Overheid mag ingrijpen bij telecomproviders na hack

De overheid mag ingrijpen bij telecomproviders, als deze worden gehackt en daardoor de maatschappij ontwricht zou raken. Ook bij andere bedrijfstakken, zoals voorziening van elektriciteit, gas en water, mag de overheid maatregelen treffen.

Niet beschreven is welke maatregelen de overheid precies mag nemen, maar waarschijnlijk gaat het daarbij om elke maatregel die nodig is om eventuele hacks te voorkomen en maatregelen om de gevolgen daarvan beperkt te houden. Het is voor het eerst dat de overheid bij providers zulke verregaande maatregelen mag nemen, iets dat staat omschreven als 'het geven van een aanwijzing onder bestuursdwang'. Vanaf eind dit jaar kan de overheid de controle overnemen bij een bedrijf in een van de zes 'vitale' sectoren in noodgevallen. Naast telecomproviders en nutsvoorzieningen wordt daar ook transport toe gerekend, waarbij Schiphol en de haven van Rotterdam met name worden genoemd.

De redenering is dat de maatschappij ontwricht raakt en de veiligheid van mensen in gevaar kan komen als een telecomprovider of leverancier van gas, water of elektriciteit wordt gehackt. Daarom moeten bedrijven in die sectoren hacks altijd melden vanaf eind dit jaar. De meldplicht voor datalekken, die deels dubbelt met deze regeling, ging in juni al in.

De overheid geeft zichzelf meer bevoegdheden in noodgevallen: naast het nemen van beslissingen moeten bedrijven informatie afgeven als de overheid daarom vraagt en kan de overheid een functionaris aanstellen om de veiligheid te waarborgen.

De regeling komt niet uit de lucht vallen: de Tweede Kamer had minister Opstelten van Veiligheid en Justitie al gevraagd om zo'n regeling te maken. Het Nationaal Cyber Security Center zal vermoedelijk namens de overheid betrokken zijn bij het oplossen van hacks en het beperken van de gevolgen.

Reacties (43)

Verwijderd 6 juli 2012 18:32

"(...)maar waarschijnlijk gaat het daarbij om elke maatregel die nodig is om eventuele hacks te voorkomen en maatregelen om de gevolgen daarvan beperkt te houden."

Het eerste deel vind ik vrij eng. Hacks zijn niet te voorkomen. Welke IDS, Application firewall of trainingen voor dev/ops je ook gebruikt. Dat zou zonder enige nuance betekenen dat er een carte blanche gegeven is.

n4m3l355 @Verwijderd • 7 juli 2012 06:28

Een carte blanche aan dezelfde club die falen als prioriteit haast lijkt te stellen zonder enige vorm van consequenties. Wat me nog meer bevreemd, hoewel het een begrijpelijk initiatief is, is dat de overheid niet uitspringt als het op kennis en kunde aankomt. Hun CAO's beperken het aantrekken van de echte goede werknemers. Terwijl dit in het bedrijfsleven omgekeerd is (of op z'n minst zou moeten zijn). Dus de sterkste spelers zitten al niet aan hun kant en toch willen ze de upper-hand hebben?

Ik denk dat de overheid meer moet sturen op wat de consequenties kunnen zijn in en dergelijke situatie voor het bedrijfsleven. Wanneer een hack gebeurd is het kwaad geschied probeer het eerder te voorkomen. Ontwikkel een regelgeving die simpel consequenties hangt aan een hack voor een bedrijf. Behalve dat ze dus gehacked worden zet er een penalty op of vervolg mensen strafrechtelijk. En nog belangrijker, wees een voorbeeld voor de maatschappij wil je recht hebben van spreken moet je het zelf op z'n minst goed doen en niet maandelijks in het nieuws komen met de volgende blooper.

IJzerlijm 6 juli 2012 17:50

Het zou bij ernstige rellen ook een goeie zaak zijn de mobiele netwerken tijdelijk uit te schakelen met uitzondering van bellen naar 112. Je zag het in Londen waar de plunderaars veel sneller konden communiceren dan de politie en ze zo steeds een stap voor waren.

blorf @IJzerlijm • 6 juli 2012 18:01

Ik dacht dat de meeste communicatie tegenwoordig wel zo goed als real-time was. Of konden ze gewoon sneller sms-en?

