Issuu on Google+

RUGDIKTE

buitenkantomslag jaarbericht Nicc

NICC | ictu Bezoekadres Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postadres Postbus 84011 2508 AA Den Haag T 070 888 79 46

www.samentegencybercrime.nl

Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime.

Lentebericht 2010 nicc

Let op! @ op voorzijde

nicc@ictu.nl

stansvorm

aparte film

Highlights

samen tegen cybercrime

NICC

Programma NICC 2009/2010


binnenkantomslag jaarbericht Nicc

NICC-programma

Peter Hondebrink (Ministerie van EZ) opdrachtgever Annemarie Zielstra (ICTU) programmamanager Auke Huistra projectmanager Wynsen Faber projectleider NICC-Actieonderzoek Roeland Reijers projectleider Saskia Kroon (ICTU) programmasecretaris Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colen programmaondersteuning Cor Ottens communicatieadviseur Eric Luiijf expertpool NICC (SCADA/PCS)

Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid. Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de overheid. Meer informatie? Kijk op www.ictu.nl. Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography, Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam juni 2010


samen tegen cybercrime NICC


lentebericht NICC 2010

Samen tegen, samen voor!

Het programma NICC heeft in vier jaar veel bereikt. In 2006 kreeg het programma de opdracht om een ‘onomkeerbare beweging’ op gang te brengen die zou resulteren in een Nationale Infrastructuur ter bestrijding van Cybercrime. De Infrastructuur bestaat nu en staat niet meer ter discussie. Wat in 2006 nog onmogelijk leek, is nu vanzelfsprekend. De samenleving vraagt steeds luider om een volgende stap: een structurele en integrale benadering van preventie. Die volgende stap had er kunnen komen door de samenvoeging van het NAVI, GOVCERT.NL en het NICC. Door bundeling van deze drie partijen in een nieuwe organisatie zou de verbinding tussen personele, fysieke en digitale veiligheid gelegd worden. Inmiddels weten we dat het zover niet gaat komen. De financiering voor de nieuwe organisatie is niet rond gekomen en daarmee is een streep door de plannen gehaald. Teleurstellend? Een beetje wel natuurlijk, maar misschien was het wel nodig om verder te komen. In het programma NICC is ‘learning by doing’ altijd het uitgangspunt geweest voor verdere ontwikkeling van samenwerking. Succes ontstaat in zo’n aanpak alleen maar als je niet bang bent om dingen te laten mislukken. Hoe gaat het nu verder met het Informatieknooppunt Cybercrime? De borging van het Informatieknooppuntstaat staat niet ter discussie. Voorlopig gaan we gewoon door

met onze activiteiten. Het ministerie van Economische Zaken heeft er voor gezorgd dat er in de tussentijd op de vertrouwde manier verder kan worden gewerkt. Voor de langere termijn gaan we gesprekken voeren met mogelijke partners voor borging van het Informatieknooppunt. De eisen die daaraan gesteld worden zijn nog steeds de eisen uit het evaluatierapport van PricewaterhouseCoopers. Dat wil zeggen dat de specifieke kenmerken van de werkwijze behouden moeten blijven: publiek/privaat, vraaggestuurd, flexibiliteit, faciliterend karakter en vertrouwelijkheid. Waar het Informatieknooppunt ook geborgd gaat worden, het is slechts een middel en geen doel op zich. Het gaat natuurlijk allemaal om meer veiligheid. Betere preventie, op alle vlakken. Daar zetten we ons al jarenlang voor in. Na vier jaar ‘samen tegen cybercrime’, zijn we zo langzamerhand toe aan ‘samen voor meer veiligheid’. Want één ding staat wel vast: niemand kan nog solistisch aan preventie werken. Samenwerking is een bewezen succesfactor. En met die kennis gaan wij de toekomst in. Annemarie Zielstra (ICTU) Programmamanager NICC

3


Het Informatieknooppunt Cybercrime

Het Informatieknooppunt Cybercrime is in 2009 verder gegroeid. Belangrijke aanwinsten zijn de Telecom-ISAC en de ISAC voor leveranciers van procesautomatisering. Zij vormen weer extra schakels in de dialoog tussen eindgebruikers, leveranciers en de overheid.

4

SIE

MPC

Europe a FI-ISAC n

SIE

SC uro

E

DA /

PCS

BANKEN DR BE WA IN DR TE KIJV REN

NA MUL TIO TI NA LS

GIEENERTOR SEC

HAVENSECTOR

L

/ AIL OR PR NS

IPHO

SCH

AIVD KLPD GOVCERT NICC E IR IA R CL TO NU SEC

leve cier rans PA

SCA

Airport-ISAC In 2009 sloot Schiphol-Telematics zich aan bij de Airport-ISAC. De bedrijven in dit overleg hebben hun bedrijfs- of sectoroverstijgende ICT-systemen op kwetsbaarheden laten onderzoeken. Dat leverde inspiratie op voor zes verbetertrajecten. De Airport-ISAC coördineert de uitvoering van deze trajecten met steun van het Platform Beveiliging en Publieke Veiligheid Schiphol. Nieuwe ISAC voor PSC-leveranciers In het NICC Zomerbericht 2009 meldden we het prille begin van een ISAC voor leveranciers van procesautomatisering. De leveranciers van Process Control Systems (PCS) zijn in februari 2010 een formele ISAC geworden. Begin vorig jaar bespraken de leveranciers van procesautomatisering hoe het beveiligingsniveau kan worden verhoogd en wat hun rol daarin kan zijn. In een startsessie met enkele leveranciers bleek dat zij een bijdrage willen leveren aan de dialoog tussen leveranciers, eindgebruikers en overheid over cybersecurity bij procesautomatisering. Er is een overleg gestart met vertegenwoordigers van de PCSleveranciers ABB, Honeywell, Yokogawa, Emerson, Invensys en Siemens. Zij komen één keer per twee maanden bijeen. Tijdens het eerste overleg in november 2009 gaf eindgebruiker Shell een presentatie over de Vendor Requirements voor procesautomatisering, die tot een positief ervaren discussie aanzette. Duidelijkheid in standaardisatie en certificering

ACADEMISCHE ZIEKENHUIZEN

TEL SECECOM TOR -

l

voedse

2 juli

augustus

augustus

Zomerborrel NICC Finley Het Witte Huis in Loosdrecht

Start CAET traject Weerbaarheid vitale sectoren tegen ernstige verstoring electriciteit en telecom/ICT

Incidentenregistratie bij GOVCERT.NL van start


lentebericht NICC 2010

zijn op korte termijn de belangrijkste onderwerpen voor de bijeenkomsten van de nieuwe ISAC.

Telecom-ISAC In 2009 is de Telecom-ISAC van start gegaan voor telecomaanbieders die zijn aangesloten bij het Nationaal Continuïteitsoverleg Telecom (NCO-T). Samen met enkele overheidsorganisaties wisselen zij informatie uit over incidenten, dreigingen, kwetsbaarheden en good practices. Inmiddels worden de mogelijkheden verkend om dit overleg uit te breiden met een aantal andere partijen, zoals SIDN. Cybercrime-overleg Het aantal deelnemers aan het Cybercrimeoverleg van toezicht-, handhavings-, inspectieen opsporingsdiensten (onder voorzitterschap van OPTA) breidde verder uit in 2009. Dit overleg hanteert dezelfde werkwijze en dezelfde spelregels als de andere ISACs uit het Informatieknooppunt. Hoewel alleen overheidspartijen kunnen deelnemen, worden regelmatig private partijen uitgenodigd om presentaties te houden. In vergelijking tot ISACs van sectoren uit de vitale infrastructuur (die slachtoffer kunnen zijn) ligt bij dit overleg de nadruk op het informeel uitwisselen van operationele cases uit de handhavingspraktijk. Zo leren de deelnemers van elkaar over nieuwe fenomenen en modus operandi van cybercriminelen.

Water-ISAC overtuigt Vewin van noodzaak oefenscenario’s In de drinkwatersector is procesautomatisering onmisbaar voor het garanderen van de kwaliteit en kwantiteit van ons drinkwater. Uitval van de procesautomatisering leidt tot processtoringen of bedien- en bewakingsverstoringen in het inname-, zuiverings- en distributieproces. Handbediening en extra menskracht kunnen een deel van de gevolgen voor korte tijd opvangen. Maar drinkwaterbedrijven moeten ook voorbereid zijn op een langdurige uitval van de procesautomatiseringsystemen. Tijdens een overleg van de Water-ISAC in de tweede helft van 2009 werd duidelijk dat er wel geoefend wordt met de reguliere crisisorganisatie, maar niet of nauwelijks met noodscenario’s voor procesautomatisering. De deelnemers hebben dit onder de aandacht gebracht bij de Vereniging van Waterbedrijven in Nederland (Vewin). In het Vewin-bestuur hebben de directeuren van alle Nederlandse drinkwaterbedrijven zitting. De Water-ISAC heeft hun inzicht gegeven in cybercrime-kwetsbaarheden en het risico van (langdurige) uitval van de procesautomatisering of delen daarvan. Het doel was de directeuren te doordringen van het feit dat in de huidige leveringsplannen niet of nauwelijks rekening is gehouden met uitval van de industriële automatisering. De Water-ISAC stelde voor om gezamenlijk realistische en uniforme oefenscenario’s te ontwikkelen en te oefenen. Het Vewin-bestuur

1 september

3 september

16 september

Eerste sessie politie / OM en banken over aanpak Cybercrime (gefaciliteerd vanuit het PAC en NICC)

Eerste gezamenlijke sessie Water-ISAC en Energy-ISAC

Eerste sessie PCS Vendors-ISAC in kleiner verband

5


Danyel Molenaar OPTA hoofd internetveiligheid en communicatie van OPTA en voorzitter van het Cybercrime-overleg


lentebericht NICC 2010

“Onze insteek was: als je goed wilt samenwerken, moet je elkaar kennen”

Het Cybercrime-overleg klinkt als een ISAC, het handelt als een ISAC, en toch is het dat niet. Het NICC faciliteert de bijeenkomsten en het bekende stoplichtmodel garandeert vertrouwelijke informatie-uitwisseling over cybercrime. Maar bij dit overleg schuiven alleen overheidsinstanties als KLPD, AIVD, GOVCERT.NL en de NCTb aan tafel, geen private partijen. Danyel Molenaar, hoofd internetveiligheid en communicatie van OPTA, is op dit moment voorzitter van het Cybercrime-overleg. Hoe is het Cybercrime-overleg gestart? “Binnen OPTA kwamen we tot de conclusie dat we veel beter in staat waren internationaal samen te werken dan nationaal. Binnen Nederland was er nauwelijks overleg met andere organisaties die we nodig hadden voor de bestrijding van cybercrime. Die hebben we dus maar eens hier op kantoor uitgenodigd. We startten vier jaar geleden met de instanties waar wij wel eens mee te maken hadden: GOVCERT.NL, KLPD, FIOD-ECD en de Bovenregionale Recherche Noord- en OostNederland, die een speciale afdeling Telecomen ICT-fraude heeft. Later zijn daar het Korps Amstelland, AIVD, MIVD, de Consumentenautoriteit, de NCTb, de Nederlandsche Bank en de Autoriteit Financiële Markten bij gekomen. Het overleg is bedoeld voor mensen die zelf onderzoek doen, dus heel operationeel bezig zijn.” Hoe liep de nieuwe samenwerking? “Onze insteek was: als je goed wil samenwerken, moet je elkaar kennen. Alles wat de opsporings- en inlichtingendiensten doen, is vertrouwelijk. Om die informatie te delen moet

je eerst vertrouwen hebben in je gesprekspartners. We realiseerden ons dat dat moest groeien. In het begin ging dat dan ook heel stroef. Dus zijn wij zelf gewoon begonnen met informatie delen. Voor ons als OPTA was het makkelijker, omdat de telecomwetgeving soepeler is. Zo konden we dat vertrouwen wekken bij de anderen. In het begin waren we dus vooral zelf aan het woord, maar dat is snel veranderd.” Het Cybercrime-overleg lijkt sterk op een ISAC, maar is het niet. Hoe zit dat nou? “Twee jaar geleden heeft het NICC aangeboden om de organisatie over te nemen. Daar waren we erg dankbaar voor. Ik ben nu alleen nog voorzitter van het overleg, de rest regelt het NICC. We zijn geen onderdeel van het Informatieknooppunt, maar werken wel met het stoplichtmodel. Het Cybercrime-overleg is echt alleen voor overheidspartijen. En de KLPD, AIVD en GOVCERT.NL zitten ook in de andere ISACs, dus met toestemming van de sectoren kunnen ze informatie overdragen. OPTA ontbreekt trouwens ook in de Telecom-ISAC omdat de private partijen hebben aangegeven dat ze daar nog niet aan toe zijn.” Hoe werken jullie in de praktijk samen? “We komen elke twee maanden bij elkaar en daarnaast is er veel bilateraal overleg. De kern van de samenwerking is informatie-uitwisseling. Dat kan over algemene zaken gaan zoals risico’s en methodes om die aan te pakken. We praten niet over taakverdelingen en beleidsplannen, het gaat puur om het uitwisselen van praktische informatie: hoe doe je onderzoek, ken je dit probleem, hoe pak je dit aan, wie is waar mee

7


8

bezig? Als we bijvoorbeeld met een cybercrimineel zitten die onvindbaar is en zijn geld heeft laten verdwijnen naar het buitenland, dan zouden we de Belastingdienst uitnodigen om eens te komen praten. Die heeft contacten in het buitenland. Zo kun je elkaar helpen.” Heeft het overleg al wat concreets opgeleverd? “OPTA heeft wel eens een spammer beboet waar de politie ook in geïnteresseerd was. Dan dragen wij de informatie over, zodat de politie hem kan vervolgen. Verder hebben we de overleggen telkens bij een andere organisatie, die dan kan laten zien wat ze kunnen en doen. Bij het Nederlands Forensisch Instituut is eens een presentatie gegeven over een nieuwe vorm van geautomatiseerde beeldanalyse, een computerprogramma dat heel snel een bepaald soort beelden herkent. Dat is handig bij de opsporing van kinderporno, want dan hoef je al die beelden niet een voor een te bekijken. En we zijn voor ons volgende overleg uitgenodigd door het Projectbureau Aanpak Cybercrime, dat beleid voorbereidt voor de politie en het ministerie van BZK.” Werken jullie ook wel eens samen met private partijen? “Een hoogleraar is wat komen vertellen over technieken voor privacybescherming. We hebben ook een keer een antivirussoftware-producent uitgenodigd. Die heeft ons uitgelegd hoe ze gegevens verzamelen voor hun rapporten, en wat wij daar aan kunnen hebben. Soms is de afstemming ook heel concreet, als er bijvoorbeeld een ISP is waar een hele hoop ellende vandaan komt. Dan ga je dat samen onderzoeken. Nederland heeft veel kleine hosting

