Beheer

Security
Security Check

Nederlands Security Meldpunt: ‘Als zij het niet doen, doen wij het wel’

Hoe uit frustratie een vrijwillige security-organisatie ontstond.

20 februari 2020

Hoe uit frustratie een vrijwillige security-organisatie ontstond.

Als Nederland getroffen wordt door ernstige kwetsbaarheden, wordt al snel naar het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid gekeken. Maar het NCSC is beperkt in wat het kan en mag. Getroffen bedrijven en organisaties benaderen, mag het bijvoorbeeld vaak niet. Het Nederlands Security Meldpunt wil dat gat vullen.

Er ontstond in 2019 twee keer flinke ophef over gevonden kwetsbaarheden. In de lente van vorig jaar werd bijvoorbeeld een lek gevonden in VPN-dienst Pulse Secure. Kwaadwillenden konden via dat lek relatief eenvoudig toegang krijgen tot de interne netwerken van bedrijven en organisaties die de dienst gebruiken.

Het NCSC liet op 15 april al een waarschuwing uitgaan over het lek, en liet daarbij ook weten dat er een patch beschikbaar was. In augustus verscheen kant-en-klare exploit-code, waarna het NCSC nogmaals een waarschuwing liet uitgaan. Maar in september bleek uit onderzoek van de Volkskrant dat die waarschuwingen in ieder geval een deel van de partijen nooit hadden bereikt: honderden bedrijven én het ministerie van Justitie en Veiligheid zelf hadden de patch in augustus nog niet geïnstalleerd.

Van frustratie naar idee

Frank Breedijk, CISO bij Schuberg Philis stoorde zich aan de communicatie over dit lek. “Minister Grapperhaus (van Justitie en Veiligheid, red.) noemde organisaties die niet gepatcht hadden toen in het FD ‘oliebollen’. Maar wat niet verteld werd, was dat het NCSC op dat moment een lijstje had liggen met wie die ‘oliebollen’ precies waren. De organisatie kon of mocht die bedrijven echter niet benaderen om ze te informeren over hun kwetsbaarheid. Dat frustreerde me.”

Die frustratie zette zich om in een idee: een nationaal meldpunt. “Mijn gedachte was: als zij het niet doen, dan doen wij het wel. Burgers mogen namelijk veel meer dan een organisatie als het NCSC, dat gebonden is aan het mandaat wat zij krijgt in bepaalde wetten. Burgers mogen moeten zich ook aan de wet houden, maar zijn niet gebonden aan een wettelijk mandaat. Wij besloten bedrijven wél te benaderen met deze beveiligingsinformatie.”

Dat idee werd in januari werkelijkheid. Citrix maakte op 17 december bekend dat er een ernstig lek zat in zijn Application Delivery Controller (ADC) en zijn Gateway. De kwetsbaarheden bleken gemakkelijk te misbruiken en midden januari waren er diverse berichten dat kwaadwillenden massaal op zoek waren naar kwetsbare systemen. Toen ook voor dit lek kant en klare exploit code verscheen, was voor Breedijk de maat vol en werd het tijd werd om het idee om te zetten in werkelijkheid. In korte tijd werden in Nederland 713 kwetsbare endpoints van netwerken gevonden.

Blinde vlek informeren

Bij de opstart van het Nederlands Security Meldpunt werkte Breedijk samen met Matthijs Koot. Koot, in het dagelijks leven ICT-beveiligingsspecialist bij Secura, is degene die de Volkskrant informeerde over het feit data vele systemen kwetsbaar waren door het Pulse Secure-lek. Hij scande het internet op kwetsbare systemen en kreeg zo een lijst met IP-adressen. “Ik heb het NCSC op 24 en 25 augustus lijsten van kwetsbare systemen gestuurd, maar achteraf me werd duidelijk dat ze alleen wat mochten doen met systemen van de Rijksoverheid en vitale sectoren. Met de rest mochten ze niets.”, vertelt Koot nu. Bij het Citrix-lek deed hij dat ook, maar de uitkomst was hetzelfde: de informatie over kwetsbare bedrijven bleef bij het NCSC liggen.

Koot ergerde zich bij het Pulse Secure-lek al aan de gang van zaken en dat was tijdens de ophef rondom Citrix niet anders. “Er ontstaat op deze manier gewoon een hele grote blinde vlek bij kwetsbare organisaties die niet van informatie voorzien worden. Het is eigenlijk toch ook gewoon bizar: je hebt als het ware een lijst van adressen waar de voordeur open staat, je probeert de eigenaar van dat huis niet eens te benaderen omdat je dat juridisch gezien niet mag. Dat is vanuit ethische overwegingen gewoon niet juist.”

Bovendien blijkt dat bedrijven lang niet altijd weten dat hun deur openstaat, omdat ze niet altijd weten welke systemen er aan hun netwerk hangen. “Iemand in een bedrijf kan bijvoorbeeld zien dat een bepaald programma niet goed werkt, en besluiten om dan een vergelijkbaar programma van een concurrerend bedrijf in te zetten, zonder dat de IT-afdeling dat weet. Zit daar dan een kwetsbaarheid in, dan weet het bedrijf niet dat het moet patchen. Wij kunnen op afstand vaststellen of jij iets kwetsbaars aan het internet hebt zitten en of je dus een patch moet installeren of andere maatregelen moet nemen”, vertelt Breedijk.

Breedijk en Koot besloten tijdens de Citrix-problemen om het heft in eigen handen te nemen. “Samen met een vrijwilliger zijn we per blok van IP-adressen contactgegevens op gaan zoeken en bedrijven gaan benaderen om ze te waarschuwen voor de kwetsbaarheid”, vertelt Breedijk. “Op onze website hebben we instructies geplaatst en via DIVD bieden we zelfs een soort helpdesk voor als je er echt niet uitkomt.”

Taken verdeeld

Inmiddels is ook het stof bij het Nederlands Security Meldpunt neergedaald. “Die eerste twee weken bestond het Meldpunt uit slechts drie vrijwilligers, die ieder hun eigen ding deden. Het voelde op dat moment echt alsof we twee banen hadden, die allebei ook nog eens meer dan 40 uur per week besloegen. Dat moest echt anders”, aldus Breedijk.

Daar is ook actie voor ondernomen. Zo zijn er nu vier vrijwilligers bijgekomen. “Dat zijn echt senior mensen die eerder met dit bijltje gehakt hebben.” Daarnaast zijn de verschillende taken nu verdeeld over het DIVD en het Meldpunt.

Het echte scannen naar kwetsbare systemen wordt door het DIVD gedaan, onder meer door Koot. “Het is prettig dat ik dit nu onder het DIVD kan doen”, vertelt hij. “Bij de lekken in Pulse Secure en Citrix moest je dingen doen die juridisch gezien op of over het randje zijn, wilde je met voldoende zekerheid kunnen zeggen dat een systeem kwetsbaar was. Daarmee neem ik een enorm risico, want je weet niet of er een aanklacht komt, of het OM dan tot vervolging zou overgaan, en of een rechter in zo'n casus dan besluit dat het maatschappelijk belang zwaarder weegt.”

“In de raad van toezicht van het DIVD zit ook Lodewijk van Zwieten, die bij het Openbaar Ministerie de officier van Justitie is die zich over cybercrime buigt. Ik kan hem nu dus voorleggen in hoeverre iets wel of niet verantwoord is. ”

Het Meldpunt richt zich nu alleen op het informeren over kwetsbaarheden en het attenderen van organisaties op kwetsbare systemen. “Wij proberen de informatie iets laagdrempeliger te communiceren dan het NCSC dat doet. Het NCSC is vaak erg juridisch ingedekt in hun bewoordingen. Wij kunnen iets vrijpostiger zijn”, aldus Breedijk.

Succes bij opheffing

Toch ligt het echte succes van het Nederlands Security Meldpunt niet bij het goed infomeren van Nederland of bij het attenderen op kwetsbaarheden. “Wij zijn volgens mij pas echt succesvol als wij ophouden te bestaan, omdat het vanuit de overheid goed geregeld is”, aldus Breedijk. Hij ziet graag een toekomst waarin een landelijke overheidsinstantie deze rol op zich neemt.

NCSC benaderde vitale infrastructuur

Minister Grapperhaus van Veiligheid en Justitie liet in februari in een brief aan de Tweede Kamer weten dat het Nationaal Cyber Security Center (NCSC) inderdaad informatie heeft ontvangen over systemen in Nederland die kwetsbaar waren door het Pulse Secure-lek. Op basis daarvan heeft het NCSC een aantal organisaties binnen de Rijksoverheid en de vitale infrastructuur “nader geïnformeerd”.

Organisaties binnen de doelgroep van het NCSC, waarvan bekend was dat ze Pulse Secure-software gebruikten, waren eerder ook al geïnformeerd.  Ook werd de informatie gedeeld met “enkele andere organisaties waarvan bijvoorbeeld binnen hun doelgroep de software mogelijkerwijs ook in gebruik was”.

Het NCSC bevestigt tegenover AG Connect verder dat het ook in januari – ten tijde van het Citrix-lek – informatie heeft ontvangen over mogelijk kwetsbare systemen. Het NCSC heeft zijn doelgroepen – de Rijksoverheid en vitale aanbieders – doorlopend benaderd met adviezen en updates. “Daarnaast heeft het NCSC informatieknooppunten en computercrisisteams op meerdere momenten geïnformeerd, zodat die de beveiligingsadviezen verder kunnen verspreiden onder organisaties buiten de doelgroep van het NCSC”, schreef minister Grapperhaus in januari in een Kamerbrief.

Het NCSC mag bedrijven buiten deze scope niet zomaar benaderen. Wel deelt de overheidsorganisatie beveiligingsadviezen altijd op zijn website voor een breder publiek.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.