Jaarbericht 2008nicc

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

Programma NICC 2008

Highlights

samentegencyber-crimeNICC

De Nationale Infrastructuur ter bestrijdingvan Cybercrime is een feit.

Onder de regie van het programma NICChebben publieke en private partijen op hetgebied van de bestrijding van cybercrime elkaargevonden in gezamenlijke activiteiten zoals hetInformatieknooppunt Cybercrime, de gedrags-code Notice-and-Take-Down, een voorstudievoor een haalbaarheidsonderzoek naar eenNationale Trendrapportage en het NICC-Actieonderzoek.

De experimenteerfase heeft veel inzichten opge-leverd. Notice-and-Take-Down en het Informatie-knooppunt zijn volwassen activiteiten die zelf-standig verder groeien.

Het ‘vliegwiel’ is in beweging gezet. De publiek-private samenwerking verbetert de ICT-securityvan de deelnemende partijen. Maar het is nogte vroeg om van een onomkeerbaar proces tespreken.

Het programma NICC is verlengd om de samen-werking die publieke en private partijen totstand hebben gebracht verder te ondersteunenen te borgen.

Nu is een efficiencyslag nodig: de diversefuncties stroomlijnen en op elkaar aansluiten.Daarvoor zijn ook betrouwbare cijfers en analysesover cybercriminaliteit nodig. Het NICC heeftin opdracht van de departementen vanEconomische Zaken, Binnenlandse Zaken enKoninkrijksrelaties en Justitie de trendanalyse-initiatieven in Nederland geïnventariseerd en debetrokken ministeries geadviseerd alle gegevenste bundelen tot een Nationale TrendrapportageCybercrime.

Het volgende doel: publieke en private partijengebruiken over sector- en landsgrenzen heendezelfde taal, definities en spelregels als hetgaat om ICT-security.

Cybercrime stoort zich niet aan grenzen. HetNICC heeft daarom in 2008 intensief doorgewerktaan sectoroverstijgende initiatieven en het op-bouwen van een internationaal netwerk. Datlevert nu al concrete resultaten op voor hetNederlandse bedrijfsleven.

jaarbericht NICC 2008

Samen verder tegen cybercrime

3

In 2009 wordt bekeken op welke wijze deopbrengsten van het programma NICCgeborgd kunnen worden. Het gaat dan in deeerste plaats om het Informatieknooppunt.Het Informatieknooppunt is een succesvolonderdeel van het programma en veel sterkergegroeid dan in 2006 voor mogelijk werdgehouden. De Nationale Infrastructuur terbestrijding van Cybercrime is in kaartgebracht en functioneert.

Is er al sprake van een onomkeerbare beweging?Of de Nationale Infrastructuur ter bestrijdingvan Cybercrime zal blijven functioneren als hetprogramma NICC stopt, hangt af van een goedeborging. In 2009 zal daar meer duidelijkheidover komen.

Hebben we in Nederland de beveiliging tegencybercrime op orde? Niemand zal deze vraagmet een volmondig ‘ja’ durven beantwoorden.Eén van de eerste daden van president Obamawas het aanstellen van een speciale adviseurvoor de bestrijding van cybercrime, die recht-streeks aan hem rapporteert. Een duidelijksignaal dat ze in de Verenigde Staten in iedergeval nog lang niet tevreden zijn.En dat is terecht. Elektronische informatie vormtde levensader van onze moderne samenleving.Het komt niet in ons op dat onze elektronischeinformatie er niet meer zou zijn. Maar interneten andere vormen van elektronische informatie-voorziening vormen een gigantisch, wereld-

Sociale netwerkenbeschermen tech-nische netwerken

omspannend werkterrein voor cybercriminelen.Die zijn moeilijk aan te pakken door nationalepolitiediensten en opsporingsinstanties. Datvraagt dus om nog meer internationale samen-werking op alle terreinen.Professionele cybercriminelen veroorzaken nu alveel schade. Niet alleen financieel. Ze beschadigenook het consumentenvertrouwen in internet-diensten en andere vormen van elektronischeinformatiediensten zoals chippassen en elektro-nisch stemmen. De komende tien jaar gaat heter dus vooral om te zorgen dat de consumentmeer vertrouwen krijgt in de betrouwbaarheiden veiligheid van elektronische diensten.

Is de veiligheid van het internet nu geregeld?Eerlijk gezegd: nog niet. Het internet is vaniedereen en dus van niemand. De oplossing zitniet alleen in het nemen van technische maat-regelen, maar ligt ook bij de mens. Daarnaastzijn sociale netwerken van belang voor debescherming van technische netwerken envoor het vertrouwen. Op basis van die gedachtefunctioneert de Nationale Infrastructuur terbestrijding van Cybercrime. In deze infra-structuur werken inmiddels honderdenmensen samen aan een veilige cyberspace.Maar er is meer nodig. ‘Nationaal’ moet snel‘internationaal’ worden. De wereld is een globalvillage die we ook ‘global’ moeten beveiligen,door internationale samenwerking tussenmensen, mensen en nog eens mensen. Daarvoormoet eerst nationaal alles op orde zijn. Daarna

ligt het voor de hand om de Nationale Infra-structuur uit te breiden naar een EuropeseInfrastructuur tegen Cybercrime.

Zijn we de strijd tegen de criminelen aan hetwinnen of aan het verliezen? Dat weten we opdit moment niet. Gelukkig is er wel al veel meeroverzicht, nu het NICC alle publieke en privatepartijen die een rol spelen in de bestrijding vancybercrime in kaart heeft gebracht via een om-gevingsanalyse. Dat overzicht is de basis voorverdergaande samenwerking tussen private enpublieke partijen. Het onderzoek naar deborging van het Informatieknooppunt zal deingrediënten opleveren om de coördinatie vandie samenwerking verder vorm te kunnen geven.

Annemarie Zielstra (ICTU)programmamanager

jaarbericht NICC 2008

5

Het Informatieknooppunt Cybercrime isbinnen twee jaar tijd een groot succesgeworden. Vertegenwoordigers van vitalesectoren zijn samen met publieke partijengestart met het gestructureerd delen vanvertrouwelijke informatie over cybercrimeen ICT-security. Nog steeds sluiten nieuwepartijen zich aan bij dit permanente netwerk.In 2008 was bovendien de eerste inter-sectorale uitwisseling een feit.

In 2008 hebben de aangesloten sectoren ende overheidspartijen het InformatieknooppuntCybercrime geëvalueerd. Alle betrokken partijenwillen de samenwerking in de huidige vormvoortzetten. Deze conclusie is onderschrevendoor de drie betrokken ministeries. De bestuur-lijke en bedrijfsmatige invulling hiervan wordtin 2009 geregeld.

Activiteiten van de eerste vier ISACsHet Informatieknooppunt Cybercrime ging in2006 van start met de FI-ISAC van de bancairesector, in 2007 gevolgd door de Water-ISAC(drinkwatersector), Energy-ISAC (gas- enelektriciteitsbedrijven) en Airport-ISAC(Schiphol Airport).Naar het voorbeeld van de benchmark die in2007 in de drinkwatersector is uitgevoerd, heefthet NICC in 2008 op verzoek van de Energy-ISAC een benchmark Process Control Securitylaten uitvoeren bij de gas- en elektriciteits-bedrijven.

De deelnemers aan de Airport-ISAC zoeken naarde onderlinge afhankelijkheden en de kwets-baarheden die daarmee gepaard kunnen gaan.Gezamenlijke projecten zoals de GeïntegreerdeMeldkamer Infrastructuur zijn langs de meetlatvan ICT-security gelegd.

Information Sharing and Analysis Centre(ISAC)ISAC staat voor Information Sharing andAnalysis Centre. In een ISAC kunnen bedrijvenper sector hun beveiligingsproblemen vertrouwden anoniem uitwisselen. Na analyse kan daaruiteen waarschuwing aan alle deelnemende partijenvolgen over een risico of kwetsbaarheid, of eengood practice om een risico af te wenden. Infor-matie wordt gedeeld volgens een vertrouwelijk-heidscode, het stoplichtmodel. Wit staat in ditmodel voor openbare informatie. Groen betekentdat informatie mag worden gedeeld binnen enbuiten de organisatie, maar niet gepubliceerd.Geel gemerkte informatie mag alleen gedeeldworden met mensen binnen de eigen organisatiedie deze informatie nodig hebben om maat-regelen te nemen. Rood betekent dat de infor-matie zeer geheim is en alleen mondeling binnende ISAC gedeeld mag worden.Vanuit de overheid maken NICC, KLPD, AIVD enGOVCERT.NL vast onderdeel uit van alle ISACsin het Informatieknooppunt.

Informatieknooppunt Cybercrime

6

Februari 2008 Februari 2008 Maart 2008

Start Multinationals-ISAC in hetInformatieknooppunt

Oplevering SCADA Security Good Practicesfor the Drinking Water Sector

NS en Prorail sluiten zich als Spoor-Isac aan bijhet Informatieknooppunt

Vier nieuwe ISACs in 2008In 2008 sloten nog eens vier sectoren zich aanbij het Informatieknooppunt. In februari starttede Multinationals-ISAC, bestemd voor inter-nationaal opererende organisaties met eenhoofdkantoor in Nederland. NS en Prorail komensinds maart 2008 bij elkaar in de Spoor-ISAC.Zij maakten een inventarisatie van applicatiesen infrastructuren die ze beide gebruiken, omzo tot een gezamenlijke risicoanalyse te komen.De Academische Ziekenhuizen startten in oktober2008 een overleg binnen het Informatie-knooppunt.Verder zag in mei 2008 het eerste thematische,sectoroverschrijdende overleg het licht. DezePCS-ISAC concentreert zich op security rondomSCADA en process control systems (PCS). Meerhierover leest u in het volgende hoofdstuk.

Gestage groeiHet Informatieknooppunt groeit gestaag door.In 2008 zijn verkennende gesprekken binnende telecommunicatiesector gevoerd die geleidhebben tot de start van een Telecom-ISACbegin 2009.Het NICC heeft in 2008 voor de RotterdamseHaven een onderzoek ondersteund naar ICT-kwetsbaarheden. Hier komt wellicht in 2009een Haven-ISAC uit voort.

De Chatham House RuleHet Informatieknooppunt maakt voor de uit-wisseling van informatie gebruik van een stoplicht-model dat is gebaseerd op de Chatham HouseRule, opgesteld in 1927 in Chatham House (GB):

“When a meeting, or part thereof, is held underthe Chatham House Rule, participants are freeto use the information received, but neither theidentity nor the affiliation of the speaker(s), northat of any other participant, may be revealed.”(bron: http://www.chathamhouse.org.uk)

De Chatham House Rule kan door iedereenworden gebruikt die wil garanderen dat deel-nemers aan een bijeenkomst vrijuit kunnenspreken en informatie uitwisselen.Chatham House (officieel het Royal Instituteof International Affairs) werd in 1920 opgerichtin Londen. Het is een denktank voor belangrijkeinternationale vraagstukken. Onafhankelijkonderzoek is de kern van Chatham House. Eenvan de vele projecten is Cyberspace and TheNational Security of the United Kingdom.

Concrete resultatenHet Informatieknooppunt leverde in 2008concrete resultaten op voor de deelnemers.Veel van die resultaten vallen onder de geheim-houdingsafspraken, maar enkele zijn ook zicht-baar voor de buitenwereld.

jaarbericht NICC 2008

7

Juni 2008 Oktober 2008 Oktober 2008

De impact van de kwetsbaarheid van de Mifare-chip is in kaart gebracht

Start overleg Academische Ziekenhuizen Herfstborrel NICC tijdens een boottochtin Amsterdam

– De Nederlandse Vereniging van Banken heeftin samenwerking met het NICC vier inter-sectorale Round Tables georganiseerd overInternet Banking Security. Banken, internetservice providers, antivirusbedrijven en over-heidspartijen zaten samen aan tafel om tepraten over maatregelen om internetbankierenveilig te houden.

– Er is veel commotie ontstaan rondom dekraakbare Mifare-chip, die niet alleen wordtgebruikt in de nieuwe OV-chipkaart maar ookvaak voor toegangsbeveiliging. Naar aan-leiding daarvan nam de Multinationals-ISAChet initiatief tot een intersectorale workshopover de kwetsbaarheid van de Mifare-chip.Een groep specialisten vanuit diverse ISACs,de Radboud Universiteit Nijmegen, TNO enleveranciers van chipcard- en beveiligings-systemen hebben de impact hiervan in kaartgebracht en tegenmaatregelen voorgesteld.Zij kregen belangrijke input in de vorm vaneen speciaal hiervoor door GOVCERT.NL ende AIVD opgesteld factsheet.

– In opdracht van het NICC zette TNO voor dedrinkwatersector 39 SCADA-good practicesop papier. Deze maken de hele sector weer-baarder tegen cybercrime-aanvallen. Ookandere binnen- en buitenlandse sectoren dieprocess control systems toepassen, hebbende good practices enthousiast opgepakt.

– Het programma Nationale Veiligheidontwikkelde scenario’s over ICT-verstoring.Deze zijn getoetst in enkele ISACs.

– De sectoren wisselen onderlingonderzoeksresultaten uit.

NICC-herfstborrelEind oktober werd het tweejarig bestaan vanhet Informatieknooppunt Cybercrime gevierdmet een herfstborrel voor meer dan 120vertegenwoordigers uit alle vitale sectoren.Prominente sprekers waren onder meer BoeleStaal (voorzitter van de Nederlandse Verenigingvan Banken), Steve Cummings (directeur van hetBritse Centre for the Protection of NationalInfrastructure) en Hellen van Dongen (plaats-vervangend directeur Directoraat-GeneraalEnergie en Telecom bij het ministerie vanEconomische Zaken).Tijdens de herfstborrel werd de NICC-brochure‘Publiek-private samenwerking in het Infor-matieknooppunt Cybercrime’ gepresenteerd.In een korte film werd de filosofie van het NICCuiteengezet. Kernboodschap is dat de technischeinfrastructuur alleen goed te beveiligen is doorsamenwerking in de sociale infrastructuur. Debrochure en het filmpje staan op de NICC-sitewww.samentegencybercrime.nl onder ‘Eventsen publicaties’ en ‘Informatieknooppunt’.

8

Oktober 2008

Brochure ‘Publiek-private samenwerking in hetInformatieknooppunt Cybercrime’

Mark FrequinDirecteur-generaal Energie enTelecom bij het Ministerie vanEconomische Zaken

Hoe kijkt u aan tegen de eerste twee jaren vanhet programma NICC en het Informatie-knooppunt Cybercrime?“ICT-security wordt steeds belangrijker naar-mate we meer afhankelijk worden van ICT-oplossingen. De bestrijding van cybercrimevraagt om publiekprivate samenwerking.Het programma NICC heeft daarvoor een vormgevonden die er toe heeft geleid dat er dingenin beweging zijn gekomen. Het Informatie-knooppunt is het meest zichtbare resultaatdaarvan, en daar ben ik heel tevreden over.Uit geluiden die ik hoor vanuit de bancairewereld, blijkt dat het Informatieknooppunteen heel goede formule is.”

Hoe ziet u de rol van de overheid en de rol vanhet bedrijfsleven als het gaat om de bestrijdingvan cybercrime?“ICT-security gaat ons allemaal ter harte.We hebben elkaar nodig om cybercrime aan tepakken. De overheid is aanjager en facilitator.Het is de verantwoordelijkheid van het bedrijfs-leven zelf om beveiligingsmaatregelen tetreffen, de overheden scheppen daarvoor alleende voorwaarden. Om die reden hebben we bijde start van het Informatieknooppunt met debanken afgesproken dat we daarop aanspreek-baar zijn en werk maken van de opsporing envervolging.”

U bent verantwoordelijk voor de vitale infra-structuren energie en telecom. In hoeverre isICT voor deze sectoren een kwetsbaar punt?“Bij onze eerste analyse van de nationaleinfrastructuur tegen cybercrime die we voorogen hebben, stonden ze bovenaan het lijstje

van kwetsbare infrastructuren, omdat ze deverbindingen verzorgen voor alle anderesectoren. Robuuste en veilige ICT is dus nietalleen cruciaal voor de sectoren energie entelecom zelf, maar ook conditioneel voor alleandere sectoren. Er is ons alles aan gelegenom de continuïteit te waarborgen, maar het isnatuurlijk niet zo dat de overheid er maar voormoet zorgen dat alles goed gaat; het zijn demarktpartijen die het moeten doen.”

En als het gaat om SCADA en process controlsecurity?“Dat is een kritische component van de Natio-nale Infrastructuur ter Bestrijding van Cyber-crime. Process control wordt slimmer en beter,maar daardoor ook kwetsbaarder. Het raaktde primaire besturing van grote bedrijven.De beveiliging daarvan is primair een zaakvan die bedrijven zelf, maar als onvoldoendebewustzijn daarover de kwetsbaarheid vergrootvan vitale sectoren, dan is er alle reden om hetdaar eens over te gaan hebben met de CEO’s.”

Draagt het Informatieknooppunt bij aan deweerbaarheid van de vitale sectoren?“Het Informatieknooppunt is niet hét antwoordop het probleem, maar draagt wel bij aan de op-lossing. Als je vindt dat het niet goed gaat metde ICT-security, moet je als overheid en markt-partijen informatie delen en daarnaar handelen.Het Informatieknooppunt was opgezet als expe-riment, maar de ervaringen zijn zo positief datwe ermee doorgaan. We gaan dit najaar onder-zoeken op welke manier en onder welke voor-waarden we het een solide basis kunnen gevenom de komende jaren te kunnen continueren.”

“De bestrijding van cybercrime vraagtom publiek-private samenwerking”

jaarbericht NICC 2008

11

Process control systems (PCS) zijn in veelvitale sectoren essentieel voor de operationelebedrijfsvoering. Daarom is er in 2008 eenaparte sectoroverstijgende PCS-ISAC opgezetbinnen het Informatieknooppunt Cybercrime.Het NICC neemt actief deel aan diverse inter-nationale netwerken op het gebied vanprocess control system security.

Een nieuwe activiteit van het NICC in 2008 washet opzetten van een PCS-ISAC in de vorm vaneen serie Process Control Security Events. Dezeevents organiseert het NICC in samenwerkingmet de WIB (The International InstrumentUsers’ Association), de federatie van techno-logiebranches FHI (Federatie Het Instrument),het CIO Platform Nederland en de TU Delft.De aftrap werd mei 2008 gegeven in Mediaplazate Utrecht met een internationale bijeenkomstonder de titel ‘Are you aware?’ waar circa 120deelnemers uit heel Europa op af kwamen.

Het tweede Process Control Security Eventvolgde in december 2008 op de TU Delft. Hetthema van deze bijeenkomst was: ‘Are you incontrol?’ Uit de eerste bijeenkomst was namelijkgebleken dat bij het management (waaronder deCIOs) nogal wat te winnen valt op het gebiedvan SCADA/PCS-veiligheid. CIOs en leveranciersvan process control systems werden intensiefbetrokken bij de voorbereiding van dit tweedeevent.

Twaalf CIOs en de DG Energie en Telecom vanhet Ministerie Economische Zaken, MarkFrequin, kwamen voorafgaand aan het eventsamen in een rondetafelbijeenkomst. Daar isafgesproken dat onder leiding van het CIOPlatform Nederland een roadmap opgesteldgaat worden over verbetering van ICT-security,waaronder ook die van process control systems.Een workshop met leveranciers was de aan-leiding om een Lagerhuisdebat te organiserentijdens het tweede Process Control SecurityEvent. Leveranciers en eindgebruikers legdenelkaar het vuur aan de schenen over de vraagwie nu de verantwoordelijkheid draagt voor deveiligheid van PCS-systemen. Het onderwerp‘Rollen en verantwoordelijkheden’ werd dan ookmet stip gekozen als thema voor het volgendeProcess Control Security Event in 2009.

SCADA/PCS internationaalHet NICC neemt in opdracht van EZ sinds 2007deel aan het Europese SCADA-platformEuroSCSIE. EuroSCSIE staat voor EuropeanSCADA and Control Systems InformationExchange. Een van de WIB-leden vertegen-woordigt de Nederlandse private sectoren inhet platform, zodat de eindgebruikers vanuitde praktijk goede input kunnen leveren.

SCADA en process control systems

12

Mei 2008 September 2008 Oktober 2008

Eerste Process Control Security Event ‘Are youaware’ in het Media Plaza Utrecht

European SANS Process Control & SCADASecurity Summit in Amsterdam

Meridian 2008 in Singapore

Een van de onderwerpen waaraan de EuroSCSIEheeft gewerkt, is het opstellen van een vragen-lijst over process control security. De vragenlijstis in alle deelnemende landen verstuurd naar deleveranciers van process control systemen. HetNICC heeft de eerste antwoorden geanalyseerd.In 2009 zal deze analyse worden terug-gekoppeld aan de leveranciers en zullen devervolgstappen worden bepaald.

In 2008 nam het NICC zitting in het programma-comité van de eerste Europese conferentie vanhet SANS Institute over process control security.SANS staat voor System Administration, Audit,Network en Security. De conferentie vond inseptember 2008 plaats in Amsterdam.

Het NICC nam in 2008 deel aan de MeridianProcess Control Security Information Exchange(MPCSIE), een wereldwijd uitwisselingsplatform.In 2008 is besloten dat het NICC in 2009 hetvoorzitterschap van Zweden overneemt.

Het NICC heeft in 2008 diverse bijdragengeleverd aan bijeenkomsten van de EuroSCSIEen de Meridian. Het uitbreiden van dit netwerkheeft geleid tot het inbrengen van enkelebuitenlandse good practices in het Informatie-knooppunt.

MeridianHet Meridian-proces is een middel om over-heden in de hele wereld te helpen samenwerkenom beleid vast te stellen over de beveiliging vanessentiële informatie-infrastructuren (CriticalInformation Infrastructure Protection ofwelCIIP). De jaarlijkse Meridian-conferentie enandere activiteiten zijn gericht op het kwekenvan onderling vertrouwen en het opbouwen vaneen netwerk waarin deelnemers ervaringen engood practices kunnen uitwisselen. Een van degereedschappen van het Meridian-proces is hetstoplichtmodel, dat ook binnen het Informatie-knooppunt wordt gebruikt. Meer informatie:www.meridianprocess.org.

jaarbericht NICC 2008

13

November 2008 December 2008November 2008

Round Table over PCS met de DG Energie enTelecom van het Ministerie van EconomischeZaken Mark Frequin en CIO Platform Nederland

Workshop met leveranciers van processystemenbij FHI in Leusden

Tweede Process Control Security Event‘Are you in control?’ op de TU Delft

AIVDKLPDGOVCERTNICC

SCADA

EuroSCS

IE

MPCSIE

MU

LTI-

NAT

ION

ALS

HA

VEN

-

SEC

TOR

PRORAIL/ NS

ACADEMISCHE

ZIEKENHUIZEN

TELECOM-

SECTOR

NU

CLIAIRESECTO

R

SCHIPHOL

EN

ER

GIE

-SE

CTO

R

DRINK-

WATER-

BEDRIJVEN

BANKEN

Een effectieve aanpak van cybercrime is alleenmogelijk als publieke en private partijen ge-structureerd daderinformatie delen en dezegegevens koppelen. In het kader van hetNICC-Actieonderzoek is de afgelopen tweejaar een ontwerp uitgewerkt voor informatie-deling over cybercrime in de dagelijksepraktijk. Sinds dit jaar werkt het NICC in ditonderzoek samen met het justitiële Weten-schappelijk Onderzoeks- en Documentatie-centrum (WODC).

Bij het WODC verscheen voorjaar 2008 hetrapport ‘High-tech crime, soorten criminaliteiten hun daders’. Het WODC had behoefte aaneen inhoudsanalyse van opsporingsdossiers ommeer te kunnen zeggen over daderkenmerken.Vanwege de overeenkomsten is dit vervolg-onderzoek ondergebracht bij het NICC-Actieonderzoek. Het NICC stuurt ditgezamenlijke onderzoek aan.

Open source-oplossing ‘Galloper’In het kader van het Actieonderzoek is eengecombineerde procedurele en technischeoplossing ontwikkeld om privacy-vriendelijkinformatie te delen zonder de noodzaak vaneen Third Trusted Party (onafhankelijke data-beheerder). Deze open source-oplossing,Galloper genoemd, werd op 15 mei 2008gepresenteerd tijdens het congres van deNederlandse Vereniging voor Open Systemenen Open Standaarden (NLUUG).Galloper is een technische en procedureleoplossing voor situaties waarin sprake is vanverschillende gegevensbronnen die niet onderhetzelfde gezagsregime vallen. De betrokkenpartijen onderschrijven allen een hypothese,bijvoorbeeld over kenmerken van verdachtfinancieel gedrag. Galloper toetst de hypotheseblind aan de gegevensbestanden. Aan de uit-komst is te zien of er personen voldoen aan hetprofiel uit de hypothese, maar niet wie dat zijn.De gepseudonymiseerde data zijn alleen te her-leiden tot personen als alle betrokken partijendaar toestemming voor geven door hun uniekesleutels ter beschikking te stellen.Galloper verschuift de beslissing over het vrij-geven van privacygevoelige informatie dus naarhet einde van het proces, als de selectie opverdachte handelingen al is gemaakt en allepartijen het er over eens zijn dat actieondernomen moet worden.

NICC-Actieonderzoek

14

Mei 2008 November 2008

Presentatie van Galloper, oplossing voor hetprivacy-vriendelijk delen van informatie

De analyse van de query bij de PolitieregioAmsterdam-Amstelland is afgerond

Politieregio Amsterdam-AmstellandDe politieregio Amsterdam-Amstelland heeftde afgelopen zeven jaar een groot bestand op-gebouwd met informatie over meldingen, aan-giftes en opsporingsdossiers. Aan de hand vaneen lijst met trefwoorden als spam, phishingen kinderporno zijn die systemen gefilterd. De218.000 hits zijn door middel van ontdubbelingen clustering teruggebracht tot een selectie van11.000 zaken en meldingen die van belang zijnvoor het Actieonderzoek. De analyse van dezehits is in november 2008 afgerond. De query bijde politieregio Amsterdam-Amstelland leverdegegevens op met behulp waarvan daderprofielenen werkwijzen kunnen worden getoetst, op-gesteld of verfijnd.

ClusteringDe werkwijze van cybercriminelen verandert,maar het doel blijft hetzelfde. Gegevensdiefstalbijvoorbeeld is een tijdloos delict, waarbij detoegepaste methodes voortdurend veranderen.Phishing is één van die methodes.Om te voorkomen dat technieken in plaats vandelicten het doel worden van bestrijding, wordtin het Actieonderzoek zoveel mogelijk gezochtnaar samenhang in de verschijningsvormen vancybercrime. Het Actieonderzoek presenteert zijnresultaten in drie clusters van samenhangendevormen van cybercrime:

1. GegevensdiefstalActiviteiten die zijn gericht op het onrechtmatigverkrijgen van gegevens: spam, spoofing,pharming, phishing, spyware, hacking ofaanverwante verschijningsvormen.

2. Kinderporno, grooming, internetstalking,cyberpestenDeze categorie van activiteiten is gericht opelektronische communicatie als middel ofdoelwit om anderen geestelijke, sociale en/offysieke schade aan te brengen.

3. Malversaties in het handelsverkeerCriminaliteit waarbij internet functioneertals economische handelszone, zoals illegalehandel in goederen, creditcardfraude, advancedfee fraude en heling.

jaarbericht NICC 2008

15

Fred WesterbekePlaatsvervangend Korpschef vande KLPD

Het team High Tech Crime van de KLPDbehoort vanaf het begin tot de vaste kernvan het Informatieknooppunt. Wat heeftdat opgeleverd?“Vooral in de ISACs die het langst bestaan,zoals de banken en de waterleidingbedrijven,heeft deelname geleid tot meer vertrouwentussen de marktpartijen en de politie. We zijnveel verder gekomen in het delen van informatie.Omdat we daardoor meer zicht hebben gekregenop de cybercrime-bedreigingen, kunnen we onzemensen en middelen gerichter inzetten.In de ISACs komen echt dingen op tafel die wenog niet wisten, of nog niet zo scherp hadden.Een voorbeeld is de omvang van problematiekals phishing en creditcardfraude. Door de infor-matie uit het FI-ISAC-overleg konden we eenforse phishing-zaak rond ABN Amro-klantenaanpakken. Daar zijn we zelfs voor naar deOekraïne en Rusland gereisd, om de handen in-een te slaan met de autoriteiten daar. Drie jaargeleden kon een bank nergens bij de politieterecht met zo’n zaak.”

Wat zijn de succesfactoren?“Vertrouwen, vertrouwen en nog eens ver-trouwen! We merken dat dat groeit, vooral alsdeelnemers elkaar vaak ontmoeten. Verdermoeten deelnemers absoluut het gevoel hebbendat er evenwicht bestaat in het halen en brengenvan informatie. Vertrouwen moet je opbouwen,dat ontstaat alleen als alle partijen zich blootdurven te geven. Het team High Tech Crimegeeft binnen het Informatieknooppunt daaromook informatie terug waar private partijen hunvoordeel mee doen.”

Vergroot het Informatieknooppunt debewustwording over cybercrime?“Er is een gedeeld besef dat informatie-uitwisse-ling heel hard nodig is. Naast de hypotheekcrisiszien de banken de integriteit van het betalings-verkeer als één van de grootste risico’s. Als jekijkt naar de ontwikkelingen op het gebied vanterreur, vraag ik me af hoe lang het nog duurtvoordat onze vitale voorzieningen niet meerworden aangevallen met een bom in een rugzak,maar via de technische infrastructuur.Criminelen kunnen op die manier ook bedrijvenafpersen. In Engeland is dat al gebeurd: crimi-nelen dreigden een gok-website plat te leggentenzij er betaald werd.Ik wil één ding sterk benadrukken: het is mijnpersoonlijke overtuiging dat cybercrime dekomende vijftien jaar een enorme uitdaging is.Ik maak me oprecht zorgen dat de georgani-seerde misdaad zich er meester van maakt.Als ze met de professionaliteit die we aantreffenbij de handel in harddrugs en mensensmokkelook dit terrein ontdekken, dan wordt het eennog groter probleem. Ook al is cybercrime alsprioriteit benoemd in de kabinetsplannen,ik denk toch dat we het probleem op ditmoment nog steeds onderschatten.”

jaarbericht NICC 2008

“Vertrouwen, vertrouwen en nog eensvertrouwen!”

17

Om informatiebeveiliging optimaal te kunneninrichten, is een algemeen, betrouwbaar engezaghebbend beeld nodig van de aard,omvang en ernst van cybercrime. De vitalesectoren in het Informatieknooppunt Cyber-crime juichen de totstandkoming van eendergelijke overkoepelende rapportage toe.

De ministeries van Justitie, Economische Zaken,en Binnenlandse Zaken en Koninkrijksrelatiesdelen deze behoefte. Zij hebben het NICCgevraagd een voorstudie uit te voeren naareen landelijke trendrapportage.

Eén gezamenlijk beeld over cybercrimeHet NICC heeft een inventarisatie gemaaktvan relevante publieke en private bronnen dieelk op deelgebieden de cybercrime-trends en-ontwikkelingen in Nederland en daarbuiten inkaart brengen. Het beeld dat hieruit ontstaat,is gefragmenteerd.Uit de voorstudie komt naar voren dat zowelbij overheidsorganisaties als bij private partijenveel expertise aanwezig is. Veel organisatiesrapporteren daar zelf al over. GOVCERT.nl steltbijvoorbeeld een jaarlijkse rapportage op; in hetkader van het Nationaal Dreigingsbeeld rappor-teert het KLPD over cybercrime met een focusop High Tech Crime.

Een bevolkingsonderzoek naar de beleving vancyberveiligheid zou een nuttige aanvulling zijn.In deze specifieke behoefte wordt voorzien inhet kader van de verdere ontwikkeling van deVeiligheidsmonitor. Ook private partijen zoalsantivirusbedrijven kunnen hun steentje bijdragen.De beste oplossing is een samenwerkingstrajectwaarin diverse publieke en private organisatieskomen tot één gezamenlijk toekomstbeeld overtrends en dreigingen op het gebied van cyber-crime in Nederland. Daarom staat in de voor-studie van het NICC de aanbeveling om inonderlinge publiek-private samenwerking debelangrijkste onderzoeken en rapportages tebundelen tot één Nationale TrendrapportageCybercrime. De coördinatie daarvan is over-gedragen aan het ministerie van BinnenlandseZaken en Koninkrijksrelaties.

Nationale TrendrapportageCybercrime

18

December 2008

Afronding van de voorstudie voor een NationaleTrendrapportage Cybercrime

Het NICC brengt doorlopend in kaart welkepartijen een rol spelen in de bestrijding vancybercrime. Deze omgevingsanalyse wordtuitgevoerd aan de hand van de functies in deNationale Infrastructuur ter bestrijding vanCybercrime.

Functies zijn bijvoorbeeld: melden, voorlichten,opsporen, vervolgen en trendwatching.Organisaties richten zich vaak op één of enkelevan deze functies. Het NICC brengt in kaart wiewat doet en ontsluit dat op de website. Op diemanier kan iedereen zien wie wat doet in déNICC. Op dit moment zijn de activiteiten vanongeveer vijftig organisaties in kaart gebracht.

De omgevingsanalyse geeft inzicht in de wittevlekken en de dubbelingen in dé NationaleInfrastructuur en vormt zo de basis voorpermanente verbetering. Het NICC heeft zichde afgelopen jaren vooral op de vier functiesgericht die onvoldoende ontwikkeld waren:– kennis ontwikkelen en delen;– informatieverstrekking ;– tegenhouden/stoppen;– trendwatching.De invulling van deze functies heeft vooreen deel verder vorm gekregen binnen hetInformatieknooppunt Cybercrime of middelsafzonderlijke experimenten en projecten.

www.samentegencybercrime.nlDe website van het NICC geeft een duidelijkeomgevingsanalyse van de partijen die eenfunctie vervullen in de Nationale Infrastructuurter bestrijding van Cybercrime. Voor een vijftig-tal organisaties is beschreven welke bijdrage zijleveren. Zo ontstond de behoefte om gerichterte kunnen zoeken. De structuur van de websitewww.samentegencybercrime.nl is daarom in2008 drastisch vernieuwd. Het is nu mogelijkom op organisatie en functie te zoeken. Ook deandere onderdelen van de website zijn veelgebruiksvriendelijker gemaakt. De homepage iszo ingericht dat de gebruiker veel sneller bij deinformatie kan komen die hij zoekt.

jaarbericht NICC 2008

De Nationale Infrastructuur in kaartgebracht

19

Roelof MeijerDirecteur SIDN

Hoe kijkt u aan tegen het fenomeen cybercrimeals dat plaatsvindt onder of door middel vanNederlandse domeinnamen?“Het afgelopen jaar zijn daarnaar twee onder-zoeken gedaan, een algemeen onderzoek en éénover pishing, waaruit blijkt dat het .nl-domeinveilig is. Er gebeuren desondanks ongetwijfeldverkeerde dingen, maar daar krijgt SIDN weinigmeldingen van. De vraag om concreet op tetreden en een domein uit de lucht te halen, isnog niet gesteld. De Gedragscode Notice-and-Take-Down biedt goede kaders om dat tekunnen doen.”

SIDN was betrokken bij de totstandkomingvan de Gedragscode Notice-and-Take-Down.Wat is uw belang daarbij geweest?“De kracht van de Gedragscode zit in de keten-aanpak. De code zorgt ervoor dat een klachtdaadwerkelijk in behandeling wordt genomenen op de juiste plek terechtkomt. De eerste dieje aanspreekt is degene die de illegale contentop zijn website heeft gezet. Als die in het buiten-land zit, is dat lastig. Dus spreek je degene aandie de website host. Zit de host ook in het buiten-land, dan kom je uiteindelijk bij ons terecht alshet om een .nl-domein gaat.Wij zijn erbij betrokken omdat we als SIDN sindseen paar jaar onze taak breder zien dan alleenhet stabiel laten functioneren van het .nl-domein op het internet. We willen ook bijdragenaan de kwaliteit en het gebruik van internet inNederland. Daarom ondersteunen we dit soortinitiatieven voor beter gebruik van het interneten het ontmoedigen van misbruik.

Ons belang is dat klachten terechtkomen waarze het best kunnen worden behandeld en demaatregelen het meest effectief zijn. Het gebeurtimmers wel eens dat partijen de verantwoorde-lijkheid om actie te ondernemen heen en weerschuiven. Dat kan niet meer, want nu ligt er eenduidelijke afspraak.”

Is de nieuwe gedragscode Notice-and-Take-Down voldoende om illegale en onrechtmatigecontent te pakken?“De betrokken bedrijven hebben laten ziendat ze meer verantwoordelijkheid nemen.De gedragscode is een goede basis. Nu gaathet erom dat de hele sector er ook naar gaathandelen; niet alle partijen zijn bij de totstand-koming van de code betrokken geweest. Hijmoet nu echt in de praktijk worden gebruikt,zodat we ervan leren en hem kunnen finetunen.”

Welke partijen zijn cruciaal als het gaat omde infrastructuur van het internet in NL?“Onze infrastructuur op zich is niet cruciaal,maar de diensten die we daarop leveren wel.De keten bestaat uit ISPs, hostingbedrijven,access providers, noem maar op. Ook SIDN isdaar onderdeel van. Om de dienstverlening tebeschermen hebben de publieke én privateorganisaties elkaar nodig; hoe meer we ermee doen hoe beter. De meerwaarde van hetprogramma NICC is dat het die partijen bijelkaar brengt zodat we gezamenlijk actiesondernemen.”

jaarbericht NICC 2008

“Wij als sector maken het bestrijdenvan cybercrime ingewikkelder danhet is.”

21

Wat zijn de volgende stappen die nodig zijn omcybercriminaliteit verder terug te dringen?“Daarvoor zijn twee zaken cruciaal. Ten eerstevoorlichting en bewustwording. Allereerst moetde internetgebruiker weten waar hij op moetletten als hij surft, net zoals hij zichzelfbeschermt als hij in de fysieke wereld rondloopt.Ten tweede moeten de partijen, onder anderemiddels de gedragscode, gezamenlijk hunverantwoordelijkheid nemen en maatregelentreffen. Dus niet alleen de opsporings- enhandhavingsinstanties, maar ook aanbiedersvan diensten. Er gebeurt al wel heel veel, maarniet altijd gecoördineerd. Het gaat dus niet omnieuwe maatregelen, maar om succesvolleactiviteiten waarbij aanbieders, overheid envoorlichters goed samenwerken.Verder merk ik dat Notice-and-Take-Down degemoederen aardig bezighoudt. Dienstverlenerszijn terughoudend om daar iets mee te doen uitangst voor de beschuldiging van censuur. Maarals je te terughoudend bent in je optreden tegenstrafbare of onrechtmatige content, dan wakkerje misbruik van jouw deel van het internet aan.Ik pleit niet voor meer regulering. Het zou alhelpen als we met zijn allen internet wat meergingen beschouwen als een medium als alleandere media. De bestaande wetten en regelsdie gelden voor andere media kunnen ook op hetinternet worden toegepast. Kinderporno mag jein de boekwinkel toch ook niet verkopen? Wij alssector maken het bestrijden van cybercrimesoms ingewikkelder dan het is.”

Wat is de rol van SIDN met alle internationalezusterorganisaties daarin?“Internet is bij uitstek een medium dat zich nietaan landsgrenzen houdt. Als de aanpak van mis-bruik in het ene land strakker geregeld wordt,wijken criminelen gewoon uit naar het andereland. Nederland loopt met de gedragscode nuvrij vooraan, dus internationale samenwerkingis belangrijk. SIDN is zelf zeer actief in demondiale internetgemeenschap. Daar gaan wede gedragscode presenteren als Good Practice.”

Hoe kijkt u aan tegen de rol die het programmaNICC bij het totstandkomen van de gedragscodegespeeld heeft, en nog zou kunnen spelen in detoekomst?“De gesprekken over Notice-and-Take-Down ende gedragscode liepen al langer. Maar dat hij ernu ligt, komt voor belangrijk deel op het contovan het programma NICC. De structuur van eennetwerkorganisatie is succesvol. We moetenzeker proberen om dit soort netwerken, voor-zover dat niet al het geval is, ook in andereEU-lidstaten te creëren en daarmee samen tewerken. Het programma NICC is daarvoor eenbeïnvloedend en coördinerend platform.De samenwerking staat voor onze sector nog inde kinderschoenen. Er is binnen het Informatie-knooppunt nog geen sectoroverleg voor ISPsen hostingbedrijven over computercriminaliteit.Ik vind dat dat er wel moet komen. De rol vanhet programma NICC is dus wat mij betreft noglang niet uitgespeeld.”

22

Een schoon en veilig internet is een stapjedichterbij gekomen. Overheden, het bedrijfs-leven en belangenverenigingen hebben sameneen Gedragscode Notice-and-Take-Downopgesteld, die op 9 oktober 2008 is gepresen-teerd aan staatssecretaris Heemskerk. HetNICC is daar de drijvende kracht achter ge-weest. Ook heeft het NICC twee aanvullendetrajecten ondersteund voor meer gespeciali-seerde vormen van Notice-and-Take-Down:een onderzoek over de aansprakelijkheid vaninternet service providers en een experimentover phishing-websites in de bancaire sector.

Gedragscode Notice-and-Take-DownAl sinds 2002 zijn overheid en private partijenin discussie over de aanpak van ongewenste enillegale informatie op het internet. Het NICCheeft zich vanaf 2006 ervoor ingezet om dezepartijen bij elkaar te brengen en tot een concreetresultaat te komen. Dit heeft in 2008 geleid totde Gedragscode Notice-and-Take-Down (NTD).De NTD-gedragscode schrijft voor hoe particu-lieren en bedrijven in de online sector omgaanmet een melding over onrechtmatige inhoudop het internet. Deze inhoud kan variëren vankinderporno, plagiaat en discriminatie tot siteswaar illegale goederen worden aangeboden.De NTD-gedragscode wordt onderschreven dooralle kabelbedrijven, KPN, XS4ALL, de verenigingISP Connect, de Dutch Hosting ProviderAssociation en de Stichting Internet DomeinRegistratie Nederland (SIDN). Diverse andere

providers hebben inmiddels aangegeven volgensde code te gaan werken.De gedragscode is ook in het Engels uitgegeven.De inwerkingtreding heeft veel aandachtgekregen in binnen- en buitenlandse media.

De NTD-gedragscode is een goed voorbeeld vanpubliek-private samenwerking onder begeleidingvan het NICC. De belangenverenigingen eninternetpartijen zoals Marktplaats, Google, destichting BREIN en het Meldpunt DiscriminatieInternet hebben vanuit de publieke sectorbijgedragen aan de totstandkoming van degedragscode. Van overheidszijde waren dat deministeries van Justitie, Binnenlandse Zaken enKoninkrijksrelaties en Economische Zaken, deNationaal Coördinator Terrorismebestrijding,het Openbaar Ministerie, de AlgemeneInspectiedienst (dienstonderdeel opsporing)en de Inspectie voor de Gezondheidszorg.

jaarbericht NICC 2008

Notice-and-Take-Down

23

Maart 2008 Oktober 2008 December 2008

Evaluatie Phishing-experiment met de banken Lancering Gedragscode Notice-and-Take-Downdoor ISPs en staatssecretaris Frank Heemskerkvan Economische Zaken

Overdracht van NTD aan ECP.NL, De IndustrieeleGroote Club Amsterdam

Het NTD-procesNotice-and-Take-Down (NTD) is een gezamenlijkinitiatief van overheid en bedrijfsleven om illegalesites en ongewenste informatie te verwijderenvan het internet. Het NTD-proces bestaat uitvier stappen:

– signaleren van bepaalde inhoud op internet;– melden aan een tussenpersoon (Notice);– beoordelen van de melding;– ondernemen van actie (Take-Down).

Aansprakelijkheid van internet serviceprovidersArtikel 54a van het Wetboek van Strafrecht regeltde aansprakelijkheid en de uitsluiting van rechts-vervolging van internet service providers (ISPs).Het artikel is bedoeld als grondslag voor eenstrafrechtelijk Notice-and-Take-Down-regimeom criminele sites te sluiten. Volgens het wets-artikel blijven ISPs gevrijwaard van vervolgingen aansprakelijkheid wanneer de betrokken

klanten hen vervolgen op grond van bijvoorbeeldde vrijheid van meningsuiting.In opdracht van het NICC en de stuurgroepInternet en Terrorisme van de Nationaal Coör-dinator Terrorismebestrijding heeft het TilburgInstitute for Law, Technology and Society (TILT)de juridische implicaties van artikel 54a Sr.onderzocht. Daaruit blijkt dat het artikel nietexpliciet genoeg is. Het onderzoeksrapport isvermeld in de brief ‘Rechtshandhaving eninternet’ die door de minister van Justitie inapril is aangeboden aan de Tweede Kamer.De uitkomsten van het onderzoek wordenmeegenomen in het voorgenomen traject totherziening van het wetsartikel.

Experiment phishing-sites is afgerondTwee jaar lang heeft het NICC een experimentuitgevoerd waarbij de banken phishing-siteskunnen melden bij GOVCERT.NL. Via zijn inter-nationale netwerk kon GOVCERT.NL de phishing-sites uit de lucht laten halen. Het experiment isin de eerste helft van 2008 afgerond en geëvalu-eerd. De drie betrokken ministeries (Justitie,Binnenlandse Zaken en Koninkrijksrelatiesen Economische Zaken) hebben het experimentals positief ervaren. Zij zullen ervoor zorgen datde goede samenwerking voor deze vorm vancybercrime-bestrijding een vervolg krijgt.

24

y = inhouds-aanbieder

tussen-persoon

x = melder

Gedragscode Notice-and-Take-DownAangeboden aan de Staatssecretaris van Economische Zaken op 9 oktober 2008

De gedragscode is tot stand gebracht in overleg tussen diverse publieke enprivate organisaties die een rol hebben bij de bestrijding van Cybercrime

samen tegen cybercrime

Het kabinet stimuleert elektronische ge-gevensuitwisseling bij gemeenten. Burgersen bedrijven worden elektronisch bediend enmoeten zelf ook gegevens elektronisch aan-leveren. De in 2007 ingezette meta-analysebij gemeenten maakte echter duidelijk datde informatiebeveiliging nog niet op orde is.Dat heeft in 2008 geleid tot een ZakboekjePreventie Cybercrime voor het managementen bestuur van gemeenten. In acht gemeentenzijn bovendien onderzoeken gedaan op hetgebied van de gecontroleerde ethische hacken social engineering.

Elke gemeente is zelf verantwoordelijk voor debescherming van privacygevoelige gegevens enneemt maatregelen om deze gegevens tebeschermen. Om erachter te komen in hoeverredeze maatregelen waterdicht zijn, heeft hetNICC op verzoek van acht gemeenten eenethische hack en een social engineering-aanvallaten uitvoeren.

Ethische hackBij de ethische hack probeert een extern bedrijfbinnen te dringen in systemen die op het inter-net zijn aangesloten. De gemeenten hadden zelfsystemen geselecteerd die ‘aangevallen’ zoudenworden. De ethische hack bracht een aantalkwetsbaarheden aan het licht, die voor het over-grote deel terug te voeren waren op niet veiliggeconfigureerde systemen en diensten. Kwets-baarheden die zijn ontstaan tijdens de ontwerp-

of ontwikkelfase van software en systemenkwamen veel minder voor. Het merendeel vande kwetsbare plekken werd gevonden in web-applicaties. Alle kwetsbaarheden van enigniveau zijn door de gemeenten direct hersteld.

Social engineeringBij social engineering dringt een mystery guestmet een smoesje binnen in een organisatie. Hijprobeert zo veel mogelijk gevoelige informatie tevinden in kasten, op rondslingerende usb-sticksen niet afgesloten werkstations, in archievenof de kluis. De acht gemeenten kregen eenonverwacht bezoekje van zo’n mystery guest.Gevoelige informatie lag er voor het oprapen.De conclusies, bevindingen en de grote hoeveel-heid foto’s met bewijsmateriaal zijn aan hetmanagement van de gemeenten gepresenteerd.In een aantal gevallen heeft het managementde uitkomsten aan de medewerkers onthuld.In sommige gevallen gebeurde dit door hetindringersteam, dat de aangetroffen situatieen de werkwijze in detail kon beschrijven.De resultaten van het onderzoek vormdeneen directe aanleiding tot het starten van eenbewustwordingsprogramma. In alle gevallenheeft dat ertoe geleid dat medewerkers meeraandacht kregen voor toegangs- en bezoekers-procedures, sleutelmanagement, het signalerenvan onbekenden en het afsluiten van kasten,kluizen en archieven.

jaarbericht NICC 2008

Gemeenten werken aanbewustwording

25

April 2008 Januari – december 2008 April 2008

Oplevering Zakboekje Preventie Cybercrime voormanagement en bestuur van gemeenten

Ethische hack en social engineering bij achtgemeenten

Presentatie van de resultaten uit hetgemeente-experiment tijdens de AlgemeneLedenvergadering van de VIAG

Beveiliging nog niet op ordeDe resultaten van de ethische hack en socialengineering tonen aan dat de beveiliging vande netwerken en veiligheid van vertrouwelijkeinformatie bij de onderzochte gemeenten nogniet op orde is. De resultaten van de onder-zoeken zijn in 2008 gepresenteerd aan allebetrokken gemeenten. Dit gebeurde onderbegeleiding van de klankbordgroep, bestaandeuit vertegenwoordigers van het kennisplatformvoor gemeentelijke ICT-vraagstukken EGEM, hetCoördinatiepunt ICT (CP-ICT), de Verenigingvan coördinatoren Informatievoorziening enAutomatisering in Nederlandse Gemeenten(VIAG), de intergemeentelijke sociale dienstOptimisd, Centric en Getronics PinkRoccade.De resultaten zijn ook gepresenteerd tijdens dealgemene ledenvergadering van de VIAG en ophet CP-ICT-congres. Verder zijn de resultatenbesproken in de Commissie Informatiebeleidvan de Vereniging van Nederlandse Gemeenten(VNG). Als gevolg hiervan staat E-awarenessnu op de agenda van de VNG voor 2009.

VervolgonderzoekDe Inspectie voor Werk en Inkomen gaat in2009 in afstemming met het NICC een vervolg-onderzoek ‘Beveiliging en privacy in de SUWI-keten’ uitvoeren. De SUWI-keten is een begripuit de wet Structuur UitvoeringsorganisatieWerk en Inkomen (SUWI). De keten bestaat uithet Centrum voor Werk en Inkomen, het UWVen gemeenten.

26

Een Warning, Advice and Reporting Point(WARP) is een samenwerkingsconcept gerichtop het delen van kennis over informatie-beveiliging. In 2006 gaf het NICC de aanzetvoor een WARP-experiment voor scholen.Dat is in 2008 afgerond en geëvalueerd.

In het WARP-experiment heeft GOVCERT.nlsamen met Kennisnet in opdracht van het NICConderzocht of het WARP-concept bruikbaar is inde onderwijssector. De doelstellingen van hetexperiment waren:

– vaststellen of het in Groot-Brittanniëontwikkelde WARP-concept bruikbaar isin Nederland;

– toetsen van het WARP-concept in deNederlandse onderwijssector;

– verkennen voor welke doelgroepen ofbranches het WARP-concept ingezet zoukunnen worden en onder welke voorwaarden.

Het WARP-concept ondersteunt de samen-werking tussen systeembeheerders in een voorafbepaalde gemeenschap. Via een WARP-applicatieworden zij op basis van de dagelijkse adviezenvan GOVCERT.nl gericht gewaarschuwd voornieuwe bedreigingen. De applicatie functioneertook als kennisomgeving waarin de deelnemersvan elkaar kunnen leren, om zo tot een hogerbeveiligingsniveau te komen.

Het WARP-experiment is medio 2008 afgeronden geëvalueerd. Ondanks de interesse in hetconcept was het niet eenvoudig om scholen temotiveren om mee te doen. Toch is het trajectdeels geslaagd en is veel geleerd van het experi-ment. Het grootste probleem was het gebrekaan bewustzijn over informatiebeveiliging bij dedoelgroepen, en daarmee de lage prioritering.Hierdoor was het lastig om de randvoorwaardenen energie te creëren die noodzakelijk zijn om deWARP tot een succes te maken. Een voorbeelddaarvan is een goede en gecommitteerde trekkerbinnen de gemeenschap, die voor dit werk ookvrijgemaakt wordt.In de evaluatie is verder aanbevolen om desamenwerking met Groot-Brittannië over hetconcept voort te zetten, maar de gebruikte soft-ware af te stoten. De licentiekosten zijn voorscholen te hoog en een aantal belangrijkefunctionaliteiten ontbreekt. In plaats daarvanzou een nieuwe, webbased WARP-omgevingontwikkeld moeten worden. Als aan al dezevoorwaarden is voldaan, kan het WARP-conceptsuccesvol zijn.

Het WARP-instrument heeft zijn toegevoegdewaarde bewezen. Op dit moment is niet duidelijkof en op welke wijze het experiment een vervolgkrijgt. Wel wordt de WARP-functionaliteit mee-genomen in de beveiligde online samenwerkings-ruimte die GOVCERT.nl momenteel ontwikkeltals vervanging van zijn huidige kennisbank.

jaarbericht NICC 2008

Evaluatie WARP

27

Juni 2008

Evaluatie WARP experiment bij scholen

Steve CummingsDirector of the Centre for theProtection of National Infrastructure(CPNI)

What is your opinion of the way in which theprogramme NICC has adopted and used theCPNI Information Exchange model?“My impression based on conversations withcolleagues in the UK and the Netherlands is thatthe Dutch Information Exchange is successful.It is aimed at getting the engagement of privatesector partners who might not talk openlyamong each other and to government partners.This idea has been adopted by a wide numberof sectors and private operators.ISACs where first established in the USA, ina wide variety of approaches. We tried to learnfrom that in the UK. When we started, we couldassess what worked well and what didn’t. To befair, the scale in the USA is bigger. But still therewere lessons to be learnt. For example, you haveto be clear about the relationship between thegovernment and private parties, and where thefunding comes from.Both public and private partners should sharethe resources: the public sector can supplyvaluable information, the private sector oftentakes the lead in the analysis part. Anotherlesson was to avoid bureaucracy. My impressionis that the programme NICC has succeeded indoing all that.”

Does CPNI in the UK experience any advantagesof the developments in the Netherlands?“You have to take into account the ‘trafficlight system’, but yes, where possible we wouldlike to see our UK-members benefiting frominformation that can be exchanged. Most of themajor companies that operate on top ICT-levelare international. They don’t like getting

conflicting messages in different countries, soit would be to their benefit if we could achieveconsistency of message internationally.”

What is your view of the importance of theNetherlands (the programme NICC, theCybercrime Information Exchange) as acollaborator of CPNI, with regards to ICT-security in general?“CPNI doesn’t deal with cybercrime as such.Our aim is to protect networks from unauthorized,often criminal abuse. Many of those acts are notfrom people with criminal purposes. We’re notinterested in fraud and extortion for criminalpurposes since we are primarily a counter-terrorist organisation. Our aim is to reducevulnerability of networks. But then again, inreducing vulnerability it doesn’t really matterwhere the threat comes from.So the programme NICC and we are bothincreasing the awareness of vulnerabilitiesin processes, making people realise thatthose processes can be misused. We exchangeinformation and try to encourage good practiceinternationally. A good example is the MeridianConference, where we bring together inter-national ICT-organisations. Together we canraise the level of the game.”

How do CPNI and NICC collaborate in the fieldof SCADA and Process Control Security inparticular?“This is a particularly important issue. Thismillennium, in terms of ICT security andparticularly in national infrastructure, we havebeen slowly identifying with more and more

jaarbericht NICC 2008

“An international infrastructureagainst cybercrime is fantasticallyimportant!”

29

clarity which ICT systems and processes reallymatter. Many organisations don’t need adviceon viruses anymore, so we have to stop dealingwith the general noise and focus on key issuessuch as SCADA and threats on process controlsystems, which have the potential for doing realdamage. These systems control much of theservices that are delivered by the vital infra-structures such as energy and water.This is very much an international issue. That iswhy EuroSCSIE is so important. The extra valueof collaboration with the programme NICC issharing technical knowledge and experience.The awareness of SCADA systems not beingcontrolled mechanically anymore but remotelythrough computer networks is relatively new.We are still learning about the risks involved.The discussion now revolves around usingthe internet or not. However, sometimes thecompany management is not even aware of thefact that their process control has already beenrouted through the internet.”

How important is it to have an internationalinfrastructure against cybercrime?“Fantastically important! Because networks areinternational, the processes themselves areinternational. For instance, the transferring ofmoney and energy is supported by internationalnetworks and systems. It is in our interest thatevery country involved has the same level ofsecurity and protection. There are cases whenyou want an international partner to take actionbecause damage is done from another area ofjurisdiction.”

What is needed to develop such an internationalinfrastructure?“Internationally, it’s always easier whenorganisations in different countries have similarroles and methods of operating at a practicallevel. Unfortunately, in many countries theresponsible agencies change and evolve quitequickly, which makes it difficult to establishcontacts. It would make it easier to cooperateif we could get more stable and similararrangements internationally, with similar rolesand responsibilities. You need stability andcontinuity of people to establish the necessarytrust base. We try to influence that by sharinginformation with partners about what seems towork in the UK, and also by being frank aboutwhat has failed.”

What should be the programme NICC’s nextstep?“A great risk for organisations battling cyber-crime is that they can lose focus on the scopeof their activities. They try to do everything,from protecting home users to nationalorganisations, and thereby spread themselvestoo thinly. In cyber security especially, theyoften find it difficult to find the real value theycan add. You have to avoid that risk by havinga very clear mission and focus.Increasingly, it is clear to us that ICT-securityis not about just ICT. It’s about informationsecurity in general. It has as much to do withpeople as with technology. People have beena neglected area the last ten years, so it wouldbe a good idea to start tackling that now.”

30

Nu de Nationale Infrastructuur ter bestrijdingvan Cybercrime steeds meer vorm krijgt,groeit onvermijdelijk de behoefte aan inter-nationale samenwerking. Cybercrime isimmers per definitie een grensoverschrijdendfenomeen en dient bij voorkeur in inter-nationaal verband te worden bestreden.

Bij het Nederlandse bedrijfsleven ontstaat steedsmeer draagvlak voor en behoefte aan een Euro-pees programma. De nationale maatregelen zijneffectief. Maar ze krijgen een veel groter rende-ment als de landen die een Informatieknoop-punt hebben (naast Nederland bijvoorbeeldGroot-Brittannië, Zweden, Zwitserland,Hongarije en Noorwegen) gaan samenwerken.Deze Europese samenwerking moet de komendejaren verder ontstaan. Dat gaat niet vanzelf. Alsvoorloper van brede samenwerking ontwikkelenzich eerst kleinere initiatieven binnen specifiekesectoren. Zo onderhouden de Nederlandse bankendie samenwerken in de FI-ISAC nu al contactenmet hun tegenhangers in andere landen. HetNICC ondersteunt deze samenwerking.

Bancaire sectorDe Nederlandse FI-ISAC organiseerde innovember 2008 samen met HungaryCERT enhet European Network and Information SecurityAgency (ENISA) de eerste Europese FI-ISACworkshop in Boedapest. Vertegenwoordigers uitvele Europese landen kwamen bijeen om de meer-waarde te bespreken van informatie-uitwisselingover digitale dreigingen in de bancaire sector.

In 2009 is de Nederlandse FI-ISAC gastheervoor een vervolgbijeenkomst.

Brochure Informatieknooppunt CybercrimeDe Engelse vertaling van de brochure overhet Informatieknooppunt Cybercrime, ‘PublicPrivate Partnership in the Cybercrime InformationExchange’, is verspreid onder internationalecontacten. Het NICC heeft hiermee een eersteaanzet gegeven om te komen tot een internatio-nale definitie van een Informatieknooppunt ofInformation Exchange, inclusief de werkwijze enspelregels die daarbinnen van toepassing zijn.

Het NICC heeft in 2008 zitting genomen inde programmacommissie van de Meridian-conferentie. Tijdens de Meridian-conferentie inoktober 2008 in Singapore leverde het NICC ookeen inhoudelijke bijdrage over publiekprivatesamenwerking. Geïnteresseerden worden op dehoogte gehouden van de Meridian-activiteitenvia een online nieuwsbrief. Een link naar dezenieuwsbrief is te vinden op de NICC-sitewww.samentegencybercrime.nl onder‘Events en publicaties’.

Kennis delenHet NICC wordt steeds vaker uitgenodigd omhaar good practices te delen met andere landen.In 2008 zijn presentaties verzorgd over:– publiek-private samenwerking in het

Informatieknooppunt Cybercrime;– good practices in de drinkwatersector;– de Gedragscode Notice-and-Take-Down.

jaarbericht NICC 2008

Het NICC op internationale schaal

31

Oktober 2008 Oktober 2008 Oktober 2008

Aanbieden Notice and Take Down Code ofConduct internationaal als Good Practice

In samenwerking met FI-ISAC, NederlandseVereniging van Banken, HungaryCERT en ENISAwerd de eerste FI-ISAC workshop gehouden inBoedapest

CRITIS 2008, RomePaper ‘Assessing and improving SCADA Securityin the Dutch Drinking Water Sector’ is met lofgeaccepteerd

Boele StaalVoorzitter van de NederlandseVereniging van Banken

Wat is het belang van de financiële sector omnauw met overheidspartijen samen te werkenin de strijd tegen cybercrime?“Beveiliging is een totaalaanpak. Voor de pre-ventieve maatregelen is de sector zelf verant-woordelijk. Dit geldt ook voor de detectieve encorrectieve maatregelen. Repressie is de verant-woordelijkheid van de overheid. Primair moetenklanten vertrouwen hebben in de financiëlesector. Dat bereik je door goede preventie enniet door achteraf nog van alles weer recht tebreien. De doelstelling moet altijd zijn dat deprivate en publieke maatregelen op elkaaraangesloten en in balans zijn. Tegelijkertijdmoet je er rekening mee blijven houden dathonderd procent veiligheid niet bestaat.”

Wat is volgens u het belangrijkste resultaat datmet de publiekprivate samenwerking in hetInformatieknooppunt is bereikt?“Het belangrijkste resultaat is zondermeer hetvergrote wederzijds vertrouwen. Dit leidt totmeer openheid en tot meer begrip voor elkaarssituatie, en dat leidt dan weer tot concreteresultaten. Voorbeelden hiervan zijn de Notice-and-Take-Down-dienst voor de banken. Ook zijndoor GOVCERT.NL een aantal factsheets op-geleverd. Diverse andere zaken, die potentieeltot betere informatiedeling en mogelijk totsnellere detectie van malware kunnen leiden,worden onderzocht.De verwachting in de financiële sector is dat desamenwerking in de toekomst wordt geconti-nueerd. Periodieke evaluatie of aanscherpingis daarbij wenselijk en kan zeer nuttig zijn.Evolutie – stap voor stap vooruit – is belangrijkin dit soort vertrouwensprocessen.”

Wat vindt u van de rol van het programma NICCals vliegwiel?“Het gaat goed. Publiekprivate samenwerkingen de keuze voor bottom-up werken vanuit ver-trouwen zijn de belangrijkste succesfactoren.Het programma NICC koppelt partijen vanuit detoegevoegde waarde die zij voor elkaar hebben.Het doet dit door zijn kennis te gebruiken voorhet koppelen van partijen en niet door te trachtende problemen van anderen op te lossen.”

Wat is de kern van de succesvolle aanpak?“De basis van de samenwerking is wederzijdsvertrouwen. Het programma NICC heeft daarinde rol om kennispartijen van de overheid en desector te koppelen en de samenwerking tefaciliteren.Daarnaast is essentieel dat elke partij primairvanuit zijn eigen verantwoordelijkheid handelten vanuit zijn referentiekader een steeds beterbegrip krijgt van wat er bij de andere partij speelt.”

Wat zou u nog meer willen zien gebeuren?“De huidige werkwijze per sector is goed. Erzijn echter nog wat onderwerpen die op brederniveau spelen. Daar zal het programma NICCverder op moeten gaan inspelen. Onze sectorziet duidelijk mogelijkheden om met anderesectoren samen te werken om cybercrime moei-lijker te maken, maar ook in de bestrijding vancybercrime is een samenwerking met anderesectoren binnen het NICC-model nodig.Het is zeer wenselijk om internationaal deinformatie-uitwisseling op een hoger peil tebrengen. Cybercrime kent eigenlijk geen grenzenmeer. Het verhaal van de keten en de zwaksteschakel is nu een wereldwijde keten geworden.”

“Het is zeer wenselijk om inter-nationaal de informatie-uitwisselingop een hoger peil te brengen.”

jaarbericht NICC 2008

33

Partners NICC in de (inter)nationaleinfrastructuur

A • ABB BV

• ABN Amro Bank

• Academisch Medisch Centrum

• Academisch Ziekenhuis

Maastricht

• Achmea

• Applied Control Solutions USA

• Actemium

• AFM

• Agentschap Telecom

• Ahold / Albert Heijn

• AID (Algemene Inspectie

Dienst)

• Air Cargo Nederland

• Aircraft Fuel Supply BV

• AkzoNobel

• American Water Works

Association USA

• Amsterdam Airport Schiphol

• Aircraft Fuel Supply BV

• AIVD

• AMS-IX

• APACS UK

• ATOS Consulting

• Australian Government

B • Bank Nederlandse Gemeenten

• Barclays London UK

• BBNed

• Belastingdienst

• Beveiliging en Publieke

Veiligheid Schiphol

• BP Nederland BV

• Bovenregionale Recherche

Noord- en Oost Nederland

• Brabant Water

• BT Nederland NV

• Bundesamt fur Sicherheit in der

Informationstechnik Germany

• Bundesministerium des Innern

Germany

C • CAIW

• Capgemini

• Cargonaut

• CBP

• Centric IT Solutions

• Cern Switzerland

• CIO Platform Nederland

• City University LondonUK

• Consumentenautoriteit

• Consumentenbond

• CP-ICT

• Centre for the Protection of

National Infrastructure (CPNI)

UK

• Currence

• Cyber Security UK

• Cyber security Malaysia

• Cycris

D • DAF Truck NV

• David Lacey Consulting UK

• De Kinderconsument

• De Nederlandse Bank

• Delft TopTech

• DELTA

• DELTA Netwerkbedrijf

• Deltalinqs

• Department of Homeland

Security USA

• Digibewust

• Douane / Belastingdienst

• Dow Benelux BV

• Dow Chemical USA

• DSM

• Duinwaterbedrijf Zuid-Holland

• Dutch Hosting and Provider

Association

• Duthler Associates

E • E.ON Benelux NV

• Ebay / Marktplaats

• ECP.nl

• ECT

• Edridge Fotografie

• Egemin

• Electrabel

• Eneco

• Energiened

• Enexis

• ENISA Greece

• EQUENS

• Erasmus Medisch Centrum

• Erasmus Universiteit

Rotterdam

• Essent

• Evides

F • Faber organisatievernieuwing

• F. van Lanschot Bankiers NV

• Federal Bureau of

Investigation USA

• Federal Department of Finance

USA

• FHI

• FIOD-ECD

• Fleishman

• Fortis Bank

• FOX-IT

• Friesland Bank NV

G • Gasunie

• GBO. Overheid

• Getronics PinkRoccade

• Google

• GOVCERT.NL

34

jaarbericht NICC 2008

35H • Haagse Hogeschool

• HBD Total Security

• Heineken

• Het Expertise Centrum (HEC)

• HIMA

• Hogeschool Utrecht

• Holland Casino

• Honeywell

• HungaryCERT

I • IBM Nederland BV

• ICT Media BV

• ICT Recht

• ICT Regie

• ICT-Office

• Idaho National Laboratory USA

• Infocomm Development

Authority of Singapore

• Information Security Forum UK

• ING-Postbank

• Inspectie voor de

gezondheidszorg

• Inspectie voor Werk & Inkomen

• Internet Watch Foundation UK

• ISOC

• ISP Connect

• IT-sec

J • Johns Hopkins University

Washington USA

• Joint Research Centre EU – Italy

K • Kaspersky

• KEMA

• Kennisnet/ICT op school

• KLM

• KLPD

• Koninklijke Marechaussee

• KPN

• KTH Electrical Engineering

Sweden

L • Laborelec

• Leaseweb BV

• Liander (voorheen Continuon)

• Lucht Verkeersleiding

Nederland (LVNL)

• LUMC (Leids Universitair

Medisch Centrum)

M • Marcel Rozenberg Photography

Design

• McAfee International BV

• Melani Switzerland

• Meldpunt Kinderporno

• Meldpunt Discriminatie Internet

• Meldpunt Kinderporno

• Metropolitan Water District of

Southern California USA

• Ministerie van Binnenlandse

Zaken en Koninkrijksrelaties

• Ministerie van Economische

Zaken

• Ministerie van Justitie

• Ministerie van Verkeer en

Waterstaat

• Ministerie van VROM

• MKB-Nederland

• Motion Picture Associates

N • NAVI

• National IT and Telecom

Agency Denmark

• NBC Universal

• NCTb

• Nedap

• Nederland BreedbandLand

• Nederland Digitaal in

Verbinding

• Nederlands Politie Instituut

• Nederlandse Thuiswinkel

Organisatie

• Nederlandse Vereniging van

Banken

• NICTIZ

• NISA Israel

• NLKabel

• NLnetLabs

• Noordelijke Hogeschool

Leeuwarden – Lectoraat

Cybersafety

• NS

• Nuon

• NXP

O • Oake Communications

• Oasen

• OBT / TDS printmaildata

• Océ

• Office of Cyber Security and

Critical Infrastructure

Coordination NY USA

• Online

• Openbaar Ministerie

• OPTA

• Osage

P • Philips

• Platform voor

Informatiebeveiliging (PvIB)

• Politie

• Politieacademie

• Port of Rotterdam (Gemeente-

lijk Havenbedrijf Rotterdam)

• Programma Aanpak

Cybercrime (Politie)

36 • Programma Cybercrime (OM)

• Programma Veiligheid begint

bij Voorkomen (Justitie)

• ProRail

• PWC Consulting

• PWN Waterleidingbedrijf

Noord-Holland

R • Rabobank Nederland

• Radboud Universiteit Nijmegen

– Dept. of Computer Science

• Rijkswaterstaat

S • Santa Clara Valley Water

District USA

• Schiphol Group

• Schiphol Telematics

• School of Computing &

Information Systems

University of Tasmania

• Secretariat general for national

defence France

• SEMA Sweden

• SERN

• Shell

• Shell/NAM

• SIDN

• SOVI (Strategisch Overleg

Vitale Infrastructuur)

• SNBReact

• SNS Bank NV

• SRI International USA

• Stedin

• Stichting BREIN

• Stichting Kennisnet ICT op

school

• Stichting Kinderconsument

• Stichting M

• Stichting Magenta

• Stichting Mijn Kind Online

• Stork BV

• Surfnet.nl

• Symantec

• Syntens

T • T-Mobile

• Tappan

• Tekstbureau De Nieuwe

Koekoek

• Tele2

• TenneT

• TNO

• TNT Post

• TU Delft

U • UMC St.Radboud Nijmegen

• Uneto-VNI

• Unilever

• Universitair Medisch Centrum

Utrecht

• Universitair Medisch Centrum

Twente

• Universitair Medisch Centrum

Groningen

• Universiteit Twente – Faculteit

EWI

• Universiteit van Maastricht

• Universiteit van Tilburg –

Faculteit der Rechtsgeleerdheid

• UPC

• Urenco Nederland BV

• US Department of Homeland

Security

V • Vattenfall Sweden

• Vereniging van

Nederlandse Gemeenten

• VEWIN

• Veiligheidsmonitor bureau

• Verbund Austria

• Verdonck Klooster &

Associates

• VIAG

• Vitens

• VKA

• VNG

• VNO-NCW

• Vodafone

• VU Medisch Centrum (VUmc)

W • Warner Bross

• Water Supply (Network)

Department Singapore

• Waterbedrijf Groningen

• Waterleidingsmaatschappij

Drenthe (WMD)

• Waterleidingsmaatschappij

Limburg (WML)

• Waternet

• Wetenschappelijk Bureau OM

• WIB

• Wintershall Noordzee BV

• Witteveen & Bos

• WODC

X • XS4ALL

Y • Yokogawa

Z • Zeehavenpolitie / Port Security

• Zeelandnet

• Ziggo

Peter Hondebrink (Ministerie van EZ)opdrachtgever

Annemarie Zielstra (ICTU)programmamanager

Auke Huistraprojectleider Informatieknooppunt

Wynsen Faberprojectleider NICC-Actieonderzoek

But Klaasen (ICTU)projectmanager

Saskia Kroon (ICTU)programmasecretaris

Manou Aliprogrammaondersteuner

Cor Ottenscommunicatieadviseur

NICC-programma

Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Vormgeving: OSAGE, Utrecht /

Druk: OBT / TDS printmaildata, Schiedam

maart 2009

Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van

ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid.

Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de

overheid. Meer informatie? Kijk op www.ictu.nl.

NICC | ictu

Bezoekadres

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

Postadres

Postbus 84011

2508 AA Den Haag

T 070 888 79 46

nicc@ictu.nl

www.samentegencybercrime.nl

NICCsamen tegen cybercrime