Tweede Kamer: overheid mag dreigingsinformatie delen met niet-vitale bedrijven

De Nederlandse Tweede Kamer is akkoord gegaan met het wetsvoorstel Bevordering digitale weerbaarheid bedrijven of Wbdwb. Met die wet wordt het voor de overheid mogelijk om informatie over kwetsbaarheden, dreigingen en incidenten ook met niet-vitale bedrijven te delen.

Informatie over kwetsbaarheden, dreigingen en incidenten mag op dit moment alleen nog gedeeld worden met doelgroepen die onder de Wet beveiliging netwerk- en informatiesystemen vallen. Dat zijn bijvoorbeeld vitale organisaties zoals banken of waterleveringsbedrijven en de Rijksoverheid. Met andere bedrijven en organisaties mag dergelijke informatie niet gedeeld worden door de overheid, zelfs niet als de overheid over informatie over bijvoorbeeld specifieke dreigingen beschikt.

De Wbdwb is een belangrijke voorwaarde om niet-vitale Nederlandse bedrijven wel te kunnen waarschuwen over digitale kwetsbaarheden en beveiligingslekken, zegt het Digital Trust Center. Deze overheidsorganisatie moet met de wet de mogelijkheid krijgen om informatie met niet-vitale organisaties te delen. "Bij het waarschuwen van individuele bedrijven en organisaties kunnen persoonsgegevens verwerkt worden, denk bijvoorbeeld aan IP-adressen en de contactgegevens van medewerkers van een bedrijf. Het wetsvoorstel zorgt voor de wettelijke grondslag om deze taken te mogen uitvoeren."

Het wetsvoorstel is in de Tweede Kamer met een ruime meerderheid aangenomen. Voor de wet definitief wordt aangenomen, moet de Eerste Kamer er nog mee instemmen. Wanneer de senaat het wetsvoorstel behandelt, is nog niet bekend.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 21-03-2024 15:12
9 • submitter: wildhagen

21-03-2024 • 15:12

9

Submitter: wildhagen

Lees meer

DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen
DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen Nieuws van 1 oktober 2024
DTC geeft miljoen euro subsidie voor cyberweerbaarheid van kleine bedrijven
DTC geeft miljoen euro subsidie voor cyberweerbaarheid van kleine bedrijven Nieuws van 30 augustus 2024
Hyundai en Kia gaan extra Nederlandse verkeersdata gebruiken voor onderzoek
Hyundai en Kia gaan extra Nederlandse verkeersdata gebruiken voor onderzoek Nieuws van 23 april 2024
SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand
SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand Nieuws van 14 maart 2024
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000 Nieuws van 11 maart 2024
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat Nieuws van 16 februari 2024
Politie: controlevragen stellen en terugbellen helpen voor detecteren deepfakes
Politie: controlevragen stellen en terugbellen helpen voor detecteren deepfakes Nieuws van 5 december 2023
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken Nieuws van 18 oktober 2023
Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden
Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden Nieuws van 3 oktober 2023
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1 Nieuws van 9 augustus 2023
DTC waarschuwde Nederlandse bedrijven 35.000 keer voor cyberdreigingen
DTC waarschuwde Nederlandse bedrijven 35.000 keer voor cyberdreigingen Nieuws van 10 juli 2023
Meer producten en artikelen
Politiek en recht Digital Trust Center Tweede kamer

Reacties (9)

-Moderatie-faq
9
9
7
1
0
2
Wijzig sortering
OruBLMsFrl 21 maart 2024 15:32
Wel een goede stap, zonde als er kwetsbaarheden gemeld kunnen worden, en niemand doet er wat mee, mag er wat mee doen, omdat het wettelijk kader ontbreekt. Zo helpen we elkaar dan toch weer wat beter binnen de security industrie. Iedereen die wat ziet en meldt voordat een aanvaller er misbruik van maakt is meer dan welkom.
anboni @OruBLMsFrl21 maart 2024 16:02
Het ligt wel wat genuanceerder. Het is niet alsof dat Digital Trust Center informatie heeft die niet in de rest van de wereld bekend is. In de praktijk verzamelen ze informatie over grotendeels al publiek bekende kwetsbaarheden (bijvoorbeeld van https://www.nist.gov/itl of allerlei leveranciers) en de fixes daarvoor en sturen ze die wekelijk in een handig overzicht naar bedrijven in de vitale sector. Een handig overzicht en scheelt ons iedere week weer een hoop tijd met zelf de diverse sites af te struinen, maar uiteindelijk is dit maar een van vele kanalen om die informatie te vinden.
TheDevilOnLine @anboni21 maart 2024 17:08
DTC doet wel een hoop meer dan dat. Zo scant DTC ook actief IPs op software waar bekende CVCs van zijn. Als het IP geregistreerd is door een bedrijf in de vitale sector, sturen ze een mail als onderstaande:
Geachte heer, mevrouw,

Namens het Digital Trust Center (DTC), onderdeel van het ministerie van
Economische Zaken en Klimaat, attenderen wij u op een ernstige
cybersecuritydreiging voor uw bedrijf. Dit blijkt uit actuele dreigingsdata
waarover we beschikken.

Twijfelt u aan dit bericht? Bezoek onze overheidswebsite en lees hoe u de
betrouwbaarheid van het Digital Trust Center als afzender kunt valideren.
https://www.digitaltrustcenter.nl/onderneem-actie

Het betreft de volgende cybersecuritydreiging:

Vanuit een betrouwbare bron hebben wij een lijst ontvangen met systemen
waarop een mogelijk kwetsbare Jenkins versie draait [1].

De ernstigste kwetsbaarheid heeft kenmerk CVE-2024-23897 toegewezen
gekregen en stelt een geauthenticeerde kwaadwillende in staat om
willekeurige bestanden te benaderen en daarmee mogelijk toegang
te krijgen tot gevoelige gegevens. Jenkins heeft intussen updates
beschikbaar gesteld en raad deze aan te installeren.

Het betreft de volgende data:

{"time.source": "2024-03-15T12:21:48.892871+00:00", "protocol.transport": "tcp", "source.ip": "[IP]", "source.port": "[PORT]", "source.asn": "[ASN]", "source.fqdn": "[FQDN]", "extra.summary": "Found vulnerable Jenkins version 2.426.2\nAffected by CVE-2024-23897\n"}

Wat kunt u (of uw klant) doen?
• Ga na welk systeem mogelijk een kwetsbare Jenkins software versie
heeft draaien.
• Zorg ervoor dat het betreffende systeem is voorzien van de laatste
beveiligingsupdates.
• Verricht technisch onderzoek naar sporen van inbreuk, schade of
infectie van andere systemen binnen uw organisatie.
• Controleer uw systemen en verwijder alle verdachte software en
bestanden.
• Controleer uw backups op malafide activiteiten en herstel het systeem
met een schone backup.
• Onderzoek of kwaadwillenden mogelijk toegang hebben tot meer systemen
in uw netwerk.
• Neem contact op met uw IT-dienstverlener als u hierop zelf geen actie
kunt ondernemen.

Indien u deze notificatie als ISP/dienstverlener krijgt, gaat deze
notificatie over een klant van uw bedrijf. Wij vragen u om de klant te
informeren die u aan het genoemde IP kunt herleiden.

Wij hopen u hiermee voldoende te hebben geïnformeerd om de
dreiging op te lossen. Wanneer u al bekend was met deze dreiging en al
actie ondernomen heeft, kunt u deze mail als niet verzonden beschouwen.
Mocht u nog vragen hebben over deze notificatie, dan kunt u op deze e-mail
reageren.

Tot slot vinden wij het fijn als u wilt laten weten of dit bericht nuttig
voor u was. Feedback kunt u bij voorkeur via het feedbackformulier
achterlaten wat te vinden is achter onderstaande link [2].

[1] https://www.jenkins.io/se...2024-01-24/#SECURITY-3314
[2] [FEEDBACK LINK]

Met vriendelijke groet,
Operator Digital Trust Center (DTC)
Dit soort mails mogen ze momenteel nog niet naar de niet-vitale sector sturen.
hellknight @TheDevilOnLine21 maart 2024 20:57
Kleine aanvulling/ correctie: dit soort emails worden al wel gestuurd naar bedrijven buiten de vitale sectoren, zolang die bedrijven deel zijn van de test van DTC welke al geruime tijd loopt. Officieel is de testperiode zelfs al klaar meen ik,maar de dienstverlening wordt voortgezet tot het volledige programma gestart wordt
Aldy @hellknight22 maart 2024 16:51
Maar voor die test was nog geen wettelijk kader en die komt er nu wel. Ongetwijfeld heeft die test meegeholpen in de besluitvorming in de Tweede Kamer.
OruBLMsFrl @anboni21 maart 2024 16:53
Tegelijk is er vaak nauwelijks tijd voor cybersecurity in de niet-vitale sector, want duur. Zeker als je de fors uitgebreide NIS2 sectoren en hun toeleveranciers ook onder die vitale DTC informatie verkrijgende groep schaart. Dan is het alleen maar fijn dat je geen gedoe kunt krijgen met informatie te delen als DTC, omdat die wettelijk ook gewoon gedeeld mag worden met al die partijen.

Je kunt toch enkel met handig overzichten en abonnement op relevante info, verwachten dat bedrijven met relatief weinig tijd en geld voor cybersecurity, ook op een wenselijk niveau komen. Dat is het maatschappelijke doel, dat je met zo min mogelijk kosten wel goed veilig kan worden op enig moment. Anders geeft dat ook weer forse kostenstijgingen overal, als elk bedrijf 10% of meer van het gehele budget blijvend voor cybersecurity moest reserveren. Nog even los van het onuitvoerbare ervan, door het nu al forse personeelstekort op cybersecurity gebied.
Aldy @OruBLMsFrl22 maart 2024 16:56
Deze info brengt ook weer verplichtingen met zich mee. Een bedrijf kan zich nu niet verschuilen achter het (nog) niet weten van de kwetsbaarheid.
Ik denk dat deze wet heel belangrijk is voor IT-toeleveranciers die op de hoogte worden gesteld van de kwetsbaarheden van hun producten en daarmee naar hun klanten gaan om dit op te lossen.
Zeror @OruBLMsFrl21 maart 2024 16:05
Zolang er maar geen misbruik van gemaakt wordt. Met andere woorden dat informatie dat geen dreiging is wel als dreiging wordt gemarkeerd, zodat een niet-vitaal bedrijf er mee aan slag kan gaan met alle gevolgen en AVG-wet brekende problemen van dien. Nood breekt wetten, maar niet altijd.
Merik 21 maart 2024 16:39
Goede stap, alle beetjes helpen. Vooral ook met bedrijven die totaal niet bewust zijn van beveiliging of dat niet meenemen in hun productkeuze voor bepaalde software e.d. Gisteren nog een vraag over gesteld voor de aankomende Q&A met Team High Tech Crime.

[Reactie gewijzigd door Merik op 23 juli 2024 04:53]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq