De ervaring van ISIDOOR als voorzitter van de interdepartementale commissie crisisbeheersing heeft me twee zaken opnieuw doen beseffen: het belang van oefenen én het belang van elkaar kennen. Wie zijn mijn partners? Met welke organisaties ben ik verbonden? Is mijn organisatie een dominoblokje dat onherroepelijk omvalt als de rest ook gaat? Of kunnen we ons daar voldoende tegen wapenen? Vragen die we wat mij betreft kunnen scharen onder het mom van prepare for the worst and hope for the best. Ik raad iedere organisatie aan om met die voorbereiding aan de slag te gaan én te blijven. In dit eerste NCTV-magazine dat geheel in het teken staat van cybersecurity vindt u voldoende inspiratie. Van handvatten om zelf te oefenen tot een verhaal uit de praktijk van Veiligheidsregio Noord- en Oost-Gelderland waar we veel van kunnen leren. 

De directe aanleiding voor het publiceren van dit e-magazine is het verschijnen van het Cybersecuritybeeld Nederland 2021. De kernbevindingen die ook in dit magazine aan de orde komen, zouden alle alarmbellen moeten doen af gaan. Onze afhankelijkheid van digitale processen  - het zenuwstelsel van de maatschappij – staat in schril contrast met onze weerbaarheid tegen digitale dreigingen. Dreigingen van statelijke actoren én cybercriminelen, die het afgelopen jaar COVID-19 hebben aangegrepen om digitale aanvallen te plegen, nemen toe. Ondanks positieve ontwikkelingen blijkt uit de cyberincidenten die Nederland hebben geraakt dat de weerbaarheid daarbij achter blijft. Zelfs basismaatregelen zijn niet overal op orde. Daarom ben ik blij met de handreiking van het NCSC waarover u ook meer kunt lezen. Een handreiking waarmee organisaties in elk geval de basis op orde kunnen krijgen. Doe er uw voordeel mee. Ondertussen werken we samen met onze partners onder andere aan het uitbreiden van het Landelijk Dekkend Stelsel: een structuur waarbinnen publieke en private partijen informatie en kennis uitwisselen om digitale ontwrichting te voorkomen én Nederland cyber weerbaarder te maken.

Op het moment van schrijven is het EK Voetbal volop aan de gang. Het Nederlands elftal won de drie groepswedstrijden en plaatste zich glansrijk voor de achtste finale. Een resultaat waar zelfs de bekritiseerde bondscoach om gewaardeerd werd - tot de wedstrijd tegen Tsjechië... Zo zie je maar: je bent zo goed als je laatste wedstrijd. En dat geldt ook voor ons en voor iedereen die zich bezighoudt met cybersecurity: we moeten trainen, we moeten oefenen (ook op penalty’s wat mij betreft) maar in de wedstrijd moeten we laten zien wat we waard zijn. Doet u mee?   

CSBN kernbevindingen

Organisaties kunnen hun werk niet doen, persoonsgegevens komen op straat te liggen en voorzieningen kunnen uitvallen. Voorbeelden daarvan zijn de hack bij een kaasverpakkingsbedrijf, een datalek bij een ICT-dienstverlener voor autobedrijven en een ICT-storing bij ziekenhuizen waardoor afspraken afgezegd moesten worden. Het afgelopen jaar hebben we grote verschillen gezien in weerbaarheid van bedrijven en organisaties. Experts hebben grote zorgen dat deze kloof in de toekomst groter wordt. Ook zijn nog meer processen gedigitaliseerd door de situatie rondom het coronavirus. Het belang van digitale veiligheid is daardoor ook verder toegenomen. Daarnaast is de dreiging verder ontwikkeld en vermengt de dreiging die komt vanuit statelijke actoren steeds meer met de dreiging vanuit cybercriminelen.

Digitale risico’s onverminderd groot

De digitale risico’s voor onze nationale veiligheid zijn onverminderd groot. Spionage en voorbereidingshandelingen voor sabotage door andere landen vormen een risico voor onze nationale veiligheid zoals ook beschreven in het eerder dit jaar verschenen Dreigingsbeeld Statelijke Actoren. Ook de inzet van ransomware door criminelen kan maatschappij-ontwrichtende gevolgen hebben. Daarnaast vormt de uitval van digitale processen door natuurlijke of technische oorzaken een risico.

Digitale dreiging blijft toenemen

De NCTV en het NCSC zien dat zowel statelijke actoren als cybercriminelen de situatie die is ontstaan door het coronavirus hebben aangegrepen om digitale aanvallen te plegen. Nu een nog groter deel van ons leven zich online afspeelt is het voor kwaadwillenden ook aantrekkelijker geworden om daar aan te vallen. Aanvallen kunnen zo verstorend zijn dat ze langdurig impact hebben op organisaties en ketens. Ook cybercriminelen kunnen zorgen voor ontwrichting van de maatschappij door bijvoorbeeld vitale processen te verstoren. Ze zijn vaak net zo vaardig als statelijke actoren en hebben vaak ook nauwe banden daarmee.

