buitenkantomslag jaarbericht Nicc

Jaarbericht 2007nicc

NICC

p/a ICTU

Bezoekadres

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

Postadres

Postbus 84011

2508 AA Den Haag

T 070 888 79 46

nicc@ictu.nl

www.samentegencybercrime.nl

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

NICCsamen tegen cybercrime

Letop!@

opvoorzijde

=stansvorm

=aparte

filmWT-jaarbericht_2008:omslag 22-04-2008 14:12 Pagina 1

binnenkantomslag jaarbericht Nicc

Peter Hondebrink (ministerie van EZ)opdrachtgever

Annemarie Zielstra (ICTU)programmamanager

Auke Huistraprojectleider Informatieknooppunt

But Klaasenprojectmanager NTD

Jeroen Walschotsprogrammasecretaris

Manou Aliprogrammaondersteuner

Cor Ottenscommunicatieadviseur

NICC-programma

Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Vormgeving: Tappan Communicatie, Den Haag /

Druk: OBT / TDS printmaildata, Schiedam

mei 2008

Het programma NICC is ondergebracht bij ICTU. Het motto van ICTU is: overheden helpen beter te presteren met ICT.

ICTU bundelt kennis en kunde op het gebied van ICT en overheid. Voor en met overheidsorganisaties voert ICTU diverse

projecten uit. Zo wordt beleid omgezet in concrete projecten voor de overheid. Meer informatie? Kijk op www.ictu.nl.

WT-jaarbericht_2008:omslag 22-04-2008 14:12 Pagina 2

samentegencyber-crimeNICC

De Nationale Infrastructuur ter bestrijding vancybercrime ontwikkelt zich gestaag. Sommigeonderdelen zelfs sneller dan verwacht. Het NICCmaakt zijn vliegwielfunctie waar.

Het NICC initieert en faciliteert, brengt partijensamen en versterkt bestaande samenwerkings-verbanden, met als doel een Nationale Infra-structuur waarin alle initiatieven zelfstandigfunctioneren. In 2007 heeft het NICC zich vooralgericht op die functies van de Nationale Infra-structuur die nog niet of onvoldoende wareningericht.

Het Informatieknooppunt Cybercrime heeftzich sterk uitgebreid.

Nieuwe sectoren sloten zich aan. De deelnemersontplooiden op eigen initiatief en met onder-steuning van het NICC bovensectoraleinitiatieven.

Praktische experimenten en onderzoek leiddentot nieuwe, creatieve beveiligingsoplossingen.

De activiteiten rond het thema Notice-and-Take-Down zijn verder uitgebreid. Het Actieonderzoekkan waardevolle daderprofielen en typologieënvan strafbare feiten opleveren. Ook andereonderzoeken en experimenten, bijvoorbeeld voorde beveiliging van scholen en gemeenten, gaanonverminderd door.

Het NICC benaderde in 2007 doelgerichtverwante buitenlandse organisaties voorsamenwerking en kennisuitwisseling.

Cybercrime stoort zich niet aan landsgrenzen.Integendeel, het maakt juist gebruik van deverschillen in wetgeving en handhaving in dediverse landen. Om cybercriminelen écht aante pakken, is internationale samenwerkingonontbeerlijk.

De NICC-website www.samentegencybercrime.nlbundelt de initiatieven van publieke en privatepartijen.

Waar kunt u cybercrime melden? Bij welkeorganisaties kunt u terecht voor inlichtingenover beveiliging? U vindt deze en andereinformatie op de NICC-website. Er zijn voor-bereidingen getroffen om tot een beslotengedeelte in de site voor samenwerkingspartnerste komen.

Het programma NICC is eindig. Daarom neemthet NICC zelf geen zaken in beheer.

Eind 2008 loop het programma NICC in zijnhuidige vorm af. Alle onderdelen van deNationale Infrastructuur zullen daarnaondergebracht worden bij publieke of privatepartijen. Dit jaarbericht behandelt deactiviteiten van het programma NICC in 2007. Insommige gevallen wordt aangegeven hoe dezeactiviteiten in het laatste programmajaar zullenworden voortgezet, geborgd of afgerond.

jaarbericht NICC 2007

Samen tegen cybercrimeDe resultaten worden zichtbaar

3

Het jaar 2007 is het jaar waarin de trendverder doorzet dat cybercriminaliteit steedsmeer daadwerkelijke schade berokkent.Cybercrime-dreigingen komen steeds meervan professionele criminelen, die hun soft-ware inkopen bij commerciële malware-producenten. Om er voor te zorgen dat deschade niet ongewenst blijft toenemen,moeten publieke en private partijen binnen deNationale Infrastructuur samen één frontvormen. Deze samenwerking zal waar nodigverder worden geïntensifeerd.

Cybercriminelen en cybercrime-bestrijdersvoeren een constante strijd. Er is een duidelijkeverschuiving waar te nemen in de richting vangeorganiseerde misdaad.

