In dit artikel kijken we naar de groeiende rol van de overheid bij de beveiliging van bedrijven, zowel binnen de vitale infrastructuur als het mkb. Zowel het Nationaal Cyber Security Centrum als het Digital Trust Center werken aan waarschuwingssystemen voor die bedrijven, maar hoe werkt dat?
Als je de meeste experts vanuit de overheid moet geloven, staat Nederland op het randje van een digitale afgrond. 'Digitale ontwrichting van de samenleving' is een begrip dat in de laatste jaren steeds vaker valt. Het staat in lijvige rapporten die allerlei mogelijke doemscenario's schetsen van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, de Wetenschappelijke Raad voor het Regeringsbeleid, de Algemene Rekenkamer en de AIVD en MIVD. Met die groeiende kans op ontwrichting komt ook de vraag op wie bedrijven daarover kan, mag en wil inlichten.
Patchnoodzaak
/i/2004850646.png?f=imagenormal)
Omdat de maatschappij steeds afhankelijker wordt van internet en de aanvoerlijnen steeds breder worden, kan een cyberaanval op één bedrijf een domino-effect veroorzaken dat bij veel meer bedrijven een probleem vormt. Managed service provider Kaseya is bijvoorbeeld geen heel opvallend bedrijf, maar toen het deze zomer werd geïnfecteerd met ransomware bleken kort daarna ook supermarkten daar last van te hebben. En supermarkten die plotseling niet meer bevoorraad worden, kunnen grote problemen opleveren. Niet alleen de bedrijven zelf worstelen met dat probleem. In toenemende mate zit ook de politiek daar steeds meer mee in de maag. Wat is de rol van de overheid bij het beveiligen van private bedrijven, en hoe verandert dat als dat de samenleving ook treft? In welke hoedanigheid kan de overheid eisen stellen aan veiligheid, aan de implementatie ervan?
Nieuwe Europese regels
Vanuit Europa werden de teugels eerder deze maand strakker aangetrokken. Toen sloten Europese ministers een akkoord waarbij de meldplicht voor cyberincidenten onder bedrijven wordt uitgebreid. Onder de nieuwe regels wordt een flink aantal nieuwe sectoren verplicht om een cyberincident te melden. Het gaat dan om sectoren zoals de farmaceutische industrie en de voedselproductieketen. "Cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie", zei demissionair minister Stef Blok van Economische Zaken tijdens de presentatie van de plannen.
Het gaat niet om een nieuw voorstel, maar een uitbreiding van de bestaande Europese Netwerk- en Informatiebeveiligingsrichtlijn. Die schrijft voor welke bedrijven en sectoren, kort door de bocht, belangrijk genoeg zijn om bij te staan met advies en waarschuwingen en welke bedrijven het zelf mogen uitzoeken. Vroeger vielen binnen die richtlijn alleen écht essentiële bedrijven, zoals energieleveranciers en telecomnetwerken, maar met deze nieuwe Directive on Security of Network and Information Systems 2 wordt die lijst uitgebreid. NIS2 wijst niet alleen essentiële diensten aan, maar er komen ook 'belangrijke' diensten bij die dus niet essentieel, maar wel belangrijk voor de maatschappij zijn.
Het grote verschil tussen die 'Essentieel'- en 'Belangrijk'-categorie is de mate van toezicht. Bij de essentiële industrieën wordt daar proactief toezicht op gehouden door waakhonden, zoals in Nederland het Nationaal Cyber Security Centrum. Essentiele bedrijven moeten aan bepaalde beveiligingsnormen voldoen, en worden daar ook op getoetst. De belangrijke bedrijven hoeven niet aan die normen te voldoen, maar moeten wel verplicht een melding doen van cyberincidenten.
:strip_exif()/i/2004850648.jpeg?f=imagenormal)
NCSC
Die maatregelen zijn allemaal best abstract en vooral regelgevend. Daarnaast probeert de overheid al een paar jaar om bedrijven ook actief te helpen met hun beveiliging. Dat gebeurt door het NCSC, onderdeel van het ministerie van Justitie en Veiligheid. Het NCSC verzorgt de beveiliging van de Rijksoverheid, maar ook van een paar bedrijven. Het instituut beschrijft zijn eigen taak letterlijk als: "Het bijstaan van Rijksoverheid en vitale aanbieders bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van hun producten of diensten te waarborgen of te herstellen." Naast het bijstaan van die bedrijven doet het NCSC ook aan 'het informeren en adviseren van deze aanbieders en anderen over dreigingen en incidenten over informatiesystemen', en aan 'het verrichten van analyses en technisch onderzoek naar aanleiding van die dreigingen en incidenten'.
In de praktijk betekent dat dat het NCSC bedrijven en de overheid waarschuwt voor cyberdreigingen. Dat gebeurt deels via openbare waarschuwingen. Zo waarschuwde het centrum begin dit jaar dat Exchange-servers nog kwetsbaar waren, maar het stelt ook richtlijnen op voor het gebruik van bepaalde securitystandaarden en -ontwikkelingen, zoals het advies om op TLS 1.3 over te stappen. Ook waarschuwt het NCSC via blogposts of sociale media voor het einde van ondersteuning voor bijvoorbeeld programmeertalen.
Vitaal of niet
In de term 'vitale aanbieders' zit de crux. Wie is anno 2021 nog vitaal en wie niet? Dat is geen arbitraire afweging. Nederland-polderland heeft dat heel nauwkeurig vastgelegd in de Wet beveiliging netwerk- en informatiesystemen of Wbni die sinds eind 2018 bestaat. Daarin staat vastgelegd dat bepaalde bedrijven en instanties maatregelen moeten nemen om hun cyberveiligheid op orde te houden. Ook schrijft de wet een meldplicht voor bij 'ernstige incidenten'. Bedrijven die daarmee te maken hebben moeten dat melden aan het NCSC. De wet geldt alleen voor 'aanbieders van een essentiële dienst'. In het bijbehorende Besluit beveiliging netwerk- en informatiesystemen staat beschreven wat daaronder valt. Het gaat om onder andere energieleveranciers en -netbeheerders, drinkwaterbedrijven, infrastructuurbedrijven zoals Schiphol of de Luchtverkeersleiding, banken en internetknooppunten. Ook vallen de Kamer van Koophandel en zogenaamde 'afwikkeldiensten' onder die definitie. Dat zijn bedrijven die betalingsverkeer afwikkelen buiten de banken om. Maar, opvallend, de exacte lijst is een goedbewaard industriegeheim. Alleen het NCSC weet wie er allemaal precies op de lijst staat, en houdt dat ook zo. Je kunt uit het wetsbesluit een behoorlijk goed idee krijgen van de bedrijven die erop staan - hoeveel internetknooppunten heeft Nederland nou helemaal? - maar desondanks is de lijst geheim. "De wetgever maakt de sectoren bekend die het als vitaal beschouwt", zegt Martijn Jonk van het NCSC tegen Tweakers. Dat wordt bepaald per ministerie: het ministerie van VWS bepaalt welke zorginstellingen eronder vallen, Economische Zaken welke telecomproviders enzovoorts. "Als we de specifieke bedrijven bekend maken trekken die misschien onnodig meer aandacht", zegt Jonk.