In plaats van alle communicatie plat te gooien zouden ze ook eens kunnen bekijken waar het nou aan ligt dat die gasten sneller waren. Ze hebben er vast niet meer voor betaald dan wat de politie uitgeeft aan communicatie-apparatuur en bijbehorende scholing. Bureaucratie...

Maar ik denk dat de prooi altijd een voordeel heeft ten opzichte van de jager. Die 2e loopt altijd achter de feiten aan. Dat heeft overigens niet veel met communicatie te maken.

[Reactie gewijzigd door blorf op 24 juli 2024 20:44]

veldmuis @IJzerlijm • 6 juli 2012 19:20

Zodat (een groot deel van de) journalisten niets kunnen vertellen over de situatie ter plekke, en niemand dus meekrijgt wat er aan de hand is?

En om een ander voorbeeld te geven: stel dat jij daar in de buurt bent, hoe laat jij aan het thuisfront weten dat ze wel/geen reden hebben om zich zorgen te maken?

Tot slot: als je stelt dat plunderaars sneller kunnen communiceren dan de politie heeft dat te maken met onkunde van de politie. Dat los je niet op* door te zorgen dat een ander dan maar helemaal niet meer kan communiceren.

Freeaqingme @IJzerlijm • 6 juli 2012 20:43

Beetje zoals vorig jaar in het midden-oosten toen er menig regering omver gebracht werd? Toen was het juist het Westen dat de mensen daar hielp aan communicatiemiddelen nadat de overheden die hadden uitgezet.

tommedema 6 juli 2012 17:44

Dit zal de nakoming van de meldplicht niet ten goede komen, aangezien een gemiddeld bedrijf waarschijnlijk geen zin heeft in een eventuele interventie.

wildhagen

Nederland
Overheid

@tommedema • 6 juli 2012 17:46

Ze hebben denk ik nog veel minder zin in boetes als ze zich aan de meldplicht onttrekken, denk dat dat hun nog veel meer schade oplevert

Ik vind dit op zich wel een goed plan, als het landsbelang ermee gediend is, moet men gewoon in kunnen grijpen in extreme scenario's.

p.m. @wildhagen • 6 juli 2012 22:13

Een hack komt altijd uit, daarom zal een bedrijf het wel uit haar hoofd laten om het niet te melden. Alleen het tijdstip waarop een (eventuele) hack gemeld moet worden is lastig. Te vroeg wil je niet, want onnodige onrust en imagoschade. Te laat ook niet, want schade. Maar doorgaans is het zeer complex om snel vast te stellen wat precies gebeurd is, zeker bij grote netwerken met honderden of duizenden servers.

Ik ben ook benieuwd hoe de overheid precies denkt in te grijpen. Zelf hebben ze die kennis met mate en onderbezet in huis. En Fox IT maar weer eens optrommelen en de rekening doorschuiven is wel erg gemakkelijk.

Verwijderd @tommedema • 7 juli 2012 06:38

Dit zal de nakoming van de meldplicht niet ten goede komen, aangezien een gemiddeld bedrijf waarschijnlijk geen zin heeft in een eventuele interventie.

Dan moeten ze zorgen dat ze "dicht" zijn. Een goede beveiliging hebben.
Idealitische motieven om iets te hacken (Anonymous) kunnen catastrofale gevolgen hebben.

Platleggen van websites, geheime informatie ontfutselen of een fabriek op afstand stil leggen: het kan allemaal via internet. Minister Hillen van Defensie maakt deze week bekend dat ons leger de aanval kiest in de digitale oorlog. Zelf op internet de eerste klap uitdelen om te voorkomen dat je wordt lamgelegd. Het beeld van de eenzame hacker op een zolderkamertje is inmiddels definitief verleden tijd. De hackers zijn internationaal verenigd in geheime collectieven zoals bijvoorbeeld Anonymous die wereldwijd georganiseerde cyberaanvallen uitvoert. Het wereldwijde web is een front geworden waarop heftige digitale oorlogen worden uitgevochten. Aanvallen tegen individuen, tegen overheden, tegen bedrijven en zelfs tegen landen.

http://brandpunt.kro.nl/s...menten/de_digitale_oorlog

Ik vraag mij dan wel af in hoeverre de staat toegerust is om dit te gaan bestrijden. Ik bedoel. Ze hebben zelf ook flink last gehad, Diginotar affaire.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 20:44]

bramhendriks 6 juli 2012 18:07

Het zou bij ernstige rellen ook een goeie zaak zijn de mobiele netwerken tijdelijk uit te schakelen met uitzondering van bellen naar 112.
Als ze zomaar even de mobiele netwerken kunnen uitschakelen, dan zullen ze het ook doen als het hun goed uitkomt, tijdens een demonstatie of zo. Ik vertrouw de overheid nog minder dan die hackers. Ik zie dit eerder tegen ons worden gebruikt dan dat het ons gaat helpen. Nee, dit is weer een slechte zaak. Kijk maar eens naar Egypte waar de overheid het internet uitschakelde. Vond je dat toen ook ok?

wildhagen

Nederland
Overheid

@bramhendriks • 6 juli 2012 18:10

Sorry, maar dit gaat natuurlijk nergens over. Egypte was een dictatuur, Nederland is dat niet, bij lange na niet zelfs. Dus om nu op voorhand al aan te nemen dat ze het daarvoor gaan gebruiken lijkt me dan ook enigszins kort door de bocht en ongefundeerd.

Gezien de kritieke rol die communicatie tegenwoordig speelt in de maatschappij, en de belangen die ermee gemoeid zijn, lijkt het me alleen maar goed als men in kan grijpen als het echt nodig is.

Ghostier @wildhagen • 6 juli 2012 18:36

Ja, maar stel nederland wordt een dictatuur, dan zou deze maatregel al helemaal niet terug gedraaid worden. Dus als je het in een 'democratisch' land al niet terugdraaid dan kun je later al helemaal niet klagen. Nu zeg ik niet dat nederland democratisch is, maar dat wordt in het algemeen wel verondersteld.

Jonathan-458 6 juli 2012 18:53

Geheel terecht vind ik, alle key infrastructuur moet indien nodig overgenomen kunnen worden door de overheid.

dgompie

@Jonathan-458 • 6 juli 2012 19:16

Sorry, toegevoegd: Ik vind dat ...

Nee, als het zo belangrijk zou zijn, dan zou de overheid ervoor moeten zorgen dat ze een eigen alternatief hebben, daar is het de overheid voor.

De overheid is wel de laatste die de (technische) kennis bezit om bedrijven over te nemen bij eventuele rampen, ed. Coördineren zouden ze misschien nog kunnen doen en bepaalde verplichten doorvoeren, zoals het verplichten dat een provider het verkeer overneemt van een andere provider die in de problemen zit. Maar aangezien de providers daar zelf al aan bezig zijn, is dat waarschijnlijk al niet nodig.

[Reactie gewijzigd door dgompie op 24 juli 2024 20:44]

p.m. @Jonathan-458 • 6 juli 2012 22:17

Onzin, enige wat er dan gebeurt is dat een bedrijf omdondert omdat niemand zonder enig inzicht even een infrastructuur kan overnemen.

Margin Call 6 juli 2012 17:46

Ik krijg een dubbel gevoel hierbij aangezien overheid en ICT nooit een goed huwelijk is geweest. Wordt dan het leger met een cyberdivisie ingezet die die sectoren beschermen of moet ik dit lezen de ramp is al gebeurt en de overheid krijgt dan de leiding / controle hoe het opgelost wordt?

TccT @Margin Call • 6 juli 2012 18:09

Ben het helemaal met je eens. De overheid staat erom bekend ICT steeds maar uit te besteden en te falen (bijv. de OV-chip en het miljarden debacle), mede daarom is Nederland een land met een hele lage en vaste ICT expertise binnen de overheid.

Aan de andere kant kunnen deze ambtenaren heel goed vergaderen, maar dat is het laatste wat je na een hack nodig hebt.

En Defensie? Die is pas sinds 2012 begonnen met een grootschalige ICT strategie.
Als deze Srebrenica, JSF en Lynx-crashende beunhazen providers en leveranciers moeten helpen na een hack zou ik mijn hart vasthouden.

Liever grijpt Mabel Wisse Smit in, die is tenminste bekend met de onderwereld

cire @TccT • 7 juli 2012 00:10

De OV-chipkaart was en is geen overheidsproject, maar van de vervoerders. Een slecht voorbeeld dus.

CodeCaster @Margin Call • 6 juli 2012 18:11

Ik denk dat je meer moet denken aan het afsluiten van het volledige internet in Nederland wanneer www.koninklijkhuis.nl is gehackt. Tenminste, als ik de kennis en kunde van de overheid met betrekking tot ICT een beetje inschat.

Verwijderd @Margin Call • 6 juli 2012 17:57

Inderdaad, laat de overheid hun eigen ICT eerst maar eens op orde krijgen.

Daarnaast heeft het geen zin om je er als 'externe' partij mee te bemoeien. Je bent dan immers al te laat...

Durandal @Verwijderd • 6 juli 2012 21:08

Inderdaad, laat de overheid hun eigen ICT eerst maar eens op orde krijgen.

De overheid valt zelf ook onder deze regeling. Evenals bijvoorbeeld (stroom)netbeheerders, banken en Schiphol.

totaalgeenhard 6 juli 2012 19:35

Veel preventiever is managers verantwoordelijk maken voor nalatigheid met repressieve middel van strafrecht.

Men dempt telkens de put als kalf verdronken is terwijl het beter is om te zorgen dat de verantwoordelijke van de put er voor zorgen dat kalf niet zomaar kan verdrinken.

cire @totaalgeenhard • 7 juli 2012 00:13

De vraag is natuurlijk of het helpt. Als het effect alleen is dat niemand beslissingen meer durft te nemen, heb je ook niets bereikt.

elmuerte @cire • 7 juli 2012 12:44

Geen beslissing nemen is nalatigheid.

Waar totaalgeenhard het over heeft zijn de verschillende voorbeelden waar het "werkvolk" al lang de problemen geconstateerd hadden en advies uitgebracht hadden. Maar dat management dit advies naast zich neer gelegd heeft omdat het geld kost.

Een simpel voorbeeld is backups. Backups die je niet test zin niks waard. En dan heb ik het niet alleen over backups van files, maar ook backup systemen. Je moet gewoon minimaal eens per jaar de stekker uit je hoofd systeem trekken om te kijken of het backup systeem het overneemt.
Dit soort acties moet je altijd buiten peak uren uitvoeren, en dat is vaak 's nachts of in het weekend. En dat betekend dat je mensen moet betalen voor exceptioneel overwerk.

BadRespawn 7 juli 2012 00:34

"maar waarschijnlijk gaat het daarbij om elke maatregel die nodig is om eventuele hacks te voorkomen en maatregelen om de gevolgen daarvan beperkt te houden"

Want van die bedrijven hoeven we dus niet te verwachten dat ze daar geld aan uitgeven, dat mag dan weer van belasting worden betaald.
En als het noodgeval voorbij is weer terug onder privaat beheer en privaat de winst opstrijken, mede gefinancierd uit belastinggeld? Zo willen we allemaal wel vrije marktje spelen.
En maar zelfstandig, onafhankelijk, ondernemend en innovatief zijn, geen overheidsbemoeienis willen tot ze hun vingers branden - en intussen lekker weinig belasting betalen. Hoezo maatschappelijke verantwoordelijkheid.

Het komt er op neer dat die geprivatiseerde nutsbedrijven niet op een maatschappelijk verantwoorde manier winst kunnen maken. Dus kunnen ze beter weer helemaal terug onder overheidsbeheer.
Als inefficiëntie vanwege "ambtenarij" een probleem is dan moet dat worden aangepakt, we hadden indertijd niet het kind met het badwater weg hoeven gooien.

Crowdsourcing 7 juli 2012 16:17

Hmm, dubbel gevoel.

Aan de ene kant goed dat de overheid, waarvan we immers toch nog steeds verwachten dat 'ze' veel zaken regelt, oplost en voorkomt, de nodige stappen zet op het vlak van ICT-beveiliging waarmee men ook echt slagkracht krijgt.

Aan de andere kant ben ik sceptisch over de hoeveelheid vertrouwen die we als burgers blijven houden in de overheid en de macht;controle die daarmee gepaard gaat. Ik betwijfel of dit nu echt de beste oplossing is. Zoals meerdere mensen al terecht aangeven, we hebben nogal wat voorbeelden gehad van het onvermogen van bestuurders op dit vlak. Ik geloof best dat het merendeel van hen goede intenties heeft, maar wellicht zijn er (hele) andere oplossingen die veel effectiever zouden zijn.

kverhoef 7 juli 2012 01:53

Nu kan ik gelukkig weer rustig slapen. De overheid, werkelijk een voorbeeld van doortastendheid, en zeker op IT gebied een enorme naam van vertrouwen heeft op gebouwd, gaat nu ingrijpen als het fout gaat....

"Er is voorshands nog geen enkele reden om werkelijk ongerust te zijn"
(Hendrikus Colijn)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (43)

Sorteer op:

Weergave: