‘Maatschappij weerbaarder maken tegen internetcriminaliteit’

Afgelopen week werd bekend dat minister Opstelten wil dat het National Cyber Security Centrum (NCSC) de netwerken van de Rijksoverheid 24 uur per dag gaat monitoren. Wij vroegen een aantal experts in de ISP-sector om hun mening.

Verbazingwekkend dat overheid dat niet al lang doet
Zonder de details van het plan te kennen lijkt dit Koen Martens van de IFCAT Foundation een goede zaak. “Bedrijven die informatiebeveiliging serieus nemen, doen dit al jaren: detectie van bekende patronen van malware en dergelijke maar ook bijvoorbeeld ‘anomalie-detection’, waarbij op basis van ongebruikelijke patronen in netwerkgebruik mogelijke aanvallen worden geïdentificeerd. Er is op dat gebied al een heleboel software te krijgen en expertise opgebouwd. Het is eigenlijk verbazingwekkend dat de overheid dit ook niet al lang doet.”

Preventie
Ook Arnoud Engelfriet van ICTRecht vindt het een goed idee om zo’n dienst op te zetten. “Preventie is beter dan verhelpen, toch? En zeker als het gaat om persoonsgegevens kun je er maar beter bij zijn vóórdat ze gehackt en naar het Verre Oosten geëxporteerd zijn.”

Onduidelijk doel
Simone Halink van Bits of Freedom waarschuwt voor het zoveelste plan van Opstelten, zonder feitelijke en juridische basis. “Zo is volstrekt onduidelijk wat het doel is van deze maatregel en waarom zo’n maatregel noodzakelijk zou zijn. Van Gemert heeft kennelijk tegen Tweakers gezegd dat het beoogde netwerk ‘bedoeld is om dreigingen beter aan te pakken’. Om welke dreigingen het gaat wordt echter niet toegelicht, noch wordt uitgelegd waarom netwerkdetectie noodzakelijk is om die dreigingen te bestrijden.”

Manier van implementatie niet helder
Expert Ralph Broenink geeft aan dat het centraliseren van deze taak voor de hele overheid dan ook zal moeten bijdragen aan de algehele ‘veiligheid’. “Het is sterk afhankelijk van hoe de minister dit netwerk in gedachten heeft. Al het netwerkverkeer door een scanner halen lijkt mij bijvoorbeeld geen sterk plan, maar misschien is het de bedoeling om met behulp van honeypots en network intrusion detection systems – zoals het NCSC op kleine schaal ook bezig is – aanvallen op te kunnen sporen. Het is moeilijk om hier een goed oordeel over te geven zonder te weten hoe dit precies geïmplementeerd gaat worden.”

Visie goed cybersecuritybeleid ontbreekt
“Natuurlijk betekent goed cybersecuritybeleid dat je je niet alleen bezig houdt met het dichten van lekken, maar ook met het detecteren en voorkomen van lekken,” geeft Halink aan. “Waar het de overheid helaas aan ontbreekt is een visie over wat zo’n goed cybersecuritybeleid moet omvatten. In plaats van te komen met structurele preventieve maatregelen die onze informatiesystemen beschermen, grijpt de overheid nu vooral naar snelle en ‘gemakkelijke’ maatregelen waarvan – laat ik dat nogmaals benadrukken – de noodzaak en effectiviteit niet is aangetoond. Het gaat dus om symboolpolitiek, die inspeelt op de behoefte aan veiligheid die mensen natuurlijk voelen. Veiliger wordt Nederland daar niet van.”

Regelgeving
Broenink vertelt dat we naast overheidsnetwerken, in het dagelijks leven afhankelijk zijn van de netwerken die door grote partijen worden geleverd. “Een aanval bij een grote partij als KPN kan net zo desastreus zijn als een aanval bij de overheid. Denk terug aan de chaos die ontstond door de brand bij Vodafone vorig jaar – ook al was dat niet veroorzaakt door hackers – of de aanval bij KPN.” Het is volgens hem sterk afhankelijk van de implementatie of de NCSC hier niet mee uit zijn boekje zou gaan. “Het zou bijvoorbeeld raar zijn als de overheid een dergelijke dienst gratis aanbiedt. Ik zie hier eerder regelgeving ontstaan met ‘dit moet gebeuren en dat moet zo’, dan dat het NCSC ‘zomaar’ bedrijfsnetwerken gaat scannen. Maar misschien gaat het hier om het delen van kennis uit honeypots en NIDS’en, wat mijns inziens geen probleem zou moeten zijn.”

Goed voor hele land
Het lijkt Engelfriet goed om dit ook vrijwillig aan andere bedrijven aan te bieden. “Het lijkt me dat het hele land eigenlijk hiervan kan profiteren.”

Open data
“De effectiviteit van zo’n detectienetwerk wordt groter naarmate het aantal meetpunten – ‘probes’ – groeit,” legt Martens uit. “Wat dat betreft is het dus een goede ontwikkeling. De overheid heeft daar ook een belangrijke publieke functie in mijn ogen: de data en trends die door het netwerk worden verzameld zouden als ‘open data’ aan iedereen beschikbaar moeten worden gesteld. Het is immers een netwerk dat met overheidsgeld wordt bekostigd, dan is het dus niet meer dan logisch dat iedereen die daar in de vorm van belastingen aan mee betaald daar van moet kunnen profiteren. Niet alleen dat, het delen van deze informatie zorgt er voor ook bedrijven zich kunnen wapenen tegen cyber-criminaliteit. Vergelijk het met de openbare lijsten van computers die spam versturen: doordat beheerders van mailservers bronnen van spam aanmelden bij deze lijsten kunnen andere beheerders deze blokkeren.”

Maatregelen voor echte veiligheid
“Wat onze veiligheid betreft, is er ook een belangrijke rol weggelegd voor bedrijven,” zegt Halink. “Zij kunnen dit doen door beveiligingsmaatregelen te nemen maar ook door zo min mogelijk van onze gegevens op te slaan. Ook moeten zij de toegang tot de gegevens die ze wel opslaan tot het minimum beperken en security by design en privacy by design daarbij als uitgangspunt nemen. Verder moeten bedrijven en burgers van de overheid maatregelen eisen die Nederland daadwerkelijk veiliger maken.”

Niet inspecteren, maar monitoren
De Nederlandse ISP’s zouden volgens Martens een rol in dit detectienetwerk kunnen spelen, door ook hun eigen systemen en netwerken in de gaten te houden. “Er zijn natuurlijk ISP’s die dit al lang doen. Zolang het niet gaat om het inspecteren van alle netwerk-verkeer dat de ISP’s verwerken is dat niet problematisch. De traditionele ISP blokkeert uit voorzorg allerlei internet-protocollen. Dat is wat mij betreft een ongewenste situatie, en gaat ook in tegen netwerkneutraliteit. Door actief te monitoren kan juist opgetreden worden tegen ongewenste situaties zonder structureel functionaliteit onmogelijk te maken.”

Eigen eilandje
“De ISP-sector moet in elk geval voorlopig zelf goed op het eigen netwerk blijven letten, en waar nodig informatie onderling delen,” zegt Broenink. “Alles op het eigen eilandje proberen op te lossen zal niet goed gaan, zeker niet bij grote goed georganiseerde aanvallen. Wat dit allemaal precies voor de ISP-sector betekent, weet ik niet, omdat de plannen van de minister nog niet erg concreet lijken te zijn.”

Openheid en delen
Tot slot wil Martens kwijt dat IT-beveiliging vaak wordt omgeven met een waas van geheimzinnigheid. “Terwijl juist openheid en het delen van informatie over nieuwe aanvalsvectoren en malware-trends de maatschappij als geheel weerbaarder maken tegen internetcriminaliteit en andere twijfelachtige praktijken.”


Foto: Rijksoverheid.nl

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.