/i/2004342572.png?f=imagenormal)
Het NCSC is echter geen verlengstuk voor de ict-afdeling van een bedrijf. De Rabobank hoeft niet te verwachten dat experts van het centrum met loeiende sirenes langskomen, hun laptops openzetten en vervolgens even het netwerk gaan segmenteren en patches doorvoeren. De hulp van het NCSC blijft beperkt tot advies, vertelt Jonk. Het Nationaal Cyber Security Centrum doet ruwweg twee soorten meldingen. "Aan de ene kant geven we advies en uitleg. Dat zijn meldingen over bekende kwetsbaarheden zoals in Citrix vorig jaar. Ook kan het gaan om onbekende kwetsbaarheden. Als we iets horen over zerodays die mogelijk gevaarlijk zijn dan waarschuwen we daar ook voor. Die uitleg doen we samen met andere partijen binnen het Landelijk Dekkend Stelsel en die delen we met heel Nederland." Het zijn deze adviezen die je op de site van het NCSC kunt zien, waar je je via een rss-feed op kunt abonneren of die je van ze meekrijgt op Twitter. Maar ook achter de schermen gebeurt er veel. Bedrijven kunnen lijsten aanleveren bij het NCSC met ip-adressen die ze in hun organisatie gebruiken. "Als het mogelijk is, kijken we naar dreigingsinformatie van buiten. We proberen dan te zien of er in Nederland zwakke systemen zijn. Dat doen we met zelfscans, maar ook met monitoringsgegevens die we van bedrijven krijgen.
Digital Trust Center
Er is nog een andere instantie die op een soortgelijke manier bedrijven probeert te helpen met hun beveiliging. Dat is het Digital Trust Center. Dat is ondergebracht bij het ministerie van Economische Zaken, in tegenstelling tot het ministerie van Justitie en Veiligheid waar het NCSC onder valt. Onder de streep komt veel dreigingsinformatie die de twee instanties versturen van dezelfde bronnen. Sterker nog, de informatie wordt gedeeld via het Landelijk Dekkend Stelsel 'waarin het NCSC en het DTC samenwerken met publieke en private organisaties om informatie en kennis uit te wisselen', schrijven de partijen.
:strip_exif()/i/2004850650.jpeg?f=imagenormal)
Het grootste verschil zit in welke bedrijven worden gewaarschuwd door welke van de twee partijen. Waar het NCSC zich richt op bedrijven binnen een duidelijke, vooraf afgebakende lijst, kun je het mandaat van het DTC samenvatten als 'alle andere bedrijven in Nederland'. Het centrum is er voor grote bedrijven die niet als vitaal staan aangemerkt, maar ook voor het midden- en kleinbedrijf en zelfs voor zzp'ers. Volgens het DTC gaat het om zeker twee miljoen bedrijven in Nederland.
Minder bekend
Die bedrijven worden over het algemeen op dezelfde manier bereikt zoals het NCSC dat openbaar doet: met blogposts, publieke advisories en sociale media. Sinds dit jaar krijgen bedrijven ook persoonlijk een melding van het DTC. Dat gebeurt deels ongevraagd. "Het DTC deelt sinds de zomer specifieke dreigingsinformatie, bekend bij de overheid, met het bedrijfsleven", zegt een woordvoerder tegen Tweakers. "Sinds de zomer zijn er tien verschillende aanleidingen geweest om bedrijven te notificeren. Hiertoe heeft het DTC dan ook bijna 300 bedrijven direct gewaarschuwd voor een ernstige cyberdreiging."
Het Digital Trust Center is veel minder bekend bij het grote publiek dan het meer sexy NCSC, merkt de instantie zelf ook. "De bedrijven die genotificeerd worden over ernstige kwetsbaarheden binnen hun bedrijven kennen het DTC vaak niet", zegt de woordvoerder. "We hebben dan ook geen contactgegevens van hen. In de ideale wereld gaan we naar een situatie toe waarbij het DTC de contactgegevens heeft van de betreffende bedrijven om zo het proces van notificeren en waarschuwen te versnellen."
