Beheer

Security
cybersecurity

Landelijk Dekkend Stelsel voor security nog niet landelijk dekkend

Overheidsorganisaties beperkt in mogelijkheden om informatie te delen.

17 maart 2020

Overheidsorganisaties beperkt in mogelijkheden om informatie te delen.

Het Nationaal Cyber Security Center (NCSC) heeft samen met het Landelijk Dekkend Stelsel (LDS) als taak om maatschappelijke ontwrichting door cyberdreigingen en -incidenten te voorkomen en te beperken, en om de digitale weerbaarheid van de samenleving te versterken. Toch is de overheidsorganisatie relatief beperkt in wat het allemaal mag. En ook het LDS is niet landelijk dekkend.

Stel je voor: je krijgt een lijst met daarop bedrijven die systemen in huis hebben die kwetsbaar zijn als gevolg van een al bekend lek. In plaats van die informatie met de bedrijven te delen en ze actief te waarschuwen zodat ze de kwetsbaarheden aan kunnen pakken, houd je de informatie voor jezelf. De bedrijven blijven daardoor dus risico lopen op een hack.

Dit is precies wat er in Nederland gebeurd is. Beveiligingsonderzoeker Matthijs Koot verstuurde naar eigen zeggen in augustus namelijk een lijst met organisaties die kwetsbaar waren voor het lek in de VPN-dienst van Pulse Secure naar het NCSC. In januari deed hij dat nogmaals, toen het Citrix-lek aan het licht kwam. Maar het NCSC mocht die informatie niet met alle kwetsbare organisaties delen. Dat is namelijk niet hun taak.

Alleen Rijk en vitaal

De taken van het Nationaal Cyber Security Center vallen sinds november 2018 onder de Wet beveiliging netwerk- en informatiesystemen (Wbni), waarin is vastgelegd wat de organisatie wel en niet mag. Volgens die wet heeft het NCSC als taak de Rijksoverheid, de vitale aanbieders en aanbieders van essentiële diensten in Nederland te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen.

In het geval van Pulse Secure heeft minister Grapperhaus van Veiligheid en Justitie in een Kamerbrief laten weten dat het NCSC inderdaad aanvullende informatie heeft gekregen, en op basis daarvan “een aantal organisaties binnen Rijk en vitaal en enkele andere bovenbedoelde organisaties nader geïnformeerd” heeft.

Maar het is dus niet de bedoeling dat het NCSC actief niet-vitale organisaties gaat benaderen met informatie over dreigingen, ook niet als bij het NCSC bekend is dat zij kwetsbaar zijn voor een lek. Het NCSC kan hen alleen informeren door beveiligingsadviezen op zijn website te delen. “Het signaleren en het nemen van passende maatregelen ten aanzien van kwetsbaarheden, zoals die in de VPN-software van Pulse Secure, is primair de verantwoordelijkheid van iedere organisatie zelf”, aldus een woordvoerder van het NCSC.

Kon GWK-hack voorkomen worden?

Het feit dat het NCSC alleen zijn eigen doelgroep – en dus een zeer beperkt deel van Nederland – mag benaderen met dergelijke informatie, zorgt ervoor dat lang niet ieder bedrijf gewaarschuwd is bij een serieuze kwetsbaarheid. Een bedrijf kan daardoor risico blijven lopen.

Dit is mogelijk het geval geweest bij GWK Travelex. Beveiligingsonderzoeker Koot informeerde het NCSC op 25 augustus van een reeks organisaties die de in april verschenen patch voor het lek in Pulse Secure nog niet hadden geïnstalleerd op hun systemen. Daar zat ook GWK Travelex bij. “Ik heb daarna veel gemaild met NCSC en heb in een mail op 25 september Travelex nog eens expliciet uitgelicht als interessant doelwit”, aldus Koot tegenover AG Connect. Koot belde naar eigen zeggen zelf 'ruim twee dozijn' organisaties af, maar moest er een punt achter zetten: het waren er te veel om ze als individu allemaal af te bellen."

Maar het grenswisselkantoor is geen onderdeel van de Rijksoverheid en geen vitale infrastructuur. Het ligt dus voor de hand dat het GWK niet benaderd is door het NCSC, ook al wist de overheidsorganisatie dat het bedrijf kwetsbaar was. Het NCSC wil tegenover AG Connect echter niets bevestigen: de overheidsorganisatie zegt geen uitspraken te doen over individuele gevallen. En ook het Britse hoofdkantoor van GWK Travelex laat in een reactie aan AG Connect weten niet te willen reageren.

Op oudejaarsdag ging het fout: GWK Travelex werd het slachtoffer van een ransomware-aanval. In januari meldde Computer Weekly op basis van eigen onderzoek dat dit het gevolg was van het lek in Pulse Secure, dat het bedrijf pas in november dichtte.

Toch is het nog maar de vraag of een melding van het NCSC had uitgemaakt. Beveiligingsbedrijf Bad Packets waarschuwde het bedrijf in september namelijk wel, maar zonder resultaat. Volgens Koot heeft dit mogelijk te maken met het feit dat Bad Packets een e-mail had gestuurd, wat “notoir onbetrouwbaar is voor dit soort dingen”. “Eigenlijk had iemand – maar de vraag is wie dan – Travelex moeten bellen, en niet alleen e-mailen.”

LDS deelt verantwoordelijkheid

Het NCSC zit dus enigszins klem als het gaat om informatie over kwetsbare systemen. Maar de organisatie is slechts een klein onderdeel van een stelsel dat de digitale veiligheid van Nederland moet waarborgen. Dat stelsel is het zogeheten Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Daarin wisselen publieke en private bedrijven, sectorale en regionale samenwerkingsverbanden, het NCSC en het Digital Trust Center (DTC) informatie en kennis uit. Het NCSC is in dit stelsel het centrale informatieknooppunt.

Het NCSC heeft dan ook meer taken dan alleen het informeren en adviseren van de Rijksoverheid en vitale aanbieders. Ook heeft het de taak “om bepaalde, in de Wbni genoemde, partnerorganisaties” te informeren over dreigingen en incidenten, mocht die informatie verkregen zijn bij het uitvoeren van de wettelijke taken voor het Rijk en de vitale sector, aldus een woordvoerder van het NCSC. Op die manier moeten nadelige maatschappelijke gevolgen in en buiten Nederland voorkomen worden.

Dit LDS is ook ingezet bij het lek van Pulse Secure. Zo werd algemene informatie over de kwetsbaarheid gedeeld met andere samenwerkingspartners, en heeft het Computer Security Incident Response Team voor digitale diensten (CSIRT-DSP) naar aanleiding van die informatie contact gelegd “met een tiental digitale dienstverleners die mogelijk kwetsbare VPN-systemen in hun netwerk hadden staan”.

Niet landelijk dekkend

Het LDS bestaat naast de twee CSIRT’s – het NCSC en het CSIRT-DSP - verder uit zogeheten computercrisisteams (CERT). Er zijn echter slechts vier CERT’s aangewezen om ook daadwerkelijk kennis en informatie te delen met hun achterban. Dat geldt voor een CERT voor de zorg (Z-CERT), gemeenten (IBD), waterschappen (CERT Watermanagement) en onderwijs en onderzoek (SURFcert).

Het Z-CERT deelde bijvoorbeeld direct na de bekendmaking van het lek in Citrix in december 2019 informatie met zijn deelnemers, en voorzag hen van handelingsadvies, schreef minister Bruno Bruins van Medische Zorg in februari in een Kamerbrief. Daardoor waren ziekenhuizen snel op de hoogte van de dreiging.

Maar ook deze CERT’s zijn beperkt in wat ze kunnen en mogen: zij mogen alleen organisaties benaderen die bij hen aangesloten zijn. “Het merendeel van het bedrijfsleven valt buiten de doelgroep van de OKTT’s, CERT’s en het NCSC”, stelt Koot. Een groot deel van de bedrijven kunnen dus nog altijd niet zomaar benaderd worden door een nationaal geregelde organisatie. Met andere woorden: het Landelijk Dekkend Stelsel is (nog) niet landelijk dekkend.

‘Niet snel genoeg’

Ook de Cyber Security Raad, een nationaal en onafhankelijk adviesorgaan van het kabinet en bedrijfsleven, is kritisch over de huidige status van het LDS. Volgens covoorzitter Hans de Jong gaat de vorming van het LDS nog niet snel genoeg.

“Op dit moment hebben vooral organisaties die niet behoren tot de vitale infrastructuur, bewust of onbewust een ernstig informatietekort”, aldus De Jong. “We kunnen het ons niet meer veroorloven om informatie slechts in beperkte mate informatie te delen. Daarom moet de invoering van een landelijk dekkend stelsel (LDS) de hoogste prioriteit te krijgen. Er worden wel stappen gezet bij de vorming van het LDS, maar het gaat volgens de raad nog niet snel genoeg.”

De Jong vindt dat cybersecurity nog altijd een verantwoordelijkheid is van bedrijven en organisaties zelf. “Maar de universiteit (Maastricht, die eind 2019 gehackt werd, red.) krijgt tienduizenden meldingen per jaar van mogelijke kwetsbaarheden. Dan heb je als organisatie hulp nodig om daar de meest relevante meldingen uit te filteren.” Daarnaast benadrukt De Jong dat om zaken goed te regelen ook de samenwerking tussen bedrijven en overheid op het gebied van cybersecurity moet worden verstevigd. “Dat geldt ook voor de samenwerking binnen de overheid en binnen de private sectoren.”

Eventuele gaten in het LDS moeten dan ook gedicht worden, vindt De Jong. “Daar hoort bij dat er serieus moet worden gekeken naar de scope van het NCSC en de definitie van de vitale sectoren, zonder dat dit leidt tot de conclusie dat álles maar vitaal verklaard moet worden. De NCTV heeft aangegeven te kijken of de huidige definitie van het vitale stelsel nog afdoende is.”

NCSC wil LDS uitbreiden

Hoewel het LDS nu nog niet landelijk dekkend is, heeft het NCSC wel als doel om meer samenwerkingsverbanden aan te gaan. Die samenwerkingsverbanden kan de organisatie aangaan met bij ministeriële regeling aangewezen CERT’s, Europese nationale CSIRT’s, aanbieders van internettoegang en zogeheten OKTT’s. OKTT’s hebben ‘objectief kenbaar tot taak’ om organisaties of het publiek te informeren over voor hen relevante dreigingen en incidenten.

De bedoeling is dat er in de loop der tijd steeds meer samenwerkingsverbanden komen, blijkt uit informatie op de website van het NCSC. “Het NCSC wil in toenemende mate functioneren als informatieknooppunt om relevante informatie uit de ene sector snel en efficiënt te delen met de andere sector. Daarnaast wil het NCSC samenwerkingsverbanden met dezelfde uitdaging met elkaar verbinden.”

De Cyber Security Raad (CSR) zegt in een reactie aan AG Connect dat het vindt dat het LDS inderdaad uitgebreid moet worden. Of eigen zijn eigen CERT moet krijgen, is nog maar de vraag, vindt De Jong. “De behoefte per sector kan namelijk verschillen. De kracht van het LDS moet juist zijn om zo veel mogelijk reeds bestaande initiatieven aan elkaar te verbinden. Laten we vooral gebruikmaken van wat er al is en dat versterken waar nodig.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.