De wijze waarop financiële phishing plaatsvindt,verandert voortdurend. Dit laten recenteincidenten bij financiële instellingen zien.Zo zijn er voorbeelden van zogenaamde man-inthe-middle aanvallen, die ondanks het gebruikvan two-factor authenticatie succesvol zijn.De argeloze consument wordt via een e-mailongemerkt naar een volstrekt authentiek ogendekopie van de website van zijn bank geleid, die infeite door criminelen wordt beheerd. Ze vullenhun gebruikersnaam, wachtwoord en een trans-actiecode in, die de criminelen gebruiken om viade échte banksite geld van zijn rekening tehalen. Tot grote schade heeft dit tot nu toenog niet geleid, vanwege een combinatie vanaanvullende veiligheidsmaatregelen en snelleincidentrespons. Ook de uitwisseling van infor-matie over incidenten tussen de banken heefthierbij geholpen.

Al deze ontwikkelingen worden gevoed enversneld door een ‘zwarte’ economie, waarinprofessionele malware-ontwikkelaars hunwaren te koop aanbieden aan criminelen.De ontwikkelaars zijn dus allang niet meer dedaadwerkelijke gebruikers. Er is sprake vaneen onderlinge concurrentie tussen malware-ontwikkelaars, die de ontwikkeling van nogverfijndere en meer sophisticated malwareverder versnelt. Dat stelt steeds hogere eisenaan de beveiliging van systemen.

Opsporing en vervolging van cybercriminelenis belangrijk maar niet dé oplossing. De schadeis dan immers al aangericht. Daarom heeft hetNICC in 2007 sterk ingezet op preventie.Bijvoorbeeld door nog meer (vitale) sectorenaan te sluiten op het InformatieknooppuntCybercrime. Daarin wisselen bedrijfsleven,KLPD, AIVD, GOVCERT.NL en het NICCinformatie uit over incidenten, dreigingen enbeveiliging daartegen.Het Notice-and-Take-Down experiment vanGOVCERT is ook belangrijk in het kader vanpreventie en beperking van schade. De Notice-and-Take-Down service behelst het op een snelleen efficiënte wijze uit de lucht halen van illegalewebsites. Dit zijn dan websites die er uitzien als‘echte’ bancaire websites maar dat niet zijn.

In de volgende hoofdstukken leest u wat erin het kader van het programma NICC hetafgelopen jaar allemaal is gedaan om decyberspace veiliger te maken.

Financiële cybercrime: professionelecriminelen

4

Wim Hafkamp (Rabobank), voorzitter van deFI-ISAC:

“De bancaire sector heeft vanaf het begingezegd dat beveiliging geen concurrentie-itemis. We hebben dus bijvoorbeeld een gezamenlijkcrisishandboek opgesteld, en afgesproken datwe geen publiekelijke uitspraken doen overincidenten bij collega’s. Alleen vertrouwen kanleiden tot openheid van informatie. De voor-trekkersrol van het NICC is belangrijk; het net-werk werpt zijn vruchten af. Inmiddels delen dedeelnemers wel eens informatie buiten het FI-ISAC-overleg om, als het om iets actueels gaaten er niet gewacht kan worden tot er weer eenbijeenkomst is. De experts binnen de bankenweten elkaar nu te vinden. Ze vinden een klank-bord bij collega’s van andere banken, stellenelkaar vragen over het hoe en waarom vanbeveiligingsmaatregelen, vergelijken de ver-schillen en risico’s. Soms maken ze gezamenlijkerisicoanalyses, waardoor ze beter inzicht krijgenin mogelijke maatregelen. Ze bespreken dekwetsbaarheden van bijvoorbeeld de diversedetectietechnieken voor cybercrime-aanvallenen wisselen verbeteringen uit.”

– Op het internet circuleren naar schattingzes miljoen wormen, virussen en trojans.

– 95 Procent van alle e-mailtjes is spam.– De OV-chipkaart is in opspraak omdat hijsimpel te hacken zou zijn.

– Pinpasfraudeurs plunderden de rekeningenvan ten minste honderd klanten van dePraxis in Beverwijk en kraakten de nieuwstebeveiliging op kaartautomaten van de NS.

– Een omvangrijke DDoS-aanval legde vorigjaar de digitale infrastructuur van Estlandplat.

jaarbericht NICC 2007

5

De informatie-uitwisseling tussen publiekeen private organisaties is goed op ganggekomen. Maar te veel informatie kanverlammend werken. Daarom heeft hetprogramma NICC een begin gemaakt methet overzichtelijk rangschikken van dezedataovervloed.

Hoe overduidelijk de reële dreiging van cyber-criminaliteit ook is, geen enkele instantie heefteen compleet overzicht. Vanuit de verschillendeinitiatieven binnen het NICC komen groteinformatiestromen op gang, met als gevaardat de deelnemers het overzicht verliezen.Deze informatiestromen zijn afkomstig uitdiverse bronnen, zoals de KLPD, GOVCERT.NLen commerciële partijen zoals aanbieders vanantivirussoftware. Ook het NICC-Actieonder-zoek is een bron van informatie.

Nu het delen van informatie goed op ganggebracht is, wordt het tijd om deze gegevensook te analyseren en te kanaliseren. Het doelis een integraal beeld van trends en ontwik-kelingen op het gebied van cybercrime.Een eerste stap is het bundelen van de diverserapportages in de vorm van een overkoepelendeTrendrapportage. Daarvoor heeft het NICC in2007 het voorwerk verricht. Alle partijen dieactief zijn binnen de Nationale Infrastructuurzullen hierbij betrokken worden. In 2008 wordtde mogelijkheid bezien of daadwerkelijk toteen periodieke trendrapportage kan wordengekomen.

Trendrapportage

8

jaarbericht NICC 2007

NICC in internationaal verband

9Cybercriminelen storen zich niet aan lands-grenzen. Integendeel, ze maken daar juistdankbaar gebruik van door zich te verschuilenin landen waar ze zo min mogelijk beperktworden door wetgeving en handhaving. Hunwerkterrein is het internet en daarmee dehele wereld. Om cybercrime effectief aan tepakken, is internationale samenwerkingnoodzakelijk. Het NICC heeft in 2007 daaromzijn contacten met buitenlandse partnerssterk uitgebreid, zodat de nationale samen-werking zo optimaal kan aansluiten op inter-nationale kennisnetwerken.

Het NICC heeft in 2007 veel geïnvesteerd in hetaanhalen en versterken van internationaleconnecties zoals het Office of Cyber Security andCritical Infrastructure Coordination in deVerenigde Staten, het EastWest Institute, hetBritse Centre for the Protection of NationalInfrastructure (CPNI), het Swedish EmergencyManagement Agency (SEMA) en het ZwitserseMelani.

Met deze internationale partners heeft hetNICC regelmatig ontmoetingen om kennis uitte wisselen over cybercrime en de beveiligingdaartegen.Het NICC heeft in 2007 presentaties gegeventijdens de EuroSCSIE in juni te Genève, tijdensde bijeenkomst van het London Action Planen de FBI in oktober te Washington en op deMeridian Conference in november 2007 teStockholm.

Deze internationale contacten en de concreteNICC-producten hebben er mede toe geleiddat het NICC inmiddels participeert in hetEuroSCSIE-overleg (European Scada andControl Systems Information Exchange).

10 Het programma NICC maakt de samen-werking tussen publieke en private partijeninzichtelijk op www.samentegencybercrime.nl.Deze website is vanaf september 2007 online.U vindt daar een overzicht van het NICC-programma. Er zijn eind 2007 ook voor-bereidingen getroffen om de website uit tebreiden met een besloten gedeelte dat alleentoegankelijk is voor de deelnemers aan deNationale Infrastructuur.

Het aantal deelnemers aan de NationaleInfrastructuur tegen Cybercrime groeitgestaag. Zij komen uit alle geledingen van deNederlandse samenleving: het bedrijfsleven,de overheid en non-profit organisaties zoalsscholen. Al deze informatiespecialisten,beveiligingsexperts, managers, bestuurders,juristen, politieagenten en beleidsambtenarenhebben één gezamenlijk belang: een veiligecyberspace.

Vanuit verschillende sectoren is de wensgeuit om de samenwerking tegen cybercrimenadrukkelijker zichtbaar te maken. Het NICCtrof om die reden in 2007 voorbereidingen omeen Membership ‘Samen tegen Cybercrime’op te zetten. De gedachte is dat organisatieszich kunnen aansluiten bij de Nationale Infra-structuur tegen Cybercrime. Met een ‘Samentegen Cybercrime’-logo op hun website ofandere uitingen kunnen ze aangeven dat zebeveiliging tegen cybercrime serieus nemen.Individuen uit die organisaties kunnen dantoegang krijgen tot het besloten deel van deNICC-website. Daar kunnen ze deelnemen aanbesloten discussies en informatie uitwisselen.Ook worden voor hen speciale bijeenkomstengeorganiseerd over de bestrijding van cyber-crime. In 2008 wordt bezien óf en in welkevorm dit idee een bijdrage kan leveren aande preventie tegen cybercrime.

www.samentegencybercrime.nl

Het Informatieknooppunt Cybercrime groeitgestaag. In de al eerder aangesloten sectorenheeft de vertrouwelijke informatie-uit-wisseling haar waarde bewezen. Dezesectoren ontplooien inmiddels zelfstandignieuwe initiatieven. Nieuwe sectoren slotenzich in 2007 aan, of startten met de voor-bereidingen daarvoor. Er is een tendenszichtbaar om thematische, sectorover-schrijdende overleggen op te zetten. Ookwordt internationaal aansluiting gezocht bijvergelijkbare initiatieven.

Eind 2007 waren de bancaire sector, de drink-waterbedrijven, de energiesector en Schipholaangesloten bij het Informatieknooppunt.Ze vormen elk afzonderlijk een InformationSharing and Analysis Centre (ISAC), waarbinnenze in strikte vertrouwelijkheid informatieuitwisselen. Bijvoorbeeld over beveiligings-incidenten en –kwetsbaarheden, dreigingen,cybercrime-tools en –werkwijzen, good practicesdie de weerbaarheid vergroten en de mogelijk-heden voor early warning systemen. Voorlopigligt de nadruk op informatie-uitwisseling (IS)en nog niet op de analysefunctie (AC).

Het NICC is samen met AIVD, KLPD enGOVCERT.NL bij elk ISAC-overleg aanwezig, envormt zo de kern van het Informatieknooppunt.Via deze kern kan relevante informatie metgoedkeuring van de deelnemers doorgesluisdworden van de ene ISAC naar de andere.

Peter Zinn, Beleidsmedewerker bij het TeamHigh Tech Crime van de KLPD:

“Door deel te nemen aan het Informatieknoop-punt hebben we beter inzicht gekregen in dedreigingen die er spelen in de vitale sectoren ende ernst daarvan. Die zijn heel divers. De bankenhebben voornamelijk last van phishing, bijmultinationals gaat het onder andere ombedrijfsspionage. Uit de VS zijn gevallen bekendvan energiebedrijven die te maken kregen metafpersing. Dat speelt hier nog niet maar mochtdat wel gebeuren, dan zal dat door het ISAC-overleg snel boven water komen. Doordat jeelkaar kent, melden bedrijven nu snellerverdachte zaken bij ons. Ook buiten het overlegom. Op grond van die informatie kunnen webetere keuzes maken in onze prioriteiten. AlsKLPD herkennen we op grond van eigen onder-zoek en gegevens uit binnen- en buitenlandsepolitiebronnen trends en ontwikkelingen op hetgebied van cybercrime. Die worden dan door-gegeven aan de ISACs. Wanneer cybercriminelenbijvoorbeeld hun werkwijze veranderen, lichtenwe de ISACs in zodat ze maatregelen kunnennemen.”

InformatieknooppuntCybercrime

12

Douwe Leguit, Teamleider Projecten en Pilotsbij GOVCERT.NL, het Computer EmergencyResponse Team van de Nederlandse overheid:

“Met de inzet van het InformatieknooppuntCybercrime zijn we als GOVCERT.NL in staat omonze kennis en ervaringen op het gebied vanICT- en informatiebeveiliging effectiever enefficiënter te delen binnen en met de vitalesectoren. Het helpt ons met het vervullen vanonze taak: preventie en het verhogen van debewustwording. In het InformatieknooppuntCybercrime worden de juiste partijen om tafelgebracht om de gesignaleerde problemengezamenlijk aan te pakken. De samenwerkinggeeft inzicht in de informatiebehoefte van devitale sectoren en zorgt voor een betereafstemming van de activiteiten rondom kennis-deling. GOVCERT.NL gebruikt de informatiesamen met de KLPD en de AIVD om de richtingte bepalen voor onze eigen kennisontwikkeling.Ook kunnen we de respons beter aansluiten opde behoefte van de aangesloten organisaties.Het NICC heeft een belangrijke rol als facilitatorvoor de ISACs en zorgt voor een sfeer vanvertrouwen en actie.Via de ISACs ontsluiten we ook de kennis enervaringen die we via onze (inter)nationalepartners ontvangen. De informatie die wij alsGOVCERT.NL terug krijgen uit de ISACs helptons bij de advisering van de beleidsdeparte-menten en is input voor ons jaarlijkse trend-rapport. Het sluit aan op de lopende initiatievenen overlegstructuren in (inter)nationaalverband. Dat zet Nederland op de kaart alshet gaat om publiek-private samenwerking ophet vlak van cybercrime.”

Het NICC en GOVCERT.NL bieden de ISAC-deelnemers de mogelijkheid om zich aante sluiten op de monitoringservice vanGOVCERT.NL. De helft van de drinkwater-bedrijven heeft daar inmiddels gebruik vangemaakt. Bedrijven uit andere sectoren over-wegen zich aan te sluiten.

Afgelopen jaar heeft het NICC voorbereidendegesprekken gevoerd voor de aansluiting vande spoorsector (onder andere NS en ProRail) ende Rotterdamse havensector. Deze transport-sectoren zullen in 2008 elk van start gaan meteen eigen sectoroverleg.Een interessante sectoroverschrijdendeontwikkeling was in 2007 dat tien multinationalsmet een hoofdkantoor in Nederland interessetoonden voor een eigen ISAC. Hoewel debedrijven zeer verschillende markten bedienen,hebben ze toch een gemeenschappelijkeproblematiek die uitwisseling interessantmaakt. Dergelijke bekende, grote organisatieszijn een doelwit voor bedrijfsspionage. Boven-dien hebben ze door hun internationale activi-teiten te maken met allerlei verschillende wet-en regelgeving. Ze verwachten veel raakvlakkente vinden op het gebied van ICT-beveiliging.

Het NICC heeft financieel bijgedragen aan deopzet van een Information Threat Monitor voorde FI-ISAC, het overleg van de bancaire sector.Deze moet de belangrijkste bedreigingen inkaart brengen voor de verdere ontwikkeling vanfinanciële dienstverlening met behulp van ICT.De Nederlandse Vereniging van Banken starttein november 2007 een gezamenlijke reclame-campagne (‘3x kloppen’) om hun klanten voorte lichten over veilig online bankieren en hen

jaarbericht NICC 2007

13

bewust te maken van hun eigen verant-woordelijkheid daarin. De banken, internetservice providers (ISP’s), Security software-leveranciers en enkele overheidspartijen (waar-onder GOVCERT.NL, ECP.NL en het NICC) gaansamenwerken aan Internet Banking Security.Dit moet in 2008 leiden tot uitwisseling van rele-vante informatie en afstemming van activiteitenom de veiligheid van internetbankieren te blijvengaranderen.

De Water-ISAC heeft een benchmark SCADA-security laten uitvoeren waarin de beveiligingrondom SCADA en Control Systems van deaangesloten drinkwaterbedrijven in kaart isgebracht. Naar aanleiding daarvan is een gidsopgesteld met 39 vertrouwelijke good practices,die in 2008 zullen worden uitgediept en aan-gevuld met concrete voorbeelden uit de deel-nemende bedrijven.De good practices-gids zal geanonimiseerdworden, zodat hij beschikbaar gesteld kanworden aan andere sectoren. Deze versie wordtook in het Engels vertaald en gepresenteerdtijdens het EuroSCSIE-overleg.

Wim Breugom, adviseur procesautomatiseringbij de afdeling Strategie & Ontwikkeling vanhet Duinwaterbedrijf Zuid-Holland:

“Voor de SCADA-wereld is cybercrime eenrelatief nieuw verschijnsel. We constateerdendus witte vlekken in onze kennis over cybercrimeen informatiebeveiliging. In het Informatie-knooppunt ontstaan dwarsverbanden tussencollega-drinkwaterbedrijven, maar ook tussensectoren. Die werken als een katalysator, waar-door we die kennis- en informatiegaten snelkunnen vullen.”

De Energie-ISAC is in september 2007 van startgegaan. Het zal in 2008 eenzelfde benchmarkSCADA-security laten uitvoeren als de Water-ISAC.

14

In de loop van 2007 werd het steeds duide-lijker dat SCADA en Process Control Systemsaparte aandacht verdienen, omdat ze als eenrode draad door diverse bedrijfstakken heenlopen. Een aparte SCADA-ISAC zou eenoplossing kunnen zijn.

Diverse vitale sectoren en multinationals zijnsterk afhankelijk van procesautomatisering:bedrijven in de nucleaire sector, energie- endrinkwaterbedrijven, de (petro)chemischeindustrie en de transportsector (Schiphol, NS,het Rotterdamse Havenbedrijf). Deze sectorenhebben besloten in 2008 te bespreken of zijbinnen het Informatieknooppunt gezamenlijkeen apart, sectoroverschrijdend SCADA-overleggaan opzetten. De SCADA-ISAC zou veel aan-dacht moeten besteden aan bewustwording enopleiding, en verder drie keer per jaar eenactiviteit organiseren voor deelnemers uitdiverse sectoren van het Informatieknooppuntdie met procesautomatisering te maken hebben.Het NICC heeft in dit kader samenwerkings-afspraken gemaakt met het CIO PlatformNederland, een besloten groep van ICT-eind-verantwoordelijken in Nederland. Het doel vande samenwerking is op het niveau van radenvan bestuur bewustwording te creëren overbeveiliging tegen cybercrimedreigingen. In 2008zullen het NICC en het CIO Platform samen metenkele andere partijen de SCADA security-dagenorganiseren, en verder opleidingen en trainingenover SCADA-beveiliging opzetten. Daarnaastzullen ook phishing en bedrijfsspionage aan deorde komen.

Een SCADA-ISAC leent zich bij uitstek voorinternationale samenwerking. Het NICC nam in2007 voor het eerst aan deel aan het EuropeseSCADA-platform EuroSCSIE (SCADA ControlSystems Information Exchange). In 2008 isNICC gastheer van het EuroSCSIE-overleg.Samen met het CPNI en de Swedish EmergencyManagement Agency (SEMA) is het NICC in2007 gestart met de voorbereiding van deEuroSCSIE-conferentie die in 2008 gehoudenzal worden.

Foppe Vogd, programmadirecteur van CIOPlatform Nederland:“Samenwerking tussen NICC en het CIO Plat-form is uitermate noodzakelijk, want informatie-beveiliging is voor de BV Nederland van cruciaalbelang. Bundeling van onze gezamenlijke krachtis daarin zinvol. Door kennisuitwisseling tussenhet CIO Platform en het NICC, en samenwerkenwaar mogelijk, wordt wederzijds de kennis enervaring optimaal ingezet ten gunste van beidepartijen. In plaats van dingen dubbel te doen,versterken we elkaar. Dat is wat we nodighebben om afzonderlijk en gezamenlijksuccesvol te zijn.”

SCADA en Process Control Systems

16

Het Informatieknooppunt Cybercrime is hethart van de Nationale Infrastructuur. In hetInformatieknooppunt vindt per vitale sectorinformeel overleg plaats, georganiseerd doorhet NICC. Het is opgebouwd volgens het‘bloemblaadjesmodel’, dat gebaseerd is ophet informatie-uitwisselingsmodel van hetBritse Centre for the Protection of NationalInfrastructure (CPNI). Elk bloemblaadje bestaatuit vertegenwoordigers van een bepaalde sector,die onderling in strikt vertrouwen informatieover dreigingen uitwisselen. Om de geheim-houding te waarborgen is een aantal spelregelsopgesteld. Degene die de informatie aanbiedt,beslist over het niveau van vertrouwelijkheid.

jaarbericht NICC 2007

17

Drink-

water

-

bedrijven

BankenSCADA

Multi-

nationals

Haven-

sector

Prorai

l/ NS

Telecom-sector

Schiphol

AIVDKLPDGOVCERTNICC

Energie-

sector

Nucleaire

sector

EuroSCS

IE

Welke werkwijzen en daderprofielen passenbij bepaalde vormen van internetgerelateerdecybercrime? Hoe zijn die te benutten omonrechtmatigheden en hun veroorzakers ophet spoor te komen? Het NICC-Actieonder-zoek wil een antwoord geven op deze vragen.

Kennis over de diverse vormen van cybercrimeen daders is verspreid over diverse partijen.Deze kennis wordt in het kader van het Actie-onderzoek verzameld en ondergebracht inhypothesen. In 2007 zijn circa driehonderdonderzoeksdossiers over spyware, spam,effectenfraude, intellectuele eigendomsfraudeen oplichting geanalyseerd. De dossiers werdenaangeleverd door de OPTA, de bovenregionalerecherche en het Openbaar Ministerie. Op basisvan onder meer deze gegevens zijn dader-profielen en typologieën van strafbare feitensamengesteld. In dit kader zijn ook afsprakengemaakt met het Wetenschappelijk Onderzoek-en Documentatiecentrum (WODC) van hetministerie van Justitie.In 2008 zullen nog eens vierhonderd cyber-crime-dossiers van de politieregio Amsterdam-Amstelland op dezelfde manier wordengeanalyseerd, plus een nog onbekend aantaldossiers van onderzoeken waaraan door hetKorps Landelijke Politiediensten is meegewerkt.Met de FIOD-ECD zijn nog gesprekken oversamenwerking gaande.In de loop van 2008 worden de hypothesen in depraktijk getoetst. Dit kan leiden tot interventies.

Voor het opsporen van cybercriminelen is hetnodig dat instanties daderinformatie, bijvoor-beeld surfgedrag of fraude bij webwinkels,uitwisselen. Daarbij mag de privacy niet in hetgeding komen. Gegevens moeten dus privacy-veilig gedeeld worden, zonder de identiteit vande daders bekend te maken. Parallel aan hetActieonderzoek is afgelopen jaar gewerkt aaneen methode voor privacyveilige gegevens-uitwisseling. Hypothesen over daders en hungedrag worden getoetst bij de diverse bronnen.Als daar overlappingen uitkomen, kan dat eenreden zijn om ook de daadwerkelijke dader-gegevens te delen. De beheerders van debronnen beslissen daarover ieder afzonderlijk.Deze methode is in het najaar van 2007 getestop twee fictieve daderbestanden.

jaarbericht NICC 2007

NICC-Actieonderzoek

19

Gedachte is om in de tweede fase van hetproject door bundeling van juridische entechnische expertise de Notice-and-Take-Down procedure voor overheid en particulieresector efficiënter te maken.

De bancaire sector heeft samen met het NICCin 2006 een experiment Notice-and-Take-Downopgezet in verband met een specifieke vorm vancybercrime: phishing. GOVCERT.NL heeft eencentrale positie in dit experiment. De eersteresultaten zijn bemoedigend. In samenwerkingmet GOVCERT.NL blijken de banken goed instaat om de phishing-sites snel en effectiefuit te schakelen. Tijdens de looptijd van hetexperiment heeft GOVCERT.NL meer danhonderd, voornamelijk buitenlandse, sites uitde lucht laten halen. Ook de banken zelf hebbenvia commerciële bureaus sites uitgeschakeld.Het experiment wordt begin 2008 geëvalueerd.Dan zal ook bepaald worden op welke wijze aanNotice-and-Take-Down een vervolg zal wordengegeven.

Het NICC is op verzoek van de Stuurgroep Inter-net en Terrorisme van de Nationaal CoördinatorTerrorismebestrijding (NCTb) in 2007 gestartmet een juridisch onderzoek naar de mogelijk-heden die Art. 54a Sr aan de officier van justitiebiedt om sites uit de lucht te halen. Dit artikelregelt de aansprakelijkheid en de uitsluitingvan rechtsvervolging van ISP’s.

Met betrekking tot de toepasbaarheid van ditartikel is door het Centrum voor Recht, Techno-logie en Samenleving van de Universiteit vanTilburg en het Center for Cybercrime Studies(CyCriS) in 2007 een aantal vraagstukken inkaart gebracht. Het rapport hierover is indecember 2007 aangeboden aan de ministervan Justitie en zal in het voorjaar van 2008openbaar worden gemaakt.

In het kader van een breder NICC-project‘Stroomlijnen en Convergentie van Notice-and-Take-Downsystemen’ maakt het voor het aan-pakken van sites met strafbare, onrechtmatigeof ongewenste content veel uit of een ISP zelfde strafbare content host of alleen optreedt alsdoorgeefluik. Een hosting provider biedt klantenopslagruimte aan op Internet, en kan daaromvaak zelf gericht ingrijpen om illegale informatieoff-line te halen. In zogenaamde ‘mere-conduit’situaties verloopt het data verkeer via de ISP,maar zijn de (illegale) bestanden elders opge-slagen. Maatwerk is dan soms technisch nietmogelijk. Ook is het van belang of de informatiezich bevindt op een server in Nederland of inhet buitenland. Veel internetbedrijven willenbijdragen aan het terugdringen van onrecht-matigheden op websites zoals kinderporno,haatzaaien, het te koop aanbieden van nage-maakte producten, gekopieerde software ofgestolen goederen. Het ontbreekt hen echteraan voldoende deskundigheid om te bepalenwat onrechtmatig is.

Notice-and-Take-Down uitgebreid

20

Gedachte is om in de tweede fase van hetproject de juridische en technische expertiseen intensief overleg tussen de overheid en departiculiere sector te bundelen. Het internet-bedrijfsleven is een jonge, relatief weiniggereguleerde bedrijfstak. Daarom is mengrotendeels afhankelijk van jurisprudentie eneigen initiatieven met voldoende draagvlakbinnen de sector.De bedoeling is om samen met de internet-bedrijfstak in 2008 te bezien welke verbete-ringen mogelijk zijn ten aanzien van de inzetvan NTD.

Margaret Verhulst, Public Affairs -Strategie en Regelgeving bij XS4ALL:“Wij hebben zelf al een NTD-procedure diewerkt. We willen graag meedenken over eenNTD-standaard voor alle ISP’s als het gaat omzaken die in strijd met de wet zijn. Als het omongewenste of onfatsoenlijke zaken gaat, zouéén meldpunt misschien beter zijn. Maar wemoeten als bedrijf zelf kunnen beslissen of weiets met een melding doen. Dat moet geenverplichting worden. Het is wel goed dat wedaarover nu discussie voeren met elkaar.”

jaarbericht NICC 2007

21

Het kabinet stimuleert elektronische data-uitwisseling bij gemeenten. Burgers enbedrijven worden elektronisch bediend enmoeten zelf ook gegevens elektronischaanleveren. Maar hoe is het met debeveiliging van digitale informatie bijgemeenten gesteld? In 2007 is bij elfgemeenten van diverse omvang onderzoekgedaan naar de risico’s en behoeften ronddeze verdergaande inzet van ICT en hetbenutten van internet.

Deze meta-analyse is natuurlijk niet represen-tatief voor de hele sector, maar geeft welhandvatten voor vervolgstappen. Zo lijkt er eengebrek te zijn aan dwingende wet- en regel-geving, controle, kennis en hulpmiddelen omzich tegen cybercrime te beschermen.Incidenten worden niet gemeten en het ICT-budget is onvoldoende. Bij de bestuurders enmanagers die er geld voor moeten uittrekken,heeft informatiebeveiliging geen hoge prioriteit.Om budget voor hulpmiddelen zoalsinternetwaarschuwingssystemen te krijgen, ishet dus zaak de bewustwording bij bestuurderste vergroten.Daarom zijn in 2007 voorbereidingen getroffenvoor een gecontroleerde ethische hack en socialengineering in tien gemeenten. Bij een ethischehack probeert een extern bureau in de systemenvan een gemeente binnen te dringen. Bij socialengineering probeert een mystery guest met eensmoesje door te dringen in een gemeentehuisen daar zoveel mogelijk gevoelige informatiete vinden, bijvoorbeeld in kasten, op rond-slingerende usb-sticks, uit archieven of de kluis.Het NICC zal de geanonimiseerde uitslagen inde loop van 2008 onder de aandacht brengen

van het ministerie van Binnenlandse Zakenen Koninkrijksrelaties, de Verenging vanNederlandse Gemeenten, ICTU, EGEM (kennis-platform voor gemeentelijke vraagstukken rondICT), gemeentesecretarissen en burgemeesters.

Het traject is begeleid door een klankbordgroepmet vertegenwoordigers van het kennisplatformvoor gemeenteleijke ICT-vraagstukken EGEM,het Coördinatiepunt ICT (CP-ICT), de Verenigingvan coördinatoren Informatievoorziening enAutomatisering in Nederlandse Gemeenten(VIAG), de intergemeentelijke sociale dienstOptimisd, Centric en Getronics PinkRoccade.

Gemeenten: werken aanbewustwording

24

In het onderwijs heeft de afgelopen jaren inhoog tempo een verbetering van de ICT-voorzieningen plaatsgevonden. Veel scholengebruiken voor het onderwijs snelle internet-verbindingen. Dat vereist meer aandacht voorbeveiligingsrisico’s.

Het NICC en GOVCERT.NL hebben samen metStichting Kennisnet en SURFnet het initiatiefgenomen om WARPs (Warning, Advice andReporting Point) in Nederland te introduceren

Een WARP is een community die bestaat uitleden uit eenzelfde sector, in dezelfde regioof met een vergelijkbare ICT-infrastructuur.De communityleden krijgen via de WARPbetrouwbare ict-beveiligingsinformatie,advies van experts en waarschuwingen opmaat. Door middel van de WARP wisselen decommunityleden van de scholen informatie enexpertise uit. Op deze manier kan er efficiënteren op een praktisch toepasbare manier wordenomgegaan met beveiliging, ontstaat een poolvan experts op bepaalde terreinen waar iedereengebruik van kan maken en wordt het algemenebewustzijn op het gebied van ict-beveiligingvergroot.

Er is een pilot-project gestart in de onderwijs-sector met als doel het uitproberen van hetWARP-concept in de Nederlandse onderwijs-situatie en tevens om te kijken of het WARP-concept bruikbaar is en meerwaarde kan hebbenvoor de onderwijssector. Tijdens de pilot levertGOVCERT.NL beveiligingsinformatie aan deWARP.

GOVCERT.NL heeft dit WARP-experiment inhet voorjaar van 2007 gepresenteerd op eeninternationale WARP-conferentie in Engeland.Rond die tijd vond ook de kick-off met dedeelnemende Nederlandse scholen plaats.Eind 2008 moet de pilot voldoende informatiehebben opgeleverd om te kunnen concluderenop WARP meerwaarde kan hebben voor deonderwijssector.

jaarbericht NICC 2007

Drie WARP-projecten voor scholen

25

Volgens de planning houdt het programmaNICC in zijn huidige vorm eind dit jaar op tebestaan. De Nationale Infrastructuur zelfmoet dan zo ver gevorderd zijn dat hij zichzelfin stand kan houden.In 2008 wordt het programma NICC geëva-lueerd. Centrale vraag is hoe en onder welkecondities onderdelen van het programmaNICC kunnen worden beëindigd, en welkevervolgstappen er nodig zijn om de NationaleInfrastructuur te borgen en door te latengroeien.

Het NICC zal in 2008 veel aandacht bestedenaan het borgen van succesvolle experimentenzoals het Informatieknooppunt en Notice-and-Take-Down, bijvoorbeeld door ze in beheergeven van andere partijen.

Daarnaast gaat het NICC natuurlijk onver-minderd door met het ondersteunen enfaciliteren van onderdelen van de NationaleInfrastructuur.

In 2008 zal het NICC de betrokkenheid vanpublieke en private partijen bij de NationaleInfrastructuur verder versterken door bijvoor-beeld het logo ‘Samen tegen Cybercrime’ voorgebruik op websites ter beschikking te stellenen een besloten gedeelte op de website voordeelnemers in te richten.Hoewel het programma NICC eindig is, zal deNationale Infrastructuur op een solide basisverder kunnen bouwen aan een veilige cyber-space.

Het programma NICC is eindig, deNationale Infrastructuur gaat door

26

Het Nationaal Platform Criminaliteits-beheersing (NPC) is een publiek-privaatsamenwerkingsverband dat zich bezighoudtmet het tegengaan van criminaliteit waarmeehet bedrijfsleven in Nederland wordt gecon-fronteerd. Dit platform heeft in het kader vanhet Actieplan Veilig Ondernemen II (AVO II)de aanzet gegeven voor een programma tothet tegengaan van cybercrime. Doel van hetprogramma NICC is te komen tot eenNationale Infrastructuur tot het tegengaanvan CyberCrime. Inmiddels is het programmaonderdeel geworden van de ‘Agenda ICTveiligheid’.

De huidige opzet van de bestrijding van cyber-crime in Nederland is gefragmenteerd. Opdiverse plaatsen worden functies van denationale infrastructuur ingevuld. Er is echteronvoldoende sprake van een geïntegreerdeaanpak en van een gestructureerde publiek-private samenwerking. Daardoor wordt inNederland niet altijd adequaat gereageerd opcybercrime. De Nederlandse samenleving alsgeheel is dus vanwege toenemendedigitalisering van onze maatschappij kwetsbaarvoor deze vorm van criminaliteit.De kernwoorden van het programma NICC zijn:– publiekprivate samenwerking;– aansluiten bij de behoefte van de partijen inde markt;

– voorkomen én bestrijden.

Het NICC initieert, ontwikkelt en experimen-teert, maar heeft niet tot doel zelf de nieuwenationale infrastructuur te worden. Het NICCbrengt partijen bij elkaar, zoals het bedrijfs-leven, universiteiten onderzoeksinstellingen,(de)centrale overheden, GOVCERT.NL, hetKLPD, de AIVD en het Meldpunt Cybercrime.Het NICC is vooral een ontwikkelomgevingdie door middel van experimenten onderdelenvan de nationale infrastructuur ontwikkelt endaar tegelijkertijd kennis mee vergaart. Vanuitontwikkelde producten wordt de wenselijk-heid en mogelijkheid bezien tot voortzetting.Na besluitvorming vindt al dan niet overdrachtplaatst naar een beheeromgeving.

Het programma NICC

28

binnenkantomslag jaarbericht Nicc

Peter Hondebrink (ministerie van EZ)opdrachtgever

Annemarie Zielstra (ICTU)programmamanager

Auke Huistraprojectleider Informatieknooppunt

But Klaasenprojectmanager NTD

Jeroen Walschotsprogrammasecretaris

Manou Aliprogrammaondersteuner

Cor Ottenscommunicatieadviseur

NICC-programma

Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Vormgeving: Tappan Communicatie, Den Haag /

Druk: OBT / TDS printmaildata, Schiedam

mei 2008

Het programma NICC is ondergebracht bij ICTU. Het motto van ICTU is: overheden helpen beter te presteren met ICT.

ICTU bundelt kennis en kunde op het gebied van ICT en overheid. Voor en met overheidsorganisaties voert ICTU diverse

projecten uit. Zo wordt beleid omgezet in concrete projecten voor de overheid. Meer informatie? Kijk op www.ictu.nl.

WT-jaarbericht_2008:omslag 22-04-2008 14:12 Pagina 2

buitenkantomslag jaarbericht Nicc

Jaarbericht 2007nicc

NICC

p/a ICTU

Bezoekadres

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

Postadres

Postbus 84011

2508 AA Den Haag

T 070 888 79 46

nicc@ictu.nl

www.samentegencybercrime.nl

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

NICCsamen tegen cybercrime

Letop!@

opvoorzijde

=stansvorm

=aparte

film

WT-jaarbericht_2008:omslag 22-04-2008 14:12 Pagina 1