lentebericht_2010
-
Upload
harrie-kuipers -
Category
Documents
-
view
215 -
download
1
description
Transcript of lentebericht_2010
buitenkantomslag jaarbericht Nicc
Lentebericht 2010nicc
NICC | ictu
Bezoekadres
Wilhelmina van Pruisenweg 104
2595 AN Den Haag
Postadres
Postbus 84011
2508 AA Den Haag
T 070 888 79 46
www.samentegencybercrime.nlEén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.
NICCsamen tegen cybercrime
Letop!@
opvoorzijde
stansvormaparte
film
Highlights
Programma NICC 2009/2010
RUGDIKTE
binnenkantomslag jaarbericht Nicc
Peter Hondebrink (Ministerie van EZ)opdrachtgever
Annemarie Zielstra (ICTU)programmamanager
Auke Huistraprojectmanager
Wynsen Faberprojectleider NICC-Actieonderzoek
Roeland Reijersprojectleider
Saskia Kroon (ICTU)programmasecretaris
Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colenprogrammaondersteuning
Cor Ottenscommunicatieadviseur
Eric Luiijfexpertpool NICC (SCADA/PCS)
NICC-programma
Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography,
Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam
juni 2010
Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van
ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid.
Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de
overheid. Meer informatie? Kijk op www.ictu.nl.
samentegencyber-crimeNICC
Het programma NICC heeft in vier jaar veelbereikt. In 2006 kreeg het programma deopdracht om een ‘onomkeerbare beweging’op gang te brengen die zou resulteren in eenNationale Infrastructuur ter bestrijding vanCybercrime. De Infrastructuur bestaat nu enstaat niet meer ter discussie. Wat in 2006 nogonmogelijk leek, is nu vanzelfsprekend.
De samenleving vraagt steeds luider om eenvolgende stap: een structurele en integralebenadering van preventie. Die volgende staphad er kunnen komen door de samenvoegingvan het NAVI, GOVCERT.NL en het NICC.Door bundeling van deze drie partijen in eennieuwe organisatie zou de verbinding tussenpersonele, fysieke en digitale veiligheid gelegdworden. Inmiddels weten we dat het zover nietgaat komen. De financiering voor de nieuweorganisatie is niet rond gekomen en daarmeeis een streep door de plannen gehaald.
Teleurstellend? Een beetje wel natuurlijk, maarmisschien was het wel nodig om verder tekomen. In het programma NICC is ‘learning bydoing’ altijd het uitgangspunt geweest voorverdere ontwikkeling van samenwerking.Succes ontstaat in zo’n aanpak alleen maar alsje niet bang bent om dingen te laten mislukken.
Hoe gaat het nu verder met het Informatie-knooppunt Cybercrime? De borging van hetInformatieknooppuntstaat staat niet terdiscussie. Voorlopig gaan we gewoon door
met onze activiteiten. Het ministerie vanEconomische Zaken heeft er voor gezorgd dater in de tussentijd op de vertrouwde manierverder kan worden gewerkt.
Voor de langere termijn gaan we gesprekkenvoeren met mogelijke partners voor borging vanhet Informatieknooppunt. De eisen die daaraangesteld worden zijn nog steeds de eisen uit hetevaluatierapport van PricewaterhouseCoopers.Dat wil zeggen dat de specifieke kenmerkenvan de werkwijze behouden moeten blijven:publiek/privaat, vraaggestuurd, flexibiliteit,faciliterend karakter en vertrouwelijkheid.
Waar het Informatieknooppunt ook geborgdgaat worden, het is slechts een middel en geendoel op zich. Het gaat natuurlijk allemaal ommeer veiligheid. Betere preventie, op alle vlak-ken. Daar zetten we ons al jarenlang voor in.Na vier jaar ‘samen tegen cybercrime’, zijn wezo langzamerhand toe aan ‘samen voor meerveiligheid’. Want één ding staat wel vast:niemand kan nog solistisch aan preventiewerken. Samenwerking is een bewezensuccesfactor. En met die kennis gaan wij detoekomst in.
Annemarie Zielstra (ICTU)Programmamanager NICC
lentebericht NICC 2010
Samen tegen, samen voor!
3
Het Informatieknooppunt Cybercrime is in2009 verder gegroeid. Belangrijke aanwinstenzijn de Telecom-ISAC en de ISAC voor lever-anciers van procesautomatisering. Zij vormenweer extra schakels in de dialoog tussen eind-gebruikers, leveranciers en de overheid.
Airport-ISACIn 2009 sloot Schiphol-Telematics zich aan bij deAirport-ISAC. De bedrijven in dit overleg hebbenhun bedrijfs- of sectoroverstijgende ICT-systemenop kwetsbaarheden laten onderzoeken. Datleverde inspiratie op voor zes verbetertrajecten.De Airport-ISAC coördineert de uitvoering vandeze trajecten met steun van het PlatformBeveiliging en Publieke Veiligheid Schiphol.
Nieuwe ISAC voor PSC-leveranciersIn het NICC Zomerbericht 2009 meldden we hetprille begin van een ISAC voor leveranciers vanprocesautomatisering. De leveranciers vanProcess Control Systems (PCS) zijn in februari2010 een formele ISAC geworden.Begin vorig jaar bespraken de leveranciers vanprocesautomatisering hoe het beveiligings-niveau kan worden verhoogd en wat hun roldaarin kan zijn. In een startsessie met enkeleleveranciers bleek dat zij een bijdrage willenleveren aan de dialoog tussen leveranciers,eindgebruikers en overheid over cybersecuritybij procesautomatisering. Er is een overleggestart met vertegenwoordigers van de PCS-leveranciers ABB, Honeywell, Yokogawa,Emerson, Invensys en Siemens. Zij komen éénkeer per twee maanden bijeen. Tijdens heteerste overleg in november 2009 gaf eind-gebruiker Shell een presentatie over de VendorRequirements voor procesautomatisering, dietot een positief ervaren discussie aanzette.Duidelijkheid in standaardisatie en certificering
Het Informatieknooppunt Cybercrime
4
2 juli
Zomerborrel NICC Finley Het Witte Huisin Loosdrecht
augustus
Start CAET traject Weerbaarheid vitale sectorentegen ernstige verstoring electriciteit entelecom/ICT
augustus
Incidentenregistratie bij GOVCERT.NL van start
BANKEN
EuropeanFI-ISAC
lev
era
n-
cie
rs
PA
voedsel
EuroSCSIE
SCADA/PCS
MU
LTI-
NAT
ION
ALS
HA
VE
N-
SEC
TOR
PRO
RAIL
/
NS
TELECOM-SECTOR
ACA-
DEMISCHE
ZIEKEN-
HUIZEN
NUCLIAIRE
SECTOR
SCH
IPHO
LEN
ERG
IE-
SECTO
R
DRINK-W
ATER-
BEDRIJVEN
AIVDKLPDGOVCERTNICC
MPCSIE
zijn op korte termijn de belangrijkste onder-werpen voor de bijeenkomsten van de nieuweISAC.
Telecom-ISACIn 2009 is de Telecom-ISAC van start gegaanvoor telecomaanbieders die zijn aangeslotenbij het Nationaal Continuïteitsoverleg Telecom(NCO-T). Samen met enkele overheidsorgani-saties wisselen zij informatie uit over incidenten,dreigingen, kwetsbaarheden en good practices.Inmiddels worden de mogelijkheden verkend omdit overleg uit te breiden met een aantal anderepartijen, zoals SIDN.
Cybercrime-overlegHet aantal deelnemers aan het Cybercrime-overleg van toezicht-, handhavings-, inspectie-en opsporingsdiensten (onder voorzitterschapvan OPTA) breidde verder uit in 2009. Dit overleghanteert dezelfde werkwijze en dezelfde spel-regels als de andere ISACs uit het Informatie-knooppunt. Hoewel alleen overheidspartijenkunnen deelnemen, worden regelmatig privatepartijen uitgenodigd om presentaties te houden.In vergelijking tot ISACs van sectoren uit devitale infrastructuur (die slachtoffer kunnen zijn)ligt bij dit overleg de nadruk op het informeeluitwisselen van operationele cases uit dehandhavingspraktijk. Zo leren de deelnemersvan elkaar over nieuwe fenomenen en modusoperandi van cybercriminelen.
Water-ISAC overtuigt Vewin van noodzaakoefenscenario’sIn de drinkwatersector is procesautomatiseringonmisbaar voor het garanderen van de kwaliteiten kwantiteit van ons drinkwater. Uitval van deprocesautomatisering leidt tot processtoringenof bedien- en bewakingsverstoringen in hetinname-, zuiverings- en distributieproces. Hand-bediening en extra menskracht kunnen een deelvan de gevolgen voor korte tijd opvangen. Maardrinkwaterbedrijven moeten ook voorbereid zijnop een langdurige uitval van de procesauto-matiseringsystemen.Tijdens een overleg van de Water-ISAC in detweede helft van 2009 werd duidelijk dat er welgeoefend wordt met de reguliere crisis-organisatie, maar niet of nauwelijks met nood-scenario’s voor procesautomatisering. De deel-nemers hebben dit onder de aandacht gebrachtbij de Vereniging van Waterbedrijven in Neder-land (Vewin). In het Vewin-bestuur hebben dedirecteuren van alle Nederlandse drinkwater-bedrijven zitting. De Water-ISAC heeft huninzicht gegeven in cybercrime-kwetsbaarhedenen het risico van (langdurige) uitval van deprocesautomatisering of delen daarvan. Hetdoel was de directeuren te doordringen van hetfeit dat in de huidige leveringsplannen niet ofnauwelijks rekening is gehouden met uitval vande industriële automatisering.De Water-ISAC stelde voor om gezamenlijkrealistische en uniforme oefenscenario’s teontwikkelen en te oefenen. Het Vewin-bestuur
lentebericht NICC 2010
5
1 september
Eerste sessie politie / OM en banken overaanpak Cybercrime (gefaciliteerd vanuit hetPAC en NICC)
3 september
Eerste gezamenlijke sessie Water-ISACen Energy-ISAC
16 september
Eerste sessie PCS Vendors-ISAC in kleinerverband
Danyel MolenaarOPTA hoofd internetveiligheid encommunicatie van OPTA en voorzittervan het Cybercrime-overleg
Het Cybercrime-overleg klinkt als een ISAC,het handelt als een ISAC, en toch is het dat niet.Het NICC faciliteert de bijeenkomsten en hetbekende stoplichtmodel garandeert vertrou-welijke informatie-uitwisseling over cybercrime.Maar bij dit overleg schuiven alleen overheids-instanties als KLPD, AIVD, GOVCERT.NL ende NCTb aan tafel, geen private partijen.Danyel Molenaar, hoofd internetveiligheid encommunicatie van OPTA, is op dit momentvoorzitter van het Cybercrime-overleg.
Hoe is het Cybercrime-overleg gestart?“Binnen OPTA kwamen we tot de conclusie datwe veel beter in staat waren internationaalsamen te werken dan nationaal. BinnenNederland was er nauwelijks overleg met andereorganisaties die we nodig hadden voor debestrijding van cybercrime. Die hebben wedus maar eens hier op kantoor uitgenodigd.We startten vier jaar geleden met de instantieswaar wij wel eens mee te maken hadden:GOVCERT.NL, KLPD, FIOD-ECD en deBovenregionale Recherche Noord- en Oost-Nederland, die een speciale afdeling Telecom-en ICT-fraude heeft. Later zijn daar het KorpsAmstelland, AIVD, MIVD, de Consumenten-autoriteit, de NCTb, de Nederlandsche Bank ende Autoriteit Financiële Markten bij gekomen.Het overleg is bedoeld voor mensen die zelfonderzoek doen, dus heel operationeel bezigzijn.”
Hoe liep de nieuwe samenwerking?“Onze insteek was: als je goed wil samen-werken, moet je elkaar kennen. Alles wat deopsporings- en inlichtingendiensten doen, isvertrouwelijk. Om die informatie te delen moet
je eerst vertrouwen hebben in je gespreks-partners. We realiseerden ons dat dat moestgroeien. In het begin ging dat dan ook heelstroef. Dus zijn wij zelf gewoon begonnen metinformatie delen. Voor ons als OPTA was hetmakkelijker, omdat de telecomwetgevingsoepeler is. Zo konden we dat vertrouwenwekken bij de anderen. In het begin waren wedus vooral zelf aan het woord, maar dat is snelveranderd.”
Het Cybercrime-overleg lijkt sterk op een ISAC,maar is het niet. Hoe zit dat nou?“Twee jaar geleden heeft het NICC aangebodenom de organisatie over te nemen. Daar warenwe erg dankbaar voor. Ik ben nu alleen nogvoorzitter van het overleg, de rest regelt hetNICC. We zijn geen onderdeel van hetInformatieknooppunt, maar werken wel methet stoplichtmodel. Het Cybercrime-overleg isecht alleen voor overheidspartijen. En de KLPD,AIVD en GOVCERT.NL zitten ook in de andereISACs, dus met toestemming van de sectorenkunnen ze informatie overdragen. OPTAontbreekt trouwens ook in de Telecom-ISAComdat de private partijen hebben aangegevendat ze daar nog niet aan toe zijn.”
Hoe werken jullie in de praktijk samen?“We komen elke twee maanden bij elkaar endaarnaast is er veel bilateraal overleg. De kernvan de samenwerking is informatie-uitwisseling.Dat kan over algemene zaken gaan zoals risico’sen methodes om die aan te pakken. We pratenniet over taakverdelingen en beleidsplannen,het gaat puur om het uitwisselen van praktischeinformatie: hoe doe je onderzoek, ken je ditprobleem, hoe pak je dit aan, wie is waar mee
lentebericht NICC 2010
“Onze insteek was: als je goed wilt samenwerken,moet je elkaar kennen”
7
bezig? Als we bijvoorbeeld met een cyber-crimineel zitten die onvindbaar is en zijn geldheeft laten verdwijnen naar het buitenland, danzouden we de Belastingdienst uitnodigen omeens te komen praten. Die heeft contacten in hetbuitenland. Zo kun je elkaar helpen.”
Heeft het overleg al wat concreets opgeleverd?“OPTA heeft wel eens een spammer beboet waarde politie ook in geïnteresseerd was. Dan dragenwij de informatie over, zodat de politie hem kanvervolgen. Verder hebben we de overleggentelkens bij een andere organisatie, die dan kanlaten zien wat ze kunnen en doen. Bij hetNederlands Forensisch Instituut is eens eenpresentatie gegeven over een nieuwe vorm vangeautomatiseerde beeldanalyse, een computer-programma dat heel snel een bepaald soortbeelden herkent. Dat is handig bij de opsporingvan kinderporno, want dan hoef je al die beeldenniet een voor een te bekijken. En we zijn voorons volgende overleg uitgenodigd door hetProjectbureau Aanpak Cybercrime, dat beleidvoorbereidt voor de politie en het ministerie vanBZK.”
Werken jullie ook wel eens samen met privatepartijen?“Een hoogleraar is wat komen vertellen overtechnieken voor privacybescherming. We hebbenook een keer een antivirussoftware-producentuitgenodigd. Die heeft ons uitgelegd hoe zegegevens verzamelen voor hun rapporten, enwat wij daar aan kunnen hebben. Soms is deafstemming ook heel concreet, als er bijvoor-beeld een ISP is waar een hele hoop ellendevandaan komt. Dan ga je dat samen onder-zoeken. Nederland heeft veel kleine hosting
providers, die niet allemaal 100 procent bonafidezijn. De grote ISPs hebben weer veel te makenmet botnetproblemen, die geven ons daarinformatie over.”
Wat heeft OPTA zelf aan de samenwerking methostingbedrijven en datacentra?“OPTA zal het Cybercrime-overleg nooitgebruiken als bron richting private partijen.Wat in het overleg besproken wordt, blijft daar.Maar de informatie helpt ons wel bij het richtinggeven aan ons onderzoek. Soms roepen we deISPs bij elkaar om te praten. Het is alleen lastigdat ze niet georganiseerd zijn. Soms regelen wedat dan ook via het Economic CommercePlatform ECP-EPN of het Platform Internet-veiligheid, dat afgelopen december is opgericht.De overheid probeert het sectoroverleg gelukkigwel meer te stroomlijnen. Dat ISPs geenbrancheorganisatie hebben, zit in de aard vande internetpioniers. Het zijn van oudshervrijgevochten jongens die geloven in de anarchievan het internet. We merken wel dat ze steedsopener worden. Toen OPTA zes jaar geledencontact zocht met de ISPs, was de reactie zeerkil. Het oprichten van een Telecomknooppuntheeft jaren geduurd, maar dat is er nu in iedergeval. De botnet-afspraken om zombie-computers af te sluiten waren drie jaar geledenniet gelukt. De aversie tegen de overheid wordtminder. ISPs zijn nu ook meer bereid om zelfactie te ondernemen om het vertrouwen tevergroten. Ze beseffen dat er in een vrije wereldook een hoop slechte mensen rondlopen enhebben daar zelf onder te lijden. De tijdgeestverandert, de branche wordt volwassener.”
8
lentebericht NICC 2010
9
17 september
Presentatie op KPN-intern event Get Secure!
8 oktober
Presentatie bestuur Vewin in Nieuwegein
heeft ingestemd met de ontwikkeling van eengeneriek oefendraaiboek voor de Nederlandsedrinkwatersector voor verstoringen in de proces-automatisering. Alle drinkwaterbedrijven betalenmee aan de ontwikkeling. De scenario’s zullen ineen pilot bij Waterleidingmaatschappij Drenthe(WMD) en Vitens getest worden.
Gezamenlijk overleg Water-ISACen Energy-ISACOp 3 september 2009 schoven de Water-ISACen de Energy-ISAC voor het eerst aan bij eengezamenlijk overleg. Eén van de agendapuntenwas een presentatie van de benchmarks uit debeide ISACs. Er is besloten deze onderzoekennog een keer te doen. Deze zogenaamde1-meting wordt momenteel uitgevoerd. Ookspraken de deelnemers af om de agenda’s vande twee overleggen uit te wisselen, zodat menvan elkaars onderwerpen op de hoogte is.Vanwege het succes van de bijeenkomst isbesloten om er in 2010 een vervolg aan te geven.De water- en energiesector zullen voortaan tweekeer per jaar gezamenlijk overleggen. De Water-en Energy-ISAC leveren afwisselend de voor-zitter en de agenda wordt gezamenlijk voor-bereid.
Ria DoedelDirecteur van Waterleiding MaatschappijLimburg en voorzitter van de Vewin-stuur-groep beveiliging en crisismanagement
Ria Doedel, directeur van WaterleidingMaatschappij Limburg en voorzitter van deVewin-stuurgroep beveiliging en crisis-management, is zeer tevreden over de samen-werking die op gang is gekomen in hetInformatieknooppunt Cybercrime. Niet alleenbinnen de sector zelf en met publieke partijenwordt nu eindelijk informatie uitgewisseld overbeveiliging van de procesautomatisering. Met deenergiesector zijn bovendien gezamenlijke over-leggen gepland. Doedel: “Het is goed dat er nuook een leveranciers-ISAC is. Dat biedt meermogelijkheden om aan informatie te komen hoeje je het beste kunt beveiligen.”
Wat betekent de Water-ISAC voor dedrinkwatersector?“De Water-ISAC is een waardevol platform voorde vertrouwelijke uitwisseling van informatie,ervaringen en best practices over proces-automatisering en cybercrime. Als deze ISACniet was opgericht, zouden de waterleiding-bedrijven elk in hun eigen koker zijn blijvenopereren. Dan wisten we veel te weinig overwat er wel en niet goed gaat, of bijna misloopt.Nu leren we van elkaar.”
Heeft de samenwerking in de Water-ISACantwoorden opgeleverd op dreigingen?“Een concrete bedreiging is misschien wat tezwaar gesteld. We kennen wel de praktijk-voorbeelden van hackers die zijn binnen-gedrongen in systemen. En we weten datterroristische groeperingen interesse hebbengetoond voor SCADA-systemen, onder anderein de drinkwatersector. Dat is door de AIVD
onderkend en die informatie is met de drink-waterbedrijven gedeeld. De belangstelling voorSCADA heeft in de drinkwatersector geleid toteen heel actief beveiligingsbeleid voor dekantoorautomatisering, en in toenemend mateook voor de procesautomatisering. Dat varieertvan een actief wachtwoordenbeleid en beveiligingvan verbindingen tot de mogelijkheid om deprocesbesturing handmatig over te nemen, enalle gradaties die daar tussen zitten.”
Heeft een eigen ISAC de contacten in dedrinkwatersector verbeterd?“De voorzitter van de Water-ISAC is lid vande Vewin-stuurgroep beveiliging en crisis-management. Die zorgt voor een hele actieveinbreng vanuit de ISAC. Hij heeft bijvoorbeeldhet TNO-rapport over de benchmark SCADA-security uit 2007 in het bestuur van de VEWINen in de stuurgroep laten presenteren. Dat waseen belangrijke stap in het verkrijgen van inzichtin de kwetsbaarheden, en om bewustzijn tecreëren.Andersom werkt het ook. Als we tegen bepaaldezaken aanlopen, dan neemt hij dat mee naar hetISAC-overleg, zodat ze daar gezamenlijk kunnenbekijken of er een reëel gevaar is en of daar aloplossingen voor zijn. Een vraagstuk waar weallemaal tegenaan lopen is het onderhoud vanproductielocaties. Hoe ga je om met debeveiliging en het toezicht als je daarvoorderden moet toelaten op de locatie? Daarwisselen we praktijkervaringen over uit. En toensommige drinkwaterbedrijven gewerkt haddenmet mystery guests om te beproeven of jebeveiligingsbeleid in de praktijk werkt,
lentebericht NICC 2010
“Als drinkwaterbedrijven zijn we veel afhankelijkergeworden van procesautomatisering dan we onsrealiseren”
11
wisselden ze die ervaringen uit. Zo hoeft nietiedereen eerst weer in de bekende valkuilente trappen.”
Hoe zit het met de contacten met anderesectoren?“Het TNO-onderzoek in de drinkwatersector,dat als basis diende voor de benchmark SCADA-security, wordt dit jaar herhaald. Ook deenergiesector voert een dergelijk onderzoek uit.We gaan de uitkomsten van die onderzoekensectoroverschrijdend vergelijken, zodat we vanelkaar kunnen leren. Dat is ook een concreetresultaat van het Informatieknooppunt. Voordathet Water-ISAC bestond, was er helemaal geenuitwisseling tussen deze sectoren.”
De Water-ISAC heeft een pilotproject geïnitieerdvoor een generiek oefendraaiboek op het gebiedvan verstoringen in de industriële auto-matisering. Wat denkt u dat de conclusieszullen zijn?“Na afronding van de pilots gebruiken we debevindingen om ons preparatieniveau teverhogen. Wat die bevindingen zullen zijn, isnatuurlijk koffiedik kijken. Maar goed, ik denkwel dat daar uit zal komen dat we als drink-waterbedrijven veel afhankelijker zijn gewordenvan procesautomatisering dan we ons reali-seren. Een belangrijk aspect van dat oefendraai-boek is het handmatig kunnen overnemen vande besturing van de installaties, als de proces-automatisering door interventie van buitenaf stilkomt te liggen. De oudere garde kan dat nog,want die komt uit de periode dat alle processenmet de hand bedreven werden. Maar de jongere
generatie kent alleen de geautomatiseerdesystemen. Als we uitval handmatig willenoplossen, moeten we dus aan actieve kennis-overdracht gaan werken. Daar moeten we nogwel wat slagen in maken.”
Hoe gaat Waterleiding Maatschappij Limburgom met de beveiliging van procesauto-matisering?“Bij ons is dat een geïntegreerd onderdeel vande beveiliging. In de eerste ronde ging dat omfysieke maatregelen: toegangshekken, ver-zwaring van deuren, elektronische toegangs-systemen. Vervolgens maken we het indringersdoor firewalls en hoge beveiligingsniveaus zomoeilijk mogelijk om door te dringen tot onzesystemen. Ook hebben we de personelebeveiliging aangepakt. Aan elke functie is eenrisicoprofiel gekoppeld met een bijpassendscreeningsniveau dat kan oplopen tot eenzware, extern uitgevoerde procedure. Iedereendie nieuw aangenomen wordt of van functiewisselt, ondergaat zo’n screening. Verder doenwe regelmatig security awareness trainingen omveiligheid ook fris en actueel te houden. Kleinedingen waar je snel overheen stapt, kunnensignalen zijn dat er iets aan de hand is.”
Wat verwacht u de komende jaren aanontwikkelingen op het gebied van ICT-security?“Zonder meer een belangrijke ontwikkeling ishet feit dat een aantal drinkwaterbedrijven aande vooravond staan van grote vervangingen inde procesautomatisering. Met wat we nu weten,zullen de beveiligingseisen die je als bedrijf steltbij het maken van een ontwerp veel zwaarder
12
zijn dan in het verleden. Het akelige is alleendat de ontwikkelingen op het gebied vancybercrime ook alsmaar doorgaan. Techno-logisch is steeds meer mogelijk, kwaadwillendepartijen worden slimmer. In die wedloop moetenwe dus proberen telkens een stapje voor teblijven. Naar mijn inschatting blijft dat dekomende decennia een groot aandachtspunt.”
Het Informatieknooppunt Cybercrime krijgt inde toekomst een permanente plek. Is dat goedvoor de drinkwatersector?“Op zich wel, want daarmee bereik je dat debestuurlijke drukte kleiner wordt dan toen ernog meerdere organisaties waren die zich metcybercrime bezighielden. Door die expertise eninformatie te bundelen, krijg je ook een beterbeeld. Ik ben heel blij dat het Informatieknoop-punt behouden blijft. Bij drinkwater gaat hetimmers om de volksgezondheid. Als je acties vankwaadwillenden wilt voorkomen, dan moet je jeinformatie delen, signalen oppikken en door-geven, zodat er tijdig en alert actie ondernomenkan worden. Vroeger was die informatie er ookwel, maar werd hij niet gedeeld.Het is ook belangrijk dat we elkaar op de hoogtebrengen over technologische mogelijkheden omcybercriminelen een stapje voor te blijven. Diekennis hebben we niet allemaal zelf in huis. Hetis dus goed dat er nu ook een leveranciers-ISACis. Ik begrijp best dat die niet al hun bedrijfs-geheimen met ons kunnen delen, maar het biedttoch weer meer mogelijkheden om aan informa-tie te komen hoe je je het beste kunt beveiligen.”
lentebericht NICC 2010
13
lentebericht NICC 2010
15
9 oktober
MPCSIE bijeenkomst De Zilveren Torenin Amsterdam
15 oktober
Tweede sessie politie/OM en banken overaanpak Cybercrime (gefaciliteerd vanuit hetPAC en NICC)
22 oktober
NEISAS bijeenkomst in Londen
Hoe goed kunnen vitale bedrijven en sectorenzich weren tegen grootschalige uitval vanstroom of ICT? Het kabinet is een trajectgestart om die vraag te beantwoorden onderde titel Capaciteitsadvies Elektriciteit enTelecom/ICT (CAET). Het NICC en het NAVIfaciliteerden samen het onderdeel ‘weerbaar-heid van vitale sectoren tegen grootschaligeverstoring van elektriciteit en telecom/ICT’.
Vitale sectoren zijn afhankelijk van elektriciteiten telecom/ICT. Zonder elektriciteit kan detelecommunicatiesector maar gedurende eenkorte periode doordraaien, tenzij er adequatemaatregelen zijn getroffen. Andersom is deafhankelijkheid net zo groot. Bij grootschaligeuitval van elektriciteit is telecommunicatie/ICTvan cruciaal belang om het elektriciteitsnetwerkte herstellen. De financiële sector is sterk af-hankelijk van zowel de elektriciteit als detelecommunicatie/ICT, bijvoorbeeld voor decontinuïteit van het betalingsverkeer. Desectoren Energie (gas en elektriciteit), Telecom /ICT en Financiën brachten daarom in 2009 viahet CAET-traject in kaart wat hun vitale kern-processen zijn en welke continuïteitsmaat-regelen al zijn getroffen. Vervolgens hebben hetNAVI en het NICC met elke sector apart vast-gesteld welke concrete aanvullende maat-regelen nodig zijn om de kans op uitval te ver-kleinen of om de gevolgen van uitval te kunnenopvangen en beperken. Voorjaar 2010 worden deconclusies gerapporteerd aan de betrokken
sectoren en vakdepartementen. Zij beslissenuiteindelijk in onderling overleg welke maat-regelen daadwerkelijk zullen worden getroffen.
In 2010 doorlopen de overige vitale sectoren eensoortgelijk traject om hun vitale kernprocessenen reeds getroffen maatregelen te inventariseren.Zo wordt duidelijk welke extra maatregelen nognodig zijn. Een voorbeeld van een dergelijkemaatregel is het stimuleren van intersectoralesamenwerking. Om voorbereid te zijn op groot-schalige uitval van elektriciteit of telecom/ICTis het nodig dat de verschillende sectoren elkaarweten te vinden om elkaar rechtstreeks vragente kunnen stellen en kennis uit te wisselen.Maar de grootste meerwaarde van het onder-zoek is dat er een proces op gang is gebracht omin de vitale sectoren de bewustwording van diewederzijdse afhankelijkheid te vergroten.
CAET: weerbaar tegen uitvalelektriciteit en ICT
De boodschap van het derde Process ControlSecurity Event (PCSE) ‘Control IT!’ was: helpde managers uit de droom en zorg ervoor datze de werkelijke omvang van mogelijkebedreidingen gaan voelen. Het NICC werktedat uit in het vierde PCSE in december. Dezebijeenkomst, onder de noemer ‘Manage IT!’,was erop gericht om kennis op de juistemanier te gebruiken in de interne adviseringvan het topmanagement. De uitdaging aan dedeelnemers: hoe overtuig je het managementvan een grote investering in security?
Het NICC en Process Control SecurityProcescontrolesystemen besturen en bewakenvitale processen in veel van onze vitale sectoren.Onbevoegde beïnvloeding van die systemen kanleiden tot ernstige verstoring van die vitaleinfrastructuur. Dat kan grote gevolgen hebbenvoor de economie, het milieu en de samenleving.Sinds 2008 pakt het NICC process controlsecurity zowel nationaal en internationaal aanals een apart onderwerp. Dat doen wij samenmet de gebruikers, de leveranciers, de overheid,het onderwijs en onderzoeksinstellingen.
Dagvoorzitter Philippe Raets maakte duidelijkdat kennis alleen niet voldoende is om top-managers te overtuigen. Hij gebruikte prikkelendefilmfragmenten voor de introductie van een paarovertuigingsstrategieën: passie, verleiden enmanipuleren. Jos Weyers van TenneT presen-teerde de lessons learned van de deelnemers
aan de Idaho-training (zie interview en kader)als basis voor de workshopoefening. De deel-nemers bereidden in groepjes een strategie voorom de topmanager te overtuigen van de nood-zaak tot het nemen van beveiligingsmaatregelen.Na wat oefenen gingen twee van de teams hetadviesgesprek met een ‘topmanager’ volzelfvertrouwen aan.
Team 1 gooide het op angst: “Het kan iedermoment helemaal mis gaan en de kans dat hetgebeurt is groot!” Maar de directeur wil eenintegrale risicoanalyse. Dat kost volgens zijnstafadviseur een maand. Het team zelf houdthet eerst op drie maanden, maar de externeadviseur in het team beweert even later dateen week meer dan voldoende is.Team 2 had de risicoanalyse al helemaal klaar:“Patching is de oplossing!” De directeur zegt nietstoe en wil het hele verhaal eerst uitgeschrevenhebben met diverse scenario’s, om het daarna metzijn collega’s in de board te kunnen bespreken.
Na dit rollenspel werd de effectiviteit van deadviesgesprekken doorgenomen. Het blijkt nieteenvoudig om een topmanager te overtuigen.Je moet met een stevig verhaal komen. De‘beveiligers’ zetten allerlei inhoudelijke over-wegingen in, terwijl managers gewoon eenordentelijk besluitvormingsproces willen eneen aantal uitgewerkte scenario’s met risico-analyses. De bevindingen uit de Idaho-trainingzijn weliswaar duidelijk, maar dat wil nog niet
Process Control Security: Manage IT!
16
27-29 oktober
Meridian 2009 in Washington
12 november
Conferentie over cybercrime doorOpenbaar Ministerie in Heemskerk
9-10 november
European FI-ISAC in Bern
zeggen dat het management de aanbevelingenook direct over zal nemen. Aandacht voor eengoed advies hoort er zeker ook bij. De Idaho-training is vastgelegd in een filmpje dat u kuntdownloaden op www.samentegencybercrime.nl.
‘Lessons learned’ uit de Idaho-trainingVerbeteringen die de experts kunnen doorvoeren
Kennismanagement• Security-training voor het personeel• Assessment (legal hack/kwetsbaarheden)• Deel kennis met externe partijen alsleveranciers en adviseurs
Applicaties• Geschreven met het oog op beveiliging(wat kan er fout gaan?)
• Volg de handleiding veilig programmeren• Accounts met zo weinig mogelijk privileges• Eigen user accounts met password policy• Voorkom SQL injection
Beveiliging• Intrusion Detection System is een noodzaakvoor het herkennen van afwijkendnetwerkverkeer
• Statische omgeving
Systeem logging/monitoring• Forensisch onderzoek
Vendors• 100 Assessments by Homeland Securityals good practice
• Procurement language (US-CERT)• Zorg dat de kwetsbaarheden bekend zijn
Verbeteringen die het management kandoorvoerenManagement/Organisatie• Leg het beveiligingsbeleid vast• Richt processen veilig in• Zorg voor procedures, handboekenen standaarden
• Communicatie PA/IT• Calamiteiten-/incidenten-responseorganisatie(IRT, incidentmeldingen)
• Vertrouwelijke informatie
Samenwerking• Met externe organisaties• Tussen PA- en IT-afdelingen• Bundel security-kennis in de organisatie
Bewustwording• US-CERT WEB training• Cybersecurity advanced training• Conferenties
Risicoanalyse• Risk Reduction/Analysis Products:Cyber Security Evaluation Tool (CSET)
• Gebalanceerde maatregelen
lentebericht NICC 2010
17
9-13 november
Red Team / Blue Team training in Idaho
16 november
Gastcollege NHL Leeuwarden
26-27 november
EuroSCSIE bijeenkomst in Londen
18
1 december
PCS Event + Winterborrel NICC KasteelDe Hooge Vuursche in Baarn
december
Publicatie ‘Process Control Security in hetInformatieknooppunt Cybercrime’
3 december
Presentatie tijdens Securitymiddag Egeminin België
Uit internationaal onderzoek blijkt dat deinformatiebeveiliging van procescontrole-systemen een ondergeschoven kindje is inde vitale sectoren. Een sectoroverschrijdendinitiatief voor de informatiebeveiliging vanprocescotrolesystemen moet de kwetsbaar-heid terugdringen. Deze Nationale Roadmapvoor veilige procescontrolesystemen is nu inontwikkeling.
Een toenemend aantal incidenten laat zien datde procescontrolesystemen kwetsbaar zijn voorongeautoriseerde beïnvloeding. En niet alleen inde vitale sectoren. Procescontrolesystemenworden ook gebruikt in de productieprocessenvan veel bedrijven in andere sectoren. Ze zijnvaak onderdeel van het gebouwbeheersysteemen de toegangsbeveiliging. De Nationale Road-map is weliswaar gericht op de bedrijven binnende vitale infrastructuur, maar krijgt zeker spin-off naar alle andere bedrijfstakken.
Roadmap met stip op nummer éénBijna vijftig projecten namen deel in de race omsubsidie voor de subarena ‘Veiligheid van ICTen netwerken voor vitale toepassingen ensectoren’. NAVI en het ministerie BZK, die hetsubsidietraject hadden geïnitieerd, zetten hetRoadmap-project met stip op nummer één.Tijdens de NAVI-netwerkbijeenkomst op 10december 2009 maakte Michiel van der Duinnamens het ministerie van BZK bekend dat hetRoadmap-project het hoogste had gescoord en
de subsidie had binnengehaald. Het NICC gafeen presentatie over de Nationale Roadmap.
Gezamenlijke visieDe aanzet voor de Nationale Roadmap werdafgelopen zomer gegeven tijdens het derdeProces Control Security Event ‘Control IT!’ vanhet NICC, in een workshop waarbij alle partijenaanwezig waren. Leveranciers van apparatuur,programmatuur en diensten, het onderwijs,wetenschappers en belangengroepen (WIB, hetCIO Platform Nederland) werken gezamenlijkaan het opstellen van de Nationale Roadmapvanuit een gezamenlijke visie: ‘Binnen tien jaarzijn beschermingslagen van procescontrole-systemen die kritische processen aansturen,ontworpen en geïmplementeerd en worden zeonderhouden. Dit in overeenstemming met hetgeïdentificeerde risico. Doelstelling daarbij isom geen verlies van vitale functies te hebbentijdens en na een cyberincident.’ Deze doel-stelling zal in de Nationale Roadmap op strate-gisch en tactisch niveau actiegericht uitgewerktworden als mijlpalen op korte termijn (0-1 jaar),middellange termijn (tot 3 jaar) en lange termijn(tot 10 jaar).
De Nationale Roadmap bestrijkt organisatorischeen technische aspecten enerzijds en de mense-lijke gedragslijn anderzijds. De te ontwikkelenbeveiligingsmaatregelen bestrijken dus het helegebied van ICT-oplossingen én fysieke, personeleen organisatorische maatregelen. Ze omvatten
Nationale Roadmap voor veiligeprocescontrolesystemen
de gehele beveiligingscyclus, van architectuuren verwerving tot operaties en buitengebruik-stelling. De ontwikkelde producten wordenbreed beschikbaar gesteld. De doelen en deaanpak van de Roadmap zijn op een rijtje gezetin een korte film die u kunt bekijken opwww.samentegencybercrime.nl.
Publicatie maakt managers bewust over PCS-kwetsbaarhedenManagers zijn zich veel te weinig bewust van derisico’s die een gebrek aan aandacht voor infor-matiebeveiliging van procescontrolesystemenmet zich meebrengt. Het NICC presenteerdetijdens het Process Control Security Event‘Manage IT!’ daarom een publicatie voor hetmanagement van bedrijven die procescontrole-systemen gebruiken: Process Control Security inhet Informatieknooppunt Cybercrime NICC.Doel is het verhogen van het bewustzijn van hetmanagement over de kwetsbaarheid en hetrisico voor de organisatie. De publicatie geefteen overzicht van sectoren waar procescontrole-systemen worden gebruikt, inclusief een aantalconcrete beveiligingsincidenten. Verder komenrisicofactoren en een overzicht van de kwets-baarheden aan bod. Daarnaast geeft depublicatie een eerste kijk op de NationaleRoadmap. De publicatie is te downloaden viawww.samentegencybercrime.nl.
lentebericht NICC 2010
19
9 december
Voorzittersbijeenkomst ISACs in Amsterdam
10 december
Presentatie Roadmap PCS tijdens NAVI borrelin Scheveningen
v.l.n.r.Jos WeyersIT-security en continuity officer, TenneT
Renny ter VeerIB-coördinator, WaterleidingmaatschappijDrenthe en Waterbedrijf Groningen
Sytze BakkerManager Electro & Instrumentatieen Procesbesturing, Gasunie
Industrial Control Systems Cyber Security Advanced TrainingHet United States Department of Homeland Security en het NICC organiseerden in november een vijfdaagsesecurity training. 32 Nederlandse control systems engineers en operators, IT-medewerkers en securitymanagers uit diverse vitale infrastructuren namen deel aan deze Industrial Control Systems Cyber SecurityAdvanced Training in het Idaho National Laboratory. Drie van de 32 deelnemers aan de Idaho-trainingpresenteerden hun ervaringen tijdens het PCS-event ‘Manage IT!’ van het NICC in december 2009.
Vier dagen lang, van ’s ochtends vroeg tot’s avonds laat, intensief buffelen op hetbeveiligen van PCS. En er dan in de praktijktestop de vijfde dag achter komen dat je binnen eenkwartier al je vitale informatie al kwijt bent aande ‘vijand’… Hoe alert je ook denkt te zijn, het isbepaald niet eenvoudig je essentiële systemente beschermen tegen een aanval. Drie deel-nemers aan de Control Systems Cyber SecurityAdvanced Training in Idaho vertellen hunervaringen: Renny ter Veer (IB-coördinator,Waterleidingmaatschappij Drenthe en Water-bedrijf Groningen), Sytze Bakker (ManagerElectro & Instrumentatie en Procesbesturing,Gasunie) en Jos Weyers (IT-security encontinuity officer, TenneT).
Wat vonden jullie van de training?Renny ter Veer: “Geweldig! Het mooiste vond ikde live Red team/Blue team-training. We werdenverdeeld in twee teams. Ons team moest desystemen verdedigen terwijl we aangevallenwerden door het andere team. Dat kun je in jeeigen omgeving nooit oefenen. Alle aspectenkwamen aan bod: niet alleen technisch maar ookorganisatorisch. Hoe reageert het management,heb je een incidentmanager die alles regelt, enwat doe je met negatieve berichtgeving in depers? En dan de fysieke beveiliging. De ‘vijand’liep gewoon binnen om rond te snuffelen,maakte foto’s van ons whiteboard door deluxaflex heen, haalde de afvalbakken leeg…”Jos Weyers: “Na een kwartier was er al iemandeen map kwijt waar al onze informatie in stond.Je wéét dat het een test is, dat de ‘vijand’dichtbij zit en je in de gaten houdt – en dannog lukt het niet om je data veilig te stellen!
In een normale situatie moet dat dus nog veelmakkelijker zijn. Dat is een nuttige eyeopener.Veel dingen wisten we al, maar zelfs iemand diezo paranoïde is als ik wordt met de neus op defeiten gedrukt.” Sytze Bakker: “Het was vooraleen heel praktische cursus. Geen wolligeverhalen of bangmakerij, de mensen op dewerkvloer kunnen er meteen mee aan de slag.”
Wat heb je er van opgestoken?Weyers: “Vooral dat je bij moet zijn met depatches op je systeem. Je weet best dat dat vanlevensbelang is, maar niet dat het zo makkelijkis om in een systeem binnen te komen als je zeniet bijhoudt.” Ook bij de Gasunie moet hetpatch-management beter, bevestigt Bakker:“Als er een zwakheid wordt gevonden, moet jezo snel mogelijk de juiste patches installeren.We wachten daar vaak te lang mee omdat we debeschikbaarheid en de betrouwbaarheid van desystemen niet willen verstoren in verband metde leveringszekerheid. Maar als de zaak daar-door uitvalt, hebben we een nog veel groterprobleem. Ik heb nu ook gezien dat het echtnoodzakelijk is om een specifiek intrusion-detectiesysteem te hebben voor de proces-automatisering. Nu nog de budgetten daarvoorvrij zien te maken….” “Maar we hebben ookgeleerd hoe belangrijk het is om je systemengoed te kennen”, vult Ter Veer aan, ”anders hebje niet eens in de gaten dat er een intrusionplaatsvindt.”
Heeft de training al concreet wat opgeleverd injullie bedrijven?“Ik ben meteen na de training gevraagd ompresentaties te geven op alle afdelingen over
lentebericht NICC 2010
Idaho-training: ‘samen tegen cybercrime’ in depraktijk
21
de werkwijze van hackers,” vertelt Ter Veer.“Het zingt rond: ‘Renny is naar Amerika geweestom te hacken!’ Dat heeft de bewustwordingecht een zetje gegeven, ook op management-niveau. De manager die verantwoordelijk isvoor beveiliging heeft me uitgenodigd om bijbesprekingen aan te schuiven.” TenneT was albezig een campagne op te zetten over hetbelang van security awareness, vertelt Weyers.“Dat hebben we nu wat harder ingezet. Door detraining heb ik daar nu ook meer munitie voor.”Bakker is vooral blij met de goudmijn aaninformatie die de training heeft opgeleverd:“De US CERT-website kende ik voorheen niet.Daar vinden we nu veel praktische informatieover cybersecurity, standaarden en guidelinesover procesautomatisering. Heel handig is ookde Defence in Depth Strategy, dat is eenreferentie-systeemarchitectuur voorprocesautomatisering die je kunt gebruikenom een installatie te ontwerpen. Als je dieguidelines volgt, ben je al een heel eind in derichting van een veilige installatie.”
Zouden we in Nederland of Europa ook zulketrainingsfaciliteiten moeten hebben?Bakker: “Ja, zou heel goed zijn. Security blijfttoch een beetje achterlopen in proces-automatisering, want het management is er teweinig mee bezig. Ook bij engineers is er teweinig kennis.” Jos Weyers heeft meteengevraagd of de training ook naar Nederland kankomen. “De meerwaarde van de training washoger geweest als we met meer TenneT-mensentegelijk waren gegaan. Wat techneuten dieachter de knoppen zitten erbij, maar het liefstook wat managers. Eigenlijk moet er zo gauw
mogelijk een dergelijk trainingcentrum in Europakomen. Daar moet iemand gewoon een pot geldvoor opentrekken! Dit moeten we gewoonwillen. Ook al vanwege het netwerken, want inzo’n training zit iedereen snel op dezelfdegolflengte. Het zou al mooi zijn als je een vasteplek hebt waar je een Scada-stukje van je eigenbedrijf kunt inbrengen om mee te oefenen.”“Ik zou dat ook echt aanbevelen”, bevestigtTer Veer. “Je vliegt niet zomaar even een paarmanagers voor vijf dagen naar Idaho. Dat gaatmakkelijker als het in Europa is.”
Hebben jullie nog wat opgestoken van deworkshop tijdens het PCS-event in december?Ter Veer: “Ik vond het heel interessant: hoevertel ik mijn manager hoe het verder moet?Als je wat gedaan wil krijgen, moet je een goedverhaal hebben dat je kunt onderbouwen metgedegen onderzoek.” Sytze Bakker vond hetvooral nuttig om te kunnen praten met mensenuit zelfde vakgebied. “Daar haal je veel kennisvandaan. Iedereen doet zijn best, maarnationaal of internationaal wordt eigenlijk nietsamengewerkt.” “Ik vond het wel lastig om dethema’s uit de workshop meteen toe te passen”,zegt Jos Weyers. “Eigenlijk moet je het in eenkleiner stramien oefenen, in een grote groepwerkt dat niet.”
Jullie hebben de lessons learned uit de Idaho-training gepresenteerd tijdens het PCS-event.Wat hebben jullie daar zelf al mee gedaan?Weyers: “Ik ga er lezingen over geven voor detechneuten die het Scada-gedeelte bewaken, omte kijken welke lessons learned gelden voorTenneT.” “Wij hebben er een soort checklist van
22
gemaakt”, vertelt Ter Veer. “Aan heel veel dingenvoldeden we al, maar je ziet zo ook wat er noggedaan moet worden. Als je in de proces-automatisering iets nieuws bouwt, wordtbeveiliging vaak niet in het bestek meegenomen.In nieuwe projecten nemen we beveiligingseisenen -beleid voortaan meteen mee.” Bakker:“Security wordt alleen gezien als kostenpost,en dan loopt het minder snel. Omdat je er nietsaan verdient, is het een lastige business case.Ik gebruik de lessons learned daarom om hetmanagement ervan te overtuigen dat we er nogniet zijn, en voor projectvoorstellen. Ik denkdat dat goed gaat werken. Als je een goed enrealistisch verhaal hebt wat je kan verliezen aanreputatie en leveringszekerheid, de risico’s inkaart brengt en aangeeft wat je met de maat-regelen kunt oplossen, dan heeft managementdaar wel oor voor.”
Is er door de training een nieuw netwerkontstaan?“Jazeker, van de week kwam ik bij een congreswat deelnemers tegen en dan sta je makkelijkweer te praten. En mensen die informatie nodighebben, weten elkaar nu rechtsreeks te vinden”,zegt Weyers. Ter Veer heeft daar al gebruik vangemaakt: “Ik ben de enige in ons bedrijf diegespecialiseerd is in security. Een dergelijknetwerk heeft als voordeel dat ik dingen waar ikzelf niet uitkom aan anderen kan vragen. Diedrempel is lager geworden.” Bakker ervaart ookdat de interne samenwerking is verbeterd:“Wij deden met vier Gasunie-mensen mee aande training. Daar zaten ook mensen bij van dekantoorautomatisering, waar we vroeger bijna
nooit mee praatten over dit onderwerp. Nuhouden we binnen de Gasunie contact. Wepakken security nu samen op en hebben eengemeenschappelijke security policy geschreven.”
Hebben jullie nog tips?Bakker: “Zo’n Idaho National Laboratory, eenpraktische organisatie die concrete documentenoplevert en assessments maakt van besturings-systemen, dat missen we hier wel. Met allerespect voor het NICC, dat blijft toch steken opeen hoger abstractieniveau. Zoiets zou toch hierook moeten kunnen?”Ter Veer: “Verandering gaat langzaam, dus zorgin ieder geval dat er bij nieuwe projecten meteenaan beveiliging gedacht wordt. Betrek nietalleen de procesautomatiseerders bij securitymaar ook het management. Die mensen moetenzien wat er kan gebeuren, weten hoe ze omgaanmet stresssituaties en hoe ze dan handelen.”Weyers vindt awareness het allerbelangrijkste:“Je kan het technisch nog zo mooi dicht-timmeren, maar daar heb je niks aan als mensenniet meewerken, usb-sticks laten rondslingerenof op hun LinkedIn-pagina vertrouwelijkeinformatie achterlaten over hun werk. De heleorganisatie moet daarvan doordrongen zijn.”Ter Veer: “Klopt, menselijk handelen is vaak hetzwakke punt. ICT en procesautomatiseringhebben elkaar nodig om die zwakke punten aante pakken. Bundel je krachten en maak gebruikvan elkaars kennis!”
lentebericht NICC 2010
23
De Meridian Process Control SecurityInformation Exchange (MPCSIE) is een mooivoorbeeld van internationale samenwerkingop een intersectoraal thema. Binnen deMPCSIE hebben overheidsfunctionarissen uitelf landen het afgelopen half jaar ervaren datvertrouwen ook internationaal tot resultatenkan leiden. Na een aantal bijeenkomstengaan de kennisdeling en informatie-uitwisseling erg goed.
In oktober 2009 hielden we onder Nederlandsvoorzitterschap een MPCSIE-bijeenkomst inAmsterdam, gevolgd door een bijeenkomst inTokyo in februari 2010. We hebben een aantalvoorbeelden geselecteerd om een idee te gevenwat de essentie is van de MPCSIE.
De MPCSIE is een werkgroep van de Meridian,een wereldwijd initiatief om gezamenlijk deuitdaging aan te gaan om een veilige informatieinfrastructuur te realiseren en te houden. Eenbelangrijk aandachtspunt binnen de Meridian isbewustwording. In de deelnemende landenwordt hierin veel geïnvesteerd. Ieder land heeftzijn eigen methodes om aan bewustwording tewerken. Zo is in Groot-Brittannië een SCADASelf Assessment Tool ontwikkeld. In Nederlandheeft GOVCERT.NL een Waarschuwingsdienstingericht. Al deze voorbeelden worden metelkaar uitgewisseld en ieder land kan hier zijnvoordeel mee doen.
Het mooiste voorbeeld is wel de NationalCybersecurity Awareness Month in Amerika diein 2009 ‘Our Shared Responsibility’ als themahad. Doel was te benadrukken dat alle computer-gebruikers, dus niet alleen de overheid en hetbedrijfsleven, verantwoordelijk zijn voor eengoede ‘cyberhygiëne’. Iedereen moet zichzelfen zijn naasten beschermen, zowel thuis als opschool en op het werk. Door een paar simpelestappen te doen, kun je veilig online gaan.U vindt op www.samentegencybercrime.nl eenlink naar de website van de National Cyber-security Awareness Month.
EuroSCSIEOok binnen Europa wordt informatie gedeeld ophet gebied van Process Control Security. Binnende EuroSCSIE schuiven naast overheidsfunc-tionarissen ook vertegenwoordigers van groteprivate partijen aan, zoals Shell, EFD Gaz deFrance, CERN, Electrabel en Laborolec. De focusligt op het uitwisselen van good practices,incidenten en kwetsbaarheden. De veiligheidvan smart meters en smart grid is een onder-werp dat nadrukkelijk op de agenda staat.
LeveranciersEen belangrijk onderwerp binnen zowel deMPCSIE als de EuroSCSIE is de rol van deleveranciers. Zij vormen een zeer belangrijkeschakel in het creëren van veilige omgevingen.Dit besef is breed doorgedrongen. Binnen deMPCSIE en de EuroSCSIE zijn de diverse
Internationale samenwerking
24
3 februari
Leveranciersbijeenkomst in bredere setting
9-10 februari
MPCSIE bijeenkomst in Tokyo
18-19 februari
CNPIC first International Forum CIIP in Madrid
initiatieven op het gebied van de aanschaf vanveilige procescontrolesystemen besproken.Voorbeelden hiervan zijn de Cyber SecurityProcurement Language for Control Systems,die de Amerikanen hebben ontwikkeld, en hetdocument Process Control Domain – securityrequirements for vendors. Dit document is ont-wikkeld door Shell en wordt inmiddels over-genomen door andere organisaties, onderandere in WIB-verband. De EuroSCSIE vormthierin een internationaal vliegwiel.
European FI-ISACEr is een European FI-ISAC opgestart waarinfinanciële instellingen, politieorganisaties enCERTs rond de tafel zitten om actief informatieuit te wisselen ter bescherming van de financiëlesector. De motor achter dit overleg zijn hetEngelse APACS, het Zwitserse Melani, hetHongaarse Hungary-CERT en de NederlandseFI-ISAC. Het initiatief wordt ondersteund doorde European Network and Information SecurityAgency (ENISA). Tijdens bijeenkomsten inBoedapest, Amsterdam en Bern zijn niet alleengood practices besproken, maar is ook informatieover zeer actuele dreigingen en incidenten uitge-wisseld. ENISA heeft een mailinglist gelanceerdwaarmee de deelnemers aan de European FI-ISAC ook tussen de bijeenkomsten doorinformatie met elkaar kunnen delen.
Information Exchange in a boxHet NICC en het CPNI namen in 2009 het initia-tief om diverse producten gericht op bewust-wording in een handzame doos te verspreidenonder hun relaties. ENISA heeft dat ideegeadopteerd. De Information Exchange in a boxis aangevuld met materaal van ENISA en daar-door een nog waardevollere informatiebrongeworden. De box wordt internationaal gebruikten vormt een mooie stimulans voor goede inter-nationale samenwerking en kennisuitwisseling.
Workshop Information SharingInformatie-uitwisseling geeft beleidsmakersinput voor hun strategieën en is een essentieelonderdeel voor de beveiliging tegen cybercrime.ENISA en NICC organiseerden daarom op 16 en17 maart 2010 een Workshop Information Sharing.Internationale experts op dit gebied, zowel vanbinnen als buiten de EU, bespraken hun kennis,ervaringen en strategieën. Dit werd gevolgddoor een debat over thema’s als het verzamelenen analyseren van data. De workshop werdafgesloten met een inventarisatie van demogelijkheden om te komen tot internationalesamenwerking.
lentebericht NICC 2010
25
maart
Start platform nieuwe stijl: verbreding vandigitale naar fysieke en personele veiligheid
11-12 maart
EuroSCSIE bijeenkomst in Bern
16-17 maart
Workshop Information Sharing ENISA/NICCDe Zilveren Toren in Amsterdam
Partners NICC in de (inter)nationaleinfrastructuur
26 A • ABB BV
• ABN Amro Bank
• Academisch Medisch Centrum
• Academisch Ziekenhuis
Maastricht
• Achmea
• Applied Control Solutions USA
• Accenture
• Actemium
• AFM
• Agentschap Telecom
• Ahold / Albert Heijn
• AID (Algemene Inspectie
Dienst)
• Air Cargo Nederland (ANC)
• Aircraft Fuel Supply BV
• AkzoNobel
• Alares
• Alliander
• American Water Works
Association USA
• Amsterdam Airport Schiphol
• Aircraft Fuel Supply BV
• AIVD
• AMS-IX
• APACS UK
• ATOS Consulting
• Australian Government
B • Bank Nederlandse Gemeenten
• Barclays London UK
• BBNed
• Belastingdienst
• Beveiliging en Publieke
Veiligheid Schiphol
• Booz & Compagny
• Bovenregionale Recherche
Noord- en Oost Nederland
• BP Nederland BV
• Brabant Water
• BT Nederland NV
• Bundesamt fur Sicherheit in der
Informationstechnik Germany
• Bundesministerium des Innern
Germany
C • CAIW
• Capgemini
• Cargonaut
• CBP
• Centric IT Solutions
• Cern Switzerland
• CIO Platform Nederland
• City University LondonUK
• Connexion
• Consumentenautoriteit
• Consumentenbond
• CP-ICT
• Centre for the Protection of
National Infrastructure (CPNI)
UK
• CERT Hungary
• Currence
• Cyber Security UK
• CyberSecurity Malaysia
• Cycris
D • DAF Truck NV
• David Lacey Consulting UK
• De Kinderconsument
• De Nederlandsche Bank
• Delft TopTech
• DELTA
• DELTA Netwerkbedrijf
• Deltalinqs
• Department of Homeland
Security USA
• Digibewust
• Douane / Belastingdienst
• Dow Benelux BV
• Dow Chemical USA
• Dröge en Van Drimmelen
• DSM
• Duinwaterbedrijf Zuid-Holland
• Dusecon
• Dutch Hosting and Provider
Association
• Duthler Associates
E • E.ON Benelux NV
• Ebay / Marktplaats
• ECP-EPN Platform voor de
InformatieSamenleving
• ECT
• Edridge Fotografie
• Egemin
• Electrabel
• Emerson
• Eneco
• Energiened
• Enexis
• ENISA Greece
• EPZ
• EQUENS
• Erasmus Medisch Centrum
• Erasmus Universiteit
Rotterdam
• Essent
• Evides
F • Faber organisatievernieuwing
• F. van Lanschot Bankiers NV
• Federal Bureau of
Investigation USA
• Federal Department of Finance
USA
• FHI
• FIOD-ECD
• Fleishman
• Fortis Bank
• FOX-IT
• Friesland Bank NV
• Fugro
lentebericht NICC 2010
27G • Gasunie
• GBO. Overheid
• Getronics PinkRoccade
• GOVCERT.NL
• GVB
H • Haagse Hogeschool
• HBD Total Security
• Heineken
• Het Expertise Centrum (HEC)
• HIMA
• Hogeschool Utrecht
• Holland Casino
• Honeywell
• HCSS The Hague Centre
for Strategic Studies
• HTM
• HungaryCERT
I • IBM Nederland BV
• ICT Media BV
• ICT Recht
• ICT Regie
• ICT-Office
• Idaho National Laboratory USA
• Infocomm Development
Authority of Singapore
• Information Security Forum UK
• ING-Postbank
• Inspectie voor de
gezondheidszorg
• Inspectie voor Werk & Inkomen
• Internet Watch Foundation UK
• ISOC
• ISP Connect
• IT-sec
J • JPCERT
• Johns Hopkins University
Washington USA
• Joint Research Centre EU - Italy
K • Kahuna
• Kaspersky
• KEMA
• Kennisnet/ICT op school
• KLM
• KLPD
• Koninklijke Marechaussee
• KPN
• KTH Electrical Engineering
Sweden
L • Laborelec
• Leaseweb BV
• Liander (voorheen Continuon)
• Lucht Verkeersleiding
Nederland (LVNL)
• LUMC (Leids Universitair
Medisch Centrum)
M • Mactwin
• Madison Gurka
• Marcel Rozenberg Photography
Design
• McAfee International BV
• Melani Switzerland
• Meldpunt Kinderporno
• Meldpunt Discriminatie Internet
• Meldpunt Kinderporno
• Metropolitan Water District of
Southern California USA
• Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties
• Ministerie van Economische
Zaken
• Ministerie van Justitie
• Ministerie van Verkeer en
Waterstaat
• Ministerie van VROM
• MKB-Nederland
• Motion Picture Associates
• MSB Swedish Civil
Contingencies Agency
N • NAVI
• National IT and Telecom
Agency Denmark
• NBC Universal
• NCTb
• Nedap
• Nederland BreedbandLand
• Nederland Digitaal in
Verbinding
• Nederlands Politie Instituut
• Nederlandse Thuiswinkel
Organisatie
• Nederlandse Vereniging van
Banken
• NICTIZ
• NISA Israel
• NISC Japan
• NLKabel
• NLnetLabs
• Noordelijke Hogeschool
Leeuwarden – Lectoraat
Cybersafety
• NS
• Nuon
• NXP
O • Oake Communications
• Oasen
• OBT / TDS printmaildata
• Océ
• Office of Cyber Security -
Cabinet Office UK
• Office of Cyber Security and
Critical Infrastructure
Coordination NY USA
• Online
• Openbaar Ministerie
• Optimeamise
• OPTA
• Österreichisches Institut für
Internationale Politik (OIIP)
• Osage
28 P • Philips
• Platform voor
Informatiebeveiliging (PvIB)
• Politie
• Politieacademie
• Port of Rotterdam (Gemeente-
lijk Havenbedrijf Rotterdam)
• Programma Aanpak
Cybercrime (Politie)
• Programma Cybercrime (OM)
• Programma Veiligheid begint
bij Voorkomen (Justitie)
• ProRail
• PWC Consulting
• PWN Waterleidingbedrijf
Noord-Holland
R • Rabobank Nederland
• Radboud Universiteit Nijmegen
- Dept. of Computer Science
• RET
• Rijkswaterstaat
S • Santa Clara Valley Water
District USA
• Secrétariat Général de la
Défense et de la Sécurité
Nationale France
• Schiphol Group
• Schiphol Telematics
• School of Computing &
Information Systems
University of Tasmania
• Secretariat general for national
defence France
• SERN
• Shell
• Shell/NAM
• SIDN
• SOVI (Strategisch Overleg
Vitale Infrastructuur)
• SNBReact
• SNS Bank NV
• SRI International USA
• Stedin
• Stichting BREIN
• Stichting Kennisnet ICT op
school
• Stichting M
• Stichting Magenta
• Stichting Mijn Kind Online
• Stork BV
• Surfnet.nl
• Symantec
• Syntens
T • T-Mobile
• Tappan
• Tekstbureau De Nieuwe
Koekoek
• Tele2
• TenneT
• TNO
• TNT Post
• Translink
• TU Delft
U • UMC St.Radboud Nijmegen
• Uneto-VNI
• Unilever
• Universitair Medisch Centrum
Utrecht
• Universitair Medisch Centrum
Twente
• Universitair Medisch Centrum
Groningen
• Universiteit Twente – Faculteit
EWI
• Universiteit van Maastricht
• Universiteit van Tilburg –
Faculteit der Rechtsgeleerdheid
• UPC
• Urenco Nederland BV
• US Department of Homeland
Security
V • Vattenfall Sweden
• Vereniging van Nederlandse
Gemeenten (VNG)
• VEWIN
• Veiligheidsmonitor bureau
• Veola Transport
• Verbund Austria
• Verdonck Klooster &
Associates (VKA)
• Verizon Business
• VIAG
• Vitens
• VNO-NCW
• Vodafone
• VU Medisch Centrum (VUmc)
W • Warner Bross
• Water Supply (Network)
Department Singapore
• Waterbedrijf Groningen
• Waterleidingsmaatschappij
Drenthe (WMD)
• Waterleidingsmaatschappij
Limburg (WML)
• Waternet
• Wetenschappelijk Bureau OM
• WIB
• Wintershall Noordzee BV
• Witteveen & Bos
• WODC
X • XS4ALL
Y • Yokogawa
Z • Zeehavenpolitie / Port Security
• Zeelandnet
• Ziggo
binnenkantomslag jaarbericht Nicc
Peter Hondebrink (Ministerie van EZ)opdrachtgever
Annemarie Zielstra (ICTU)programmamanager
Auke Huistraprojectmanager
Wynsen Faberprojectleider NICC-Actieonderzoek
Roeland Reijersprojectleider
Saskia Kroon (ICTU)programmasecretaris
Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colenprogrammaondersteuning
Cor Ottenscommunicatieadviseur
Eric Luiijfexpertpool NICC (SCADA/PCS)
NICC-programma
Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography,
Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam
juni 2010
Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van
ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid.
Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de
overheid. Meer informatie? Kijk op www.ictu.nl.
buitenkantomslag jaarbericht Nicc
Lentebericht 2010nicc
NICC | ictu
Bezoekadres
Wilhelmina van Pruisenweg 104
2595 AN Den Haag
Postadres
Postbus 84011
2508 AA Den Haag
T 070 888 79 46
www.samentegencybercrime.nlEén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.
NICCsamen tegen cybercrime
Letop!@
opvoorzijde
stansvormaparte
film
Highlights
Programma NICC 2009/2010
RUGDIKTE