providers, die niet allemaal 100 procent bonafide zijn. De grote ISPs hebben weer veel te maken met botnetproblemen, die geven ons daar informatie over.” Wat heeft OPTA zelf aan de samenwerking met hostingbedrijven en datacentra? “OPTA zal het Cybercrime-overleg nooit gebruiken als bron richting private partijen. Wat in het overleg besproken wordt, blijft daar. Maar de informatie helpt ons wel bij het richting geven aan ons onderzoek. Soms roepen we de ISPs bij elkaar om te praten. Het is alleen lastig dat ze niet georganiseerd zijn. Soms regelen we dat dan ook via het Economic Commerce Platform ECP-EPN of het Platform Internetveiligheid, dat afgelopen december is opgericht. De overheid probeert het sectoroverleg gelukkig wel meer te stroomlijnen. Dat ISPs geen brancheorganisatie hebben, zit in de aard van de internetpioniers. Het zijn van oudsher vrijgevochten jongens die geloven in de anarchie van het internet. We merken wel dat ze steeds opener worden. Toen OPTA zes jaar geleden contact zocht met de ISPs, was de reactie zeer kil. Het oprichten van een Telecomknooppunt heeft jaren geduurd, maar dat is er nu in ieder geval. De botnet-afspraken om zombiecomputers af te sluiten waren drie jaar geleden niet gelukt. De aversie tegen de overheid wordt minder. ISPs zijn nu ook meer bereid om zelf actie te ondernemen om het vertrouwen te vergroten. Ze beseffen dat er in een vrije wereld ook een hoop slechte mensen rondlopen en hebben daar zelf onder te lijden. De tijdgeest verandert, de branche wordt volwassener.”


lentebericht NICC 2010

heeft ingestemd met de ontwikkeling van een generiek oefendraaiboek voor de Nederlandse drinkwatersector voor verstoringen in de procesautomatisering. Alle drinkwaterbedrijven betalen mee aan de ontwikkeling. De scenario’s zullen in een pilot bij Waterleidingmaatschappij Drenthe (WMD) en Vitens getest worden.

Gezamenlijk overleg Water-ISAC en Energy-ISAC Op 3 september 2009 schoven de Water-ISAC en de Energy-ISAC voor het eerst aan bij een gezamenlijk overleg. Eén van de agendapunten was een presentatie van de benchmarks uit de beide ISACs. Er is besloten deze onderzoeken nog een keer te doen. Deze zogenaamde 1-meting wordt momenteel uitgevoerd. Ook spraken de deelnemers af om de agenda’s van de twee overleggen uit te wisselen, zodat men van elkaars onderwerpen op de hoogte is. Vanwege het succes van de bijeenkomst is besloten om er in 2010 een vervolg aan te geven. De water- en energiesector zullen voortaan twee keer per jaar gezamenlijk overleggen. De Wateren Energy-ISAC leveren afwisselend de voorzitter en de agenda wordt gezamenlijk voorbereid.

17 september

8 oktober

Presentatie op KPN-intern event Get Secure!

Presentatie bestuur Vewin in Nieuwegein

9


Ria Doedel Directeur van Waterleiding Maatschappij Limburg en voorzitter van de Vewin-stuurgroep beveiliging en crisismanagement


lentebericht NICC 2010

“Als drinkwaterbedrijven zijn we veel afhankelijker geworden van procesautomatisering dan we ons realiseren”

Ria Doedel, directeur van Waterleiding Maatschappij Limburg en voorzitter van de Vewin-stuurgroep beveiliging en crisismanagement, is zeer tevreden over de samenwerking die op gang is gekomen in het Informatieknooppunt Cybercrime. Niet alleen binnen de sector zelf en met publieke partijen wordt nu eindelijk informatie uitgewisseld over beveiliging van de procesautomatisering. Met de energiesector zijn bovendien gezamenlijke overleggen gepland. Doedel: “Het is goed dat er nu ook een leveranciers-ISAC is. Dat biedt meer mogelijkheden om aan informatie te komen hoe je je het beste kunt beveiligen.” Wat betekent de Water-ISAC voor de drinkwatersector? “De Water-ISAC is een waardevol platform voor de vertrouwelijke uitwisseling van informatie, ervaringen en best practices over procesautomatisering en cybercrime. Als deze ISAC niet was opgericht, zouden de waterleidingbedrijven elk in hun eigen koker zijn blijven opereren. Dan wisten we veel te weinig over wat er wel en niet goed gaat, of bijna misloopt. Nu leren we van elkaar.” Heeft de samenwerking in de Water-ISAC antwoorden opgeleverd op dreigingen? “Een concrete bedreiging is misschien wat te zwaar gesteld. We kennen wel de praktijkvoorbeelden van hackers die zijn binnengedrongen in systemen. En we weten dat terroristische groeperingen interesse hebben getoond voor SCADA-systemen, onder andere in de drinkwatersector. Dat is door de AIVD

onderkend en die informatie is met de drinkwaterbedrijven gedeeld. De belangstelling voor SCADA heeft in de drinkwatersector geleid tot een heel actief beveiligingsbeleid voor de kantoorautomatisering, en in toenemend mate ook voor de procesautomatisering. Dat varieert van een actief wachtwoordenbeleid en beveiliging van verbindingen tot de mogelijkheid om de procesbesturing handmatig over te nemen, en alle gradaties die daar tussen zitten.” Heeft een eigen ISAC de contacten in de drinkwatersector verbeterd? “De voorzitter van de Water-ISAC is lid van de Vewin-stuurgroep beveiliging en crisismanagement. Die zorgt voor een hele actieve inbreng vanuit de ISAC. Hij heeft bijvoorbeeld het TNO-rapport over de benchmark SCADAsecurity uit 2007 in het bestuur van de VEWIN en in de stuurgroep laten presenteren. Dat was een belangrijke stap in het verkrijgen van inzicht in de kwetsbaarheden, en om bewustzijn te creëren. Andersom werkt het ook. Als we tegen bepaalde zaken aanlopen, dan neemt hij dat mee naar het ISAC-overleg, zodat ze daar gezamenlijk kunnen bekijken of er een reëel gevaar is en of daar al oplossingen voor zijn. Een vraagstuk waar we allemaal tegenaan lopen is het onderhoud van productielocaties. Hoe ga je om met de beveiliging en het toezicht als je daarvoor derden moet toelaten op de locatie? Daar wisselen we praktijkervaringen over uit. En toen sommige drinkwaterbedrijven gewerkt hadden met mystery guests om te beproeven of je beveiligingsbeleid in de praktijk werkt,

11


12

wisselden ze die ervaringen uit. Zo hoeft niet iedereen eerst weer in de bekende valkuilen te trappen.” Hoe zit het met de contacten met andere sectoren? “Het TNO-onderzoek in de drinkwatersector, dat als basis diende voor de benchmark SCADAsecurity, wordt dit jaar herhaald. Ook de energiesector voert een dergelijk onderzoek uit. We gaan de uitkomsten van die onderzoeken sectoroverschrijdend vergelijken, zodat we van elkaar kunnen leren. Dat is ook een concreet resultaat van het Informatieknooppunt. Voordat het Water-ISAC bestond, was er helemaal geen uitwisseling tussen deze sectoren.” De Water-ISAC heeft een pilotproject geïnitieerd voor een generiek oefendraaiboek op het gebied van verstoringen in de industriële automatisering. Wat denkt u dat de conclusies zullen zijn? “Na afronding van de pilots gebruiken we de bevindingen om ons preparatieniveau te verhogen. Wat die bevindingen zullen zijn, is natuurlijk koffiedik kijken. Maar goed, ik denk wel dat daar uit zal komen dat we als drinkwaterbedrijven veel afhankelijker zijn geworden van procesautomatisering dan we ons realiseren. Een belangrijk aspect van dat oefendraaiboek is het handmatig kunnen overnemen van de besturing van de installaties, als de procesautomatisering door interventie van buitenaf stil komt te liggen. De oudere garde kan dat nog, want die komt uit de periode dat alle processen met de hand bedreven werden. Maar de jongere

generatie kent alleen de geautomatiseerde systemen. Als we uitval handmatig willen oplossen, moeten we dus aan actieve kennisoverdracht gaan werken. Daar moeten we nog wel wat slagen in maken.” Hoe gaat Waterleiding Maatschappij Limburg om met de beveiliging van procesautomatisering? “Bij ons is dat een geïntegreerd onderdeel van de beveiliging. In de eerste ronde ging dat om fysieke maatregelen: toegangshekken, verzwaring van deuren, elektronische toegangssystemen. Vervolgens maken we het indringers door firewalls en hoge beveiligingsniveaus zo moeilijk mogelijk om door te dringen tot onze systemen. Ook hebben we de personele beveiliging aangepakt. Aan elke functie is een risicoprofiel gekoppeld met een bijpassend screeningsniveau dat kan oplopen tot een zware, extern uitgevoerde procedure. Iedereen die nieuw aangenomen wordt of van functie wisselt, ondergaat zo’n screening. Verder doen we regelmatig security awareness trainingen om veiligheid ook fris en actueel te houden. Kleine dingen waar je snel overheen stapt, kunnen signalen zijn dat er iets aan de hand is.” Wat verwacht u de komende jaren aan ontwikkelingen op het gebied van ICT-security? “Zonder meer een belangrijke ontwikkeling is het feit dat een aantal drinkwaterbedrijven aan de vooravond staan van grote vervangingen in de procesautomatisering. Met wat we nu weten, zullen de beveiligingseisen die je als bedrijf stelt bij het maken van een ontwerp veel zwaarder


lentebericht NICC 2010

zijn dan in het verleden. Het akelige is alleen dat de ontwikkelingen op het gebied van cybercrime ook alsmaar doorgaan. Technologisch is steeds meer mogelijk, kwaadwillende partijen worden slimmer. In die wedloop moeten we dus proberen telkens een stapje voor te blijven. Naar mijn inschatting blijft dat de komende decennia een groot aandachtspunt.” Het Informatieknooppunt Cybercrime krijgt in de toekomst een permanente plek. Is dat goed voor de drinkwatersector? “Op zich wel, want daarmee bereik je dat de bestuurlijke drukte kleiner wordt dan toen er nog meerdere organisaties waren die zich met cybercrime bezighielden. Door die expertise en informatie te bundelen, krijg je ook een beter beeld. Ik ben heel blij dat het Informatieknooppunt behouden blijft. Bij drinkwater gaat het immers om de volksgezondheid. Als je acties van kwaadwillenden wilt voorkomen, dan moet je je informatie delen, signalen oppikken en doorgeven, zodat er tijdig en alert actie ondernomen kan worden. Vroeger was die informatie er ook wel, maar werd hij niet gedeeld. Het is ook belangrijk dat we elkaar op de hoogte brengen over technologische mogelijkheden om cybercriminelen een stapje voor te blijven. Die kennis hebben we niet allemaal zelf in huis. Het is dus goed dat er nu ook een leveranciers-ISAC is. Ik begrijp best dat die niet al hun bedrijfsgeheimen met ons kunnen delen, maar het biedt toch weer meer mogelijkheden om aan informatie te komen hoe je je het beste kunt beveiligen.”

13


lentebericht NICC 2010

CAET: weerbaar tegen uitval elektriciteit en ICT

Hoe goed kunnen vitale bedrijven en sectoren zich weren tegen grootschalige uitval van stroom of ICT? Het kabinet is een traject gestart om die vraag te beantwoorden onder de titel Capaciteitsadvies Elektriciteit en Telecom/ICT (CAET). Het NICC en het NAVI faciliteerden samen het onderdeel ‘weerbaarheid van vitale sectoren tegen grootschalige verstoring van elektriciteit en telecom/ICT’. Vitale sectoren zijn afhankelijk van elektriciteit en telecom/ICT. Zonder elektriciteit kan de telecommunicatiesector maar gedurende een korte periode doordraaien, tenzij er adequate maatregelen zijn getroffen. Andersom is de afhankelijkheid net zo groot. Bij grootschalige uitval van elektriciteit is telecommunicatie/ICT van cruciaal belang om het elektriciteitsnetwerk te herstellen. De financiële sector is sterk afhankelijk van zowel de elektriciteit als de telecommunicatie/ICT, bijvoorbeeld voor de continuïteit van het betalingsverkeer. De sectoren Energie (gas en elektriciteit), Telecom / ICT en Financiën brachten daarom in 2009 via het CAET-traject in kaart wat hun vitale kernprocessen zijn en welke continuïteitsmaatregelen al zijn getroffen. Vervolgens hebben het NAVI en het NICC met elke sector apart vastgesteld welke concrete aanvullende maatregelen nodig zijn om de kans op uitval te verkleinen of om de gevolgen van uitval te kunnen opvangen en beperken. Voorjaar 2010 worden de conclusies gerapporteerd aan de betrokken

sectoren en vakdepartementen. Zij beslissen uiteindelijk in onderling overleg welke maatregelen daadwerkelijk zullen worden getroffen. In 2010 doorlopen de overige vitale sectoren een soortgelijk traject om hun vitale kernprocessen en reeds getroffen maatregelen te inventariseren. Zo wordt duidelijk welke extra maatregelen nog nodig zijn. Een voorbeeld van een dergelijke maatregel is het stimuleren van intersectorale samenwerking. Om voorbereid te zijn op grootschalige uitval van elektriciteit of telecom/ICT is het nodig dat de verschillende sectoren elkaar weten te vinden om elkaar rechtstreeks vragen te kunnen stellen en kennis uit te wisselen. Maar de grootste meerwaarde van het onderzoek is dat er een proces op gang is gebracht om in de vitale sectoren de bewustwording van die wederzijdse afhankelijkheid te vergroten.

9 oktober

15 oktober

22 oktober

MPCSIE bijeenkomst De Zilveren Toren in Amsterdam

Tweede sessie politie/OM en banken over aanpak Cybercrime (gefaciliteerd vanuit het PAC en NICC)

NEISAS bijeenkomst in Londen

15


Process Control Security: Manage IT!

16

De boodschap van het derde Process Control Security Event (PCSE) ‘Control IT!’ was: help de managers uit de droom en zorg ervoor dat ze de werkelijke omvang van mogelijke bedreidingen gaan voelen. Het NICC werkte dat uit in het vierde PCSE in december. Deze bijeenkomst, onder de noemer ‘Manage IT!’, was erop gericht om kennis op de juiste manier te gebruiken in de interne advisering van het topmanagement. De uitdaging aan de deelnemers: hoe overtuig je het management van een grote investering in security? Het NICC en Process Control Security Procescontrolesystemen besturen en bewaken vitale processen in veel van onze vitale sectoren. Onbevoegde beïnvloeding van die systemen kan leiden tot ernstige verstoring van die vitale infrastructuur. Dat kan grote gevolgen hebben voor de economie, het milieu en de samenleving. Sinds 2008 pakt het NICC process control security zowel nationaal en internationaal aan als een apart onderwerp. Dat doen wij samen met de gebruikers, de leveranciers, de overheid, het onderwijs en onderzoeksinstellingen. Dagvoorzitter Philippe Raets maakte duidelijk dat kennis alleen niet voldoende is om topmanagers te overtuigen. Hij gebruikte prikkelende filmfragmenten voor de introductie van een paar overtuigingsstrategieën: passie, verleiden en manipuleren. Jos Weyers van TenneT presenteerde de lessons learned van de deelnemers

aan de Idaho-training (zie interview en kader) als basis voor de workshopoefening. De deelnemers bereidden in groepjes een strategie voor om de topmanager te overtuigen van de noodzaak tot het nemen van beveiligingsmaatregelen. Na wat oefenen gingen twee van de teams het adviesgesprek met een ‘topmanager’ vol zelfvertrouwen aan. Team 1 gooide het op angst: “Het kan ieder moment helemaal mis gaan en de kans dat het gebeurt is groot!” Maar de directeur wil een integrale risicoanalyse. Dat kost volgens zijn stafadviseur een maand. Het team zelf houdt het eerst op drie maanden, maar de externe adviseur in het team beweert even later dat een week meer dan voldoende is. Team 2 had de risicoanalyse al helemaal klaar: “Patching is de oplossing!” De directeur zegt niets toe en wil het hele verhaal eerst uitgeschreven hebben met diverse scenario’s, om het daarna met zijn collega’s in de board te kunnen bespreken. Na dit rollenspel werd de effectiviteit van de adviesgesprekken doorgenomen. Het blijkt niet eenvoudig om een topmanager te overtuigen. Je moet met een stevig verhaal komen. De ‘beveiligers’ zetten allerlei inhoudelijke overwegingen in, terwijl managers gewoon een ordentelijk besluitvormingsproces willen en een aantal uitgewerkte scenario’s met risicoanalyses. De bevindingen uit de Idaho-training zijn weliswaar duidelijk, maar dat wil nog niet

27-29 oktober

12 november

9-10 november

Meridian 2009 in Washington

Conferentie over cybercrime door Openbaar Ministerie in Heemskerk

European FI-ISAC in Bern


lentebericht NICC 2010

zeggen dat het management de aanbevelingen ook direct over zal nemen. Aandacht voor een goed advies hoort er zeker ook bij. De Idahotraining is vastgelegd in een filmpje dat u kunt downloaden op www.samentegencybercrime.nl.

‘Lessons learned’ uit de Idaho-training Verbeteringen die de experts kunnen doorvoeren Kennismanagement • Security-training voor het personeel • Assessment (legal hack/kwetsbaarheden) • Deel kennis met externe partijen als leveranciers en adviseurs Applicaties • Geschreven met het oog op beveiliging (wat kan er fout gaan?) • Volg de handleiding veilig programmeren • Accounts met zo weinig mogelijk privileges • Eigen user accounts met password policy • Voorkom SQL injection Beveiliging • Intrusion Detection System is een noodzaak voor het herkennen van afwijkend netwerkverkeer • Statische omgeving Systeem logging/monitoring • Forensisch onderzoek Vendors • 100 Assessments by Homeland Security als good practice • Procurement language (US-CERT) • Zorg dat de kwetsbaarheden bekend zijn

17

Verbeteringen die het management kan doorvoeren Management/Organisatie • Leg het beveiligingsbeleid vast • Richt processen veilig in • Zorg voor procedures, handboeken en standaarden • Communicatie PA/IT • Calamiteiten-/incidenten-responseorganisatie (IRT, incidentmeldingen) • Vertrouwelijke informatie Samenwerking • Met externe organisaties • Tussen PA- en IT-afdelingen • Bundel security-kennis in de organisatie Bewustwording • US-CERT WEB training • Cybersecurity advanced training • Conferenties Risicoanalyse • Risk Reduction/Analysis Products: Cyber Security Evaluation Tool (CSET) • Gebalanceerde maatregelen

9-13 november

16 november

26-27 november

Red Team / Blue Team training in Idaho

Gastcollege NHL Leeuwarden

EuroSCSIE bijeenkomst in Londen


Nationale Roadmap voor veilige procescontrolesystemen

18

Uit internationaal onderzoek blijkt dat de informatiebeveiliging van procescontrolesystemen een ondergeschoven kindje is in de vitale sectoren. Een sectoroverschrijdend initiatief voor de informatiebeveiliging van procescotrolesystemen moet de kwetsbaarheid terugdringen. Deze Nationale Roadmap voor veilige procescontrolesystemen is nu in ontwikkeling. Een toenemend aantal incidenten laat zien dat de procescontrolesystemen kwetsbaar zijn voor ongeautoriseerde beïnvloeding. En niet alleen in de vitale sectoren. Procescontrolesystemen worden ook gebruikt in de productieprocessen van veel bedrijven in andere sectoren. Ze zijn vaak onderdeel van het gebouwbeheersysteem en de toegangsbeveiliging. De Nationale Roadmap is weliswaar gericht op de bedrijven binnen de vitale infrastructuur, maar krijgt zeker spinoff naar alle andere bedrijfstakken.

Roadmap met stip op nummer één Bijna vijftig projecten namen deel in de race om subsidie voor de subarena ‘Veiligheid van ICT en netwerken voor vitale toepassingen en sectoren’. NAVI en het ministerie BZK, die het subsidietraject hadden geïnitieerd, zetten het Roadmap-project met stip op nummer één. Tijdens de NAVI-netwerkbijeenkomst op 10 december 2009 maakte Michiel van der Duin namens het ministerie van BZK bekend dat het Roadmap-project het hoogste had gescoord en

de subsidie had binnengehaald. Het NICC gaf een presentatie over de Nationale Roadmap.

Gezamenlijke visie De aanzet voor de Nationale Roadmap werd afgelopen zomer gegeven tijdens het derde Proces Control Security Event ‘Control IT!’ van het NICC, in een workshop waarbij alle partijen aanwezig waren. Leveranciers van apparatuur, programmatuur en diensten, het onderwijs, wetenschappers en belangengroepen (WIB, het CIO Platform Nederland) werken gezamenlijk aan het opstellen van de Nationale Roadmap vanuit een gezamenlijke visie: ‘Binnen tien jaar zijn beschermingslagen van procescontrolesystemen die kritische processen aansturen, ontworpen en geïmplementeerd en worden ze onderhouden. Dit in overeenstemming met het geïdentificeerde risico. Doelstelling daarbij is om geen verlies van vitale functies te hebben tijdens en na een cyberincident.’ Deze doelstelling zal in de Nationale Roadmap op strategisch en tactisch niveau actiegericht uitgewerkt worden als mijlpalen op korte termijn (0-1 jaar), middellange termijn (tot 3 jaar) en lange termijn (tot 10 jaar). De Nationale Roadmap bestrijkt organisatorische en technische aspecten enerzijds en de menselijke gedragslijn anderzijds. De te ontwikkelen beveiligingsmaatregelen bestrijken dus het hele gebied van ICT-oplossingen én fysieke, personele en organisatorische maatregelen. Ze omvatten

1 december

december

3 december

PCS Event + Winterborrel NICC Kasteel De Hooge Vuursche in Baarn

Publicatie ‘Process Control Security in het Informatieknooppunt Cybercrime’

Presentatie tijdens Securitymiddag Egemin in België


lentebericht NICC 2010

de gehele beveiligingscyclus, van architectuur en verwerving tot operaties en buitengebruikstelling. De ontwikkelde producten worden breed beschikbaar gesteld. De doelen en de aanpak van de Roadmap zijn op een rijtje gezet in een korte film die u kunt bekijken op www.samentegencybercrime.nl.

Publicatie maakt managers bewust over PCSkwetsbaarheden Managers zijn zich veel te weinig bewust van de risico’s die een gebrek aan aandacht voor informatiebeveiliging van procescontrolesystemen met zich meebrengt. Het NICC presenteerde tijdens het Process Control Security Event ‘Manage IT!’ daarom een publicatie voor het management van bedrijven die procescontrolesystemen gebruiken: Process Control Security in het Informatieknooppunt Cybercrime NICC. Doel is het verhogen van het bewustzijn van het management over de kwetsbaarheid en het risico voor de organisatie. De publicatie geeft een overzicht van sectoren waar procescontrolesystemen worden gebruikt, inclusief een aantal concrete beveiligingsincidenten. Verder komen risicofactoren en een overzicht van de kwetsbaarheden aan bod. Daarnaast geeft de publicatie een eerste kijk op de Nationale Roadmap. De publicatie is te downloaden via www.samentegencybercrime.nl.

9 december

10 december

Voorzittersbijeenkomst ISACs in Amsterdam

Presentatie Roadmap PCS tijdens NAVI borrel in Scheveningen

19


Industrial Control Systems Cyber Security Advanced Training Het United States Department of Homeland Security en het NICC organiseerden in november een vijfdaagse security training. 32 Nederlandse control systems engineers en operators, IT-medewerkers en security managers uit diverse vitale infrastructuren namen deel aan deze Industrial Control Systems Cyber Security Advanced Training in het Idaho National Laboratory. Drie van de 32 deelnemers aan de Idaho-training presenteerden hun ervaringen tijdens het PCS-event ‘Manage IT!’ van het NICC in december 2009. v.l.n.r. Jos Weyers IT-security en continuity officer, TenneT

Renny ter Veer IB-coördinator, Waterleidingmaatschappij Drenthe en Waterbedrijf Groningen

Sytze Bakker Manager Electro & Instrumentatie en Procesbesturing, Gasunie


lentebericht NICC 2010

Idaho-training: ‘samen tegen cybercrime’ in de praktijk

Vier dagen lang, van ’s ochtends vroeg tot ’s avonds laat, intensief buffelen op het beveiligen van PCS. En er dan in de praktijktest op de vijfde dag achter komen dat je binnen een kwartier al je vitale informatie al kwijt bent aan de ‘vijand’… Hoe alert je ook denkt te zijn, het is bepaald niet eenvoudig je essentiële systemen te beschermen tegen een aanval. Drie deelnemers aan de Control Systems Cyber Security Advanced Training in Idaho vertellen hun ervaringen: Renny ter Veer (IB-coördinator, Waterleidingmaatschappij Drenthe en Waterbedrijf Groningen), Sytze Bakker (Manager Electro & Instrumentatie en Procesbesturing, Gasunie) en Jos Weyers (IT-security en continuity officer, TenneT). Wat vonden jullie van de training? Renny ter Veer: “Geweldig! Het mooiste vond ik de live Red team/Blue team-training. We werden verdeeld in twee teams. Ons team moest de systemen verdedigen terwijl we aangevallen werden door het andere team. Dat kun je in je eigen omgeving nooit oefenen. Alle aspecten kwamen aan bod: niet alleen technisch maar ook organisatorisch. Hoe reageert het management, heb je een incidentmanager die alles regelt, en wat doe je met negatieve berichtgeving in de pers? En dan de fysieke beveiliging. De ‘vijand’ liep gewoon binnen om rond te snuffelen, maakte foto’s van ons whiteboard door de luxaflex heen, haalde de afvalbakken leeg…” Jos Weyers: “Na een kwartier was er al iemand een map kwijt waar al onze informatie in stond. Je wéét dat het een test is, dat de ‘vijand’ dichtbij zit en je in de gaten houdt – en dan nog lukt het niet om je data veilig te stellen!

In een normale situatie moet dat dus nog veel makkelijker zijn. Dat is een nuttige eyeopener. Veel dingen wisten we al, maar zelfs iemand die zo paranoïde is als ik wordt met de neus op de feiten gedrukt.” Sytze Bakker: “Het was vooral een heel praktische cursus. Geen wollige verhalen of bangmakerij, de mensen op de werkvloer kunnen er meteen mee aan de slag.” Wat heb je er van opgestoken? Weyers: “Vooral dat je bij moet zijn met de patches op je systeem. Je weet best dat dat van levensbelang is, maar niet dat het zo makkelijk is om in een systeem binnen te komen als je ze niet bijhoudt.” Ook bij de Gasunie moet het patch-management beter, bevestigt Bakker: “Als er een zwakheid wordt gevonden, moet je zo snel mogelijk de juiste patches installeren. We wachten daar vaak te lang mee omdat we de beschikbaarheid en de betrouwbaarheid van de systemen niet willen verstoren in verband met de leveringszekerheid. Maar als de zaak daardoor uitvalt, hebben we een nog veel groter probleem. Ik heb nu ook gezien dat het echt noodzakelijk is om een specifiek intrusiondetectiesysteem te hebben voor de procesautomatisering. Nu nog de budgetten daarvoor vrij zien te maken….” “Maar we hebben ook geleerd hoe belangrijk het is om je systemen goed te kennen”, vult Ter Veer aan, ”anders heb je niet eens in de gaten dat er een intrusion plaatsvindt.” Heeft de training al concreet wat opgeleverd in jullie bedrijven? “Ik ben meteen na de training gevraagd om presentaties te geven op alle afdelingen over

21


22

de werkwijze van hackers,” vertelt Ter Veer. “Het zingt rond: ‘Renny is naar Amerika geweest om te hacken!’ Dat heeft de bewustwording echt een zetje gegeven, ook op managementniveau. De manager die verantwoordelijk is voor beveiliging heeft me uitgenodigd om bij besprekingen aan te schuiven.” TenneT was al bezig een campagne op te zetten over het belang van security awareness, vertelt Weyers. “Dat hebben we nu wat harder ingezet. Door de training heb ik daar nu ook meer munitie voor.” Bakker is vooral blij met de goudmijn aan informatie die de training heeft opgeleverd: “De US CERT-website kende ik voorheen niet. Daar vinden we nu veel praktische informatie over cybersecurity, standaarden en guidelines over procesautomatisering. Heel handig is ook de Defence in Depth Strategy, dat is een referentie-systeemarchitectuur voor procesautomatisering die je kunt gebruiken om een installatie te ontwerpen. Als je die guidelines volgt, ben je al een heel eind in de richting van een veilige installatie.” Zouden we in Nederland of Europa ook zulke trainingsfaciliteiten moeten hebben? Bakker: “Ja, zou heel goed zijn. Security blijft toch een beetje achterlopen in procesautomatisering, want het management is er te weinig mee bezig. Ook bij engineers is er te weinig kennis.” Jos Weyers heeft meteen gevraagd of de training ook naar Nederland kan komen. “De meerwaarde van de training was hoger geweest als we met meer TenneT-mensen tegelijk waren gegaan. Wat techneuten die achter de knoppen zitten erbij, maar het liefst ook wat managers. Eigenlijk moet er zo gauw

mogelijk een dergelijk trainingcentrum in Europa komen. Daar moet iemand gewoon een pot geld voor opentrekken! Dit moeten we gewoon willen. Ook al vanwege het netwerken, want in zo’n training zit iedereen snel op dezelfde golflengte. Het zou al mooi zijn als je een vaste plek hebt waar je een Scada-stukje van je eigen bedrijf kunt inbrengen om mee te oefenen.” “Ik zou dat ook echt aanbevelen”, bevestigt Ter Veer. “Je vliegt niet zomaar even een paar managers voor vijf dagen naar Idaho. Dat gaat makkelijker als het in Europa is.” Hebben jullie nog wat opgestoken van de workshop tijdens het PCS-event in december? Ter Veer: “Ik vond het heel interessant: hoe vertel ik mijn manager hoe het verder moet? Als je wat gedaan wil krijgen, moet je een goed verhaal hebben dat je kunt onderbouwen met gedegen onderzoek.” Sytze Bakker vond het vooral nuttig om te kunnen praten met mensen uit zelfde vakgebied. “Daar haal je veel kennis vandaan. Iedereen doet zijn best, maar nationaal of internationaal wordt eigenlijk niet samengewerkt.” “Ik vond het wel lastig om de thema’s uit de workshop meteen toe te passen”, zegt Jos Weyers. “Eigenlijk moet je het in een kleiner stramien oefenen, in een grote groep werkt dat niet.” Jullie hebben de lessons learned uit de Idahotraining gepresenteerd tijdens het PCS-event. Wat hebben jullie daar zelf al mee gedaan? Weyers: “Ik ga er lezingen over geven voor de techneuten die het Scada-gedeelte bewaken, om te kijken welke lessons learned gelden voor TenneT.” “Wij hebben er een soort checklist van


lentebericht NICC 2010

gemaakt”, vertelt Ter Veer. “Aan heel veel dingen voldeden we al, maar je ziet zo ook wat er nog gedaan moet worden. Als je in de procesautomatisering iets nieuws bouwt, wordt beveiliging vaak niet in het bestek meegenomen. In nieuwe projecten nemen we beveiligingseisen en -beleid voortaan meteen mee.” Bakker: “Security wordt alleen gezien als kostenpost, en dan loopt het minder snel. Omdat je er niets aan verdient, is het een lastige business case. Ik gebruik de lessons learned daarom om het management ervan te overtuigen dat we er nog niet zijn, en voor projectvoorstellen. Ik denk dat dat goed gaat werken. Als je een goed en realistisch verhaal hebt wat je kan verliezen aan reputatie en leveringszekerheid, de risico’s in kaart brengt en aangeeft wat je met de maatregelen kunt oplossen, dan heeft management daar wel oor voor.” Is er door de training een nieuw netwerk ontstaan? “Jazeker, van de week kwam ik bij een congres wat deelnemers tegen en dan sta je makkelijk weer te praten. En mensen die informatie nodig hebben, weten elkaar nu rechtsreeks te vinden”, zegt Weyers. Ter Veer heeft daar al gebruik van gemaakt: “Ik ben de enige in ons bedrijf die gespecialiseerd is in security. Een dergelijk netwerk heeft als voordeel dat ik dingen waar ik zelf niet uitkom aan anderen kan vragen. Die drempel is lager geworden.” Bakker ervaart ook dat de interne samenwerking is verbeterd: “Wij deden met vier Gasunie-mensen mee aan de training. Daar zaten ook mensen bij van de kantoorautomatisering, waar we vroeger bijna

nooit mee praatten over dit onderwerp. Nu houden we binnen de Gasunie contact. We pakken security nu samen op en hebben een gemeenschappelijke security policy geschreven.” Hebben jullie nog tips? Bakker: “Zo’n Idaho National Laboratory, een praktische organisatie die concrete documenten oplevert en assessments maakt van besturingssystemen, dat missen we hier wel. Met alle respect voor het NICC, dat blijft toch steken op een hoger abstractieniveau. Zoiets zou toch hier ook moeten kunnen?” Ter Veer: “Verandering gaat langzaam, dus zorg in ieder geval dat er bij nieuwe projecten meteen aan beveiliging gedacht wordt. Betrek niet alleen de procesautomatiseerders bij security maar ook het management. Die mensen moeten zien wat er kan gebeuren, weten hoe ze omgaan met stresssituaties en hoe ze dan handelen.” Weyers vindt awareness het allerbelangrijkste: “Je kan het technisch nog zo mooi dichttimmeren, maar daar heb je niks aan als mensen niet meewerken, usb-sticks laten rondslingeren of op hun LinkedIn-pagina vertrouwelijke informatie achterlaten over hun werk. De hele organisatie moet daarvan doordrongen zijn.” Ter Veer: “Klopt, menselijk handelen is vaak het zwakke punt. ICT en procesautomatisering hebben elkaar nodig om die zwakke punten aan te pakken. Bundel je krachten en maak gebruik van elkaars kennis!”

23


Internationale samenwerking

24

De Meridian Process Control Security Information Exchange (MPCSIE) is een mooi voorbeeld van internationale samenwerking op een intersectoraal thema. Binnen de MPCSIE hebben overheidsfunctionarissen uit elf landen het afgelopen half jaar ervaren dat vertrouwen ook internationaal tot resultaten kan leiden. Na een aantal bijeenkomsten gaan de kennisdeling en informatieuitwisseling erg goed. In oktober 2009 hielden we onder Nederlands voorzitterschap een MPCSIE-bijeenkomst in Amsterdam, gevolgd door een bijeenkomst in Tokyo in februari 2010. We hebben een aantal voorbeelden geselecteerd om een idee te geven wat de essentie is van de MPCSIE. De MPCSIE is een werkgroep van de Meridian, een wereldwijd initiatief om gezamenlijk de uitdaging aan te gaan om een veilige informatie infrastructuur te realiseren en te houden. Een belangrijk aandachtspunt binnen de Meridian is bewustwording. In de deelnemende landen wordt hierin veel geïnvesteerd. Ieder land heeft zijn eigen methodes om aan bewustwording te werken. Zo is in Groot-Brittannië een SCADA Self Assessment Tool ontwikkeld. In Nederland heeft GOVCERT.NL een Waarschuwingsdienst ingericht. Al deze voorbeelden worden met elkaar uitgewisseld en ieder land kan hier zijn voordeel mee doen.