Weerbaarheid is nog onvoldoende

Door de permanente dreiging van zowel statelijke actoren als cybercriminelen is het nodig om blijvend aandacht te hebben voor onze digitale weerbaarheid. De afgelopen jaren zijn er al stappen gezet om de weerbaarheid te verhogen maar door de groeiende dreiging blijft de weerbaarheid onvoldoende. Daarom moet er nu een inhaalslag worden gemaakt. Basismaatregelen worden niet voldoende genomen, zoals het gebruik van sterke wachtwoorden en het tijdig repareren van kwetsbaarheden.

Cybersecuritybeleid op orde krijgen

Om de digitale weerbaarheid van bedrijven en organisaties te verhogen heeft het NCSC de Handreiking Cybersecuritymaatregelen geschreven, zie verderop in dit magazine. De AIVD heeft onlangs een brochure over cyberspionage gepubliceerd. Hierin worden zeven momenten beschreven om een aanval van een statelijke actor te stoppen.

Oefenen is geen eenmalige activiteit. Door regelmatig te oefenen kunnen organisaties de digitale weerbaarheid op een relatief eenvoudige manier verhogen. Het verbetert de interne én externe samenwerking, en helpt organisaties om beter voorbereid te zijn op potentiële ontwrichting bij cyberincidenten. Oefenen kan op verschillende manieren, van een simpele tabletop tot een uitgebreide threat-based red teaming oefening. In dit artikel ter inspiratie drie handvatten aan vitale én niet-vitale organisaties, waarmee u zelf aan de slag kan.

Handvat 1 - Grootschalig oefenen met ISIDOOR

ISIDOOR is een tweejaarlijkse grootschalige cyberoefening, met 1500 deelnemers van bijna 90 organisaties, georganiseerd door het NCSC in samenwerking met de NCTV. Wie deelneemt aan ISIDOOR oefent aan de hand van een crisisscenario afspraken, structuren en processen uit het Nationaal Crisisplan Digitaal. Daarbij gaat het voornamelijk om de Rijksoverheid en organisaties in de vitale infrastructuur. Maar ook veiligheidsregio’s en diverse spelers uit het Landelijk Dekkend Stelsel nemen vaak deel aan ISIDOOR. 

Het doel is om de diverse crisisprocedures te oefenen, waarbij de focus ligt op de informatie-uitwisseling in crisisomstandigheden, het oefenen van de nationale opschalingsstructuur als gevolg van een cybercrisis en het versterken van de onderlinge samenwerking tussen vitale en Rijksoverheid organisaties. Door te oefenen kan tijdens een echte digitale crisis sneller en adequater gehandeld worden. Interesse in deelname aan een volgende editie? Mail dan naar isidoor@ncsc.nl.

Geleerde lessen

De evaluatie van ISIDOOR 2021 van afgelopen juni is op het moment van schrijven nog in volle gang. Maar in zijn algemeenheid valt één ding op: dat het geen vanzelfsprekendheid is dat binnen organisaties de crisisbeheersingsafdelingen in nauw contact staan met de IT-afdelingen. En dat is cruciaal in zowel de koude als warme fase van een cyberincident. Want om het probleem binnen de organisatie goed te kunnen duiden, is het belangrijk dat beide werelden nauw met elkaar samenwerken. Een aandachtspunt is daarom óók binnen een organisatie gezamenlijk te oefenen en te zorgen dat iedereen dezelfde taal spreekt.

Handvat 2 – Nationaal Crisisplan Digitaal

Er zijn tal van digitale scenario’s mogelijk met doorwerking in het fysieke domein die een crisisaanpak vereisen. Het Nationaal Crisisplan Digitaal helpt organisaties om de vertaalslag te maken van de crisisaanpak op nationaal niveau, naar operationeel uitgewerkte plannen en draaiboeken voor de eigen organisatie. Hiervoor biedt het zes bouwstenen waarmee je een eigen specifiek crisisscenario kunt samenstellen. Vervolgens is het mogelijk te bekijken welke dynamiek dat met zich meebrengt en welke consequenties daaraan moeten worden gekoppeld.

Het Nationaal Crisisplan Digitaal leent zich daardoor ook goed voor oefeningen. Het bevat een stappenplan om in een daadwerkelijke crisissituatie, bij de voorbereiding daarop of tijdens de oefening drie hoofdvragen te beantwoorden:

1. Wat zijn de belangrijkste mogelijke (in)directe gevolgen en effecten?
2. Welke mitigerende maatregelen zijn nodig om de gevolgen en effecten te voorkomen of te beheersen?
3. Welke partijen zijn betrokken c.q. nodig voor een adequate aanpak?

Zelf aan de slag? Het Nationaal Crisisplan Digitaal vindt u op de website van de NCTV. Bij het plan is ook een Koepelnotitie Communicatie bij digitale incidenten verschenen. De uitdagingen voor communicatieprofessionals zijn immers groot als een digitaal incident zich voordoet. Een goede voorbereiding is noodzakelijk; de koepelnotitie helpt daarbij.

Handvat 3 – Handreiking Cyberoefeningen

Wat voor de ene organisatie een incident is, is voor de andere organisatie een securitycrisis van formaat. Door te oefenen kom je erachter wat de gevolgen zijn van digitale incidenten voor de organisatie, hoe de organisatie reageert op digitale incidenten en welke lessen kunnen worden getrokken voor de toekomst. In dergelijke situaties heeft effectief handelen grote voordelen, en met oefenen krijgt jouw organisatie dat beter onder de knie.

Om organisaties daarbij te helpen heeft de Cybersecurity Alliantie een handreiking cyberoefeningen ontwikkeld, die binnenkort te vinden is via de website Cybersecurity Alliantie. Met de handreiking zijn kleine of grote incidenten en zelfs omvangrijke crises binnen de eigen organisatie te oefenen. Voor organisaties die al ervaring hebben met het opzetten van oefeningen, biedt de handreiking tips en een handleiding die gebruikt kan worden als een checklist. Organisaties die voor het eerst een oefening opzetten worden door de handleiding aan de hand genomen.

“We wisten niet precies wat er geïnfecteerd was en moesten besluiten nemen met relatief weinig informatie”, blikt Diemer Kransen terug. “We hebben onmiddellijk de crisisstructuur opgetuigd.” Iets waar de veiligheidsregio ruimschoots ervaring mee heeft, met als grote verschil dat VNOG nu zelf in de crisis zat, in plaats van dat ze anderen eruit helpen. 

Op zondagochtend werden drie belangrijke stappen gezet. Het crisisteam van VNOG kwam bijeen en betrok in dit gesprek hun belangrijkste partners: KPN, FoxIT en het Nationaal Cyber Security Centrum (NCSC). Alle stekkers gingen direct uit de servers. En er werd besloten om de servers te vervangen. Kransen: “Dit bemoeilijkte wel de volgende essentiële stap: het veilig en open communiceren over wat er aan de hand was, zowel intern als extern. Het bleek een hele opgave om 1.700 medewerkers te bereiken die niet op de mailserver kunnen. Via Signal werden zij toch allemaal ingelicht, waarbij er meteen aan duidelijk en eerlijk verwachtingsmanagement werd gedaan, want dit kon nog wel even duren.”

Ook naar buiten toe koos VNOG voor transparantie. Er werd aangifte gedaan bij de politie en er werd contact gezocht met verschillende belanghebbenden: het ministerie van Justitie en Veiligheid, de 22 burgemeesters uit de veiligheidsregio en alle andere veiligheidsregio’s. Kransen: “We hebben alle partners ingelicht dat VNOG gehackt was, zonder al te veel in details te treden. Waarbij het belangrijkste punt was: de organisatiekracht van de VNOG was niet geraakt en VNOG kon zijn operationele taken blijven uitvoeren. Zo werd bewust voorkomen dat er paniek zou ontstaan.”

Samenwerking

Gevolg van deze vroege communicatie was dat er veel hulp kwam en er goede samenwerking ontstond met partners en leveranciers. Dankzij forensisch onderzoek, werd al snel duidelijk dat het criminelen betrof die snel geld wilden verdienen. Daarmee werd de angst voor een gerichte aanval op bijvoorbeeld geheime documenten weggenomen. Heeft VNOG overwogen om te betalen voor het vrijgeven van de bestanden? Een aanlokkelijk idee, geeft Kransen toe. “Het kost waarschijnlijk minder geld dan het compleet resetten en opnieuw beveiligen van je hele systeem. Toch lost het niks op. Want na betaling heb je geen zekerheid dat de criminelen niet meer terugkomen en je houdt hun verdienmodel in stand. Daarom hebben we niet betaald; de politie heeft ons goed ondersteund bij de afweging.” 

Uiteindelijk heeft het snelle handelen ervoor gezorgd dat het gros van de medewerkers binnen drie weken weer normaal kon werken. Kransen: ‘’Cruciaal was het snel optuigen van de crisisstructuur en het direct betrekken van externe partners. En daarnaast hebben we onze medewerkers veel vertrouwen en vrijheid gegeven in het oppakken van taken. Dat betaalt zich echt uit: iedereen was extreem gemotiveerd om samen zo snel mogelijk uit deze crisis te komen. Dit in combinatie met transparante en eerlijke communicatie heeft ervoor gezorgd dat we de aanval op een effectieve manier konden opgevangen. De operationele werkzaamheden zijn nooit stil gevallen en de hele organisatie was binnen drie maanden weer volledig schoon.’’

Kwetsbaar

Ondanks dat de systemen van de VNOG goed beveiligd waren, geeft Kransen toe dat de VNOG niet goed was voorbereid op een digitale aanval. “We wisten vooral hoe we moesten handelen in een crisissituatie, vanuit onze rol als veiligheidsorganisatie. Daarom deel ik ook graag mijn ervaringen. Ik hoop dat met het delen van onze kennis andere organisaties beter voorbereid zijn op een dergelijke aanval. Voor een veiligheidsorganisatie als VNOG is dat een makkelijkere opdracht dan voor kleine organisaties. Maar, begin ermee en ga het gesprek aan. Weet wat je kunt verwachten van je partners en leveranciers en zorg dat er een protocol klaarligt voordat het moment is aangebroken.” 

Want een cyberaanval valt niet te voorkomen, zegt Kransen. “Er vinden 6.000 hackaanvallen per minuut plaats en ik ben ervan overtuigd dat elke organisatie kwetsbaar is. De vraag is hoe je de kans op een geslaagde hackaanval minimaliseert. De helft van de organisaties geeft aan dat ze hun digitale weerbaarheid uitstekend op orde hebben. Terwijl dit in het gros van de gevallen absoluut niet zo is. Dit besef moet er eerst komen, om vervolgens te werken aan de weerbaarheid en de interne bewustwording.” De Cyber Security Raad vindt dat het nieuwe kabinet 833 miljoen moet investeren in digitale veiligheid, maar ondertussen schat Kransen de betalingen aan de hackers op het viervoudige. Hij pleit dan ook voor grote veranderingen: een ministerie van Digitale Zaken bijvoorbeeld en betere samenwerking tussen het private en het publieke domein om ons land weerbaarder maken tegen digitale dreiging. “De dreiging is er en het zal ongetwijfeld nog vaak fout gaan, dus laten we ons samen daar zo goed mogelijk op voorbereiden.”

Veiligheid en bewustwording

De VNOG werkt op twee manieren aan haar eigen weerbaarheid: door de veiligheidsmaatregelen te verscherpen en de bewustwording binnen het bedrijf te vergroten. Zo is de dijkbewaking van de IT-systemen op orde gebracht in samenwerking met FoxIT en zijn er ook afspraken gemaakt met leveranciers van apparaten waarin potentiële lekken kunnen zitten. Kransen: “Een andere stap in de veiligheidsstrategie betreft het zoveel mogelijk compartimenteren. Daarmee wordt het voor criminelen lastiger om de gehele organisatie te hacken. Als ze binnenkomen op plek A, zijn er nu digitale muren om te voorkomen dat ze moeiteloos door kunnen naar plek B en C.”

De bewustwording dat het digitale gevaar in een klein hoekje zit, wordt ook duidelijk gedeeld met medewerkers. Met awarenesstrainingen, maar ook door het verplicht stellen van tweestapsverificatie op zoveel mogelijk plekken. “Binnen elke organisatie werken mensen die fouten maken”, zegt Kransen, “fouten die kunnen leiden tot grote problemen. Het is aan de leidinggevenden om met dit soort maatregelen de kans op fouten zo klein mogelijk te maken.”

Handreiking cybersecuritymaatregelen

Deze acht maatregelen vormen een essentieel onderdeel van uw cybersecuritybeleid:

Loggen, wachtwoordbeleid, back-ups maken en het versleutelen van informatie - het klinkt niet heel vernieuwend en dat is het ook niet. Toch ziet het NCSC dat nog niet alle organisaties en bedrijven in Nederland dit op orde hebben. De handreiking van het NCSC helpt organisaties bij het implementeren van de cybersecurity basismaatregelen. De volgorde maakt niet uit, zolang het doel is om ze allemaal te implementeren. Is uw organisatie al verder gevorderd met cybersecurity? Gebruik de handreiking dan als beginpunt voor gesprekken met leveranciers over hun digitale veiligheid. Voor de weerbaarheid van uw organisatie is het van groot belang dat zij veilige producten en diensten leveren.

Verantwoordelijkheden juist belegd

Om de basismaatregelen effectief in te zetten, is het nodig dat de organisatorische kant van cybersecurity goed geregeld is. Is iedereen zich op alle niveaus in de organisatie bewust van de risico’s? En zijn verantwoordelijkheden juist belegd? Bij veel organisaties is cybersecurity vooral een verantwoordelijkheid van de Chief Information Security Officer (CISO). Dit is onterecht, want de CISO is geen eigenaar van systemen en informatie. Daarom vindt het NCSC dat de verantwoordelijkheid voor cybersecurity bij de directie en het lijnmanagement moet liggen. Op dit niveau zouden keuzes gemaakt moeten worden over welke risico’s wel en niet acceptabel zijn. Incidenten kunnen zich immers overal in de organisatie voordoen; cybersecurity is dan ook een uitdaging voor de hele organisatie. De digitale infrastructuur is net als geld en personeel, een bedrijfsmiddel waar een organisatie van afhankelijk is. 

Aanvullend maatwerk

Het blijft van belang om naast het implementeren van de basismaatregelen een risicoanalyse uit te voeren om zelf aanvullende maatregelen te selecteren. Elke organisatie is uniek en kent specifieke digitale risico’s. Het NCSC adviseert om deze inzichtelijk te maken en met passende maatregelen te beheersen. Dit is maatwerk en een continu proces. Zowel dreigingen als de te beschermen belangen van uw organisatie kunnen namelijk veranderen.

Wees voorbereid op incidenten

Ondanks de genomen maatregelen kan een incident nog steeds plaatsvinden. Bereid u daarop voor. Zorg dat in uw crisis- en herstelplannen staat hoe u omgaat met cyberaanvallen, update en oefen deze processen regelmatig. Betrek ook uw IT-leveranciers en zorg dat er heldere afspraken liggen voor crisissituaties.

In gesprek met leveranciers

De cybersecurity van uw organisatie is mede afhankelijk van leveranciers van IT-producten. U bent op het terrein van cybersecurity tenslotte zo sterk als de zwakste schakel. Maak heldere afspraken over de wijze waarop zij de veiligheid van hun producten waarborgen. Het NCSC adviseert om hiervoor gebruik te maken van bestaande normen en richtlijnen bij de inkoop van producten en diensten (bijvoorbeeld ISO 27001). De maatregelen genoemd in deze handreiking kunt u ook meenemen tijdens het inkoopproces.

Kijk op ncsc.nl/aandeslag voor de volledige handreiking en meer aanvullende informatie.

Landelijk Dekkend Stelsel

Wat is het Landelijk Dekkend Stelsel?

Het Landelijk Dekkend Stelsel is een netwerk van cybersecurity samenwerkingsverbanden. Opgericht in 2018 als ambitie van de Nederlandse Cybersecurity Agenda (NCSA) om informatie over cybersecurity breder, efficiënter en effectiever te delen tussen publieke en private partijen. Met als doel: de slagkracht van publieke en private partijen verder versterken.

Wat is de rol van de NCTV?

Als coördinator richten wij ons met name op de weerbaarheid van de rijksoverheid en de vitale infrastructuur. Want een digitale crisis bij díe partijen kan snel een maatschappelijk ontwrichtend effect hebben. Maar digitale veiligheid houdt niet op bij de rijksoverheid en vitaal, en daarom werkt de NCTV vanuit de coördinerende rol voor cybersecurity ook aan het Landelijke Dekkend Stelsel om snel informatie over dreigingen te delen met organisaties buiten Rijk en Vitaal.

Hoe werkt het LDS?

Spin in het web van het Landelijk Dekkend Stelsel is het Nationaal Cyber Security Centrum. Het NCSC is informatiecontactpunt, monitort op nationaal niveau en reageert op incidenten. Ook kunnen de experts van het NCSC meldingen doen over een cyberaanval of kwetsbaarheid in een systeem. Via een computercrisisteam, ISAC of OKTT komt die informatie weer bij de organisaties in de betreffende sector terecht zodat er snel en adequaat gehandeld kan worden.

Wie doen mee aan het LDS?

Allerlei samenwerkingsverbanden vormen het stelsel. Computercrisisteams doen mee, zoals Z-Cert voor de zorgsector of Cert-WM voor de waterschappen. Diverse ISACs (Information Sharing and Analysis Centre) - sectorale overleggen over cybersecurity - zijn aangesloten. En dan zijn er nog de zogenoemde OKTT’s: organisaties aangewezen die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten. Zo is FERM, stichting voor digitale weerbaarheid van de Rotterdamse haven, onlangs aangewezen tot OKTT.

Waarom is samenwerken zo belangrijk als het gaat om cybersecurity?

Bovenstaande opsomming van organisaties en samenwerkingsverbanden laat het eigenlijk al zien: je kunt het niet alleen. ICT-infrastructuren zijn in onze samenleving sterk met elkaar verweven; een probleem op één plek leidt al snel tot moeilijkheden op een andere. Cybersecurity is daarmee complex, veelomvattend en dus een gedeelde verantwoordelijkheid: samen moeten we zorgen voor digitale veiligheid want dreigingen herkennen en risico’s in kaart brengen is in het belang van ons allemaal. Betrokkenen moeten elkaar snel weten te vinden.

En? Wat zijn de ervaringen tot nu toe?

De afgelopen jaren heeft het stelsel zich vooral op basis van specifieke, actuele dreigingen en incidenten gevormd. Er zijn steeds meer organisaties, samenwerkingsverbanden en informatieknooppunten aangesloten die informatie uitwisselen. Voor hen werkt het Landelijk Dekkend Stelsel al redelijk naar behoren, al zijn er nog wel knelpunten te overwinnen. Dat kwam naar voren tijdens de digitale LDS-bijeenkomst op initiatief van de NCTV op 27 mei jl. Effectief informatie delen blijkt in praktijk nogal wat te vergen: onderling vertrouwen, een werkbare infrastructuur, snelheid, wederkerigheid en natuurlijk een stevige wettelijke basis. De deelnemers waren het erover eens dat de opstartfase van het LDS voorbij is; de basis staat en nu is het zaak om door te ontwikkelen.

Wat valt er dan concreet te winnen?

Enerzijds zijn er nog behoorlijk wat lacunes: sectoren die zich nog niet hebben georganiseerd op het gebied van cybersecurity en die nu dus verstoken blijven van cruciale informatie. Daar is nog een wereld te winnen. Anderzijds is er niet altijd een wettelijke grondslag voor het NCSC en DTC om dreigings- en incidentinformatie te verstrekken aan organisaties. Daarom zijn eind juni twee wetsvoorstellen in internetconsultatie gegaan om meer informatie over digitale dreigingen en incidenten te kunnen verstrekken.

Wat houden de wetsvoorstellen in?

Met de voorgestelde aanpassing van de Wbni krijgt het NCSC de grondslag om in ruimere zin dreigings- en incidentinformatie te delen met OKTT’s. Zij kunnen vervolgens als schakelorganisaties de organisaties in hun achterban informeren. Daarnaast mag het NCSC in bijzondere gevallen dreigings- of incidentinformatie met andere aanbieders zelf delen als er geen OKTT of computercrisisteam is en als het incident of de dreiging (potentiële) aanzienlijke gevolgen voor de dienstverlening van die aanbieder heeft. Het wetsvoorstel van staatssecretaris Keijzer (EZK) zorgt voor de grondslag voor het DTC om ook informatie over digitale dreigingen en incidenten te mogen verwerken en delen met zijn doelgroep: ruim 1,8 miljoen niet-vitale bedrijven in Nederland.

Waar moet het LDS op lange termijn naartoe?

Om de cyberweerbaarheid van Nederland te versterken moet iedereen die dat nodig heeft, toegang kunnen krijgen tot de juiste informatie. Over hóe we dit willen bereiken, nodigt de NCTV regelmatig partners uit om mee te denken; want het antwoord op deze vraag formuleren we samen!

CSR aan het woord

Urgentie en belang

De CSR stelt dat ons maatschappelijk en economisch welzijn onder druk staat door gebrekkige aandacht voor digitale veiligheid en digitale autonomie. Kunt u dat uitleggen?

Hans de Jong: Bedrijven en instellingen worden vaak honderden keren per dag aangevallen door cybercriminelen en statelijke actoren. Cyberveiligheid is van levensbelang, voor de Nederlandse samenleving en economie. Bij veel, met name grotere, bedrijven en organisaties staat cybersecurity inmiddels hoog op de agenda en wordt fors geïnvesteerd om de systemen zo veilig mogelijk te houden. Helaas is dit nog niet overal het geval. Er zijn organisaties waar soms de meest basale dreigingen niet gepareerd of gedetecteerd worden. Het CSBN laat zien dat de risico’s alleen maar toenemen en dat de investeringen niet navenant meegroeien. Dat is een grote zorg. 

Tineke Netelenbos: Vergeleken met het buitenland zijn we heel zuinig, maar die luxe kunnen we ons niet permitteren. Criminelen en statelijke actoren zitten geen dag stil. Wat vandaag veilig is, is morgen alweer onveilig. Als je onvoldoende investeert, neem je grote risico’s voor de samenleving en de economie.

De Jong: Nederland is een koploper op gebied van digitalisering. Het digitale domein raakt het fysieke domein steeds vaker. Om Nederland welvarend en veilig te houden is een flinke investering nodig. Te meer omdat geldt: hoe meer je vooroploopt, hoe meer je wordt bedreigd.

Netelenbos: We pleiten voor een forse verhoging van dat budget: 833 miljoen extra bovenop wat er nu wordt uitgegeven. Dat bedrag is heel precies uitgerekend en onderbouwd. Ten opzichte van een aantal vergelijkbare landen  zijn we relatief bescheiden met deze investering.  

De Jong: Deze investering richt zich op verschillende deelgebieden die moeten worden versterkt en is in detail onderbouwd. Investeringen in cybersecurity moeten worden gedaan om enorme gevolgschade te vermijden. De incidenten van de afgelopen maanden waren redelijk te overzien, maar je moet er niet aan denken dat hele industrieën of departementen plat komen te liggen door een cyberaanval. Dat is de negatieve kant van het verhaal, de positieve kant: cyberveiligheid is een key enabler voor het vestigingsklimaat in een land. Als dat op orde is, kunnen bedrijven hier veilig ondernemen, oplossingen voor de wereld bedenken en die exporteren.

Samenwerking en kennisdeling

U pleit in uw advies voor meer publiek-private samenwerking. Waarom is dat zo belangrijk?

De Jong: Samenwerking is noodzakelijk, omdat de kennis en expertise over vele partijen is verspreid, zowel bij overheid als bedrijfsleven als wetenschap, en bovendien zeer en toenemend schaars is. Alleen samen kunnen we dreigingen het hoofd bieden. Door van elkaar te leren, door informatie te delen over bijvoorbeeld kwetsbaarheden en elkaar te helpen tijdens grote cybersecurityincidenten. Politiek en economie raken door het digitale domein steeds meer met elkaar vervlochten. Statelijke actoren proberen via cyber invloed uit te oefenen op de politiek en economie. Dit vraagt om meer aandacht voor de samenwerking tussen publiek en privaat. Je kunt die twee in dit domein niet meer los van elkaar zien.

Netelenbos: Van de terughoudendheid in publiek-private samenwerkingen moeten we echt af. De NCTV en het NCSC hebben een informatiepositie die niet te vergelijken is met die van cybersecuritybedrijven. Terwijl het bedrijfsleven weer goed weet wat de laatste ontwikkelingen zijn in de markt. Het zijn geen concurrenten, ze hebben elkaar nodig. Alleen door samenwerking en informatiedeling kunnen ze elkaar en daarmee de cyberweerbaarheid van Nederland versterken.  

De Jong: Nu zie je dat de overheid soms bepaalde dreigingsinformatie heeft, maar die niet mag delen met het bedrijfsleven door de Wet Beveiliging Netwerk- en Informatiesystemen. Dat zorgt voor frustratie bij alle partijen.

Netelenbos: Daarom is er een wetswijziging in de maak die het makkelijker moet maken om informatie uit te wisselen tussen de publieke en private sector. Daar is  haast bij, want we hebben elkaars kennis en informatie nodig. Alleen zo kunnen we een systeem bouwen waarin we weerbaarder zijn.

De Jong: Samenwerking en informatiedeling zijn essentieel voor de cyberweerbaarheid van ons land. Daar hebben we iedereen bij nodig: het bedrijfsleven en de overheid maar ook kennisinstellingen. Kennis is het fundament onder ons advies.

Netelenbos: We hebben kennisinstellingen nodig voor het ontwikkelen van nieuwe technologieën. Daar zijn we in Nederland goed in en die positie moeten we behouden. Daarnaast zijn ze van belang voor het opleiden van voldoende gekwalificeerde cyberexperts. Tot slot moeten we werk maken van de digitale geletterdheid van onze jongeren. Voor digitale vaardigheden is nog niet op alle scholen voldoende aandacht. Als jongeren daar meer en beter onderwijs in krijgen, kiezen ze hopelijk ook vaker voor een vervolgopleiding in die richting.

Governance en integraliteit

Cybersecurity moet op het hoogste politieke en ambtelijke niveau worden belegd staat in het advies. Hoe stelt u zich dat voor?

Netelenbos: Zoals het nu gaat, kan het niet doorgaan. Er is teveel versnippering en de kans op fouten wordt steeds groter. Departementen willen cybersecurity zelf regelen. Daardoor zijn er momenteel 19 cybersecuritystrategieën in het overheidsdomein alleen. Dat kan niet, daar is de materie te complex voor. We moeten komen tot één nationale cybersecuritystrategie op basis waarvan we het beschikbare budget verdelen.

De Jong: Het digitale domein is niet alleen complex, maar ook continu aan verandering onderhevig. Je kan niet op een eilandje zitten en het zelf doen, maar moet continu leren, ook van andere actoren. Het is een heel ander soort problematiek dan we tot nu toe gewend zijn en dat vraagt om een ander soort oplossing. 

Netelenbos: De CSR pleit voor een ministeriële onderraad. Digitalisering zit in alle beleidsonderwerpen. Daarom moeten we komen tot een structuur waarin je samen een nationale strategie kunt uitvoeren. De CSR ziet dat op korte termijn in de vorm van een ministeriele onderraad. Op lange termijn zouden we toe moeten naar een autoriteit, zoals onze buurlanden hebben. Maar dat vergt nadenken, wetswijzigingen en tijd, terwijl er juist nu iets moet gebeuren. Vandaar deze haalbare tussenstap.

De Jong: Als we de governance niet goed regelen, gaat de versnippering door. Dat leidt tot ineffectiviteit en tot hogere kosten. Het is dus in ieders belang dat ons advies integraal wordt uitgevoerd. Er is geen ruimte voor cherry picking.

De formatietafel en het blauwe boek

Wilt u nog iets kwijt aan de huidige en toekomstige minister van Justitie en Veiligheid?

Netelenbos: Ons advies past perfect binnen de wens in Den Haag tot bestuurlijke vernieuwing. Het is een heel goed voorbeeld van hoe je over de kokers heen kunt kijken en samenwerken in het algemeen belang. Het zou heel mooi zijn als het digitale domein, hét onderwerp van de toekomst, de drijvende motor wordt achter bestuurlijke vernieuwing en laat zien dat het kan.

De Jong: De demissionair minister van Justitie en Veiligheid heeft laten weten dat hij het onderwerp belangrijk vindt. Hij onderschrijft het belang dat dit in het formatieproces een prominente plek krijgt.

Netelenbos: Ik verwacht daarom dat hij het ook opneemt in het blauwe boek. Dat is het overdrachtsdocument voor de nieuwe minister, waarin de voorganger aangeeft wat volgens hem of haar de belangrijkste aandachtspunten voor de komende periode zijn. Cybersecurity en digitale autonomie moeten daar echt prominent in.

De Jong: De volgende minister van Justitie en Veiligheid hoeft zich straks met dit advies in de hand niet af te vragen wat anderen vinden. Vertegenwoordigers uit vele hoeken van de samenleving hebben meegedacht en meegeschreven. Het is zeer breed gedragen.

Netelenbos: Er is nog nooit zo’n breed advies uitgebracht wat het hele spectrum heeft bekeken en zo uitvoerbaar is. Het is hoog tijd om daarmee nu aan de slag te gaan.

Webinar CSBN 2021

Een dag na publicatie van het CSBN organiseerde de NCTV een webinar over de kernbevindingen en de belangrijkste uitdagingen waar we ons voor gesteld zien staan. Gasten aan tafel beantwoordden kijkersvragen, bespraken de NCSC-handreiking met basismaatregelen én de wijze waarop de zorgsector omgaat met digitale dreiging. Een informatief uur dat hier in z’n geheel is terug te zien.

Herken de hacker

Een nieuwe brochure van AIVD en MIVD geeft inzicht in cyberaanvallen van statelijke actoren: hoe gaan ze te werk, welke momenten zijn daarin bepalend en wat is er tegen te doen? De brochure is bedoeld voor bestuurders, beleidsadviseurs en managers van de Rijksoverheid en de vitale sector.

Download de publicatie AIVD/MIVD: Cyberaanvallen door statelijke actoren - zeven momenten om een aanval te stoppen

Digitale weerbaarheid voor ondernemers

Wat kunnen ondernemers leren van het CSBN 2021? Over die vraag heeft het Digital Trust Centre zich gebogen. Zo moet bij ondernemers digitale weerbaarheid onderdeel zijn van de bedrijfsvoeringen, en is kennis en commitment van de directie de sleutel om daadwerkelijk veranderingen door te voeren.

Lees de vijf lessen voor ondernemers hier.

Overzicht cyberloketten: waar kunt u terecht?

Organisaties, bedrijven en burgers zijn zelf verantwoordelijk voor maatregelen om de digitale veiligheid van hun systemen op orde te hebben. Ze kunnen daarbij advies krijgen van verschillende partijen. Op de website van de NCTV hebben we deze verschillende cyberloketten op een rij gezet, zodat duidelijk is waar u terecht kunt. 

Kijk hier voor het overzicht van cyberloketten.

Podcast: Cyberhelden 16 - Hans de Vries

Wat doet het Nationaal Cyber Security Centrum nou precies? Op welke manier houden ze Nederland veilig? En wat is het verhaal over lijsten met gecompromitteerde servers die niet met de slachtoffers gedeeld worden? In deze podcast van Ronald Prins geeft de directeur van het NCSC, Hans de Vries, een kijkje in de keuken.

Luister de podcast Cyberhelden 16 - Hans de Vries.

Podcast: Cyberhelden 25 - Hester Somsen

Het CSBN is duidelijk: de digitale dreiging neemt toe en onze weerbaarheid blijft achter. Maar wat gaan we er nu aan doen? Is het al tijd om vitale bedrijven te dwingen bepaalde security maatregelen te nemen en op wat manier kan de overheid een rol spelen bij het tegengaan van economische spionage? Ronald Prins praat daarover over met Hester Somsen, directeur Cybersecurity bij de NCTV.

Luister de podcast Cyberhelden 25 - Hester Somsen.

Podcast: Maak je weerbaar, bereid je voor én oefen op een cyberaanval

In een podcast uitgebracht door de Cybersecurity Alliantie gaan John Remmerswaal (NCTV), Sanne Maasakkers (FoxIT), Oscar Koeroo (KPN) en Jeroen Schipper (Gemeente Den Haag) in gesprek over het belang van oefenen en hoe het voorbereiden op een oefening je al weerbaar(der) maakt tegen een cyberaanval of -incident.

Luister de podcast Maak je weerbaar, bereid je voor én oefen op een cyberaanval.

Podcast: Let’s talk about hacks

Het ministerie van Binnenlandse Zaken heeft een viertal cyberpodcasts opgenomen. 
In een van de afleveringen vertelt Hester Somsen, directeur Cybersecurity bij de NCTV over haar strategische keuzes rondom cybersecurity.

Luister de podcast Let's talk about hacks.

NCTV Magazine, Nr. 1 Jaargang 2021

Publicatiedatum

maandag 05 juli 2021

Productie

Eenheid Communicatie

E-mail

communicatie@nctv.minjenv.nl

Internet

http://www.nctv.nl

Copyright

CC0 1.0 Universal