DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen

De Wet bevordering digitale weerbaarheid bedrijven is dinsdag ingegaan. Dit maakt het makkelijk voor het Digital Trust Center of DTC om vertrouwelijke informatie over cyberdreigingen te delen met niet-vitale bedrijven.

Door de Wet bevordering digitale weerbaarheid bedrijven mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen ook daadwerkelijk delen met individuele bedrijven in Nederland, schrijft de Rijksoverheid. De wet maakt bijvoorbeeld een rechtstreekse informatie-uitwisseling mogelijk tussen overheidsorganisaties die zich met digitale beveiliging bezighouden, waaronder het DTC.

De bedrijven waarop de wet van toepassing is, zijn zogenoemde niet-vitale bedrijven. Vitale bedrijven zijn volgens het ministerie van Justitie en Veiligheid bedrijven die over belangrijke infrastructuur gaan, zoals telecombedrijven, energieleveranciers en openbaar vervoer. Niet-vitale bedrijven vervullen die rol niet, maar een cyberaanval op die bedrijven kan net zo goed ontwrichtend zijn. “Gezien de toenemende dreigingen en complexiteit heeft het mkb een grote uitdaging. We zien dat alleen oproepen om alert online te zijn, niet genoeg is om de mkb’ers en hun klanten te ondersteunen. De impact op onze maatschappij en economie kan groot zijn. Kortom, het is goed om ondernemers te helpen met hun cybersecurity”, zegt minister Dirk Beljaarts van Economische Zaken.

De Nederlandse Tweede Kamer was in maart akkoord gegaan met het wetsvoorstel. Begin juli stemde de Eerste Kamer voor de wet, die een maand later werd gepubliceerd.

IT-banen

Reacties (7)

CAPSLOCK2000

Nederland
Politiek en recht
Cybercrime

1 oktober 2024 15:06

Ter informatie, deze verandering is vooral het wegnemen van onhandige wettelijke barrieres waardoor de overheid allerlei informatie technisch gezien niet mocht delen.

Zo staat de AVG niet toe dat je persoonsgevens verwerkt zonder toestemming en er is geen uitzondering voor misdaad. Ze mochten dus niet de slachtoffers bellen want dat zou het verwerken van persoonsgegevens zijn, tenzij het om echte rampen of nationale veligheid ging. Dat klinkt wel als een goed idee, maar zonder wet mag het niet.

Verder hoort de overheid zich niet te bemoeien met werk dat de markt ook kan uitvoeren, dat zou valse concurrentie zijn, de overheid hoeft immers geen winst te maken en kan zichzelf met belastinggeld betalen. De overheid moet zichzelf beperken tot de taken waar we ze opdracht voor hebben gegeven.

Deze wet legt dus vooral vast dat het DTC een wettelijke taak heeft om kleine bedrijven te helpen. Daardoor vallen ze in ruimte die andere wetten daar voor laten, zoals het hebben van een grondslag te hebben om persoonsgegevens te mogen verwerken.

[Reactie gewijzigd door CAPSLOCK2000 op 1 oktober 2024 15:26]

Keypunchie

Nederland

@CAPSLOCK2000 • 1 oktober 2024 15:31

Heldere uitleg, bedankt!

Keypunchie

Nederland

1 oktober 2024 15:05

Op zich heb ik wel enige ervaring met digitale infrastructuur voor 'vitale bedrijven' (en niet zo-vitale bedrijven) en ook met het beveiligen ervan.

Maar wat moet ik me voorstellen bij "vertrouwelijke informatie over cyberdreigingen".

In 99% van de gevallen maakt de dreiging niet heel erg veel uit voor de maatregelen die je neemt, die komen namelijk gewoon voort uit je beleid (patchbeleid, least-access principles, ISO/SOC-certificering, etc.).

Dit omdat, zeker de vitale bedrijven, er *altijd* vanuit moeten gaan dat er een cyberdreiging is. Net zoals een geldtransporteur altijd moet aannemen dat er boeven geinteresseerd zijn om hun transport te kapen.

Het enige dat ik me kan voorstellen is dat er dan gedeeld wordt dat een bepaalde software/diensten-leverancier daadwerkelijk gecompromitteerd is?

@BytePhantomX Helder!

[Reactie gewijzigd door Keypunchie op 1 oktober 2024 15:35]

BytePhantomX @Keypunchie • 1 oktober 2024 15:20

Denk aan bedrijven die niet zo volwassen zijn en diensten (onbedoeld) open aan het internet hebben hangen. Het DTC kan dan nu die bedrijven waarschuwen als zij zien dat er aanvallen plaatsvinden. Dat mocht vanuit AVG-technische reden nog niet.

Het enige dat ik me kan voorstellen is dat er dan gedeeld wordt dat een bepaalde software/diensten-leverancier daadwerkelijk gecompromitteerd is?

Denk bijvoorbeeld aan het Kasyea incident. Daarvan was bekend dat er een kwetsbaarheid was, maar dit was nog niet openbaar. Het DTC zou dan bedrijven kunnen informeren om die dienst van het internet af te halen. Overigens denk ik dat dit de minderheid is. Zal veel meer standaard dingen zijn die je als volwassen organisatie zelf ook al zou weten.

Overigens is die info vanuit het perspectief van het DTC misschien vertrouwelijk. Mijn ervaring is dat als je goed geïnformeerd bent het DTC en het NCSC op sommige vlakken niet veel sneller is dan social media en die informatie dus eigenlijk openbaar is. De overheid zal het echter als vertrouwelijk willen behandelen zodat zij niet de bron zijn als dit soort informatie openbaar wordt gemaakt. En dan heb je mandaat nodig om dat te kunnen doen.

[Reactie gewijzigd door BytePhantomX op 1 oktober 2024 15:21]

CAPSLOCK2000

Nederland
Politiek en recht
Cybercrime

@Keypunchie • 1 oktober 2024 15:33

Maar wat moet ik me voorstellen bij "vertrouwelijke informatie over cyberdreigingen".
<knip>
Het enige dat ik me kan voorstellen is dat er dan gedeeld wordt dat een bepaalde software/diensten-leverancier daadwerkelijk gecompromitteerd is?

Dat is inderdaad een prima voorbeeld. Het is niet heel spannend maar de overheid mocht er sommige gevallen domweg niet over praten bij gebrek aan een wet die het toestaat. Meestal is het niet echt heel spannend en is de informatie al op talloze plekken gemeld, maar de overheid is altijd super voorzichtig (en dus laat). Alle grote bedrijven met eigen IT-security personeel hebben toegang tot dergelijke informatie maar kleine bedrijven niet. Die kunnen nu info van de overheid krijgen.

Denk verder aan de situatie dat men tijdens een onderzoek ontdekt dat er andere bedrijven gehackt zijn, of dat een aanvaller een lijst met gebruikersnamen en wachtwoorden heeft liggen, of een overzicht van kwetsbare doelwitten. Dat is informatie die je wil delen met de potentiele slachtoffers, maar ook dat mocht niet.

Verder kun je nog een hoop doen door zelf internet af te scannen naar bekende problemen en die te melden, maar zonder toestemming ben je dan zelf aan het hacken als je geen wettelijke rugdekking hebt.

[Reactie gewijzigd door CAPSLOCK2000 op 1 oktober 2024 15:36]

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Keypunchie • 1 oktober 2024 19:08

Maar wat moet ik me voorstellen bij "vertrouwelijke informatie over cyberdreigingen".

Vertrouwelijke informatie over cyberdreigingen kan bevoorbeeld informatie zijn over aanvallen die gaande zijn, lekken die nog niet breed bekend zijn, handelingsperspectief, IOC's (indicators of compromise). Je wilt, zeker wanneer een aanval nog aan de gang is, niet altijd direct alle kaarten op tafel leggen en daarmee mogelijk ook informatie geven aan een aanvaller over hoe veel je weet.

JackBol @Keypunchie • 1 oktober 2024 19:12

Maar wat moet ik me voorstellen bij "vertrouwelijke informatie over cyberdreigingen".

Het delen van threat intelligence, bijv gecompromitteerde IP adressen, bekende C&C servers, indication of compromise etc. Alles wat je als bedrijf kan gebruiken voor het verhogen van je beveiliging en betere incident response.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (7)

Sorteer op:

Weergave: