Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Het Nationaal Cyber Security Centrum opent vandaag officieel zijn deuren. Het platform moet de ict-beveiliging van de overheid en van 'vitale informatiesystemen' garanderen. Overheden en bedrijven moeten in het platform gaan samenwerken.

In het centrum wordt onder meer Govcert.nl opgenomen, dat tot en met vorig jaar de coördinatie van ict-beveiliging voor de overheid voor zijn rekening nam. Het Nationaal Cyber Security Centrum moet 'kennis en expertise' bundelen, en een coördinerende rol spelen bij dreigingen en incidenten, vertelt de Nationaal Coördinator Terrorismebestrijding en Veiligheid, Erik Akerboom, in een gesprek met Tweakers.net.

"Het centrum krijgt een drietal taken", zegt hij. "We willen in de eerste plaats expertise bij elkaar brengen." Zo moet kennis over hackaanvallen worden gedeeld. Het gaat daarbij niet alleen om de overheid, maar ook om bedrijven met 'vitale informatiesystemen'. Welke bedrijven zich bij het Centrum gaan aansluiten, is nog niet bevestigd, maar waarschijnlijk zullen dat bedrijven als KPN en Microsoft zijn. Verder moeten onder meer nationale overheidsinstellingen in het NCSC zitting nemen. De AIVD, de politie, het Openbaar Ministerie en het Ministerie van Defensie doen mee aan het centrum, dat dus niet is bedoeld voor bijvoorbeeld gemeentes. "Het gaat om systemen waarvan verstoring de samenleving kan ontwrichten", aldus Akerboom. Ook het midden- en kleinbedrijf heeft dus weinig bij het centrum te zoeken; het gaat eerder om grote bedrijven in de energiesector.

"Daarnaast willen we de respons op problemen versterken", aldus Akerboom. Volgens hem zou het NCSC bijvoorbeeld de meldplicht voor datalekken op zich kunnen nemen. Bedrijven met datalekken moeten deze dan melden bij het centrum, dat vervolgens expertise kan leveren bij het oplossen ervan. De vraag is volgens Akerboom nog wel hoe groot bedrijven moeten zijn om beveiligingslekken te melden. Tot slot moet het NCSC erop toezien dat crises zoals de DigiNotar-affaire beter worden beheerst. Of het centrum in de praktijk dan de leiding krijgt, zoals bijvoorbeeld de politie bij een evacuatie, is onduidelijk.

In het Cyber Security Beeld van de overheid dat onlangs werd vrijgegeven, noemt de voorganger van het NCSC, Govcert.nl, smartphones en opslag van gegevens in een internetomgeving de grootste risico's voor de digitale veiligheid.

Moderatie-faq Wijzig weergave

Reacties (46)

"dreigingen en incidenten"
Daar wil ik dan graag de definitie eens van zien.
"Het gaat om systemen waarvan verstoring de samenleving kan ontwrichten",
Welke systemen zijn dat dan? Gas, water, elektra? GBA?
"Daarnaast willen we de respons op problemen versterken"
Respons op problemen? Bedoelen ze dan de problemen die mensen als T. Kuik maken? Of de ddos aanvallen op BREIN?

Volgens de statistieken voor Q2 van 2011 was 89% van de security breaches afkomstig uit 23 landen. De meeste aanvallen (ca. 10%) kwamen uit de VS en Indonesië. De overige landen waren gemiddeld goed voor 3%, met bovenaan de lijst Japan, Hong Kong, Singapore, maar ook India, Vietnam, Oman, Egypte en de Philippijnen - Nederland komt niet eens voor in de lijst!

25% van de security breaches vinden we in de de online shopping (!)
20% Gaming sites
13% Beurs
11% banken
8% pr0n
8% blogs en fora
7% sociale media
3% transport
3% zakelijk
1% overheid
1% overig

Dus kort: Nederland komt niet op de lijst voor, en slechts 1% lijkt kritisch voor het in balans blijven van de samenleving, maar ze gaan er wel miljarden tegenaan gooien. Hm.
De KPN, Microsoft ,de AIVD, de politie, het Openbaar Ministerie en het Ministerie van Defensie doen vrolijk mee.

Ik zou mijn geld ergens anders op zetten...
Er zit 1 fout in je redenering, je neemt niet mee hoe zwaar een security breach is, dus als er 9384938498943 websites waar je omakleding kan kopen worden gekraakt, vervelend, maar ja, gaat niet direct iemand van dood, maar de gevolgen van een kraak bij die 1% breaches (overheid), ja, daar zou wel eens wat belangrijkers achter kunnen zitten.
Je hebt gelijk, het is dus inderdaad een prima initiatief om datgene wat we tot zover niet konden, nu wel te gaan kunnen ;)

En anders in ieder geval een poging wagen. Iets nieuws afschrijven omdat je het nog niet had... uhm tsja, dan moet je tot in de eeuwigheid bij hetzelfde blijven. En dat is een vreemde instelling in een land wat groot is geworden met aanpassing en innovatie.

Het is een kwestie van voorbereiding en berekend zijn op :)

[Reactie gewijzigd door Silvin op 12 januari 2012 16:09]

Volgens het artikel zou dit centrum 3 taken krijgen. Vervolgens worden er twee genoemd:

• Expertise bij elkaar brengen
• Respons op problemen versterken

Lees ik nou zo slecht, of mis ik punt nummer 3?
Tot slot moet het NCSC erop toezien dat crises zoals de DigiNotar-affaire beter worden beheerst.
Da's dan punt 3, maar ik vind het wel erg mager voor een nieuwe (en vast dure) instantie met zo'n 'grote' naam.
Okee, maar persoonlijk lijkt me dat eerder onder het tweede punt vallen, de respons op problemen.
Lees ik nou zo slecht, of mis ik punt nummer 3?
Het belangrijkste punt staat al vermeld in de head van het artikel:
Het platform moet de ict-beveiliging van de overheid en van 'vitale informatiesystemen' garanderen.
Lijkt me overigens een goede zaak. Gegevens van de overheid zijn belangrijk en te vaak negatief in het nieuws. Laten we hopen dat dit de gewenste verbetering brengt.

[Reactie gewijzigd door T-men op 12 januari 2012 12:41]

Dat viel mij nou ook al op.

daarbij komt; Nu hoeven hackers nog maar op 1 plek te zoeken, alles is mooi bij elkaar gebundeld... lekker makkelijk :)

Wel een goede zaak dat ze eens goed bezig gaan met de beveiliging, maar of het werkt is het 2e.

EDIT:
Hoe kan dit nou weer Off topic zijn??

[Reactie gewijzigd door HellStorm666 op 12 januari 2012 13:24]

Tjonge, wat een azijn-pisserij !

Maanden lopen we hier op tweakers te klagen dat de overheid 'zo lek is als een mandje' en nu er wat gedaan is, dan is het weer niet goed |:(

Bovendien valt het wat dat lek zijn objectief gemeten nog wel mee. Bedenk maar eens hoeveel gegevens de overheid werkelijk heeft en hoeveel er nou werkelijk op straat is beland. Dat is maar een heel klein percentage !
Wel is het zo dat als er een lek gevonden wordt dat meteen met grote letters in de krant staat en er vragen in de 2e kamer gesteld worden.

Natuurlijk is het zo dat de overheid zijn beveiliging op orde moet hebben, maar vergeleken met menig hier klagende tweaker... O-)
En wat als die gemeentes of waterschappen waterbouwkundige objecten beheren op afstand? Een verstoring daarvan heeft een behoorlijke impact op de samenleving.
Wat bedoel je precies met "wat als"?

Die vallen onder de overheid, en zouden gebruik moeten kunnen gaan maken van de expertise die dit centrum moet leveren. Het is niet primair bestemd voor gemeentes om in deel te nemen: althans, zoe zie ik het. AIVD, NLDEF, het OM en de politie zijn heel ander soort partijen dan "gemeente lutjebroek" :). Dat wil niet zeggen dat lutjebroek hiervan niet profiteert, en dat lutjebroek genegeerd wordt als zij een kritiek infrastructureel element beheren :).

Hoewel we de diverse ontwikkelingen zullen moeten afwachten, vind ik het tot nu toe positief lijken. Wanneer GovCert, DevCert en het bedrijfsleven met elkaar samenwerken (en dat op een kundige en slagvaardige manier gebeurt), kan hier daadwerkelijk een mooi centraal kenniscentrum ontstaan waar zowel overheid als bedrijfsleven van profiteren.

Dat MKB bijvoorbeeld in het artikel genoemd wordt als "buitenpartij", lijkt me niet onlogisch. Indirect profiteren zij ook van de resultaten van de ontwikkelingen binnen het centrum, terwijl hun eigen inbreng miniem zou zijn. Grote partijen (denk bv aan een energie-, gas- of waterleverancier, of een oliemaatschappij, of zelfs een willekeurig groot technologiebedrijf) zijn zich al tijden bewust van de dreiging waarmee zij (mogelijk) te maken (kunnen gaan) hebben :).
Of het centrum in de praktijk dan de leiding krijgt, zoals bijvoorbeeld de politie bij een evacuatie, is onduidelijk.
Ik denk dat dit nog wel een kernpuntje is. Op zich kan dit best: heb je kennis en kunde, diverse disiplinces bij elkaar zitten, dan kun je dit gebruiken om centrale crisissturing te geven. Wat ik persoonlijk een beetje vrees, is dat de zaak hier mogelijk te log en bureaucratisch mee omgaat, waardoor daadwerkelijke slagkracht tijdens een "digi-crisis" verloren kan gaan.

[Reactie gewijzigd door Eagle Creek op 12 januari 2012 12:42]

De overheid blijft in deze opzet volstrekt afhankelijk van externe expertise. Hoe kan het dan verantwoordelijkheid nemen voor de beveiliging van haar infrastructuren? Verder is het volstrekt onduidelijk wat er nu precies beveiligd moet worden. De infrastructuur platleggen gaat ook heel goed zonder hacks (insider attacks, fysieke attacks).
Zelfs als er door middel van software iets raars zou gebeuren, zijn de oplossende maatregelen niet veel anders dan in normale schade aan infrastructuren.
Men kan zich beter richten om dat soort infrastructuurschade snel te herstellen, dan zich te richten op een specifiek en onwaarschijnlijk aanvalsscenario. Jammer ook dat het MKB zo ongeveer wordt uitgesloten van deelname, omdat daar ook veel kennis en innovatiekracht zit.

[Reactie gewijzigd door miw op 12 januari 2012 14:41]

Govcert was toch die club die we NIET hoorden tijdens de DigiNotar-affaire...... :X
Oh maar nu komt alles goed..... :'(
edit: Nevermind this post, zie post van Rutix hieronder.

Gewoon ff uit onbenullige interesse:

dig @8.8.8.8 in mx ncsc.nl
----
;; ANSWER SECTION:
ncsc.nl. 300 IN MX 20 min3.govcert.nl.
ncsc.nl. 300 IN MX 20 min4.govcert.nl.
ncsc.nl. 300 IN MX 30 min5.govcert.nl.
ncsc.nl. 300 IN MX 40 smtp.espritxb.nl.
ncsc.nl. 300 IN MX 10 min1.govcert.nl.
ncsc.nl. 300 IN MX 10 min2.govcert.nl.
-----

Daar vond ik die espritxb.nl wel interessant.

Klant inlogportal bij espritxb.nl beetje crap als invoer geven:
stack trace +
"Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1"

Nu weet ik niks van h4xx0rren af, maar Google zegt: https://www.sec-consult.c...ntication_bypass_v1.0.txt

Kan iemand hier iets over zeggen die wel weet waar die het over heeft?

edit: fout in link paste & gewone paste.

[Reactie gewijzigd door goestin op 12 januari 2012 14:36]

Wat wil je hier nou mee zeggen? In die lijn die je geeft staat de het nummer die de patches gebruiken niet. Dus weet je niet of ze de patch van Microsoft hebben geïnstalleerd. Als dat wel zo is dan is er niks aan het hand en als het niet zo is dan lopen ze misschien een weekje achter omdat de patch voor die bug op 30 december is uitgekomen.

[Reactie gewijzigd door Rutix op 12 januari 2012 14:28]

Dank, ik ben niet bekend met de versie nummering van Microsoft. Vandaar, zal er een edit bij zetten.

Edit: ah, nog een cijfertje 1 vergeten zie ik. Geeft deze de patch-level aan?
"ASP.NET Version:4.0.30319.1"

[Reactie gewijzigd door goestin op 12 januari 2012 14:35]

Als dit centrum vandaag haar duur opend. Waar gebeurd dat fysiek? Lijk me een bedrijf wat wel een uitdaging bied om te werken.
Of de opening alleen maar virtueel? (in de wolken!)
https://www.ncsc.nl/organisatie/contact.html

Oftewel;

Bezoekadres

Wilhelmina van Pruisenweg 104
2595 AN Den Haag
Dit is degene die de leiding over het centrum heeft.
Als "de misdaad zijnde" zoek je dan een omkoopbaar groot-brein en die plant je daar...
Denken jullie dat dit ervoor zorgt dat cybercrime wordt verminderd?

En dan nog een vraagje, kunnen wij dit zien als de verdediging van Nederland in een Cyberoorlog?
Voor nu geloof ik er niet in, nullen en enen zijn zwak, er is een digitale 'wapenwedloop', dus e.e.a. leidt op zijn best tot goede damage controle en followup.

Vandaar ook dat ik pleit voor low-tec 'backup systemen' (en dan doel ik niet op data en dat dan op floppys e.d.) voor de belangrijke 'infrastructuren' zoals hulpdiensten-communicatie en voedsel verstrekking, gas water, elektra, e.d.
Het is echt heel mooi dat ze aan de slag gaan met beveiliging!
Echter lijkt het mij een beter idee als ze iemand die zich inderdaad bezig houdt met hacken van dit soort dingen aannemen zodat deze de binnenkomende lijnen kan blokkeren via welke gehackt wordt.

Het is naar mijn idee namelijk een beetje raar dat de 2 partijen hun informatie gaan bundelen terwijl die van de vorige beveiliging duidelijk niet goed was gezien er gehackt is.

Het is dan wel mijn mening maar naar mijn idee is dit een stap in de goede richting maar nog geen sprong.
Het hele basale idee van de-centralisering is 'kreukelzone's.

Een groep van vele belangrijke partijen die netwerkgewijze aan elkaar geknoopt zijn is als een veld vol 'honing bloemen' voor een kolonie bijen.

Er hoeft er maar 1 te zijn in zo een grote groep die de status quo kent, lekt, en hop de misdaad loopt weer ff voor..
Zoiets dacht ik ook 'de lamme helpt de blinde'.
Echter het kan ook zo zijn dat de ene faalt op de punten 0 tm 4, en de ander op de punten 5 tm 9
In dat geval valt er ten minste wel iets te verbeteren door van elkaar te leren.

Anderzijds, hoe meer men deelt, hoe groter de kennis bij een grotere groep mensen, hoe groter de kans op 'lekken'.
Potentieel dus iedereen 'samen werken' a.k.a. mollen bij elkaar hebben...
Ben benieuwd of bijv. groot-bedrijven, banken e.d. überhaupt wel zich willen verbinden/openstellen met de overheid.

En _wederom_ vergeet men 1 heel simpel iets: een "noodstroomvoorziening", antennes en radio's voor hulpdiensten om er maar 1 te noemen.

Als de boel plat gaat door een super virus, dan is low-tec de enige manier om door te draaien.

Hopelijk is 'de wereld bevolking, Nl voorop', niet zo dom om mensen aan te stellen die CASH GELD op gaan heffen....
Wie krijg hier de leiding? Is dat een IT expert, ambtenaar of politicus?
Als ik het zo lees dan valt mij op dat het lijkt op een mooi plan zonder een echte organisatorische opzet en als dat zo is dan kan ik me voorstellen dat het een speeltje wordt van de deelnemers met de meeste macht (AIVD?)

Al met al een goed initiatief. Ik hoop dat mijn vermoedens niet kloppen en dat het een echt strak geregelde organisatie wordt want sjah je moet snel en accuraat kunnen handelen en niet eerst door de bureaucratische molen moeten voordat je iets kan doen (dan blijven ze alsnog achterlopen)
Een IT'er die werkt voor de overheid is een ambtenaar...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True