Tweede Kamer: AIVD moet bedrijven sneller kunnen waarschuwen over aanval

De Nederlandse geheime dienst AIVD moet bedrijven eerder kunnen waarschuwen voor een mogelijke cyberaanval. Dat staat in een voorstel dat een meerderheid van de Tweede Kamer steunt.

"Je wil dat als de diensten zien dat er ergens een hackaanval wordt voorbereid, ze à la minute een bedrijf kunnen informeren", zegt VVD-Kamerlid Queeny Rajkowski tegenover RTL Nieuws. Op dit moment deelt de AIVD dergelijke informatie vooral met het Nationaal Cyber Security Centrum, dat de informatie weer doorgeeft aan mogelijke doelwitten. Wat Rajkowski betreft komt informatie daardoor nu te laat en te algemeen binnen. Met een nieuw voorstel wil ze daar wat aan doen.

De AIVD kan wel sneller en gedetailleerdere informatie delen, maar doet dat vaak alleen met mensen die door hen gescreend zijn. Tijdens zo'n screening onderzoekt de AIVD voornamelijk of mensen dingen hebben gedaan waardoor ze chantabel zijn. Rajkowski stelt voor dat bedrijven, zeker in de hightechindustrie, die volgens haar vaak doelwit zijn van aanvallen, minstens één werknemer in dienst nemen die door de AIVD gescreend is. Deze werknemer kan dan fungeren als een vertrouwd contactpersoon voor de inlichtingendiensten.

Wat het Kamerlid betreft moet het kabinet ervoor zorgen dat er een samenwerking tussen het bedrijfsleven en de AIVD komt waarbij specifieke dreigingsinformatie snel kan worden gedeeld. "Dit hebben we in Nederland nog niet gedaan op dit niveau. Het kan dan ook dat je iets prijsgeeft over waar de informatie vandaan komt. Het is kwetsbaar en daarom is de screening noodzakelijk. En het helpt onze digitale deuren op slot te zetten", zegt Rajkowski.

Een meerderheid van de Tweede Kamer steunt het voorstel, al willen diverse Kamerleden nog wel weten of dit ook uitvoerbaar is. De AIVD zelf vindt het voorstel het onderzoeken waard, zegt een woordvoerder in het Financieele Dagblad. "Ook voor de AIVD is het van belang om bedrijven snel en efficiënt te beschermen en daarmee hun weerbaarheid te verhogen."

IT-banen

Reacties (33)

Frame164 25 april 2024 08:46

Ieder serieus bedrijf heeft toch al een gescreende Security Officer? Of is dat alleen gebruikelijk bij de bedrijven in mijn bubbel?

3raser @Frame164 • 25 april 2024 09:14

Wat is de definitie van een serieus bedrijf? Moet je dan een minimale omzet hebben, een minimaal aantal medewerkers in dienst of misschien een minimum aantal servers in beheer?

nst6ldr @3raser • 25 april 2024 09:27

'Serieus' is inderdaad wat ambigu, in dit geval gaat het om bedrijven die naar eer en geweten handelen, i.e. hun verantwoordelijkheid nemen. Bij veel bedrijven heerst nog steeds een ongezonde sfeer die korte termijn winst boven alles stelt, die krijgen bij een incident niet alleen zelf een hoop schade te verduren maar benadelen ook gelijk al hun klanten.

dj.verhulst @nst6ldr • 25 april 2024 11:18

en de goede naam van het bedrijf belangrijker vinden dan wat fatsoenlijk is voor de medewerkers en klanten

kokx @Frame164 • 25 april 2024 09:26

Met gescreened zullen ze hier iemand bedoelen met een Verklaring van Geen Bezwaar (VGB). Dat is een stukje ingrijpender dan een VOG, en is bijvoorbeeld vereist als je bij de AIVD zelf gaat werken of mogelijk in aanraking kan komen met zaken die staatsgeheim zijn.

De informatie die de AIVD zelf produceert valt standaard onder diverse rubriceringen die ze niet zonder meer toestaat om deze informatie naar personen zonder een VGB door te spelen. Vandaar dat er hier gevraagd wordt om zo iemand in huis te hebben.

wica @kokx • 25 april 2024 10:24

VGB enkel als je direct met o.a.staatsgeheimen werkt.
Als je er indirect mee werkt is een VOG voldoende.

morphje @kokx • 25 april 2024 11:25

En zelf dan zijn er nog verschillende niveaus van onderzoek afhankelijk van het soort informatie waar je mee te maken hebt.

In dit soort gevallen zou een veiligheidsonderzoek C meer dan voldoende zijn en dat is eigenlijk alleen maar een administratief onderzoek en een klein stapje verder dan het onderzoek voor een VOG. Uiteindelijk zal een CISO namelijk informatie moeten delen met de rest van de organisatie, hoe gaat dat dan in werking?

wildhagen

Politiek en recht

@Frame164 • 25 april 2024 08:49

Ik denk dat er in het MKB nog vrij veel bedrijven zijn die geen Security Officer hebben, laat staan bij éénmanszaken, ZZP-ers etc.

Tuurlijk, de grote jongens en multinationals hebben hele security-afdelingen die zich alleen maar met dit soort dingen bezig houden, maar zeker bij de kleine bedrijven is dat lang niet altijd het geval.

bw_van_manen @Frame164 • 25 april 2024 09:07

Waarom zou een Security Officer standaard een AIVD screening hebben? Dat ze een VOG moeten overleggen voor het werken met vertrouwelijke gegevens en je wat referenties en/of certificering controleert is volgens mij wel standaard, maar een AIVD screening is toch wel wat anders. Dat heb ik, buiten functies bij de overheid, eigenlijk nog nooit in de functie eisen voor een Security Officer gezien. Kan natuurlijk dat dit tegenwoordig wel de standaard is want zo vaak kijk ik niet meer naar vacatures, maar ik ben wel benieuwd waarom dit dan relevant zou zijn en door onze overheid ondersteund wordt.

pdxnet96 @Frame164 • 25 april 2024 09:08

In multinationals zitten bedrijfs rechercheurs , officieel door de overheid gecertificeerd SVPB...

bvdbos @Frame164 • 25 april 2024 09:45

Een bedrijf met 15 werknemers (om maar een praktijkvoorbeeld te nemen) wat ISO9001 gecertificeerd is in een niet IT-richting heeft geen verplichting tot een security officer? Dus ik denk idd jouw bubble...

Dennisdn @bvdbos • 25 april 2024 10:55

Wat is de link met ISO9001? Is er dan een vrijstelling?

bvdbos @Dennisdn • 25 april 2024 12:09

Nee, dat niet. ISO27001 heeft bijvoorbeeld de eis van een security-officer. Maar veel ISO-normen beginnen met een kwaliteits-systeem voor de organisatie an sich.

JTW @bvdbos • 25 april 2024 13:29

Strikt genomen vereist ISO 27001 dat niet, maar het is wel logisch om het zo te doen.

Accretion 25 april 2024 10:55

We hebben een telefoonnummer, daar kan de AIVD toch ook naar toe bellen?

wildhagen

Politiek en recht

@Accretion • 25 april 2024 11:03

Nederland telt ongeveer 2.3 miljoen bedrijven (zie deze bron). Als de AIVD die allemaal moet gaan bellen zijn ze wel een paar jaar bezig. Per aanval. Niet heel erg praktisch.

Dan is het uitsturen van een bericht een iets meer praktische aanpak, en heeft dat als bijkomend voordeel ook nog eens dat je véél meer technische informatie kunt geven dan in een telefoongesprek, die ook nog eens makkelijk later terug te lezen is.

Daarnaast zijn die telefoonnummers vaak een algemene lijn die uitkomt bij een receptionist of callcenter. Dan heb je ook nog eens de kans dat zo'n telefoontje verkeerd begrepen wordt, en naar de verkeerde mensen doorgezet wordt etc. Met alle risico's vandien.

[Reactie gewijzigd door wildhagen op 23 juli 2024 05:12]

wica @wildhagen • 25 april 2024 13:40

Dat kunnen ze best wel oplossen met een algemene openbaar dashboard, welke gevaren er nu zijn.
Zodra de AIVD een waarschuwing geeft, is het namelijk geen geheim meer.

Hoe denkt de AIVD dit geheim te houden? Je moet al bedrijf toch actie ondernemen, al is het extra monitoren. Dit gebeurd vervolgens door niet goedgekeurd personeel.

En als het een dreiging gericht op een bepaald bedrijf is, ja dat is het wel fijn. Als de AIVD belt.

eheijnen 25 april 2024 09:51

Wie is er nu te traag de AIVD of het NCSC?

Als de AIVD het a-la-minute kan doorgeven aan het NCSC en bedrijven & personen zich kunnen abboneren op een berichten service van het NCSC die security bulletins verstuurd aan die abbonees dan begrijp ik niet wat de AIVD dan zelf sneller kan doen?

wica 25 april 2024 10:27

Waarom moet het een persoon zijn in een commercieel bedrijf, wat de goedkeuring van de AIVD heeft?
Is dit niet de verantwoording van het bedrijf zelf?

AIVD kan zelfs al bezwaar hebben, als je partner of ouders uit een verkeerd land komt.

c-nan @wica • 25 april 2024 10:51

Dat een partner of familielid uit een verkeerd land komt kan niet resulteren in een negatief vgb besluit, tenzij er onvoldoende gegevens te vinden zijn over je partner/familielid. Maar dat komt niet doordat je partner uit een verkeerd land komt, maar doordat er gewoon te weinig gegevens over je partner bekend is.

Ludewig 25 april 2024 09:22

Ik begrijp niet waarom de AIVD niet gewoon aan een bedrijf kan vertellen dat ze gehacked/dDOSsed worden en op welke manier. Er is meestal geen reden voor de AIVD-medewerker aan het bedrijf te vertellen waar ze die informatie vandaan hebben en dat is volgens mij de enige informatie die potentieel geheim is, omdat dit kan onthullen met welke andere geheime diensten ze contact hebben of welke sleepnetten ze draaien op het Internet.

Dit komt op mij eerder over als incompetentie op het gebied van de AIVD, die er blijkbaar niet op vertrouwd dat hun eigen medewerkers hun mond kunnen houden over dingen die staatsgeheim zijn.

Kaasrol @Ludewig • 25 april 2024 09:38

Dat kan te maken hebben met bijvoorbeeld het vrijgeven van informanten/bronnen en onderzoekstechnieken. Ik kan me voorstellen dat die afweging soms erg moeilijk is.

Ludewig @Kaasrol • 25 april 2024 11:54

Maar waarom zouden ze een bron moeten prijsgeven om een bedrijf te vertellen dat iemand toegang heeft gekregen tot een systeem met een bepaald gebruikersaccount, of dat ze buggy software draaien en dat iemand via die software binnengedrongen zijn op een server?

Als de systemen van mijn bedrijf gehacked zou worden, zou het voor het oplossen niet uitmaken waar die informatie vandaan komt of zelfs maar welke entiteit er precies achter de hack zit. Of het nu een eenzame scholier is die zit te hacken of een geheime dienst van een groot land, in beide gevallen moet de toegang van de onbevoegde ZSM ongedaan worden gemaakt.

Het is eerder achteraf, na het afsluiten van de toegang voor de onbevoegde, dat je wil weten hoe eventuele buitgemaakte data gebruikt gaat worden, of wat ze nu eigenlijk van plan waren, maar dan is de ergste tijdsdruk er al af. Dan kan ik mij wel weer voorstellen dat in bepaalde gevallen niet zomaar onthult kan worden wat de andere partij met de data wil, omdat het bijvoorbeeld gaat over een lopend onderzoek naar een hackproject van een vijandig land, waarbij de AIVD niet wil dat dit land weet dat hun hackproject bekend is bij de AIVD.

CivLord

@Ludewig • 25 april 2024 12:33

Het is natuurlijk wel erg makkelijk om een organisatie die iets doet dat in jouw ogen niet logisch is als incompetent te bestempelen. Het betekent meestal dat jij te simplistisch bent.

De AIVD zal wettelijk beperkt zijn in wat voor informatie ze met wie kunnen delen. Zelfs wanneer ze de bron niet hoeven prijs te geven. Wanneer ze zien dat een hack in voorbereiding of misschien zelfs in-progress is, dan is dat operationele informatie die ze wettelijk niet mogen delen met personen die niet vooraf gescreend zijn. Om die informatie toch te kunnen delen moet er dus óf een gescreende persoon bij organisatie aanwezig zijn die geïnformeerd moet worden óf de wet gewijzigd worden om een uitzondering voor dit soort gevallen te maken.
Een uitzondering in de wet opnemen kan weer problemen opleveren met buitenlandse inlichtingendiensten die dit soort informatie aan de AIVD doorgeven. Wanneer hun wetten niet toestaan dat dergelijke informatie wordt gedeeld met personen die niet gescreend zijn, zullen ze die informatie niet meer met de AIVD mogen delen.

nst6ldr @Ludewig • 25 april 2024 09:56

Er is meestal geen reden voor de AIVD-medewerker aan het bedrijf te vertellen waar ze die informatie vandaan hebben (...)

Überhaubt onthullen van informatie kan prijsgeven hoe de informatie is verkregen, metainformatie zoals tijdstip en zelfs naamgeving (tactiek in contraspionage) kan verklappen wie de informant is.

nullbyte @Ludewig • 25 april 2024 19:08

Dat staat letterlijk in het artikel.

Het kan dan ook dat je iets prijsgeeft over waar de informatie vandaan komt. Het is kwetsbaar en daarom is de screening noodzakelijk

JoHnnY-Btm 25 april 2024 09:30

het zou sowieso moeten zijn dat de AIVD direct contact legt met de bedrijven ipv eerst contact en doorgifte te doen aan het Nationaal Cyber Security Centrum.

De Nationaal Cyber Security Centrum zou eerder moeten dienen als achterwacht mocht een bedrijf niet tijdig reageren of in ieder geval als meldpunt.

vele bedrijven hebben al een gedegen goed werkende security afdeling of officer. bij veel MKB of eenmanszaken is dit vaak niet het geval omdat zij daar de middelen niet voor hebben.

Mogelijk kan het Kabinet met de Tweede Kamer daarin iets beteken om de beveiliging van zulke bedrijven te verstevigen. dit met als doel als een MKB of ZZPér wordt aangevallen en met succes gehackt wordt dat dit ook weer een doorlussing heeft naar grotere bedrijven.

c-nan @JoHnnY-Btm • 25 april 2024 10:15

De AIVD is geen IT-club, het is een geheime dienst dat zich ook bezig houdt met techniek. Ik vind het informeren van bedrijven over (mogelijke) hacks geen taak van een geheime dienst. Daar zijn andere instanties - zoals het NCSC - voor.

Een eenmanszaak hoeft van mij ook geen security officer of zelfs een security afdeling te hebben. Wat voor gevaar loopt Nederland of de Nederlandse economie als een eenmanszaak wordt gehackt? Vrij weinig mag ik hopen.

walteij @c-nan • 25 april 2024 10:33

Als die eenmanszaak een ZZP-er is die conform de BYOD policy werkzaamheden doet voor een high-profile target, kan een eenmansbedrijf absoluut een interessant doelwit zijn en kan er dus zeker wel impact zijn voor Nederland of onze economie.

c-nan @walteij • 25 april 2024 10:47

Hoe is dat anders dan een medewerker die met een laptop vanuit huis werkt? Zo kan je het wel heel erg ver doortrekken.

walteij @c-nan • 25 april 2024 10:50

Weinig anders, behalve dat de medewerker in dienst zeer waarschijnlijk een laptop van de zaak heeft, met alle security tooling van dien.
Die ZZP-er heeft een up-to-date virusscanner en een spamfilter en daar houdt het vaak al op.

Detectie op de laptop van de medewerker zal dus eerder plaatsvinden dan op de ZZP laptop, waardoor de aanvaller minder tijd heeft voor verkenning van de omgeving, accounts en eventuele exploits in het netwerk.

JoHnnY-Btm @c-nan • 25 april 2024 12:13

vergeet niet het DIVD overigens.

Polderviking

25 april 2024 11:52

Ik zie niet waarom AIVD een vertrouwd persoon moet hebben binnen de organisatie, in plaats van gewoon een mail naar de betreffende ICT afdeling en bedrijfstop te sturen met wat ze zien.

Je kan een persoon aanstellen met één of ander AIVD stempeltje maar die opereert niet in een vacuüm en zal ook gewoon naar ICT waggelen als er wat moet gebeuren op het vlak van technische maatregelen.
Als je barrières wil weghalen voor korte lijntjes moet je niet nieuwe barrières terugplaatsen.

[Reactie gewijzigd door Polderviking op 23 juli 2024 05:12]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: