buitenkantomslag jaarbericht Nicc

Lentebericht 2010nicc

NICC | ictu

Bezoekadres

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

Postadres

Postbus 84011

2508 AA Den Haag

T 070 888 79 46

nicc@ictu.nl

www.samentegencybercrime.nlEén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

NICCsamen tegen cybercrime

Letop!@

opvoorzijde

stansvormaparte

film

Highlights

Programma NICC 2009/2010

RUGDIKTE

binnenkantomslag jaarbericht Nicc

Peter Hondebrink (Ministerie van EZ)opdrachtgever

Annemarie Zielstra (ICTU)programmamanager

Auke Huistraprojectmanager

Wynsen Faberprojectleider NICC-Actieonderzoek

Roeland Reijersprojectleider

Saskia Kroon (ICTU)programmasecretaris

Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colenprogrammaondersteuning

Cor Ottenscommunicatieadviseur

Eric Luiijfexpertpool NICC (SCADA/PCS)

NICC-programma

Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography,

Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam

juni 2010

Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van

ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid.

Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de

overheid. Meer informatie? Kijk op www.ictu.nl.

samentegencyber-crimeNICC

Het programma NICC heeft in vier jaar veelbereikt. In 2006 kreeg het programma deopdracht om een ‘onomkeerbare beweging’op gang te brengen die zou resulteren in eenNationale Infrastructuur ter bestrijding vanCybercrime. De Infrastructuur bestaat nu enstaat niet meer ter discussie. Wat in 2006 nogonmogelijk leek, is nu vanzelfsprekend.

De samenleving vraagt steeds luider om eenvolgende stap: een structurele en integralebenadering van preventie. Die volgende staphad er kunnen komen door de samenvoegingvan het NAVI, GOVCERT.NL en het NICC.Door bundeling van deze drie partijen in eennieuwe organisatie zou de verbinding tussenpersonele, fysieke en digitale veiligheid gelegdworden. Inmiddels weten we dat het zover nietgaat komen. De financiering voor de nieuweorganisatie is niet rond gekomen en daarmeeis een streep door de plannen gehaald.

Teleurstellend? Een beetje wel natuurlijk, maarmisschien was het wel nodig om verder tekomen. In het programma NICC is ‘learning bydoing’ altijd het uitgangspunt geweest voorverdere ontwikkeling van samenwerking.Succes ontstaat in zo’n aanpak alleen maar alsje niet bang bent om dingen te laten mislukken.

Hoe gaat het nu verder met het Informatie-knooppunt Cybercrime? De borging van hetInformatieknooppuntstaat staat niet terdiscussie. Voorlopig gaan we gewoon door

met onze activiteiten. Het ministerie vanEconomische Zaken heeft er voor gezorgd dater in de tussentijd op de vertrouwde manierverder kan worden gewerkt.

Voor de langere termijn gaan we gesprekkenvoeren met mogelijke partners voor borging vanhet Informatieknooppunt. De eisen die daaraangesteld worden zijn nog steeds de eisen uit hetevaluatierapport van PricewaterhouseCoopers.Dat wil zeggen dat de specifieke kenmerkenvan de werkwijze behouden moeten blijven:publiek/privaat, vraaggestuurd, flexibiliteit,faciliterend karakter en vertrouwelijkheid.

Waar het Informatieknooppunt ook geborgdgaat worden, het is slechts een middel en geendoel op zich. Het gaat natuurlijk allemaal ommeer veiligheid. Betere preventie, op alle vlak-ken. Daar zetten we ons al jarenlang voor in.Na vier jaar ‘samen tegen cybercrime’, zijn wezo langzamerhand toe aan ‘samen voor meerveiligheid’. Want één ding staat wel vast:niemand kan nog solistisch aan preventiewerken. Samenwerking is een bewezensuccesfactor. En met die kennis gaan wij detoekomst in.

Annemarie Zielstra (ICTU)Programmamanager NICC

lentebericht NICC 2010

Samen tegen, samen voor!

3

Het Informatieknooppunt Cybercrime is in2009 verder gegroeid. Belangrijke aanwinstenzijn de Telecom-ISAC en de ISAC voor lever-anciers van procesautomatisering. Zij vormenweer extra schakels in de dialoog tussen eind-gebruikers, leveranciers en de overheid.

Airport-ISACIn 2009 sloot Schiphol-Telematics zich aan bij deAirport-ISAC. De bedrijven in dit overleg hebbenhun bedrijfs- of sectoroverstijgende ICT-systemenop kwetsbaarheden laten onderzoeken. Datleverde inspiratie op voor zes verbetertrajecten.De Airport-ISAC coördineert de uitvoering vandeze trajecten met steun van het PlatformBeveiliging en Publieke Veiligheid Schiphol.

Nieuwe ISAC voor PSC-leveranciersIn het NICC Zomerbericht 2009 meldden we hetprille begin van een ISAC voor leveranciers vanprocesautomatisering. De leveranciers vanProcess Control Systems (PCS) zijn in februari2010 een formele ISAC geworden.Begin vorig jaar bespraken de leveranciers vanprocesautomatisering hoe het beveiligings-niveau kan worden verhoogd en wat hun roldaarin kan zijn. In een startsessie met enkeleleveranciers bleek dat zij een bijdrage willenleveren aan de dialoog tussen leveranciers,eindgebruikers en overheid over cybersecuritybij procesautomatisering. Er is een overleggestart met vertegenwoordigers van de PCS-leveranciers ABB, Honeywell, Yokogawa,Emerson, Invensys en Siemens. Zij komen éénkeer per twee maanden bijeen. Tijdens heteerste overleg in november 2009 gaf eind-gebruiker Shell een presentatie over de VendorRequirements voor procesautomatisering, dietot een positief ervaren discussie aanzette.Duidelijkheid in standaardisatie en certificering

Het Informatieknooppunt Cybercrime

4

2 juli

Zomerborrel NICC Finley Het Witte Huisin Loosdrecht

augustus

Start CAET traject Weerbaarheid vitale sectorentegen ernstige verstoring electriciteit entelecom/ICT

augustus

Incidentenregistratie bij GOVCERT.NL van start

BANKEN

EuropeanFI-ISAC

lev

era

n-

cie

rs

PA

voedsel

EuroSCSIE

SCADA/PCS

MU

LTI-

NAT

ION

ALS

HA

VE

N-

SEC

TOR

PRO

RAIL

/

NS

TELECOM-SECTOR

ACA-

DEMISCHE

ZIEKEN-

HUIZEN

NUCLIAIRE

SECTOR

SCH

IPHO

LEN

ERG

IE-

SECTO

R

DRINK-W

ATER-

BEDRIJVEN

AIVDKLPDGOVCERTNICC

MPCSIE

zijn op korte termijn de belangrijkste onder-werpen voor de bijeenkomsten van de nieuweISAC.

Telecom-ISACIn 2009 is de Telecom-ISAC van start gegaanvoor telecomaanbieders die zijn aangeslotenbij het Nationaal Continuïteitsoverleg Telecom(NCO-T). Samen met enkele overheidsorgani-saties wisselen zij informatie uit over incidenten,dreigingen, kwetsbaarheden en good practices.Inmiddels worden de mogelijkheden verkend omdit overleg uit te breiden met een aantal anderepartijen, zoals SIDN.

Cybercrime-overlegHet aantal deelnemers aan het Cybercrime-overleg van toezicht-, handhavings-, inspectie-en opsporingsdiensten (onder voorzitterschapvan OPTA) breidde verder uit in 2009. Dit overleghanteert dezelfde werkwijze en dezelfde spel-regels als de andere ISACs uit het Informatie-knooppunt. Hoewel alleen overheidspartijenkunnen deelnemen, worden regelmatig privatepartijen uitgenodigd om presentaties te houden.In vergelijking tot ISACs van sectoren uit devitale infrastructuur (die slachtoffer kunnen zijn)ligt bij dit overleg de nadruk op het informeeluitwisselen van operationele cases uit dehandhavingspraktijk. Zo leren de deelnemersvan elkaar over nieuwe fenomenen en modusoperandi van cybercriminelen.

Water-ISAC overtuigt Vewin van noodzaakoefenscenario’sIn de drinkwatersector is procesautomatiseringonmisbaar voor het garanderen van de kwaliteiten kwantiteit van ons drinkwater. Uitval van deprocesautomatisering leidt tot processtoringenof bedien- en bewakingsverstoringen in hetinname-, zuiverings- en distributieproces. Hand-bediening en extra menskracht kunnen een deelvan de gevolgen voor korte tijd opvangen. Maardrinkwaterbedrijven moeten ook voorbereid zijnop een langdurige uitval van de procesauto-matiseringsystemen.Tijdens een overleg van de Water-ISAC in detweede helft van 2009 werd duidelijk dat er welgeoefend wordt met de reguliere crisis-organisatie, maar niet of nauwelijks met nood-scenario’s voor procesautomatisering. De deel-nemers hebben dit onder de aandacht gebrachtbij de Vereniging van Waterbedrijven in Neder-land (Vewin). In het Vewin-bestuur hebben dedirecteuren van alle Nederlandse drinkwater-bedrijven zitting. De Water-ISAC heeft huninzicht gegeven in cybercrime-kwetsbaarhedenen het risico van (langdurige) uitval van deprocesautomatisering of delen daarvan. Hetdoel was de directeuren te doordringen van hetfeit dat in de huidige leveringsplannen niet ofnauwelijks rekening is gehouden met uitval vande industriële automatisering.De Water-ISAC stelde voor om gezamenlijkrealistische en uniforme oefenscenario’s teontwikkelen en te oefenen. Het Vewin-bestuur

lentebericht NICC 2010

5

1 september

Eerste sessie politie / OM en banken overaanpak Cybercrime (gefaciliteerd vanuit hetPAC en NICC)

3 september

Eerste gezamenlijke sessie Water-ISACen Energy-ISAC

16 september

Eerste sessie PCS Vendors-ISAC in kleinerverband

Danyel MolenaarOPTA hoofd internetveiligheid encommunicatie van OPTA en voorzittervan het Cybercrime-overleg

Het Cybercrime-overleg klinkt als een ISAC,het handelt als een ISAC, en toch is het dat niet.Het NICC faciliteert de bijeenkomsten en hetbekende stoplichtmodel garandeert vertrou-welijke informatie-uitwisseling over cybercrime.Maar bij dit overleg schuiven alleen overheids-instanties als KLPD, AIVD, GOVCERT.NL ende NCTb aan tafel, geen private partijen.Danyel Molenaar, hoofd internetveiligheid encommunicatie van OPTA, is op dit momentvoorzitter van het Cybercrime-overleg.

Hoe is het Cybercrime-overleg gestart?“Binnen OPTA kwamen we tot de conclusie datwe veel beter in staat waren internationaalsamen te werken dan nationaal. BinnenNederland was er nauwelijks overleg met andereorganisaties die we nodig hadden voor debestrijding van cybercrime. Die hebben wedus maar eens hier op kantoor uitgenodigd.We startten vier jaar geleden met de instantieswaar wij wel eens mee te maken hadden:GOVCERT.NL, KLPD, FIOD-ECD en deBovenregionale Recherche Noord- en Oost-Nederland, die een speciale afdeling Telecom-en ICT-fraude heeft. Later zijn daar het KorpsAmstelland, AIVD, MIVD, de Consumenten-autoriteit, de NCTb, de Nederlandsche Bank ende Autoriteit Financiële Markten bij gekomen.Het overleg is bedoeld voor mensen die zelfonderzoek doen, dus heel operationeel bezigzijn.”

Hoe liep de nieuwe samenwerking?“Onze insteek was: als je goed wil samen-werken, moet je elkaar kennen. Alles wat deopsporings- en inlichtingendiensten doen, isvertrouwelijk. Om die informatie te delen moet

je eerst vertrouwen hebben in je gespreks-partners. We realiseerden ons dat dat moestgroeien. In het begin ging dat dan ook heelstroef. Dus zijn wij zelf gewoon begonnen metinformatie delen. Voor ons als OPTA was hetmakkelijker, omdat de telecomwetgevingsoepeler is. Zo konden we dat vertrouwenwekken bij de anderen. In het begin waren wedus vooral zelf aan het woord, maar dat is snelveranderd.”

Het Cybercrime-overleg lijkt sterk op een ISAC,maar is het niet. Hoe zit dat nou?“Twee jaar geleden heeft het NICC aangebodenom de organisatie over te nemen. Daar warenwe erg dankbaar voor. Ik ben nu alleen nogvoorzitter van het overleg, de rest regelt hetNICC. We zijn geen onderdeel van hetInformatieknooppunt, maar werken wel methet stoplichtmodel. Het Cybercrime-overleg isecht alleen voor overheidspartijen. En de KLPD,AIVD en GOVCERT.NL zitten ook in de andereISACs, dus met toestemming van de sectorenkunnen ze informatie overdragen. OPTAontbreekt trouwens ook in de Telecom-ISAComdat de private partijen hebben aangegevendat ze daar nog niet aan toe zijn.”

Hoe werken jullie in de praktijk samen?“We komen elke twee maanden bij elkaar endaarnaast is er veel bilateraal overleg. De kernvan de samenwerking is informatie-uitwisseling.Dat kan over algemene zaken gaan zoals risico’sen methodes om die aan te pakken. We pratenniet over taakverdelingen en beleidsplannen,het gaat puur om het uitwisselen van praktischeinformatie: hoe doe je onderzoek, ken je ditprobleem, hoe pak je dit aan, wie is waar mee

lentebericht NICC 2010

“Onze insteek was: als je goed wilt samenwerken,moet je elkaar kennen”

7

bezig? Als we bijvoorbeeld met een cyber-crimineel zitten die onvindbaar is en zijn geldheeft laten verdwijnen naar het buitenland, danzouden we de Belastingdienst uitnodigen omeens te komen praten. Die heeft contacten in hetbuitenland. Zo kun je elkaar helpen.”

Heeft het overleg al wat concreets opgeleverd?“OPTA heeft wel eens een spammer beboet waarde politie ook in geïnteresseerd was. Dan dragenwij de informatie over, zodat de politie hem kanvervolgen. Verder hebben we de overleggentelkens bij een andere organisatie, die dan kanlaten zien wat ze kunnen en doen. Bij hetNederlands Forensisch Instituut is eens eenpresentatie gegeven over een nieuwe vorm vangeautomatiseerde beeldanalyse, een computer-programma dat heel snel een bepaald soortbeelden herkent. Dat is handig bij de opsporingvan kinderporno, want dan hoef je al die beeldenniet een voor een te bekijken. En we zijn voorons volgende overleg uitgenodigd door hetProjectbureau Aanpak Cybercrime, dat beleidvoorbereidt voor de politie en het ministerie vanBZK.”

Werken jullie ook wel eens samen met privatepartijen?“Een hoogleraar is wat komen vertellen overtechnieken voor privacybescherming. We hebbenook een keer een antivirussoftware-producentuitgenodigd. Die heeft ons uitgelegd hoe zegegevens verzamelen voor hun rapporten, enwat wij daar aan kunnen hebben. Soms is deafstemming ook heel concreet, als er bijvoor-beeld een ISP is waar een hele hoop ellendevandaan komt. Dan ga je dat samen onder-zoeken. Nederland heeft veel kleine hosting

providers, die niet allemaal 100 procent bonafidezijn. De grote ISPs hebben weer veel te makenmet botnetproblemen, die geven ons daarinformatie over.”

Wat heeft OPTA zelf aan de samenwerking methostingbedrijven en datacentra?“OPTA zal het Cybercrime-overleg nooitgebruiken als bron richting private partijen.Wat in het overleg besproken wordt, blijft daar.Maar de informatie helpt ons wel bij het richtinggeven aan ons onderzoek. Soms roepen we deISPs bij elkaar om te praten. Het is alleen lastigdat ze niet georganiseerd zijn. Soms regelen wedat dan ook via het Economic CommercePlatform ECP-EPN of het Platform Internet-veiligheid, dat afgelopen december is opgericht.De overheid probeert het sectoroverleg gelukkigwel meer te stroomlijnen. Dat ISPs geenbrancheorganisatie hebben, zit in de aard vande internetpioniers. Het zijn van oudshervrijgevochten jongens die geloven in de anarchievan het internet. We merken wel dat ze steedsopener worden. Toen OPTA zes jaar geledencontact zocht met de ISPs, was de reactie zeerkil. Het oprichten van een Telecomknooppuntheeft jaren geduurd, maar dat is er nu in iedergeval. De botnet-afspraken om zombie-computers af te sluiten waren drie jaar geledenniet gelukt. De aversie tegen de overheid wordtminder. ISPs zijn nu ook meer bereid om zelfactie te ondernemen om het vertrouwen tevergroten. Ze beseffen dat er in een vrije wereldook een hoop slechte mensen rondlopen enhebben daar zelf onder te lijden. De tijdgeestverandert, de branche wordt volwassener.”

8

lentebericht NICC 2010

9

17 september

Presentatie op KPN-intern event Get Secure!

8 oktober

Presentatie bestuur Vewin in Nieuwegein

heeft ingestemd met de ontwikkeling van eengeneriek oefendraaiboek voor de Nederlandsedrinkwatersector voor verstoringen in de proces-automatisering. Alle drinkwaterbedrijven betalenmee aan de ontwikkeling. De scenario’s zullen ineen pilot bij Waterleidingmaatschappij Drenthe(WMD) en Vitens getest worden.

Gezamenlijk overleg Water-ISACen Energy-ISACOp 3 september 2009 schoven de Water-ISACen de Energy-ISAC voor het eerst aan bij eengezamenlijk overleg. Eén van de agendapuntenwas een presentatie van de benchmarks uit debeide ISACs. Er is besloten deze onderzoekennog een keer te doen. Deze zogenaamde1-meting wordt momenteel uitgevoerd. Ookspraken de deelnemers af om de agenda’s vande twee overleggen uit te wisselen, zodat menvan elkaars onderwerpen op de hoogte is.Vanwege het succes van de bijeenkomst isbesloten om er in 2010 een vervolg aan te geven.De water- en energiesector zullen voortaan tweekeer per jaar gezamenlijk overleggen. De Water-en Energy-ISAC leveren afwisselend de voor-zitter en de agenda wordt gezamenlijk voor-bereid.

Ria DoedelDirecteur van Waterleiding MaatschappijLimburg en voorzitter van de Vewin-stuur-groep beveiliging en crisismanagement

Ria Doedel, directeur van WaterleidingMaatschappij Limburg en voorzitter van deVewin-stuurgroep beveiliging en crisis-management, is zeer tevreden over de samen-werking die op gang is gekomen in hetInformatieknooppunt Cybercrime. Niet alleenbinnen de sector zelf en met publieke partijenwordt nu eindelijk informatie uitgewisseld overbeveiliging van de procesautomatisering. Met deenergiesector zijn bovendien gezamenlijke over-leggen gepland. Doedel: “Het is goed dat er nuook een leveranciers-ISAC is. Dat biedt meermogelijkheden om aan informatie te komen hoeje je het beste kunt beveiligen.”

Wat betekent de Water-ISAC voor dedrinkwatersector?“De Water-ISAC is een waardevol platform voorde vertrouwelijke uitwisseling van informatie,ervaringen en best practices over proces-automatisering en cybercrime. Als deze ISACniet was opgericht, zouden de waterleiding-bedrijven elk in hun eigen koker zijn blijvenopereren. Dan wisten we veel te weinig overwat er wel en niet goed gaat, of bijna misloopt.Nu leren we van elkaar.”

Heeft de samenwerking in de Water-ISACantwoorden opgeleverd op dreigingen?“Een concrete bedreiging is misschien wat tezwaar gesteld. We kennen wel de praktijk-voorbeelden van hackers die zijn binnen-gedrongen in systemen. En we weten datterroristische groeperingen interesse hebbengetoond voor SCADA-systemen, onder anderein de drinkwatersector. Dat is door de AIVD

onderkend en die informatie is met de drink-waterbedrijven gedeeld. De belangstelling voorSCADA heeft in de drinkwatersector geleid toteen heel actief beveiligingsbeleid voor dekantoorautomatisering, en in toenemend mateook voor de procesautomatisering. Dat varieertvan een actief wachtwoordenbeleid en beveiligingvan verbindingen tot de mogelijkheid om deprocesbesturing handmatig over te nemen, enalle gradaties die daar tussen zitten.”

Heeft een eigen ISAC de contacten in dedrinkwatersector verbeterd?“De voorzitter van de Water-ISAC is lid vande Vewin-stuurgroep beveiliging en crisis-management. Die zorgt voor een hele actieveinbreng vanuit de ISAC. Hij heeft bijvoorbeeldhet TNO-rapport over de benchmark SCADA-security uit 2007 in het bestuur van de VEWINen in de stuurgroep laten presenteren. Dat waseen belangrijke stap in het verkrijgen van inzichtin de kwetsbaarheden, en om bewustzijn tecreëren.Andersom werkt het ook. Als we tegen bepaaldezaken aanlopen, dan neemt hij dat mee naar hetISAC-overleg, zodat ze daar gezamenlijk kunnenbekijken of er een reëel gevaar is en of daar aloplossingen voor zijn. Een vraagstuk waar weallemaal tegenaan lopen is het onderhoud vanproductielocaties. Hoe ga je om met debeveiliging en het toezicht als je daarvoorderden moet toelaten op de locatie? Daarwisselen we praktijkervaringen over uit. En toensommige drinkwaterbedrijven gewerkt haddenmet mystery guests om te beproeven of jebeveiligingsbeleid in de praktijk werkt,

lentebericht NICC 2010

“Als drinkwaterbedrijven zijn we veel afhankelijkergeworden van procesautomatisering dan we onsrealiseren”

11

wisselden ze die ervaringen uit. Zo hoeft nietiedereen eerst weer in de bekende valkuilente trappen.”

Hoe zit het met de contacten met anderesectoren?“Het TNO-onderzoek in de drinkwatersector,dat als basis diende voor de benchmark SCADA-security, wordt dit jaar herhaald. Ook deenergiesector voert een dergelijk onderzoek uit.We gaan de uitkomsten van die onderzoekensectoroverschrijdend vergelijken, zodat we vanelkaar kunnen leren. Dat is ook een concreetresultaat van het Informatieknooppunt. Voordathet Water-ISAC bestond, was er helemaal geenuitwisseling tussen deze sectoren.”

De Water-ISAC heeft een pilotproject geïnitieerdvoor een generiek oefendraaiboek op het gebiedvan verstoringen in de industriële auto-matisering. Wat denkt u dat de conclusieszullen zijn?“Na afronding van de pilots gebruiken we debevindingen om ons preparatieniveau teverhogen. Wat die bevindingen zullen zijn, isnatuurlijk koffiedik kijken. Maar goed, ik denkwel dat daar uit zal komen dat we als drink-waterbedrijven veel afhankelijker zijn gewordenvan procesautomatisering dan we ons reali-seren. Een belangrijk aspect van dat oefendraai-boek is het handmatig kunnen overnemen vande besturing van de installaties, als de proces-automatisering door interventie van buitenaf stilkomt te liggen. De oudere garde kan dat nog,want die komt uit de periode dat alle processenmet de hand bedreven werden. Maar de jongere

generatie kent alleen de geautomatiseerdesystemen. Als we uitval handmatig willenoplossen, moeten we dus aan actieve kennis-overdracht gaan werken. Daar moeten we nogwel wat slagen in maken.”

Hoe gaat Waterleiding Maatschappij Limburgom met de beveiliging van procesauto-matisering?“Bij ons is dat een geïntegreerd onderdeel vande beveiliging. In de eerste ronde ging dat omfysieke maatregelen: toegangshekken, ver-zwaring van deuren, elektronische toegangs-systemen. Vervolgens maken we het indringersdoor firewalls en hoge beveiligingsniveaus zomoeilijk mogelijk om door te dringen tot onzesystemen. Ook hebben we de personelebeveiliging aangepakt. Aan elke functie is eenrisicoprofiel gekoppeld met een bijpassendscreeningsniveau dat kan oplopen tot eenzware, extern uitgevoerde procedure. Iedereendie nieuw aangenomen wordt of van functiewisselt, ondergaat zo’n screening. Verder doenwe regelmatig security awareness trainingen omveiligheid ook fris en actueel te houden. Kleinedingen waar je snel overheen stapt, kunnensignalen zijn dat er iets aan de hand is.”

Wat verwacht u de komende jaren aanontwikkelingen op het gebied van ICT-security?“Zonder meer een belangrijke ontwikkeling ishet feit dat een aantal drinkwaterbedrijven aande vooravond staan van grote vervangingen inde procesautomatisering. Met wat we nu weten,zullen de beveiligingseisen die je als bedrijf steltbij het maken van een ontwerp veel zwaarder

12

zijn dan in het verleden. Het akelige is alleendat de ontwikkelingen op het gebied vancybercrime ook alsmaar doorgaan. Techno-logisch is steeds meer mogelijk, kwaadwillendepartijen worden slimmer. In die wedloop moetenwe dus proberen telkens een stapje voor teblijven. Naar mijn inschatting blijft dat dekomende decennia een groot aandachtspunt.”

Het Informatieknooppunt Cybercrime krijgt inde toekomst een permanente plek. Is dat goedvoor de drinkwatersector?“Op zich wel, want daarmee bereik je dat debestuurlijke drukte kleiner wordt dan toen ernog meerdere organisaties waren die zich metcybercrime bezighielden. Door die expertise eninformatie te bundelen, krijg je ook een beterbeeld. Ik ben heel blij dat het Informatieknoop-punt behouden blijft. Bij drinkwater gaat hetimmers om de volksgezondheid. Als je acties vankwaadwillenden wilt voorkomen, dan moet je jeinformatie delen, signalen oppikken en door-geven, zodat er tijdig en alert actie ondernomenkan worden. Vroeger was die informatie er ookwel, maar werd hij niet gedeeld.Het is ook belangrijk dat we elkaar op de hoogtebrengen over technologische mogelijkheden omcybercriminelen een stapje voor te blijven. Diekennis hebben we niet allemaal zelf in huis. Hetis dus goed dat er nu ook een leveranciers-ISACis. Ik begrijp best dat die niet al hun bedrijfs-geheimen met ons kunnen delen, maar het biedttoch weer meer mogelijkheden om aan informa-tie te komen hoe je je het beste kunt beveiligen.”

lentebericht NICC 2010

13

lentebericht NICC 2010

15

9 oktober

MPCSIE bijeenkomst De Zilveren Torenin Amsterdam

15 oktober

Tweede sessie politie/OM en banken overaanpak Cybercrime (gefaciliteerd vanuit hetPAC en NICC)

22 oktober

NEISAS bijeenkomst in Londen

Hoe goed kunnen vitale bedrijven en sectorenzich weren tegen grootschalige uitval vanstroom of ICT? Het kabinet is een trajectgestart om die vraag te beantwoorden onderde titel Capaciteitsadvies Elektriciteit enTelecom/ICT (CAET). Het NICC en het NAVIfaciliteerden samen het onderdeel ‘weerbaar-heid van vitale sectoren tegen grootschaligeverstoring van elektriciteit en telecom/ICT’.

Vitale sectoren zijn afhankelijk van elektriciteiten telecom/ICT. Zonder elektriciteit kan detelecommunicatiesector maar gedurende eenkorte periode doordraaien, tenzij er adequatemaatregelen zijn getroffen. Andersom is deafhankelijkheid net zo groot. Bij grootschaligeuitval van elektriciteit is telecommunicatie/ICTvan cruciaal belang om het elektriciteitsnetwerkte herstellen. De financiële sector is sterk af-hankelijk van zowel de elektriciteit als detelecommunicatie/ICT, bijvoorbeeld voor decontinuïteit van het betalingsverkeer. Desectoren Energie (gas en elektriciteit), Telecom /ICT en Financiën brachten daarom in 2009 viahet CAET-traject in kaart wat hun vitale kern-processen zijn en welke continuïteitsmaat-regelen al zijn getroffen. Vervolgens hebben hetNAVI en het NICC met elke sector apart vast-gesteld welke concrete aanvullende maat-regelen nodig zijn om de kans op uitval te ver-kleinen of om de gevolgen van uitval te kunnenopvangen en beperken. Voorjaar 2010 worden deconclusies gerapporteerd aan de betrokken

sectoren en vakdepartementen. Zij beslissenuiteindelijk in onderling overleg welke maat-regelen daadwerkelijk zullen worden getroffen.

In 2010 doorlopen de overige vitale sectoren eensoortgelijk traject om hun vitale kernprocessenen reeds getroffen maatregelen te inventariseren.Zo wordt duidelijk welke extra maatregelen nognodig zijn. Een voorbeeld van een dergelijkemaatregel is het stimuleren van intersectoralesamenwerking. Om voorbereid te zijn op groot-schalige uitval van elektriciteit of telecom/ICTis het nodig dat de verschillende sectoren elkaarweten te vinden om elkaar rechtstreeks vragente kunnen stellen en kennis uit te wisselen.Maar de grootste meerwaarde van het onder-zoek is dat er een proces op gang is gebracht omin de vitale sectoren de bewustwording van diewederzijdse afhankelijkheid te vergroten.

CAET: weerbaar tegen uitvalelektriciteit en ICT

De boodschap van het derde Process ControlSecurity Event (PCSE) ‘Control IT!’ was: helpde managers uit de droom en zorg ervoor datze de werkelijke omvang van mogelijkebedreidingen gaan voelen. Het NICC werktedat uit in het vierde PCSE in december. Dezebijeenkomst, onder de noemer ‘Manage IT!’,was erop gericht om kennis op de juistemanier te gebruiken in de interne adviseringvan het topmanagement. De uitdaging aan dedeelnemers: hoe overtuig je het managementvan een grote investering in security?

Het NICC en Process Control SecurityProcescontrolesystemen besturen en bewakenvitale processen in veel van onze vitale sectoren.Onbevoegde beïnvloeding van die systemen kanleiden tot ernstige verstoring van die vitaleinfrastructuur. Dat kan grote gevolgen hebbenvoor de economie, het milieu en de samenleving.Sinds 2008 pakt het NICC process controlsecurity zowel nationaal en internationaal aanals een apart onderwerp. Dat doen wij samenmet de gebruikers, de leveranciers, de overheid,het onderwijs en onderzoeksinstellingen.

Dagvoorzitter Philippe Raets maakte duidelijkdat kennis alleen niet voldoende is om top-managers te overtuigen. Hij gebruikte prikkelendefilmfragmenten voor de introductie van een paarovertuigingsstrategieën: passie, verleiden enmanipuleren. Jos Weyers van TenneT presen-teerde de lessons learned van de deelnemers

aan de Idaho-training (zie interview en kader)als basis voor de workshopoefening. De deel-nemers bereidden in groepjes een strategie voorom de topmanager te overtuigen van de nood-zaak tot het nemen van beveiligingsmaatregelen.Na wat oefenen gingen twee van de teams hetadviesgesprek met een ‘topmanager’ volzelfvertrouwen aan.

Team 1 gooide het op angst: “Het kan iedermoment helemaal mis gaan en de kans dat hetgebeurt is groot!” Maar de directeur wil eenintegrale risicoanalyse. Dat kost volgens zijnstafadviseur een maand. Het team zelf houdthet eerst op drie maanden, maar de externeadviseur in het team beweert even later dateen week meer dan voldoende is.Team 2 had de risicoanalyse al helemaal klaar:“Patching is de oplossing!” De directeur zegt nietstoe en wil het hele verhaal eerst uitgeschrevenhebben met diverse scenario’s, om het daarna metzijn collega’s in de board te kunnen bespreken.

Na dit rollenspel werd de effectiviteit van deadviesgesprekken doorgenomen. Het blijkt nieteenvoudig om een topmanager te overtuigen.Je moet met een stevig verhaal komen. De‘beveiligers’ zetten allerlei inhoudelijke over-wegingen in, terwijl managers gewoon eenordentelijk besluitvormingsproces willen eneen aantal uitgewerkte scenario’s met risico-analyses. De bevindingen uit de Idaho-trainingzijn weliswaar duidelijk, maar dat wil nog niet

Process Control Security: Manage IT!

16

27-29 oktober

Meridian 2009 in Washington

12 november

Conferentie over cybercrime doorOpenbaar Ministerie in Heemskerk

9-10 november

European FI-ISAC in Bern

zeggen dat het management de aanbevelingenook direct over zal nemen. Aandacht voor eengoed advies hoort er zeker ook bij. De Idaho-training is vastgelegd in een filmpje dat u kuntdownloaden op www.samentegencybercrime.nl.

‘Lessons learned’ uit de Idaho-trainingVerbeteringen die de experts kunnen doorvoeren

Kennismanagement• Security-training voor het personeel• Assessment (legal hack/kwetsbaarheden)• Deel kennis met externe partijen alsleveranciers en adviseurs

Applicaties• Geschreven met het oog op beveiliging(wat kan er fout gaan?)

• Volg de handleiding veilig programmeren• Accounts met zo weinig mogelijk privileges• Eigen user accounts met password policy• Voorkom SQL injection

Beveiliging• Intrusion Detection System is een noodzaakvoor het herkennen van afwijkendnetwerkverkeer

• Statische omgeving

Systeem logging/monitoring• Forensisch onderzoek

Vendors• 100 Assessments by Homeland Securityals good practice

• Procurement language (US-CERT)• Zorg dat de kwetsbaarheden bekend zijn

Verbeteringen die het management kandoorvoerenManagement/Organisatie• Leg het beveiligingsbeleid vast• Richt processen veilig in• Zorg voor procedures, handboekenen standaarden

• Communicatie PA/IT• Calamiteiten-/incidenten-responseorganisatie(IRT, incidentmeldingen)

• Vertrouwelijke informatie

Samenwerking• Met externe organisaties• Tussen PA- en IT-afdelingen• Bundel security-kennis in de organisatie

Bewustwording• US-CERT WEB training• Cybersecurity advanced training• Conferenties

Risicoanalyse• Risk Reduction/Analysis Products:Cyber Security Evaluation Tool (CSET)

• Gebalanceerde maatregelen

lentebericht NICC 2010

17

9-13 november

Red Team / Blue Team training in Idaho

16 november

Gastcollege NHL Leeuwarden

26-27 november

EuroSCSIE bijeenkomst in Londen

18

1 december

PCS Event + Winterborrel NICC KasteelDe Hooge Vuursche in Baarn

december

Publicatie ‘Process Control Security in hetInformatieknooppunt Cybercrime’

3 december

Presentatie tijdens Securitymiddag Egeminin België

Uit internationaal onderzoek blijkt dat deinformatiebeveiliging van procescontrole-systemen een ondergeschoven kindje is inde vitale sectoren. Een sectoroverschrijdendinitiatief voor de informatiebeveiliging vanprocescotrolesystemen moet de kwetsbaar-heid terugdringen. Deze Nationale Roadmapvoor veilige procescontrolesystemen is nu inontwikkeling.

Een toenemend aantal incidenten laat zien datde procescontrolesystemen kwetsbaar zijn voorongeautoriseerde beïnvloeding. En niet alleen inde vitale sectoren. Procescontrolesystemenworden ook gebruikt in de productieprocessenvan veel bedrijven in andere sectoren. Ze zijnvaak onderdeel van het gebouwbeheersysteemen de toegangsbeveiliging. De Nationale Road-map is weliswaar gericht op de bedrijven binnende vitale infrastructuur, maar krijgt zeker spin-off naar alle andere bedrijfstakken.

Roadmap met stip op nummer éénBijna vijftig projecten namen deel in de race omsubsidie voor de subarena ‘Veiligheid van ICTen netwerken voor vitale toepassingen ensectoren’. NAVI en het ministerie BZK, die hetsubsidietraject hadden geïnitieerd, zetten hetRoadmap-project met stip op nummer één.Tijdens de NAVI-netwerkbijeenkomst op 10december 2009 maakte Michiel van der Duinnamens het ministerie van BZK bekend dat hetRoadmap-project het hoogste had gescoord en

de subsidie had binnengehaald. Het NICC gafeen presentatie over de Nationale Roadmap.

Gezamenlijke visieDe aanzet voor de Nationale Roadmap werdafgelopen zomer gegeven tijdens het derdeProces Control Security Event ‘Control IT!’ vanhet NICC, in een workshop waarbij alle partijenaanwezig waren. Leveranciers van apparatuur,programmatuur en diensten, het onderwijs,wetenschappers en belangengroepen (WIB, hetCIO Platform Nederland) werken gezamenlijkaan het opstellen van de Nationale Roadmapvanuit een gezamenlijke visie: ‘Binnen tien jaarzijn beschermingslagen van procescontrole-systemen die kritische processen aansturen,ontworpen en geïmplementeerd en worden zeonderhouden. Dit in overeenstemming met hetgeïdentificeerde risico. Doelstelling daarbij isom geen verlies van vitale functies te hebbentijdens en na een cyberincident.’ Deze doel-stelling zal in de Nationale Roadmap op strate-gisch en tactisch niveau actiegericht uitgewerktworden als mijlpalen op korte termijn (0-1 jaar),middellange termijn (tot 3 jaar) en lange termijn(tot 10 jaar).

De Nationale Roadmap bestrijkt organisatorischeen technische aspecten enerzijds en de mense-lijke gedragslijn anderzijds. De te ontwikkelenbeveiligingsmaatregelen bestrijken dus het helegebied van ICT-oplossingen én fysieke, personeleen organisatorische maatregelen. Ze omvatten

Nationale Roadmap voor veiligeprocescontrolesystemen

de gehele beveiligingscyclus, van architectuuren verwerving tot operaties en buitengebruik-stelling. De ontwikkelde producten wordenbreed beschikbaar gesteld. De doelen en deaanpak van de Roadmap zijn op een rijtje gezetin een korte film die u kunt bekijken opwww.samentegencybercrime.nl.

Publicatie maakt managers bewust over PCS-kwetsbaarhedenManagers zijn zich veel te weinig bewust van derisico’s die een gebrek aan aandacht voor infor-matiebeveiliging van procescontrolesystemenmet zich meebrengt. Het NICC presenteerdetijdens het Process Control Security Event‘Manage IT!’ daarom een publicatie voor hetmanagement van bedrijven die procescontrole-systemen gebruiken: Process Control Security inhet Informatieknooppunt Cybercrime NICC.Doel is het verhogen van het bewustzijn van hetmanagement over de kwetsbaarheid en hetrisico voor de organisatie. De publicatie geefteen overzicht van sectoren waar procescontrole-systemen worden gebruikt, inclusief een aantalconcrete beveiligingsincidenten. Verder komenrisicofactoren en een overzicht van de kwets-baarheden aan bod. Daarnaast geeft depublicatie een eerste kijk op de NationaleRoadmap. De publicatie is te downloaden viawww.samentegencybercrime.nl.

lentebericht NICC 2010

19

9 december

Voorzittersbijeenkomst ISACs in Amsterdam

10 december

Presentatie Roadmap PCS tijdens NAVI borrelin Scheveningen

v.l.n.r.Jos WeyersIT-security en continuity officer, TenneT

Renny ter VeerIB-coördinator, WaterleidingmaatschappijDrenthe en Waterbedrijf Groningen

Sytze BakkerManager Electro & Instrumentatieen Procesbesturing, Gasunie

Industrial Control Systems Cyber Security Advanced TrainingHet United States Department of Homeland Security en het NICC organiseerden in november een vijfdaagsesecurity training. 32 Nederlandse control systems engineers en operators, IT-medewerkers en securitymanagers uit diverse vitale infrastructuren namen deel aan deze Industrial Control Systems Cyber SecurityAdvanced Training in het Idaho National Laboratory. Drie van de 32 deelnemers aan de Idaho-trainingpresenteerden hun ervaringen tijdens het PCS-event ‘Manage IT!’ van het NICC in december 2009.

Vier dagen lang, van ’s ochtends vroeg tot’s avonds laat, intensief buffelen op hetbeveiligen van PCS. En er dan in de praktijktestop de vijfde dag achter komen dat je binnen eenkwartier al je vitale informatie al kwijt bent aande ‘vijand’… Hoe alert je ook denkt te zijn, het isbepaald niet eenvoudig je essentiële systemente beschermen tegen een aanval. Drie deel-nemers aan de Control Systems Cyber SecurityAdvanced Training in Idaho vertellen hunervaringen: Renny ter Veer (IB-coördinator,Waterleidingmaatschappij Drenthe en Water-bedrijf Groningen), Sytze Bakker (ManagerElectro & Instrumentatie en Procesbesturing,Gasunie) en Jos Weyers (IT-security encontinuity officer, TenneT).

Wat vonden jullie van de training?Renny ter Veer: “Geweldig! Het mooiste vond ikde live Red team/Blue team-training. We werdenverdeeld in twee teams. Ons team moest desystemen verdedigen terwijl we aangevallenwerden door het andere team. Dat kun je in jeeigen omgeving nooit oefenen. Alle aspectenkwamen aan bod: niet alleen technisch maar ookorganisatorisch. Hoe reageert het management,heb je een incidentmanager die alles regelt, enwat doe je met negatieve berichtgeving in depers? En dan de fysieke beveiliging. De ‘vijand’liep gewoon binnen om rond te snuffelen,maakte foto’s van ons whiteboard door deluxaflex heen, haalde de afvalbakken leeg…”Jos Weyers: “Na een kwartier was er al iemandeen map kwijt waar al onze informatie in stond.Je wéét dat het een test is, dat de ‘vijand’dichtbij zit en je in de gaten houdt – en dannog lukt het niet om je data veilig te stellen!

In een normale situatie moet dat dus nog veelmakkelijker zijn. Dat is een nuttige eyeopener.Veel dingen wisten we al, maar zelfs iemand diezo paranoïde is als ik wordt met de neus op defeiten gedrukt.” Sytze Bakker: “Het was vooraleen heel praktische cursus. Geen wolligeverhalen of bangmakerij, de mensen op dewerkvloer kunnen er meteen mee aan de slag.”

Wat heb je er van opgestoken?Weyers: “Vooral dat je bij moet zijn met depatches op je systeem. Je weet best dat dat vanlevensbelang is, maar niet dat het zo makkelijkis om in een systeem binnen te komen als je zeniet bijhoudt.” Ook bij de Gasunie moet hetpatch-management beter, bevestigt Bakker:“Als er een zwakheid wordt gevonden, moet jezo snel mogelijk de juiste patches installeren.We wachten daar vaak te lang mee omdat we debeschikbaarheid en de betrouwbaarheid van desystemen niet willen verstoren in verband metde leveringszekerheid. Maar als de zaak daar-door uitvalt, hebben we een nog veel groterprobleem. Ik heb nu ook gezien dat het echtnoodzakelijk is om een specifiek intrusion-detectiesysteem te hebben voor de proces-automatisering. Nu nog de budgetten daarvoorvrij zien te maken….” “Maar we hebben ookgeleerd hoe belangrijk het is om je systemengoed te kennen”, vult Ter Veer aan, ”anders hebje niet eens in de gaten dat er een intrusionplaatsvindt.”

Heeft de training al concreet wat opgeleverd injullie bedrijven?“Ik ben meteen na de training gevraagd ompresentaties te geven op alle afdelingen over

lentebericht NICC 2010

Idaho-training: ‘samen tegen cybercrime’ in depraktijk

21

de werkwijze van hackers,” vertelt Ter Veer.“Het zingt rond: ‘Renny is naar Amerika geweestom te hacken!’ Dat heeft de bewustwordingecht een zetje gegeven, ook op management-niveau. De manager die verantwoordelijk isvoor beveiliging heeft me uitgenodigd om bijbesprekingen aan te schuiven.” TenneT was albezig een campagne op te zetten over hetbelang van security awareness, vertelt Weyers.“Dat hebben we nu wat harder ingezet. Door detraining heb ik daar nu ook meer munitie voor.”Bakker is vooral blij met de goudmijn aaninformatie die de training heeft opgeleverd:“De US CERT-website kende ik voorheen niet.Daar vinden we nu veel praktische informatieover cybersecurity, standaarden en guidelinesover procesautomatisering. Heel handig is ookde Defence in Depth Strategy, dat is eenreferentie-systeemarchitectuur voorprocesautomatisering die je kunt gebruikenom een installatie te ontwerpen. Als je dieguidelines volgt, ben je al een heel eind in derichting van een veilige installatie.”

Zouden we in Nederland of Europa ook zulketrainingsfaciliteiten moeten hebben?Bakker: “Ja, zou heel goed zijn. Security blijfttoch een beetje achterlopen in proces-automatisering, want het management is er teweinig mee bezig. Ook bij engineers is er teweinig kennis.” Jos Weyers heeft meteengevraagd of de training ook naar Nederland kankomen. “De meerwaarde van de training washoger geweest als we met meer TenneT-mensentegelijk waren gegaan. Wat techneuten dieachter de knoppen zitten erbij, maar het liefstook wat managers. Eigenlijk moet er zo gauw

mogelijk een dergelijk trainingcentrum in Europakomen. Daar moet iemand gewoon een pot geldvoor opentrekken! Dit moeten we gewoonwillen. Ook al vanwege het netwerken, want inzo’n training zit iedereen snel op dezelfdegolflengte. Het zou al mooi zijn als je een vasteplek hebt waar je een Scada-stukje van je eigenbedrijf kunt inbrengen om mee te oefenen.”“Ik zou dat ook echt aanbevelen”, bevestigtTer Veer. “Je vliegt niet zomaar even een paarmanagers voor vijf dagen naar Idaho. Dat gaatmakkelijker als het in Europa is.”

Hebben jullie nog wat opgestoken van deworkshop tijdens het PCS-event in december?Ter Veer: “Ik vond het heel interessant: hoevertel ik mijn manager hoe het verder moet?Als je wat gedaan wil krijgen, moet je een goedverhaal hebben dat je kunt onderbouwen metgedegen onderzoek.” Sytze Bakker vond hetvooral nuttig om te kunnen praten met mensenuit zelfde vakgebied. “Daar haal je veel kennisvandaan. Iedereen doet zijn best, maarnationaal of internationaal wordt eigenlijk nietsamengewerkt.” “Ik vond het wel lastig om dethema’s uit de workshop meteen toe te passen”,zegt Jos Weyers. “Eigenlijk moet je het in eenkleiner stramien oefenen, in een grote groepwerkt dat niet.”

Jullie hebben de lessons learned uit de Idaho-training gepresenteerd tijdens het PCS-event.Wat hebben jullie daar zelf al mee gedaan?Weyers: “Ik ga er lezingen over geven voor detechneuten die het Scada-gedeelte bewaken, omte kijken welke lessons learned gelden voorTenneT.” “Wij hebben er een soort checklist van

22

gemaakt”, vertelt Ter Veer. “Aan heel veel dingenvoldeden we al, maar je ziet zo ook wat er noggedaan moet worden. Als je in de proces-automatisering iets nieuws bouwt, wordtbeveiliging vaak niet in het bestek meegenomen.In nieuwe projecten nemen we beveiligingseisenen -beleid voortaan meteen mee.” Bakker:“Security wordt alleen gezien als kostenpost,en dan loopt het minder snel. Omdat je er nietsaan verdient, is het een lastige business case.Ik gebruik de lessons learned daarom om hetmanagement ervan te overtuigen dat we er nogniet zijn, en voor projectvoorstellen. Ik denkdat dat goed gaat werken. Als je een goed enrealistisch verhaal hebt wat je kan verliezen aanreputatie en leveringszekerheid, de risico’s inkaart brengt en aangeeft wat je met de maat-regelen kunt oplossen, dan heeft managementdaar wel oor voor.”

Is er door de training een nieuw netwerkontstaan?“Jazeker, van de week kwam ik bij een congreswat deelnemers tegen en dan sta je makkelijkweer te praten. En mensen die informatie nodighebben, weten elkaar nu rechtsreeks te vinden”,zegt Weyers. Ter Veer heeft daar al gebruik vangemaakt: “Ik ben de enige in ons bedrijf diegespecialiseerd is in security. Een dergelijknetwerk heeft als voordeel dat ik dingen waar ikzelf niet uitkom aan anderen kan vragen. Diedrempel is lager geworden.” Bakker ervaart ookdat de interne samenwerking is verbeterd:“Wij deden met vier Gasunie-mensen mee aande training. Daar zaten ook mensen bij van dekantoorautomatisering, waar we vroeger bijna

nooit mee praatten over dit onderwerp. Nuhouden we binnen de Gasunie contact. Wepakken security nu samen op en hebben eengemeenschappelijke security policy geschreven.”

Hebben jullie nog tips?Bakker: “Zo’n Idaho National Laboratory, eenpraktische organisatie die concrete documentenoplevert en assessments maakt van besturings-systemen, dat missen we hier wel. Met allerespect voor het NICC, dat blijft toch steken opeen hoger abstractieniveau. Zoiets zou toch hierook moeten kunnen?”Ter Veer: “Verandering gaat langzaam, dus zorgin ieder geval dat er bij nieuwe projecten meteenaan beveiliging gedacht wordt. Betrek nietalleen de procesautomatiseerders bij securitymaar ook het management. Die mensen moetenzien wat er kan gebeuren, weten hoe ze omgaanmet stresssituaties en hoe ze dan handelen.”Weyers vindt awareness het allerbelangrijkste:“Je kan het technisch nog zo mooi dicht-timmeren, maar daar heb je niks aan als mensenniet meewerken, usb-sticks laten rondslingerenof op hun LinkedIn-pagina vertrouwelijkeinformatie achterlaten over hun werk. De heleorganisatie moet daarvan doordrongen zijn.”Ter Veer: “Klopt, menselijk handelen is vaak hetzwakke punt. ICT en procesautomatiseringhebben elkaar nodig om die zwakke punten aante pakken. Bundel je krachten en maak gebruikvan elkaars kennis!”

lentebericht NICC 2010

23

De Meridian Process Control SecurityInformation Exchange (MPCSIE) is een mooivoorbeeld van internationale samenwerkingop een intersectoraal thema. Binnen deMPCSIE hebben overheidsfunctionarissen uitelf landen het afgelopen half jaar ervaren datvertrouwen ook internationaal tot resultatenkan leiden. Na een aantal bijeenkomstengaan de kennisdeling en informatie-uitwisseling erg goed.

In oktober 2009 hielden we onder Nederlandsvoorzitterschap een MPCSIE-bijeenkomst inAmsterdam, gevolgd door een bijeenkomst inTokyo in februari 2010. We hebben een aantalvoorbeelden geselecteerd om een idee te gevenwat de essentie is van de MPCSIE.

De MPCSIE is een werkgroep van de Meridian,een wereldwijd initiatief om gezamenlijk deuitdaging aan te gaan om een veilige informatieinfrastructuur te realiseren en te houden. Eenbelangrijk aandachtspunt binnen de Meridian isbewustwording. In de deelnemende landenwordt hierin veel geïnvesteerd. Ieder land heeftzijn eigen methodes om aan bewustwording tewerken. Zo is in Groot-Brittannië een SCADASelf Assessment Tool ontwikkeld. In Nederlandheeft GOVCERT.NL een Waarschuwingsdienstingericht. Al deze voorbeelden worden metelkaar uitgewisseld en ieder land kan hier zijnvoordeel mee doen.

Het mooiste voorbeeld is wel de NationalCybersecurity Awareness Month in Amerika diein 2009 ‘Our Shared Responsibility’ als themahad. Doel was te benadrukken dat alle computer-gebruikers, dus niet alleen de overheid en hetbedrijfsleven, verantwoordelijk zijn voor eengoede ‘cyberhygiëne’. Iedereen moet zichzelfen zijn naasten beschermen, zowel thuis als opschool en op het werk. Door een paar simpelestappen te doen, kun je veilig online gaan.U vindt op www.samentegencybercrime.nl eenlink naar de website van de National Cyber-security Awareness Month.

EuroSCSIEOok binnen Europa wordt informatie gedeeld ophet gebied van Process Control Security. Binnende EuroSCSIE schuiven naast overheidsfunc-tionarissen ook vertegenwoordigers van groteprivate partijen aan, zoals Shell, EFD Gaz deFrance, CERN, Electrabel en Laborolec. De focusligt op het uitwisselen van good practices,incidenten en kwetsbaarheden. De veiligheidvan smart meters en smart grid is een onder-werp dat nadrukkelijk op de agenda staat.

LeveranciersEen belangrijk onderwerp binnen zowel deMPCSIE als de EuroSCSIE is de rol van deleveranciers. Zij vormen een zeer belangrijkeschakel in het creëren van veilige omgevingen.Dit besef is breed doorgedrongen. Binnen deMPCSIE en de EuroSCSIE zijn de diverse

Internationale samenwerking

24

3 februari

Leveranciersbijeenkomst in bredere setting

9-10 februari

MPCSIE bijeenkomst in Tokyo

18-19 februari

CNPIC first International Forum CIIP in Madrid

initiatieven op het gebied van de aanschaf vanveilige procescontrolesystemen besproken.Voorbeelden hiervan zijn de Cyber SecurityProcurement Language for Control Systems,die de Amerikanen hebben ontwikkeld, en hetdocument Process Control Domain – securityrequirements for vendors. Dit document is ont-wikkeld door Shell en wordt inmiddels over-genomen door andere organisaties, onderandere in WIB-verband. De EuroSCSIE vormthierin een internationaal vliegwiel.

European FI-ISACEr is een European FI-ISAC opgestart waarinfinanciële instellingen, politieorganisaties enCERTs rond de tafel zitten om actief informatieuit te wisselen ter bescherming van de financiëlesector. De motor achter dit overleg zijn hetEngelse APACS, het Zwitserse Melani, hetHongaarse Hungary-CERT en de NederlandseFI-ISAC. Het initiatief wordt ondersteund doorde European Network and Information SecurityAgency (ENISA). Tijdens bijeenkomsten inBoedapest, Amsterdam en Bern zijn niet alleengood practices besproken, maar is ook informatieover zeer actuele dreigingen en incidenten uitge-wisseld. ENISA heeft een mailinglist gelanceerdwaarmee de deelnemers aan de European FI-ISAC ook tussen de bijeenkomsten doorinformatie met elkaar kunnen delen.

Information Exchange in a boxHet NICC en het CPNI namen in 2009 het initia-tief om diverse producten gericht op bewust-wording in een handzame doos te verspreidenonder hun relaties. ENISA heeft dat ideegeadopteerd. De Information Exchange in a boxis aangevuld met materaal van ENISA en daar-door een nog waardevollere informatiebrongeworden. De box wordt internationaal gebruikten vormt een mooie stimulans voor goede inter-nationale samenwerking en kennisuitwisseling.

Workshop Information SharingInformatie-uitwisseling geeft beleidsmakersinput voor hun strategieën en is een essentieelonderdeel voor de beveiliging tegen cybercrime.ENISA en NICC organiseerden daarom op 16 en17 maart 2010 een Workshop Information Sharing.Internationale experts op dit gebied, zowel vanbinnen als buiten de EU, bespraken hun kennis,ervaringen en strategieën. Dit werd gevolgddoor een debat over thema’s als het verzamelenen analyseren van data. De workshop werdafgesloten met een inventarisatie van demogelijkheden om te komen tot internationalesamenwerking.

lentebericht NICC 2010

25

maart

Start platform nieuwe stijl: verbreding vandigitale naar fysieke en personele veiligheid

11-12 maart

EuroSCSIE bijeenkomst in Bern

16-17 maart

Workshop Information Sharing ENISA/NICCDe Zilveren Toren in Amsterdam

Partners NICC in de (inter)nationaleinfrastructuur

26 A • ABB BV

• ABN Amro Bank

• Academisch Medisch Centrum

• Academisch Ziekenhuis

Maastricht

• Achmea

• Applied Control Solutions USA

• Accenture

• Actemium

• AFM

• Agentschap Telecom

• Ahold / Albert Heijn

• AID (Algemene Inspectie

Dienst)

• Air Cargo Nederland (ANC)

• Aircraft Fuel Supply BV

• AkzoNobel

• Alares

• Alliander

• American Water Works

Association USA

• Amsterdam Airport Schiphol

• Aircraft Fuel Supply BV

• AIVD

• AMS-IX

• APACS UK

• ATOS Consulting

• Australian Government

B • Bank Nederlandse Gemeenten

• Barclays London UK

• BBNed

• Belastingdienst

• Beveiliging en Publieke

Veiligheid Schiphol

• Booz & Compagny

• Bovenregionale Recherche

Noord- en Oost Nederland

• BP Nederland BV

• Brabant Water

• BT Nederland NV

• Bundesamt fur Sicherheit in der

Informationstechnik Germany

• Bundesministerium des Innern

Germany

C • CAIW

• Capgemini

• Cargonaut

• CBP

• Centric IT Solutions

• Cern Switzerland

• CIO Platform Nederland

• City University LondonUK

• Connexion

• Consumentenautoriteit

• Consumentenbond

• CP-ICT

• Centre for the Protection of

National Infrastructure (CPNI)

UK

• CERT Hungary

• Currence

• Cyber Security UK

• CyberSecurity Malaysia

• Cycris

D • DAF Truck NV

• David Lacey Consulting UK

• De Kinderconsument

• De Nederlandsche Bank

• Delft TopTech

• DELTA

• DELTA Netwerkbedrijf

• Deltalinqs

• Department of Homeland

Security USA

• Digibewust

• Douane / Belastingdienst

• Dow Benelux BV

• Dow Chemical USA

• Dröge en Van Drimmelen

• DSM

• Duinwaterbedrijf Zuid-Holland

• Dusecon

• Dutch Hosting and Provider

Association

• Duthler Associates

E • E.ON Benelux NV

• Ebay / Marktplaats

• ECP-EPN Platform voor de

InformatieSamenleving

• ECT

• Edridge Fotografie

• Egemin

• Electrabel

• Emerson

• Eneco

• Energiened

• Enexis

• ENISA Greece

• EPZ

• EQUENS

• Erasmus Medisch Centrum

• Erasmus Universiteit

Rotterdam

• Essent

• Evides

F • Faber organisatievernieuwing

• F. van Lanschot Bankiers NV

• Federal Bureau of

Investigation USA

• Federal Department of Finance

USA

• FHI

• FIOD-ECD

• Fleishman

• Fortis Bank

• FOX-IT

• Friesland Bank NV

• Fugro

lentebericht NICC 2010

27G • Gasunie

• GBO. Overheid

• Getronics PinkRoccade

• Google

• GOVCERT.NL

• GVB

H • Haagse Hogeschool

• HBD Total Security

• Heineken

• Het Expertise Centrum (HEC)

• HIMA

• Hogeschool Utrecht

• Holland Casino

• Honeywell

• HCSS The Hague Centre

for Strategic Studies

• HTM

• HungaryCERT

I • IBM Nederland BV

• ICT Media BV

• ICT Recht

• ICT Regie

• ICT-Office

• Idaho National Laboratory USA

• Infocomm Development

Authority of Singapore

• Information Security Forum UK

• ING-Postbank

• Inspectie voor de

gezondheidszorg

• Inspectie voor Werk & Inkomen

• Internet Watch Foundation UK

• ISOC

• ISP Connect

• IT-sec

J • JPCERT

• Johns Hopkins University

Washington USA

• Joint Research Centre EU - Italy

K • Kahuna

• Kaspersky

• KEMA

• Kennisnet/ICT op school

• KLM

• KLPD

• Koninklijke Marechaussee

• KPN

• KTH Electrical Engineering

Sweden

L • Laborelec

• Leaseweb BV

• Liander (voorheen Continuon)

• Lucht Verkeersleiding

Nederland (LVNL)

• LUMC (Leids Universitair

Medisch Centrum)

M • Mactwin

• Madison Gurka

• Marcel Rozenberg Photography

Design

• McAfee International BV

• Melani Switzerland

• Meldpunt Kinderporno

• Meldpunt Discriminatie Internet

• Meldpunt Kinderporno

• Metropolitan Water District of

Southern California USA

• Ministerie van Binnenlandse

Zaken en Koninkrijksrelaties

• Ministerie van Economische

Zaken

• Ministerie van Justitie

• Ministerie van Verkeer en

Waterstaat

• Ministerie van VROM

• MKB-Nederland

• Motion Picture Associates

• MSB Swedish Civil

Contingencies Agency

N • NAVI

• National IT and Telecom

Agency Denmark

• NBC Universal

• NCTb

• Nedap

• Nederland BreedbandLand

• Nederland Digitaal in

Verbinding

• Nederlands Politie Instituut

• Nederlandse Thuiswinkel

Organisatie

• Nederlandse Vereniging van

Banken

• NICTIZ

• NISA Israel

• NISC Japan

• NLKabel

• NLnetLabs

• Noordelijke Hogeschool

Leeuwarden – Lectoraat

Cybersafety

• NS

• Nuon

• NXP

O • Oake Communications

• Oasen

• OBT / TDS printmaildata

• Océ

• Office of Cyber Security -

Cabinet Office UK

• Office of Cyber Security and

Critical Infrastructure

Coordination NY USA

• Online

• Openbaar Ministerie

• Optimeamise

• OPTA

• Österreichisches Institut für

Internationale Politik (OIIP)

• Osage

28 P • Philips

• Platform voor

Informatiebeveiliging (PvIB)

• Politie

• Politieacademie

• Port of Rotterdam (Gemeente-

lijk Havenbedrijf Rotterdam)

• Programma Aanpak

Cybercrime (Politie)

• Programma Cybercrime (OM)

• Programma Veiligheid begint

bij Voorkomen (Justitie)

• ProRail

• PWC Consulting

• PWN Waterleidingbedrijf

Noord-Holland

R • Rabobank Nederland

• Radboud Universiteit Nijmegen

- Dept. of Computer Science

• RET

• Rijkswaterstaat

S • Santa Clara Valley Water

District USA

• Secrétariat Général de la

Défense et de la Sécurité

Nationale France

• Schiphol Group

• Schiphol Telematics

• School of Computing &

Information Systems

University of Tasmania

• Secretariat general for national

defence France

• SERN

• Shell

• Shell/NAM

• SIDN

• SOVI (Strategisch Overleg

Vitale Infrastructuur)

• SNBReact

• SNS Bank NV

• SRI International USA

• Stedin

• Stichting BREIN

• Stichting Kennisnet ICT op

school

• Stichting M

• Stichting Magenta

• Stichting Mijn Kind Online

• Stork BV

• Surfnet.nl

• Symantec

• Syntens

T • T-Mobile

• Tappan

• Tekstbureau De Nieuwe

Koekoek

• Tele2

• TenneT

• TNO

• TNT Post

• Translink

• TU Delft

U • UMC St.Radboud Nijmegen

• Uneto-VNI

• Unilever

• Universitair Medisch Centrum

Utrecht

• Universitair Medisch Centrum

Twente

• Universitair Medisch Centrum

Groningen

• Universiteit Twente – Faculteit

EWI

• Universiteit van Maastricht

• Universiteit van Tilburg –

Faculteit der Rechtsgeleerdheid

• UPC

• Urenco Nederland BV

• US Department of Homeland

Security

V • Vattenfall Sweden

• Vereniging van Nederlandse

Gemeenten (VNG)

• VEWIN

• Veiligheidsmonitor bureau

• Veola Transport

• Verbund Austria

• Verdonck Klooster &

Associates (VKA)

• Verizon Business

• VIAG

• Vitens

• VNO-NCW

• Vodafone

• VU Medisch Centrum (VUmc)

W • Warner Bross

• Water Supply (Network)

Department Singapore

• Waterbedrijf Groningen

• Waterleidingsmaatschappij

Drenthe (WMD)

• Waterleidingsmaatschappij

Limburg (WML)

• Waternet

• Wetenschappelijk Bureau OM

• WIB

• Wintershall Noordzee BV

• Witteveen & Bos

• WODC

X • XS4ALL

Y • Yokogawa

Z • Zeehavenpolitie / Port Security

• Zeelandnet

• Ziggo

binnenkantomslag jaarbericht Nicc

Peter Hondebrink (Ministerie van EZ)opdrachtgever

Annemarie Zielstra (ICTU)programmamanager

Auke Huistraprojectmanager

Wynsen Faberprojectleider NICC-Actieonderzoek

Roeland Reijersprojectleider

Saskia Kroon (ICTU)programmasecretaris

Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colenprogrammaondersteuning

Cor Ottenscommunicatieadviseur

Eric Luiijfexpertpool NICC (SCADA/PCS)

NICC-programma

Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography,

Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam

juni 2010

Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van

ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid.

Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de

overheid. Meer informatie? Kijk op www.ictu.nl.

buitenkantomslag jaarbericht Nicc

Lentebericht 2010nicc

NICC | ictu

Bezoekadres

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

Postadres

Postbus 84011

2508 AA Den Haag

T 070 888 79 46

nicc@ictu.nl

www.samentegencybercrime.nlEén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur terbestrijding van cybercrime.

NICCsamen tegen cybercrime

Letop!@

opvoorzijde

stansvormaparte

film

Highlights

Programma NICC 2009/2010

RUGDIKTE