Wat doet het NCSC?

Beveiligingsnieuws is niet uit Tweakers weg te denken, omdat het een belangrijke rol speelt in het huidige internetlandschap. Kwetsbaarheden in software hebben onder meer overgenomen systemen, datalekken en grootschalige ddos-aanvallen tot gevolg. Door de introductie van goedkope internet-of-thingsapparaten, die beveiliging niet als belangrijkste eigenschap hebben, en het uitlekken van geavanceerde hacktools van overheden zijn er bovendien nieuwe kopzorgen bijgekomen voor wie internet zo veilig mogelijk wil houden.

In Nederland ontstond rond de verkiezingen ophef over de beveiliging van het kiesproces en was, na de gebeurtenissen in de Verenigde Staten, sprake van mogelijke Russische inmenging. In die periode kwam naar buiten dat het Nationaal Cyber Security Centrum betrokken was bij de beveiliging van politieke partijen en dat bedrijven gratis hulp hadden aangeboden bij de beveiliging van de verkiezingen.

Mede door deze ontwikkelingen is het belang van een organisatie als het NCSC in de loop van de tijd steeds groter geworden. Af en toe haalt het centrum het nieuws, maar over het algemeen is er niet veel over bekend. Door de zojuist genoemde ontwikkelingen is er genoeg reden om eens te kijken naar het NCSC zelf. In dit achtergrondartikel verdiepen we ons in deze organisatie door te kijken naar de geschiedenis, de taken en de activiteiten ervan. Daarnaast spraken we met NCSC-hoofd Hans de Vries en met onderzoekers die nauw met het NCSC hebben samengewerkt om een beeld van de organisatie te krijgen.

Onder zijn huidige naam bestaat het NCSC nog niet heel lang, maar daarvóór ging het in een andere vorm en onder verschillende benamingen door het leven. In de loop van de tijd zijn ook de taken van de organisatie veranderd.

Het begon allemaal op 5 juni 2002, toen het CERT-RO, of Computer Emergency Response Team - Rijksoverheid, in het leven werd geroepen. De organisatie had destijds tot taak als centraal meldpunt te fungeren voor veiligheidsincidenten en de overheid te voorzien van ondersteuning. Een aantal maanden later kwam daar een waarschuwingsdienst bij, met de tot de verbeelding sprekende url 'waarschuwingsdienst.nl'. In de tussentijd was de naam van het CERT-RO veranderd in Govcert.nl, onder andere omdat de naam te veel leek op die van het Roemeense Cert en omdat hij als te beperkend werd ervaren. De taken bleven echter voor een groot deel dezelfde. Zo luidde de officiële taakomschrijving: ‘het ondersteuning bieden aan de overheid op het gebied van preventie en afhandeling van ict-gerelateerde veiligheidsincidenten, zoals computervirussen, hackeractiviteiten en fouten in applicaties en hardware’.

De eerdergenoemde waarschuwingsdienst was bedoeld voor burgers en bedrijven die niet meer dan tien computers in hun bezit hadden. De dienst stuurde waarschuwingen uit over verschillende dreigingen, in eerste instantie gebeurde dat via e-mail. Burgers konden zelf de dienst voorzien van tips. Op 26 februari 2003 stuurde de organisatie daadwerkelijk zijn eerste waarschuwing uit. Die ging over de LovGate.C-worm, een zogenaamde mass mailer, die zich verspreidde via bijlagen van e-mailberichten. Bovendien stuurde de worm een e-mail met het ip-adres van de geïnfecteerde pc naar zijn makers en opende hij poort 10168, waarna het systeem op afstand te benaderen was.

Govcert-introductiefilmpje uit het vorige decennium

In de volgende jaren bleef Govcert zijn taken uitvoeren en in 2006 had de dienst ongeveer twintig werknemers. Intussen passeerden malwarevarianten als Slammer, MyDoom, Storm en Conficker, en ontmantelde de organisatie een botnet van 1,5 miljoen computers. Dit ging door tot 2011, toen de DigiNotar-affaire aan het licht kwam. In de loop van dat jaar bleek dat hackers op de systemen van het Beverwijkse bedrijf meer dan vijfhonderd digitale certificaten hadden vervalst en dat de beveiliging van het bedrijf sterk te wensen overliet. Nog steeds staat DigiNotar in Nederland en internationaal bekend als een van de dieptepunten uit de securitygeschiedenis.

In de politiek bleef deze gebeurtenis uiteraard niet zonder gevolg. In het najaar van 2011 sprak de Tweede Kamer de wens uit voor een 'digitale brandweer', die snel kon reageren op ict-incidenten. Daarvoor hadden verschillende Nederlandse hackerscollectieven al een oproep gedaan om de bevoegdheden van het bestaande Govcert uit te breiden, omdat er tot dat moment alleen een adviesrol voor de organisatie was weggelegd. Er gingen destijds ideeën rond om deze digitale brandweer onder te brengen bij een nieuwe organisatie, het NCSC. Dat zou zijn deuren openen in 2012.

Het NCSC begon zijn werk op 1 januari 2012. De nieuwe organisatie, die valt onder de Nationaal Coördinator Terrorismebestrijding en Veiligheid, nam voorganger Govcert in zich op. In de jaren die volgden, hield de organisatie zich onder andere bezig met onderwerpen als de besmetting van overheidssystemen door het Dorifel-virus, het introduceren van regels rond responsible disclosure en geavanceerde aanvallen op fundamentele computertechnieken.

Het NCSC is de spin in het web bij het delen van informatie en kennis over internetbeveiliging. De organisatie, die tachtig medewerkers telt, stelt zich tot doel om een ‘open, veilige en stabiele informatiesamenleving’ te realiseren en is ondergebracht bij de Directie Cyber Security. Die is op zijn beurt onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Het centrum coördineert bij ict-crisissituaties en heeft de rol van cert voor het Rijk, die hiervoor aan Govcert was toebedeeld.

Behalve aan die taak werkt het NCSC samen met Nederlandse bedrijven in de zogenoemde vitale sectoren. Daaronder vallen bijvoorbeeld energiebedrijven en telecomproviders. Een verstoring van die diensten zou ernstige gevolgen voor de samenleving met zich meebrengen. Als uitvloeisel van de eerdergenoemde DigiNotar-affaire is de 'Wet gegevensverwerking en meldplicht cybersecurity' in het leven geroepen, die momenteel ter goedkeuring voorligt aan de Eerste Kamer. Die wet verplicht bedrijven in de vitale sectoren ‘ict-inbreuken’ te melden bij het NCSC. Voluit heet het dat de meldplicht geldt voor 'een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen'. Een ddos-aanval valt hier bijvoorbeeld buiten.

Welke bedrijven precies een incident moeten melden, wordt geregeld in het 'Besluit meldplicht cybersecurity', waarover momenteel een internetconsultatie loopt. Daaruit blijkt het voornemen om bedrijven op te nemen die zich bezighouden met het leveren van drinkwater, energie en financiële diensten. Daar komen verder organisaties bij die ‘inrichtingen beschermen waarin kernenergie wordt vrijgemaakt’. Ook ontbreken telecom- en internetproviders niet, net als Mainports Rotterdam en Schiphol. Tot slot worden de ‘digitale overheid’ en organisaties die zich bezighouden met de waterkeringen genoemd. Komt er een vraag van buiten het rijk of de zojuist genoemde sectoren binnen, dan kan het NCSC alsnog advies geven of een onderzoek uitvoeren. Om oplossingen voor vraagstukken te ontwikkelen, zijn ‘information sharing and analysis centres’ opgericht, samen met verschillende sectoren. Binnen deze verbanden kan geheime informatie gedeeld worden, bijvoorbeeld over ernstige kwetsbaarheden. Dit gebeurt alleen mondeling, zodat die informatie niet naar buiten komt.

Afbeelding via NCSC

De activiteiten van het NCSC vallen grofweg te verdelen in drie categorieën: monitoring en response, expertise en advies, en de waakdienst. Bij de eerste categorie gaat het om incident response, wat gezien kan worden als een soort eerste hulp bij beveiligingsincidenten. Daarbij speelt het beperken van de mogelijke schade een belangrijke rol. Andere onderdelen van deze taak zijn het waarnemen en begrijpen van alle soorten dreigingen. Als bijvoorbeeld een nieuwe vorm van malware is ontdekt of malware op een systeem is gedetecteerd, hoort het aansluitende onderzoek van die kwaadaardige software ook bij deze taak. Ten slotte komt daar nog crisiscoördinatie bij.

De tweede categorie, expertise en advies, is vrij breed. Daaronder valt bijvoorbeeld het Cybersecuritybeeld, dat het NCSC jaarlijks publiceert. Daarin gaat het in op nieuwe dreigingen op ict-gebied. Verder publiceert de organisatie beveiligingsrichtlijnen, die door veel organisaties worden overgenomen. Daarnaast komen dagelijks beveiligingsadviezen over nieuwe en verholpen kwetsbaarheden naar buiten, die door het NCSC worden voorzien van een schatting van de kans dat het lek wordt gebruikt en van de schade die daarbij kan ontstaan. Los van zijn adviesrol, maakt het NCSC deel uit van het Nationaal Detectie Netwerk. Dat is een samenwerkingsverband tussen onder meer de AIVD, de MIVD en verschillende bedrijven. Welke organisaties precies deelnemen, is geheim.

Op een vrij koude dag toog deze redacteur naar Den Haag, waar het NCSC is gevestigd. Het is ondergebracht in een door architect Hans Kollhoff ontworpen gebouw aan de Turfmarkt, dat ook bekendstaat als de JuBI-toren en aan de buitenkant alleen vermeldt dat het het ministerie van Binnenlandse Zaken huisvest. Na een pasje verkregen te hebben, konden we een van de hogere verdiepingen met de lift bereiken. Daar is een sluis die alleen met een ander pasje door te komen is. Dat tweede pasje moet weer op een andere verdieping worden gehaald. Uiteindelijk lukte het toch om het NCSC binnen te komen en te spreken met organisatiehoofd Hans de Vries, die deze functie sinds 2013 bekleedt. Jammer genoeg was het niet toegestaan om binnen foto’s te maken of zelf rond te kijken, dus een beschrijving van het security operations center uit de eerste hand moet hier ontbreken.

Over de waakdienst zegt De Vries: "Meldingen kunnen vanuit allerlei verschillende bronnen komen. Dat kan ook Tweakers zijn. We hebben ook chatkanalen met internationale collega’s openstaan, waarin informatie uitgewisseld kan worden. Wat dan plaatsvindt, is een schatting van de ernst van de melding. Als de melding voldoende ernstig is, gaat die door naar een tweede persoon, die hem verder evalueert. Daarbij gaat het om minutenwerk, omdat de eerste persoon alweer klaar moet staan voor de volgende notificatie."

Een kwetsbaarheid of ander incident kan dermate ernstig zijn dat er sprake is van een nationale crisis. Dan treedt het crisisproces in werking. "Dan is het mogelijk om de politie, het OM of de inlichtingendiensten op te roepen en de staatssecretaris te informeren. In principe is het mogelijk om een melding binnen enkele uren naar het hoogste niveau door te sturen”, aldus De Vries. "In noodgevallen is het mogelijk om een beroep te doen op Defensie. Daar is een honderdtal man beschikbaar. Dat is volgens mij tot nu toe alleen bij DigiNotar en bij oefeningen gebeurd."

Als het om de rol gaat die het NCSC in Nederland speelt, grijpt De Vries terug op een benaming die eerder langs is gekomen. "In feite moet je het NCSC zien als de digitale brandweer. Wij zijn er om als eerste te reageren op een incident, maar het daaropvolgende onderzoek wordt gedaan door andere organisaties, bijvoorbeeld de politie of de AIVD." Het centrum kan meldingen ook doorverwijzen naar de verantwoordelijke gespecialiseerde organisaties, zoals de IBD voor gemeentes. Over de samenwerking met private partijen zegt het NCSC-hoofd: "Het belangrijkste in die relatie is vertrouwen. Vertrouwelijke informatie die wij binnenkrijgen, wordt niet verder gedeeld. Dus een aangifte bij de politie of de AIVD, dat moet een organisatie zelf beslissen. Organisaties zijn bovendien zelf verantwoordelijk voor het oplossen van problemen, maar we staan ze wel met raad bij."

Bij responsible disclosure kan het NCSC volgens De Vries een ondersteunende rol spelen. "Als een ethische hacker bijvoorbeeld een kwetsbaarheid bij een bedrijf meldt, komt het soms voor dat er geen reactie komt. In die gevallen nemen wij contact op met dat bedrijf, ook als het om een buitenlandse organisatie gaat. Wij merken dat het dan vaak toch net iets sneller wordt opgepakt." De Vries zegt dat responsible disclosure een belangrijke rol speelt in Nederland. "Als we dit al niet geregeld krijgen, dan kunnen we de grotere dingen ook niet aanpakken." De directeur zegt dat de leidraad voor het melden van lekken in zijn huidige staat werkt en dat verschillende landen, waaronder Japan en Nieuw-Zeeland, hem gedeeltelijk hebben overgenomen. Hij ziet geen noodzaak voor het aanpassen van de leidraad. "Ethische hackers zullen nooit een volledige vrijbrief krijgen om een systeem te hacken. Ik denk dan ook dat de huidige regeling voldoende bescherming biedt."

Kijkt De Vries naar de toekomst, dan ziet hij de behoefte groeien aan mensen met technische kennis. "We hebben momenteel de nodige technische kennis in huis en we kunnen ons daarmee gelukkig prijzen. We zijn in het afgelopen jaar bijvoorbeeld gegroeid, maar we moeten nog verder groeien. Hoewel cyber mainstream is, hebben we meer mensen nodig die dit snappen. Ik zie daarom de noodzaak om dit al in het vroege onderwijs te introduceren." Verder merkt hij op dat de beveiliging van iot-apparaten te wensen overlaat. "Wij zeggen hier wel eens: the s in iot stands for security. Ik ben dan ook helemaal niet tevreden met de manier waarop de markt dit heeft aangevlogen. We bouwen in feite nu al de legacy van morgen."

Over de rol van het NCSC rond de beveiliging van de Nederlandse verkiezingen en berichten over mogelijke Russische inmenging wil De Vries niets zeggen, behalve dat 'het NCSC niet focust op attributie'.

In februari publiceerde een aantal VU-onderzoekers een methode om de geheugenbescherming aslr te omzeilen door gebruik te maken van javascript. Door die methode toe te passen, kan een aanvaller achter geheugenadressen komen die normaal gesproken door aslr beschermd moeten zijn, waardoor de methode verstrekkende gevolgen kan hebben. Bescherming tegen de aanval is bovendien een lastig vraagstuk, omdat deze gebruikmaakt van een fundamentele eigenschap van processors. Om het gesprek met de verschillende processorfabrikanten aan te gaan, riepen de onderzoekers de hulp van het NCSC in om het proces te begeleiden. Omdat het om een interessante kwetsbaarheid gaat, ging Tweakers bij hen na hoe zij dit hebben ervaren vanuit het perspectief van de beveiligingsonderzoeker.

Een van de onderzoekers, Ben Gras, liet in een reactie weten: "Door overleg ter plaatse en correspondentie per e-mail had ik een zeer competente indruk van de medewerkers van het NCSC. Zij stelden vragen die blijk gaven van vergaande diepgang. Ik heb de samenwerking als prettig en professioneel ervaren. Men nam vergaand het initiatief om te bedenken welke partijen betrokken waren en om de evenknieën van het NCSC in andere landen op de hoogte te brengen. Er was frequente terugkoppeling op de voortgang en ook de nodige vragen of zekere communicatie wat ons betreft akkoord was. Dit alles kon ik zeer op prijs stellen. We hebben het NCSC dan ook expliciet bedankt in onze presentaties."

Gevraagd naar de meerwaarde van de organisatie laat Gras weten dat die er zeker is en dat die vooral bestaat uit het netwerk dat het NCSC heeft opgebouwd. Hij vervolgt: "Mijn gedachte is dat zolang de vertrouwelijkheid van informatie bij NCSC en partners gewaarborgd blijft, beveiligingsonderzoekers er geen twijfel over moeten hebben dat de organisatie een hoop meerwaarde heeft voor de verantwoorde afwikkeling van beveiligingsonderzoek."

Professor Herbert Bos, die aan het hoofd staat van onderzoeksgroep softwarebeveiliging van de VU, liet weten de bevindingen van Gras te delen en voegde daaraan toe dat het NCSC goed is omgegaan met de eis dat onderzoek eerst geaccepteerd moet worden voordat disclosure kan plaatsvinden. Dit gebeurt om te voorkomen dat anderen er met de resultaten vandoor gaan. Daardoor vindt de melding van een kwetsbaarheid aan een fabrikant later plaats dan in theorie mogelijk is en ontstaat soms wrijving, legt Gras uit. Volgens Bos 'is het NCSC daar toen zeer voortvarend achteraan gegaan' en heeft het een discussie met Microsoft en met de voorzitters van grote beveiligingsconferenties geregeld, wat hij omschrijft als 'zeer proactief'.