NCSC deelde informatie met VS en VK zonder wettelijke grondslag

Het Nationaal Cyber Security Centrum heeft informatie gedeeld met Canada, Japan, het Verenigd Koninkrijk en de Verenigde Staten zonder dat daarvoor een wettelijke grondslag was. Minister van Justitie Van Weel heeft maatregelen genomen om dit in de toekomst te voorkomen.

Uit de kamerbrief van de minister van Justitie blijkt dat het alleen ging om relevante IP-adressen van getroffen Fortinet-systemen. Deze informatie werd naar verluidt met de cybersecurityteams van verschillende EU-landen gedeeld, maar ook met de soortgelijke teams uit niet-EU-landen zoals Canada, Japan, het Verenigd Koninkrijk en de Verenigde Staten. Het NCSC zou tot deze informatie-uitwisseling zijn overgegaan vanwege de ernst van de FortiGate-cyberspionagecampagne, die vermoedelijk wereldwijd meer dan twintigduizend systemen heeft getroffen.

De minister schrijft dat het NCSC de primaire taak heeft om vitale aanbieders en rijksoverheidsorganisaties in Nederland te informeren over cyberdreigingen of -incidenten. Het centrum kan op basis van de wetgeving echter ook in beperkte mate gegevens delen met nationale cybersecurityteams van andere EU-lidstaten. Voor het delen van data met cybersecurityteams van landen buiten de Europese Unie was er echter geen wettelijke basis. Van Weel schrijft in de brief dat er maatregelen worden genomen om ervoor te zorgen dat binnen het NCSC voortaan de juiste procedures worden gevolgd.

In 2022 en 2023 zijn minstens 20.000 Fortinet-systemen geïnfecteerd met een kwetsbaarheid met het kenmerk CVE-2022-42475. Volgens de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst ging het om een brede en langdurige Chinese cyberspionagecampagne, waarbij er gebruik werd gemaakt van de zogenaamde Coathanger-malware. Begin februari werd deze malware ook aangetroffen op een losstaand netwerk van de Nederlands krijgsmacht. De MIVD stelde eind juni dat de spionagecampagne omvangrijker is dan eerder gedacht. Het NCSC heeft een technisch rapport over de malware uitgebracht.

Door Jay Stout

Redacteur

Feedback • 30-09-2024 10:49
63 • submitter: wildhagen

30-09-2024 • 10:49

63

Submitter: wildhagen

Lees meer

NCSC publiceert Wall of Fame met impactvolste overheidshackers
NCSC publiceert Wall of Fame met impactvolste overheidshackers Nieuws van 29 januari 2025
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten Nieuws van 16 januari 2025
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls Nieuws van 16 januari 2025
Inlichtingendiensten waarschuwen voor risico's AI voor veiligheid Nederland
Inlichtingendiensten waarschuwen voor risico's AI voor veiligheid Nederland Nieuws van 10 december 2024
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit' Nieuws van 13 november 2024
'Verenigd Koninkrijk kon gevangenentransporten niet tracken na cyberaanval'
'Verenigd Koninkrijk kon gevangenentransporten niet tracken na cyberaanval' Nieuws van 6 november 2024
Doctor Web: cryptomalware treft meer dan 28.000 mensen via illegale software
Doctor Web: cryptomalware treft meer dan 28.000 mensen via illegale software Nieuws van 11 oktober 2024
Qualcomm patcht actief misbruikte kwetsbaarheid in diverse Snapdragon-chipsets
Qualcomm patcht actief misbruikte kwetsbaarheid in diverse Snapdragon-chipsets Nieuws van 9 oktober 2024
Honderden Zimbra-servers in Nederland kwetsbaar voor ernstig beveiligingslek
Honderden Zimbra-servers in Nederland kwetsbaar voor ernstig beveiligingslek Nieuws van 8 oktober 2024
Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet
Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet Nieuws van 18 september 2024
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden Nieuws van 28 augustus 2024
CrowdStrike-problemen veroorzaken wereldwijd storingen in computersystemen
CrowdStrike-problemen veroorzaken wereldwijd storingen in computersystemen Nieuws van 19 juli 2024
Oekraïense politie arresteert hacker die VDL in 2021 platlegde
Oekraïense politie arresteert hacker die VDL in 2021 platlegde Nieuws van 6 juni 2024
Huidig hoofd Team High Tech Crime politie wordt in september directeur NCSC
Huidig hoofd Team High Tech Crime politie wordt in september directeur NCSC Nieuws van 28 mei 2024
Kabinet wil centraal loket om bedrijven voor cyberdreiging te waarschuwen
Kabinet wil centraal loket om bedrijven voor cyberdreiging te waarschuwen Nieuws van 24 mei 2024
Cisco-firewalls werden maandenlang misbruikt voor spionage
Cisco-firewalls werden maandenlang misbruikt voor spionage Nieuws van 25 april 2024
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien Nieuws van 19 april 2024
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000 Nieuws van 11 maart 2024
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat
NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat Nieuws van 16 februari 2024
MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht
MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht Nieuws van 6 februari 2024
Atlassian patcht ernstige remotecode-executionbug in Confluence en Jira
Atlassian patcht ernstige remotecode-executionbug in Confluence en Jira Nieuws van 25 januari 2024
'Russische FSB hackte jarenlang Britse politici om geheimen te laten uitlekken'
'Russische FSB hackte jarenlang Britse politici om geheimen te laten uitlekken' Nieuws van 7 december 2023
Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden
Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden Nieuws van 3 oktober 2023
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Privacy China Justitie Malware MIVD NCSC Nederland

Reacties (63)

-Moderatie-faq
63
62
26
1
1
28
Wijzig sortering
Lucb1e 30 september 2024 12:59
Ik kan hier weinig kroketten van bakken. Het is als IT'er toch standaardprocedure en doodnormaal dat je gevonden kwetsbaarheden meldt bij de kwetsbare partij? Met name wanneer het enige wat je doorgeeft een adreslijst is en geen hackinstructies. Dat is alsof je aan de Canadezen probeert te verkopen dat je ze écht niet kan vertellen wie ons aanspreekpunt is voor geheime tips omdat er geen wettelijke grondslag is om dat adres door te geven
Tomino @Lucb1e30 september 2024 15:08
Klopt. Dat vinden we zelf (en Europa ook).
Vanaf volgend jaar zal het wél mogelijk zijn, zie ook de laatste paragraaf in de kamerbrief:
Het wettelijk kader waarbinnen het NCSC opereert zal binnenkort wijzigen als gevolg van de Nederlandse implementatie van de herziene netwerk- en informatiebeveiligingsrichtlijn (NIS2-richtlijn) via het wetsvoorstel voor de Cybersecuritywet (Cbw), die voor de zomer in consultatie is geweest. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen buiten de EU te delen. Het werkproces en het kader zullen door het NCSC aan de nieuwe wetgeving worden aangepast.
Oftewel, ze handelden ten tijden van het Fortinet incident buiten de wet om, maar de wet die volgend jaar van kracht wordt levert lidstaten wel de mogelijkheid op om kroketten te bakken met non-EU.

Met wat Googlen kom ik trouwens op een ander document, waarin ze wel kenbaar maken informatie te delen met het buitenland in geval van een ander incident, maar wel IP-gegevens: https://open.overheid.nl/...8dd512efd3e33b62c6f82/pdf.

Hoe ik het zie: NCSC medewerkers dragen graag bij aan een veiliger cyberspace. Dat hebben ook gedaan hebben en hebben daarbij snel willen handelen. Dat mocht nu niet volgens de huidige wet, maar binnenkort wel.

[Reactie gewijzigd door Tomino op 30 september 2024 19:33]

Orangelights23 @Lucb1e30 september 2024 13:02
Dit is geen IT, dit is cybersecurity. Een heel ander vakgebied waar andere belangen bij spelen.
Lucb1e @Orangelights2330 september 2024 13:04
Nitpick tbh. Ik ben een security consultant maar als je vraagt of ik in de IT werk zeg ik ja
Orangelights23 @Lucb1e30 september 2024 13:08
Ik ben CISO en als familie vraagt of ik weer een computer wil configureren, zeg ik altijd nee, want ik werk niet in de IT.
BeefHazard @Orangelights2330 september 2024 17:05
Say the line, orangelights...
MSalters
30 september 2024 11:00
Het siert deze minister niet dat hij denkt dat de procedures aangepast moeten worden, in plaats van de wet. Cyber is inmiddels een militair domein, zoals Fortinet demonstreert. Dan is het onethisch om deze informatie niet met onze NAVO bondgenoten te delen.

Japan is natuurlijk een ander verhaal, maar dat is een bevriend land en het is één van de weinige landen met een officieel GDPR-equivalente bescherming van persoonsgegevens.
mjtdevries @MSalters30 september 2024 11:47
Volgens mij slaan ze hier een beetje door wat betreft de GDPR.

Die is namelijk van toepassing als het om persoonsgegevens gaat. Een IP adres kan inderdaad een persoonsgegeven zijn als het naar een persoon verwijst.

Maar het gaat hier over de volgende IP Adressen:
De MIVD heeft op verzoek van het NCSC lijsten opgesteld met IP-adressen van FortiGate-systemen waar de statelijke actor zich (mogelijk) toegang tot verschaft heeft. Deze informatie is gedeeld met het NCSC met als doel om de slachtoffers te informeren zodat zij adequate tegenmaatregelen kunnen nemen.
(quote uit de brief naar de kamer)
IP adressen van gecompromiteerde FortiGate systemen verwijzen naar bedrijven en niet naar prive personen. (éénmansbedrijven hebben geen FortiGate systemen staan)

Maar nu hebben ze dit bij de Autoriteit Persoonsgegevens gemeld omdat niet uitgesloten kan worden dat een IP adres naar een prive persoon verwijst.

Dat lijkt me wel erg overtrokken.

[Reactie gewijzigd door mjtdevries op 30 september 2024 11:48]

Blokker_1999
@mjtdevries30 september 2024 12:47
Dit heeft niets met de GDPR te maken en alles met nationale veiligheid.
mjtdevries @Blokker_199930 september 2024 13:01
Daar denkt de minister blijkbaar anders over.
Ik stel voor dat je de brief aan de tweede kamer leest.

De nationale veiligheid is niet benadeeld door de acties van de NCSC.
Lord Anubis @mjtdevries30 september 2024 14:27
Nationale veiligheid misschien niet, maar de getroffen IP adressen kunnen nu eens gelijks als de malware benaderd worden door Canada, USA, UK, Israël en nog tientallen andere landen.
mjtdevries @Lord Anubis30 september 2024 14:42
Ja, zodat ze de bedrijven in hun landen kunnen waarschuwen.
oei oei oei wat een probleem toch.

Als je een afspraak hebt gemaakt om samen te werken om dit soort dingen te bestrijden dan is dat nogal vanzelfsprekend.
Anoniem: 302359 @mjtdevries30 september 2024 13:11
(éénmansbedrijven hebben geen FortiGate systemen staan)
* Steekt hand op*
Hier een eenmansbedrijf met zo goed als alle netwerkapparatuur van Forti, inclusief FortiGate. Hoezo doe je de aanname dat dit niet het geval zou kunnen zijn?
kodak
@Anoniem: 30235930 september 2024 13:57
Wat ook het punt bewijst dat het niet zomaar verstandig is om als eigenaar van een eenmansbedrijf werk en prive te vermengen. Daar heeft de wetgever de scheiding tussen werk en prive voor in de wet vastgelegd. Dus een uitgangspunt om een eenmansbedrijf als grens te stellen is hoe dan ook niet zomaar te verwachten.
Z80 @mjtdevries30 september 2024 12:56
En al zijn het wel persoonsgegevens. Blijkbaar mag iemand binnen de EU wel gewaarschuwd worden, maar er buiten niet.
Het gaat hier om een stukje veiligheid. Niet om wat vakantie kiekjes.
The Zep Man
@mjtdevries30 september 2024 13:43
Die is namelijk van toepassing als het om persoonsgegevens gaat. Een IP adres kan inderdaad een persoonsgegeven zijn als het naar een persoon verwijst.
Indirect herleidbare persoonsgegevens zijn ook persoonsgegevens. Je weet niet wat er achter een IP zit, dus je moet het als een persoonsgegeven beschouwen.
mjtdevries @The Zep Man30 september 2024 13:49
Maar in dit geval weten ze wel degelijk wat er achter die IP adressen zit.
Namelijk SERVERS! en dus niet personen.
Het zijn geen willekeurige IP adressen.

Als jij aan het browsen bent dan zegt het IP adres van jouw browser sessies het nodige over jou en je browser gedrag.
Maar het IP adres van de firewall van jouw internet router zegt niks over jou.
The Zep Man
@mjtdevries30 september 2024 14:01
Maar in dit geval weten ze wel degelijk wat er achter die IP adressen zit.
Namelijk SERVERS! en dus niet personen.
Het zijn geen willekeurige IP adressen.
Op mijn thuisadres draaien servers, via mijn privéverbinding. IP-adressen kunnen ook op naam staan van particulieren. Van te voren weet je dat niet.

Een telefoonnummer is ook een persoonsgegeven als je niet de context weet (nummer van de receptie van een grote multinational, of een privénummer). Een bedrijfsnaam dat ook geregistreerd wordt, wordt ook gezien als een persoonsgegeven omdat vaak genoeg ZZP'ers hun eigen naam in de bedrijfsnaam gebruiken. Dat is niet gevoelig en het mag gewoon verwerkt worden voor de meeste voor de hand liggende zakelijke doelen, maar het betreffen persoonsgegevens.

[Reactie gewijzigd door The Zep Man op 30 september 2024 14:07]

mjtdevries @The Zep Man30 september 2024 14:15
Op mijn thuisadres draaien servers, via mijn privéverbinding. IP-adressen kunnen ook op naam staan van particulieren. Van te voren weet je dat niet.
En dat is precies waarom ik in mijn eerdere reactie al zei:
Maar het IP adres van de firewall van jouw internet router zegt niks over jou.
Bij een IP adres gaat het over de context waarin dat adres geregistreerd word.

En hier weten we de context. Het gaat specifiek over ip adressen van FortiGate firewalls.
En het gaat niet om verkeer dat van jouw firewall af komt waar dat IP adres in voor komt, want dat verkeer zegt wel wat over jou. Nee, het gaat puur en alleen om het IP adres van die firewall.

Een telefoonnummer van de receptie van een grote multinational is geen persoonsgegeven.

Zo geeft de autoriteit persoonsgegevens zelf ook aan dat IP adressen persoonsgegevens kunnen zijn. Maar het dus niet per definitie zijn.
https://www.autoriteitper...wat-zijn-persoonsgegevens
The Zep Man
@mjtdevries30 september 2024 15:14
Bij een IP adres gaat het over de context waarin dat adres geregistreerd word.

En hier weten we de context. Het gaat specifiek over ip adressen van FortiGate firewalls.
En het gaat niet om verkeer dat van jouw firewall af komt waar dat IP adres in voor komt, want dat verkeer zegt wel wat over jou. Nee, het gaat puur en alleen om het IP adres van die firewall.
"Als privépersoon gaat al mijn verkeer gaat door een eigen FortiGate firewall". Je ziet hier en daar tweakers die dit noemen in de context van een thuislab.
Je kan niet weten of het zakelijk is of niet. Daar zit het gevaal.
Zakelijke gegevens kunnen ook persoonsgegevens zijn.
Een telefoonnummer van de receptie van een grote multinational is geen persoonsgegeven.
Maar je weet niet van te voren of dat telefoonnummer van een multinational is of niet.
Zo geeft de autoriteit persoonsgegevens zelf ook aan dat IP adressen persoonsgegevens kunnen zijn. Maar het dus niet per definitie zijn.
https://www.autoriteitper...wat-zijn-persoonsgegevens
Zolang een bedrijf het niet weet, moet die het behandelen als persoonsgegevens.

[Reactie gewijzigd door The Zep Man op 30 september 2024 15:36]

mjtdevries @The Zep Man1 oktober 2024 17:52
"Als privépersoon gaat al mijn verkeer gaat door een eigen FortiGate firewall". Je ziet hier en daar tweakers die dit noemen in de context van een thuislab
Maar zoals ik al eerder zei, gat het hier niet om jouw verkeer.
De data is alleen: De fortigate firewall met IP x.x.x.x. is besmet.
kodak
@mjtdevries30 september 2024 14:23
Hoe sluit je uit dat het om persoonlijke gegevens gaat?

Er is geen algemeen verbod om als privé persoon dit soort apparatuur te gebruiken. Eerder juist vrijheid dat wel te doen.
En criminelen trekken zich niet zomaar wat aan wie de apparatuur gebruikt. Eerder juist niet omdat ze het aanvallen ook gebruiken om andere aanvallen te doen.

Natuurlijk kun je dan menen dat de kans klein is, maar dat is niet het doel van de wet. Eerder dat je het hoort te beschermen als je geen zekerheid hebt.
mjtdevries @kodak30 september 2024 14:43
Zie mijn reactie hier:
mjtdevries in 'NCSC deelde informatie met VS en VK zonder wettelijke grondslag'
kodak
@mjtdevries30 september 2024 15:30
Dat is geen uitsluiten. Dat is hooguit aantonen dat het mogelijk niet als persoonlijke gegevens valt op te vatten. En dat is niet genoeg.

Daarbij is deze apparatuur ook nog eens gemaakt om groepen personen via te laten internetten. Dus kun je het IP-adres juist niet zomaar af te doen alsof het niet als persoonsgegeven is op te vatten door alleen te kijken naar de context alsof anderen het IP-adres alleen gebruiken om iets over de apparatuur te oordelen.

Binnen de EU zijn daar strenge regels voor met duidelijke mogelijkheden tot controle en handhaving. Zodra dit soort gegevens naar buiten de EU gaan zijn die mogelijkheden zo beperkt dat er niet meer te spreken valt van beschermen.
mjtdevries @kodak1 oktober 2024 17:59
Jij maakt net zoals anderen de fout door te denken dat ze hier het verkeer van/naar die firewall hebben opgeslagen en dat doorgegeven hebben.
Dat is niet het geval.
Wat ze doorgegeven hebben is: De Fortigate met IP x.x.x.x is besmet.

Dat zegt dus helemaal niets over jouw internet gedrag.
kodak
@mjtdevries1 oktober 2024 19:28
Afgezien jou bewering lees ik niemand stellen dat het de-anonimiseren alleen kan als iemand die een IP-adres geeft ook gegevens uit verkeer geeft.
Het probleem is namelijk dat het ook kan als anderen dat soort gegevens uit communicatie al hebben of later verzamelen en dan gaan combineren.

In de EU zijn daar strenge regels voor, maar buiten de EU doet men daar niet zomaar moeilijk over. Alleen gelden die regels hier niet. In de EU hoor je het te beschermen tegen wat de wet als onwettig verwerken stelt. Dat is ook waarom gegevens, of die er mogelijk persoonlijk inzicht in gevens, van EU-inwoners niet zomaar buiten de EU verwerkt mogen worden.
mjtdevries @kodak3 oktober 2024 10:17
Afgezien jou bewering lees ik niemand stellen dat het de-anonimiseren alleen kan als iemand die een IP-adres geeft ook gegevens uit verkeer geeft.
Omdat de meeste mensen hier geen diepgaande kennis van de AVG/GDPR hebben.
Daarom dat ik ook een link gaf naar de Autoriteit Persoonsgegevens waar ze aangeven dat een IP adres een persoonsgegeven kan maar dus zeker niet per definitie is.

Volgens jouw denkwijze zou het per definitie een persoonsgegeven moeten zijn. Dat is dus duidelijk in tegenspraak met de AP.
kodak
@mjtdevries3 oktober 2024 17:07
Ik stel op geen enkele manier dat gegevens die naar personen kunnen herleiden perse maar persoonsgegevens zijn. Ik stel dat de wet strenge verplichting geeft dat je niet zomaar kan doen alsof het maar niet beschermd hoeft te worden. Het moeten beschermen is juist het uitgangspunt.

De wet geeft vrijheid argumenten te geven die tonen dat er genoeg bescherming is. Maar dan hoor je wel argumenten te geven die recht doen aan je plichten en de realiteit. Niet simpel maar doen alsof een apparaat niet door personen in gebruik is of alsof het niet meegeven van extra gegevens maar genoeg enz.
Triblade_8472 @MSalters30 september 2024 11:23
Niet goed gelezen.

Maar goed, willen we IP adressen van veelal overheid klanten weggeven waar we specifiek van weten dat deze onveilig zijn? Lijkt mij niet verstandig...

Uhh, wat? Wat moet er aangepast worden dan, het is immers al verboden.

De inleiding:
[quote]
zonder dat daarvoor een wettelijke grondslag was.
[/quote]

Het siert (al is het diens werk maar ja) absoluut dat het erkend is en direct actie op ondernomen wordt. Daar zouden voorheen tig commissies op los gelaten worden.

[Reactie gewijzigd door Triblade_8472 op 30 september 2024 11:25]

TheMak @MSalters30 september 2024 11:29
Er zal best een organisatie zijn die de informatie wel kan delen (en besluiten welke landen of niet bevriend zijn). Dus daar zal de informatie naar toe gaan.
mati1983 @MSalters30 september 2024 12:33
Hoewel ik het verder met je eens ben, siert het de minister natuurlijk wél dat hij vindt dat procedures aangepast moeten worden, wanneer deze niet in lijn met de wet zijn. Dat we wellicht moeten nadenken over aanpassingen is een ander verhaal, maar laten we ons wel aan de spelregels houden met z'n allen..
Aldy @mati198330 september 2024 13:26
Ook de procedures moeten binnen het kader van de wet zijn, anders krijg je de situatie dat bijvoorbeeld volgens de procedure de minister toestemming moet geven, maar de wet dit niet toestaat.
mati1983 @Aldy30 september 2024 13:58
...Ja, maar dat zeg ik toch? :P
Aldy @mati198330 september 2024 14:06
Wat er bij jou staat is dat de procedures aangepast moeten worden, maar ik stel dat eerst de wet aangepast moet worden en daarop de procedures. Waarschijnlijk bedoelen we hetzelfde, weet het eigenlijk wel zeker. :)
familyman @Aldy2 oktober 2024 06:36
Volgens mij zei de minister ook (hoogover) hetzelfde.

Procedure paste niet bij de wet, aangepast.
Dat heeft kwalijke gevolgen, dus de wet wordt, na wat stappen via de EU, aangepast.
Daardoor zal de wenselijke procedure toegestaan worden.
himlims_ 30 september 2024 10:56
Dit is toch al jaren het geval? land mag haar inwoners niet bespioneren; dan besteed je die taken uit aan een bevriend land. En vice versa.
sircampalot @himlims_30 september 2024 11:14
Hetzelfde wordt gedaan om data langer op te slaan dan toegestaan op eigen bodem.
supersnathan94 @himlims_30 september 2024 11:46
Mwah. Met de nieuwe WIV kan dag volgens mij wel degelijk. Zelfs in redelijk grote getalen.
kodak
@himlims_30 september 2024 12:36
Waarop ben je het dan aan het vergelijken? Ik lees niet dat dit om informatie gaat die de landen zelf niet uit eigen onderzoek mochten krijgen. En ook niet dat er verzoek uit die landen is gegeven om anderen dan maar de informatie te laten geven.
Mark87 30 september 2024 11:34
Wat belangrijk is. Hebben ze IP adressen uit Canada gedeeld met Canada of ook adressen uit Nederland? Dat mist in de tekst en maakt uit. Als ze enkel met een land delen wat in dat land speelt zie ik het eerder als poging het gehele internet veiliger te maken.
Moartn @Mark8730 september 2024 11:39
Wat ik in de kamerbrief lees is dat ze alleen gegevens van Canadese IP's met Canada gedeeld. Maar dat mag nog steeds niet, blijkbaar.
Mark87 @Moartn30 september 2024 14:24
Klopt. Het blijven persoonsgegevens. De impact hiervan is alleen wel een stuk minder en zou je buiten de overheid al gauw als normaal beschouwen. En mogelijk zelfs wenselijk om de veiligheid te vergroten op het internet.
wica 30 september 2024 11:39
et is gebruikelijk dat nationale computercrisisteams, zoals het NCSC in Nederland, elkaar informeren wanneer zij op de hoogte zijn van kwetsbare of gecompromitteerde systemen binnen hun doelgroep. Om die reden heeft het NCSC lijsten met voor deze landen gerelateerde IP-adressen gedeeld, waarbij elk land enkel de voor hen relevante IP-adressen heeft ontvangen.
Zoals ik het lees, heeft o.a. Japan, de IP adressen gekregen die bij Japan horen, Canada die van Canada etc.
Ik zie hier niets verkeerds aan en denk dat het juist netjes is van de NCSC. Dat ze dit gedaan hebben.
supersnathan94 @wica30 september 2024 11:48
“Hee hallo. Jullie toko staat in de fik buurman!”

Lijkt mij heel wenselijk daar dan wel een wettelijke grondslag voor te vinden/maken.
wica @supersnathan9430 september 2024 12:06
Ja, het is zeer wenselijk dat er wettelijke grondslag voorkomt. Of beter gezegd, dat de NCSC te beperkt wordt in aan wie ze wel en niet mogen melden.
Lucb1e @supersnathan9430 september 2024 12:54
De grondwet stelt iedereen al gelijk in gelijkt gevallen, welke grondslag is er nog meer nodig om anderen te informeren wanneer wij weten dat hun toko in de fik staat? Aangenomen dat het niemand schaad om die informatie te delen (behalve criminelen die geen gebruik meer kunnen maken van de kwetsbaarheid)

De lijst van getroffen systemen hadden ze waarschijnlijk toch al, dus veel tijd zal er niet in hebben gestoken om die uit te splitsen naar land en door te geven. Ook in die zin schaad het Nederland niet

Daarnaast is toch alles legaal dat niet illegaal gesteld is? Wikipedia citeert "geen feit is strafbaar dan uit kracht van een daaraan voorafgegane wettelijke strafbepaling" (uit een of ander boek, dus kan het niet nagaan). Hoezo dan grondslag creëren

[Reactie gewijzigd door Lucb1e op 30 september 2024 12:55]

Aldy @Lucb1e30 september 2024 13:31
De Grondwet heeft hier niets mee te maken. Hier moet een wet voor worden gemaakt of aangepast en die wet moet voldoen aan de Grondwet.
familyman @Aldy2 oktober 2024 06:41
Strikt genomen hoeven onze wetten zich niet te houden aan de grondwet.

Het is aan de Eerste en Tweede Kamer om dat te (laten) toetsen en te besluiten of ze bij afwijkingen, die wet al dan niet willen hebben.

Als de wet aangenomen is, dan geldt hij. Daarom grijpen veel rechten in op bijvoorbeeld Europese verdragen, die wel bindend zijn. (Europees Verdrag voor de Rechten van de Mens, bijvoorbeeld)

Niet dat het superveel uithaalt. Bijna al onze grondwetsartikelen bevatten een clausule die stelt dat er naast een recht ook een bevoegheid bestaat om dat recht aan te tasten.

(Moet ook wel, sommige rechten botsen in sommige gevallen met elkaar)
supersnathan94 @Lucb1e30 september 2024 14:55
Het hele artikel gaat er over dat dit niet mocht, omdat er GEEN wettelijke grondslag voor was.

Oftewel er is al wetgeving die dit niet toestaat en aangezien IP adressen als persoonsgegevens worden gezien, ga ik er een klein beetje vanuit dat die wetgeving de AVG is.
yevgeny 30 september 2024 12:07
Wet zal wel niet gehandhaafd worden

Bijlage bij de Verklaring met betrekking tot de geheimhoudingsplicht Art. 98a.1

Hij die een inlichting, een voorwerp of gegevens als bedoeld in artikel 98, hetzij
opzettelijk openbaar maakt, hetzij zonder daartoe gerechtigd te zijn opzettelijk
verstrekt aan of ter beschikking stelt van een buitenlandse mogendheid, een in het
buitenland gevestigd persoon of lichaam, dan wel een zodanig persoon of lichaam
dat gevaar ontstaat dat de inlichting of de gegevens aan een buitenlandse
mogendheid of aan een in het buitenland gevestigd persoon of lichaam bekend
wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanige
inlichting of zodanige gegevens betreft, wordt gestraft met gevangenisstraf van ten
hoogste vijftien jaren of geldboete van de vijfde categorie.
mjtdevries @yevgeny30 september 2024 13:12
En is een IP adres van een besmette server dan een gegeven als bedoeld in artikel 98?

Als je dan een wet wil quoten, geef dan alle relevante informatie.
En als ik artikel 98 lees, dan krijg ik het vermoeden dat je het heel bewust niet hebt vermeld:
Hij die een inlichting waarvan de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden, een voorwerp waaraan een zodanige inlichting kan worden ontleend, of zodanige gegevens opzettelijk verstrekt aan of ter beschikking stelt van een tot kennisneming daarvan niet gerechtigd persoon of lichaam, wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanige inlichting, een zodanig voorwerp of zodanige gegevens betreft, gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.
http://www.wetboek-online...0van%20Strafrecht/98.html
Er word gesproken over geheimhouding voor het belang van de staat of zijn bondgenoten.
Daar is hier geen sprake van. Er is hier juist sprake van een samenwerking en het delen van informatie in het belang van de staat of zijn bondgenoten.

Dus is er geen sprake van een inlichting/gegeven als bedoeld in artikel 98 en daarmee is ook 98a niet van toepassing.

[Reactie gewijzigd door mjtdevries op 30 september 2024 13:13]

yevgeny @mjtdevries30 september 2024 13:44
Minister heeft al aangegeven dat er geen wettelijke grondslag is voor het delen van informatie dus er is gedeeld met een niet gerechtigd persoon of lichaam, of er met een bondgenoot is gedeeld doet niet ter zake.

Rijksrecherche hoort te onderzoeken of er meerdere ambtenaren bij betrokken zijn, is dat het geval dan is artikel 80, samenspanning van toepassing. Samenspanning bestaat zodra twee of meer personen overeengekomen zijn om het misdrijf te plegen.

[Reactie gewijzigd door yevgeny op 30 september 2024 13:49]

mjtdevries @yevgeny30 september 2024 13:55
Jij bent degene die claimt dat het een overtreding is van artikel 98.

De Minister heeft helemaal niet gezegd welk artikel is overtreden wat betreft de vertrouwlijkheid en heeft het wat betreft de persoonsgegevens over de GDPR.

Je kunt leuk allerlei dingen verzinnen en daar artikelen bij halen, maar erg zinvol is het niet.
FrostyPeet 30 september 2024 11:44
Dit soort clubjes netwerkt, net als elk internationale organisatie. Als je alleen maar goede info vraagt en nooit geeft, krijg je een bepaalde naam ("beggers") en dan willen de anderen weinig met je van doen hebben. Dit voorkom je nooit, ongeacht wat de minister zegt te doen. Want die minister weet ook dat zijn/haar nek op het schavot ligt als de oppositie hoort dat een ernstig probleem voorkomen had kunnen worden als een buitenlandse club relevante informatie had gedeeld met Nederland maar het niet deed.
Aldy @FrostyPeet30 september 2024 13:36
De veilgheidsdiensten van Nederland zijn actief in de door jou genoemde 'clubjes' en voor zover ik begrepen heb hebben ze niet de naam 'beggers'. Dit is alleen maar een aanvulling op jouw reactie, want ik ben het helemaal met de strekking eens.
Frogmen 30 september 2024 12:05
Ik vraag mij serieus af in hoeverre de lobby van criminelen en vijandelijke staten in deze geen rol spelen. Zoveel mogelijk opsporing en samenwerking dwarsbomen en proberen te voorkomen zodat ze zelf meer speelruimte houden voor hun activiteiten.
MachIII 30 september 2024 11:24
Nederland is bijna altijd bij dergelijk soorten louche zaken betrokken.
JackBol @MachIII30 september 2024 12:05
Nederland staat in de wereldwijde top mbt Internet intelligence en counter offence. We zitten als land redelijk centraal in het "fysieke" internet en daarnaast hebben we erg veel kennis en kunde opgebouwd in dit domein. Wanneer er weer een piraten site neergehaald wordt staat daar vaak een "Nederlandse Politie" logo samen met de NSA, FBI etc. Daar mogen we best wel trots op zijn.

Verder is cyber intelligence een globaal probleem, we kunnen deze kennis niet beperken tot onszelf en moeten relevante informatie delen met onze bondgenoten, anders stoppen die ook met het delen van hun informatie met ons.
GertMenkel
@JackBol30 september 2024 14:01
De Nederlandse veiligheidsdiensten zijn goed (mag ook wel als je ziet wat voor gegevens ze wel niet van ISP's en dergelijke krijgen) maar het blijft louche om een proxy te zijn om de grondwet te omzeilen. Denk aan vage constructies als "sleepnet inzetten op verzoek van een bondgenoot, daar de analyse laten uitvoeren, en hier de resultaten opvragen" zodat ze lokaal niet hoeven te testen of het wel grondwettelijk is zoveel informatie te verzamelen.

Hier zie ik het probleem niet (geïnfecteerde servers delen met de lokale autoriteiten moet toch wel een privacyuitzondering zijn) maar de "doel heiligt de middelen"-aanpak die we onderhand gewend zijn vanwege de enge pedo's/terroristen blijft een probleem in andere zaken.

Eerlijk gezegd vind ik het onzin dat de vergaande autoriteit van een veiligheidsdienst voor het neerhalen van een piratensite zou worden gebruikt. Als de politiemacht nu terughoudend zou zijn in het inzetten van digitale middelen zou ik er geen groot probleem mee hebben, maar geef ze een vinger en ze nemen de hele hand.

[Reactie gewijzigd door GertMenkel op 30 september 2024 14:01]

GertMenkel
@MachIII30 september 2024 14:04
Zo louche is het ook weer niet. Dit voelt eerder als materiaal om politici tegen de AVG te keren, eerlijk gezegd. IP-adressen kunnen persoonsgegevens zijn, maar Fortigate-servers draait men meestal niet thuis en eerlijk gezegd lijkt het me niet zo'n probleem om de Canadese politie te vertellen welke servers in hun land gehackt (danwel honeypots) zijn.
merethan 30 september 2024 11:01
Sakkerloot! Nu breekt mijn klomp!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq