulier initiatief, plus dat ook enkele security-bedrijven zich hier al mee bezig houden. Wordt een beetje overkill naar mijn mening...

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@OxWax • 14 februari 2022 19:20

Dat is toch compleet wat anders? Een nieuwsplatform rond security nieuws is niet wat Security Meldpunt als dienstverlening aanbiedt. Security.nl doet ook niets aan het aannemen of vermelden van security issues bij bedrijven. Heb je de website van Security Meldpunt al eens bekeken?

HooksForFeet 14 februari 2022 16:44

"Security Meldpunt". Bedacht door hetzelfde communicatieteam als achter Mens & Spirit wellicht? Was "Nederlands Beveiligingmeldpunt" of "Dutch Security Hotline" of zoiets al bezet?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (12)

Sorteer op:

Weergave: