Alles en iedereen lijkt gehackt. Het NOS Journaal pakte op 14 februari groot uit over de trage reactie van de politie en het NCSC op het nieuws over het Nederland-brede datalek ten gevolge van de Pobelka malware. Het grote zwartepieten is begonnen: ‘de politie was te traag’, ‘het Nationaal Cyber Security Center (NCSC)’ hanteerde wel een heel beperkte taakopvatting’, ‘het NCSC heeft onvoldoende mandaat’… luidt het commentaar.
Hoe het ook zij, gedane zaken nemen geen keer. Het is zinvoller om te kijken naar wat er zou moeten gebeuren om dergelijke grootschalige ‘breaches’ te voorkomen.
Het mag duidelijk zijn dat de NCSC in staat moet zijn om veel actiever te signaleren en alarm te slaan. De organisatie had als beleid dat alleen bij haar aangemelde ip-adressen voor screening in aanmerking kwamen. En dan alleen nog als ze afkomstig waren van overheidsinstellingen en bedrijven die cruciaal zijn voor de vitale infrastructuur van ons land. Dat mag wel wat actiever, en vooral pro-actiever. Oorzaak is natuurlijk dat het oude GovCERT een ledenmodel kende, met die typische Nederlandse vrijwilligheid.
(1) We moeten strakker op de bal spelen. Minister mijn advies: Schroef de auditverplichting, die nu vaak jaarlijks is ingesteld in allerlei maatregelen van bestuur, naar dagelijks, zeg maar realtime. Dit is niet veel duurder te organiseren, vergt alleen een andere mentaliteit en wat it-gereedschap zoals SIEM-tools.
(2) Een andere remedie ligt in verplichte budgettering, de al eerder door mij voorgesteld ‘8-procentsregeling’: het voorschrift dat een vast percentage van alle ict-investeringen van de overheid en de vitale sectoren aantoonbaar moet worden besteed aan beveiliging. Vergelijkbaar met de 1 procentsregeling voor kunst in Overheidsgebouwen.
(3) Een laatste oplossing ligt in een andere benadering van de publiek-private samenwerking die het NCSC voorstaat. Nu wordt teveel een beroep gedaan op de goodwill en goede bedoelingen van de markt. Samenwerken met de markt is goed en noodzakelijk. De meeste kennis en capaciteit zit immers bij de security-bedrijven. Maar het NCSC kan niet van private bedrijven verwachten dat zij hun kennis en kunde om-niet verschaffen. Daar hebben zij het te druk voor en daar is het onderwerp ook te belangrijk voor. Publiek-private samenwerking – ook in security – kan alleen slagen als de doelstellingen helder zijn geformuleerd en als de private deelnemers rendement kunnen verwachten van hun investeringen in mensen en middelen.
Deze drie maatregelen zijn noodzakelijk. Hoe eerder ze genomen worden, hoe beter.
Beste Rhett,
‘Never waste a crisis’ lijkt ook hier op te gaan door adviezen te geven die vooral de eigen belangen dienen, de belangenverstengeling die het er dus niet veiliger op maakt maar alleen duurder:
1. SIEM is vooral een proces dat voor data aggregatie (log management), correlatie en waarschuwing ondersteund wordt met tools maar “A fool with a tool is still a fool” omdat compliance toch altijd weer ‘de koe in de kont kijken’ is.
2. Budgettering is Excel management en nogal zinloos als het geld niet daar besteed wordt waar het nodig is. Voordat je het weet heb je het ‘kunstbudget’ opgeschroefd omdat er allemaal surrealistische architectuur plaatjes komen.
3. Publiek-private samenwerking betekent gewoon dat je de mensen betaald voor wat ze leveren. Bijvoorbeeld door de vinder van lekken en gevaren een beloning te geven voor zijn inzet en eerlijkheid.
@ Rhett
een paar punten…
8% “ontwikkelingshulp ” heeft geen zin als het als niet in de architectuur van ene infrastructuur is meegnomen, dan is 80% niet eens voldoende.
een audit verplichting…. gaat helaas niet werken is meer admin, wat wel gaat werken is integratie van beveiliging in de infrastructuur. Die kennis inc de actualisering ervan zal een directe bijdrage leveren aan informatie beveiliging.
Misschien is er iets mis met de samenstelling en besturing van het NSC en de financiering daarvan, dat wellicht wel …
Misschien moet er wat meer evenwicht in de rechten en plichten van NCSC en de praktische toepassing van NCSC activiteiten (wat hebben we er in de praktijk nu echt aan?). Hoe vrijblijvend kan NCSC advies geven? Is NCSC aanspreekbaar als men een belangrijke security melding niet meldt via waarschuwingsdienst.nl? Daarmee zou de waarde van de waarschuwingsdienst een stuk toenemen.
Algemener: als NCSC common best practices blijft verkondigen en daar verder niet veel mee doet, dan hebben deze ook beperkte waarde. Maar als deze tot standaard worden verheven, dan kan daar door auditors op gecontroleerd worden bij organisaties die compliant willen worden. Levert direct een kwaliteitsstempel op die inhoudelijker is dan ISO27000 of iets dergelijks. En op basis van de audits kunnen de standaarden dan worden aangescherpt.
Ook wel aardig om eens na te denken om NCSC een centrale rol te laten spelen in het meldingsplicht datalekken verhaal. Dan komen de meldingen bij een meer technisch deskunidige partij terecht (dan OPTA en WBP, die toch meer juridisch kijken). En kunnen er (geanonimiseerde) overzichten worden vrijgegeven, waar we met zijn allen meer inzicht door krijgen. En die weer gebruikt kunnen worden in het bijsturen van de standaarden.
@ Sander
ik ben het geheel met je eens, OPTA is er zeker geen partij voor, noch politiek noch qua kennis. Marktverhoudingen etc beoordelen en proberen te besturen is toch heel wat anders dan beveiliging proberen te besturen.
neem linux
Wat me eigenlijk een tikje bevreemd, naast dit verkoopverhaaltje, is dat de lijn nogal onsamenhangend is. GovCert komt alleen achteraf in actie en ik heb GovCert van dichtbij nog niet op een stukje herkenbare pro-activiteit kunnen betrappen.
Als we het hebben over overheden,’mind you’, ik kan en mag daar over meepraten, dan hebben we vaak te maken met de drie grote ‘Headers’ voor Disasters.
1. Incompetentie
Menigmaal had ik het al benoemd, doe dit nu weer en zal dit blijven doen tot anders aangetoond, is er bij de verheid een groot virus wat heet incompetent! Veel mensen die op plaatsen zitten vinden dat ze ‘iets’ in de IT melk te brokkelen willen hebben maar hebben geen enkele clou, kennis van zaken of affiniteit met de materie IT. Vele overheidsprojecten die domweg vele vele miljarden meer kosten dan begroot.
2. Gready suppliers
Ik heb bij menig IT leverancier aan de overheid ook weinig zin voor IT of werkelijke dienstverlenings zin kunnen betrappen. Men weet als leverancier dondergoed dat de overheid een hele aardige melkkoe is, zelfs ten tijde as we speak, dat ik soms tenenkrommend schaamrood op de kaken krijg.
Met regelmaat ben ik mensen tegengekomen die alleen maar zeggen ….’dit willen ze toch? … nou dan…’ bij zaken die soms ’te achterlijk’ zijn voor woorden. Geen klantmanagement maar meedrijvende op….
3. Inadequate IT processen
Ik zou als IT consultant alleen al miljonair kunnen worden van belastinggeld wanneer ik alleen de processen al zou reviewen en bij zou stellen, en me 5% van de bewerkstelligde besparingen als fee zou nemen. Zelfs op no cure no pay basis.
Dik Berlijn, Groot Militair, maar weinig tot geen affiniteit met IT. Dat zegt het denk ik dan weer meteen.
Mijn advies????
Voor zover mensen het natuurlijk aan willen nemen…
IT beveiliging is een discipline op zich. Laat ik dat voorop stellen. Maar kleine stapjes werken ook, gezamenlijk.
Elke IT-er dient gewoon een gezonde dosis van bedachtzaamheid te bezitten op het gebied van IT beveiliging. Als je dat al niet eens hebt, dan heb je, vind ik, in de IT niets te zoeken. Aansluitend, hier een opmaat voor de opleidingen, dient basis kennis en mind set te worden bijgebracht voor dit onderwerp bij elke IT-er. Daar begint het al.
Standaardisatie
Wat mij uiterst verbaast is dat er nog steeds weinigen zijn die een helder proces hebben mbt dit onderwerp. Zelfs bij de grote IT dienstenleveranciers. Een beetje IT-er kan zo een eenvoudige checklist ophoesten die alleen betrekking hebben op veiligheid, veilig gebruik van IT peripherals en een stukje vooruitzien. Ook hier geld, kun je dat niet, maak het jezelf dan maar eens een keer eigen.
(Klinkt erg aanmatigend ‘I know’, schrijf het dan ook met een zucht)
Wat organisaties zich moeten beseffen is dat de beveiliging van ‘have en goed’ primair een noodzaak is. Helaas, het is gewoon zo. Maar wanneer u ‘oneigenlijk’ blijft snijden in uw IT, er geen of te weinig oog voor heeft, dan gebeurd wat er nu gaande is.
Versplintering
In uw jacht naar het goedkoopste van het goedkoopste krijgt u versplintering in kennis en ervaring. Zelfs die versplintering is door veel oorzaken, zelfs marginaal productief te noemen. Dat brengt zelfs veel; meer aan kosten en schade met zich mee, dan dat u zichzelf denkt te besparen.
Van de overheid hoeven wij niets te verwachten, des te meer van u, mijn beste IT-er, en mij. Wij bezitten kennis die zo gedeeld kan worden met white papers en ontdoe die nu gewoon eens van dat commerciële toontje.
Misschien dat we dan uiteindelijk gewoon eens komen tot daar waar ik VIND dat IT voor moet staan.
Besparen door automatiseren, vooruit zien door materiekennis, Communicatief, Productief.
Next!