Niet-vitale pilot
Het Digital Trust Center is begonnen met een pilot om niet-vitale bedrijven te waarschuwen voor bugs
Om die reden begon het centrum eerder dit jaar een pilot waarbij het ook niet-vitale bedrijven van securitywaarschuwingen ging voorzien, maar dan met hun instemming. Dat noemt de instantie 'gevraagd notificeren'. Daar zijn momenteel 57 bedrijven bij aangesloten, die een jaar lang beveiligingswaarschuwingen ontvangen van het DTC. Ze geven daarvoor naast hun contactgegevens ook lijsten met ip-adressen en AS-nummers. Als het DTC via het Landelijk Dekkend Stelsel van het NCSC en van andere partijen informatie ontvangt over bedreigingen, dan kan het kijken of zulke aanvallen overeenkomen met de informatie van bedrijven die het heeft.
Het doel van de pilot is om op termijn veel meer bedrijven tegelijk te kunnen benaderen als er kwetsbaarheden worden ontdekt waar veel bedrijven slachtoffer van kunnen worden. "Met een testgroep wordt onderzocht of deze 'waarschuwingsdienst' geautomatiseerd kan worden", zegt het DTC. Daarbij gaat het dus in de eerste plaats om 'gevraagd notificeren', dus van bedrijven waarvan vooraf zowel de contact- als dreigingsinformatie beschikbaar is.
Openbare info
Veel van de informatie die het NCSC en het DTC aan bedrijven geeft, is in zekere zin ook voor niet-vitale bedrijven te vinden. Op de pagina met beveiligingsadviezen publiceert het NCSC alle openbare advisories in uiteenlopende software, met uiteenlopende veiligheidsadviezen. Voor advisories met zowel een hoge kans op infectie als een hoog risico wordt vaak nog een extra waarschuwing gegeven, zoals eerder deze week bij een kwetsbaarheid in remote-desktopapplicatie Zoho. Het NCSC verzamelt die data niet allemaal zelf, al heeft het wel securityexperts in dienst die deze op waarde schatten. Maar het leeuwendeel van de kwetsbaarheden komt van externe beveiligingsonderzoekers. Dat zijn bijvoorbeeld ethische hackers, maar een belangrijke speler is ook het Dutch Institute for Vulnerability Disclosure of DIVD. Dat is een collectief van vrijwilligers waar onder andere whitehathacker Victor Gevers de medeoprichter van is. Hij zag een paar jaar geleden een behoefte om bedrijven te gaan waarschuwen voor bekende kwetsbaarheden, vertelt hij aan Tweakers.
/i/2004463092.png?f=imagenormal)
"We zijn met het DIVD begonnen omdat we ruimte zagen om iedereen aan te spreken", zegt Gevers. Hij bedoelt daarmee het verschil tussen de meldingen die het NCSC aan bedrijven geeft en de meldingen vanuit het Digital Trust Center. Naast de vitale infrastructuur en het mkb blijft er nog een grote groep over zoals zzp'ers of hobbyisten met eigen websites die net zo goed kwetsbaar zijn. Het DIVD spoort kwetsbare systemen op en kijkt welke daarvan op internet zijn aangesloten. Een groot deel van die meldingen zet de stichting door naar het NCSC en het DTC. "Ons Cyber Security Incident Response Team is gekoppeld aan het NCSC, en we zitten in dezelfde chatkanalen. Dat klinkt suf, maar vroeger mailden we alleen maar naar elkaar en dat ging veel trager", zegt Gevers.
Dubbelop
Als vrijwillige onderzoekers zoals het DIVD of een zelfstandige ethische hacker een kwetsbaarheid of een kwetsbaar systeem vinden, staat het hen vrij dat door te geven aan het betreffende bedrijf. De samenwerkingen met het NCSC en het DTC zijn vrijblijvend en kennen geen geheimhouding. Daardoor is het heel goed mogelijk dat er bij een groot incident zoals de Kaseya-ransomware bedrijven zijn die door zowel de overheid als door private partijen worden gewaarschuwd. Gevers vindt dat niet overbodig. Je kunt immers beter een keer extra waarschuwen dan een keer te weinig. "Bovendien heeft het NCSC een wettelijke taak om vitale bedrijven in te lichten. Dat wij dat als vrijwilligers ook doen is heel lief, maar geen officiële taak. Als we er morgen voor kiezen dat even een dagje niet te doen, moet de overheid dat wel blijven doen."
Soms komt informatie over kwetsbaarheden van meerdere kanten binnen bij een bedrijf
Het zijn dat soort instanties waar het NCSC een groot deel van zijn kennis door vergaart. Het NCSC krijgt die aangeleverd van securitybedrijven, maar ook softwareontwikkelaars zoals Microsoft, vertelt Jonk. "En informatie komt van internationale partners zoals andere Europese autoriteiten, en van de Nederlandse politie en opsporingsdiensten. Maar daarnaast houden we ook zelf het nieuws in de gaten. We volgen bepaalde bloggers of kijken op sociale media en maken op basis daarvan adviezen."
Ook het DTC maakt veelvuldig gebruik van externe beveiligingsexperts om dreigingsinformatie op te sporen. Daarbij noemt de woordvoerder specifiek het DIVD, maar ook het NCSC. Vervolgens heeft het DTC ook een eigen team van experts in huis dat de gevonden kwetsbaarheden analyseert. "De ernst ervan wordt ingeschaald op basis van een aantal criteria", zegt een woordvoerder. "Hoe groot is bijvoorbeeld de kans dat de kwetsbaarheid wordt misbruikt? Hoe ernstig is de schade die kan optreden bij misbruik? Is er snel actie nodig? Als alle afwegingen tezamen leiden tot de conclusie dat dit een ernstige cyberdreiging is die een bedrijf erg kwetsbaar maakt voor misbruik, dan gaat het DTC het betreffende bedrijf benaderen."
Conclusie
De overheid gaat het bedrijfsleven voorlopig niet actief bijstaan met het verhelpen van kwetsbaarheden, maar het zet wel voorzichtige eerste stappen richting hulp. Voorlopig gaat het daarbij vooral over waarschuwingen, afkomstig van tips van externe bronnen. Dat kan zowel preventief, met openbare informatie over kwetsbaarheden zoals log4j, maar ook reactief als van bepaalde bedrijven bekend is dat ze actief worden aangevallen. Voor dat laatste is wel informatie nodig. Organisaties zoals het Digital Trust Center zoeken naar mogelijkheden om met bedrijven samen te werken om de notificatiemogelijkheden op te schalen. Daarnaast zijn er veel vrijwilligers en ethisch hackers die hun eigen kwetsbaarheidsmeldingen doorgeven. Grote kans dus dat een aangevallen bedrijf van meerdere kanten wordt benaderd met een waarschuwing, ongeacht of ze dat zelf al doorhadden. Een gewaarschuwd mens telt voor twee - of in dit geval voor drie of vier.
:strip_icc():strip_exif()/i/2005087378.jpeg?f=fpa_thumb)
:strip_exif()/i/2005763778.jpeg?f=fpa)
:strip_exif()/i/2004698112.jpeg?f=fpa)
/i/2004779058.png?f=fpa)
:strip_exif()/i/2004801994.jpeg?f=fpa)
:strip_exif()/i/2004873156.jpeg?f=fpa)
/i/2004838090.png?f=fpa)
/i/2004832086.png?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
/i/2004620466.png?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
/i/2004735554.png?f=fpa)
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
/u/1701/crop5e4a6f9f75b96.png?f=community){kind=small}
:strip_icc():strip_exif()/u/157390/crop5decc9d996782_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/290828/choco.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/61340/125281113_256.jpg?f=community){kind=small}
/u/365254/crop62e2919a741c0.png?f=community){kind=small}
:strip_icc():strip_exif()/u/930435/crop5937add5a2b06_cropped.jpeg?f=community){kind=small}
/u/28121/avatar_kleiner.png?f=community){kind=avatar}
:strip_exif()/u/84481/crop55f2cc178a988_cropped.gif?f=community){kind=small}