Het mooiste voorbeeld is wel de National Cybersecurity Awareness Month in Amerika die in 2009 ‘Our Shared Responsibility’ als thema had. Doel was te benadrukken dat alle computergebruikers, dus niet alleen de overheid en het bedrijfsleven, verantwoordelijk zijn voor een goede ‘cyberhygiëne’. Iedereen moet zichzelf en zijn naasten beschermen, zowel thuis als op school en op het werk. Door een paar simpele stappen te doen, kun je veilig online gaan. U vindt op www.samentegencybercrime.nl een link naar de website van de National Cybersecurity Awareness Month.

EuroSCSIE Ook binnen Europa wordt informatie gedeeld op het gebied van Process Control Security. Binnen de EuroSCSIE schuiven naast overheidsfunctionarissen ook vertegenwoordigers van grote private partijen aan, zoals Shell, EFD Gaz de France, CERN, Electrabel en Laborolec. De focus ligt op het uitwisselen van good practices, incidenten en kwetsbaarheden. De veiligheid van smart meters en smart grid is een onderwerp dat nadrukkelijk op de agenda staat. Leveranciers Een belangrijk onderwerp binnen zowel de MPCSIE als de EuroSCSIE is de rol van de leveranciers. Zij vormen een zeer belangrijke schakel in het creëren van veilige omgevingen. Dit besef is breed doorgedrongen. Binnen de MPCSIE en de EuroSCSIE zijn de diverse

3 februari

9-10 februari

18-19 februari

Leveranciersbijeenkomst in bredere setting

MPCSIE bijeenkomst in Tokyo

CNPIC first International Forum CIIP in Madrid


lentebericht NICC 2010

initiatieven op het gebied van de aanschaf van veilige procescontrolesystemen besproken. Voorbeelden hiervan zijn de Cyber Security Procurement Language for Control Systems, die de Amerikanen hebben ontwikkeld, en het document Process Control Domain – security requirements for vendors. Dit document is ontwikkeld door Shell en wordt inmiddels overgenomen door andere organisaties, onder andere in WIB-verband. De EuroSCSIE vormt hierin een internationaal vliegwiel.

Information Exchange in a box Het NICC en het CPNI namen in 2009 het initiatief om diverse producten gericht op bewustwording in een handzame doos te verspreiden onder hun relaties. ENISA heeft dat idee geadopteerd. De Information Exchange in a box is aangevuld met materaal van ENISA en daardoor een nog waardevollere informatiebron geworden. De box wordt internationaal gebruikt en vormt een mooie stimulans voor goede internationale samenwerking en kennisuitwisseling.

European FI-ISAC Er is een European FI-ISAC opgestart waarin financiële instellingen, politieorganisaties en CERTs rond de tafel zitten om actief informatie uit te wisselen ter bescherming van de financiële sector. De motor achter dit overleg zijn het Engelse APACS, het Zwitserse Melani, het Hongaarse Hungary-CERT en de Nederlandse FI-ISAC. Het initiatief wordt ondersteund door de European Network and Information Security Agency (ENISA). Tijdens bijeenkomsten in Boedapest, Amsterdam en Bern zijn niet alleen good practices besproken, maar is ook informatie over zeer actuele dreigingen en incidenten uitgewisseld. ENISA heeft een mailinglist gelanceerd waarmee de deelnemers aan de European FIISAC ook tussen de bijeenkomsten door informatie met elkaar kunnen delen.

Workshop Information Sharing Informatie-uitwisseling geeft beleidsmakers input voor hun strategieën en is een essentieel onderdeel voor de beveiliging tegen cybercrime. ENISA en NICC organiseerden daarom op 16 en 17 maart 2010 een Workshop Information Sharing. Internationale experts op dit gebied, zowel van binnen als buiten de EU, bespraken hun kennis, ervaringen en strategieën. Dit werd gevolgd door een debat over thema’s als het verzamelen en analyseren van data. De workshop werd afgesloten met een inventarisatie van de mogelijkheden om te komen tot internationale samenwerking.

maart

11-12 maart

16-17 maart

Start platform nieuwe stijl: verbreding van digitale naar fysieke en personele veiligheid

EuroSCSIE bijeenkomst in Bern

Workshop Information Sharing ENISA/NICC De Zilveren Toren in Amsterdam

25


Partners NICC in de (inter)nationale infrastructuur

26

A • ABB BV • ABN Amro Bank • Academisch Medisch Centrum • Academisch Ziekenhuis Maastricht • Achmea • Applied Control Solutions USA • Accenture • Actemium • AFM • Agentschap Telecom • Ahold / Albert Heijn • AID (Algemene Inspectie Dienst) • Air Cargo Nederland (ANC) • Aircraft Fuel Supply BV • AkzoNobel • Alares • Alliander • American Water Works Association USA • Amsterdam Airport Schiphol • Aircraft Fuel Supply BV • AIVD • AMS-IX • APACS UK

• Bundesamt fur Sicherheit in der Informationstechnik Germany • Bundesministerium des Innern Germany C • CAIW • Capgemini • Cargonaut

• Beveiliging en Publieke Veiligheid Schiphol • Booz & Compagny • Bovenregionale Recherche Noord- en Oost Nederland • BP Nederland BV • Brabant Water • BT Nederland NV

Association • Duthler Associates E • E.ON Benelux NV • ECP-EPN Platform voor de

• Cern Switzerland

InformatieSamenleving

• CIO Platform Nederland

• ECT

• City University LondonUK

• Edridge Fotografie

• Connexion

• Egemin

• Consumentenautoriteit

• Electrabel

• Consumentenbond

• Emerson

• CP-ICT

• Eneco

• Centre for the Protection of

• Energiened

National Infrastructure (CPNI)

• Enexis

UK

• ENISA Greece

• CERT Hungary

• EPZ

• Currence

• EQUENS

• Cyber Security UK

• Erasmus Medisch Centrum

• CyberSecurity Malaysia

• Erasmus Universiteit

• Cycris D • DAF Truck NV • De Kinderconsument

• Belastingdienst

• Dutch Hosting and Provider

• Centric IT Solutions

• Australian Government

• BBNed

• Dusecon

• Ebay / Marktplaats

• David Lacey Consulting UK

• Barclays London UK

• Duinwaterbedrijf Zuid-Holland

• CBP

• ATOS Consulting

B • Bank Nederlandse Gemeenten

• DSM

Rotterdam • Essent • Evides F • Faber organisatievernieuwing

• De Nederlandsche Bank

• F. van Lanschot Bankiers NV

• Delft TopTech

• Federal Bureau of

• DELTA • DELTA Netwerkbedrijf • Deltalinqs • Department of Homeland Security USA

Investigation USA • Federal Department of Finance USA • FHI • FIOD-ECD

• Digibewust

• Fleishman

• Douane / Belastingdienst

• Fortis Bank

• Dow Benelux BV

• FOX-IT

• Dow Chemical USA

• Friesland Bank NV

• Dröge en Van Drimmelen

• Fugro


lentebericht NICC 2010

G • Gasunie

K • Kahuna

N • NAVI

• GBO. Overheid

• Kaspersky

• Getronics PinkRoccade

• KEMA

• Google

• Kennisnet/ICT op school

• NBC Universal

• GOVCERT.NL

• KLM

• NCTb

• GVB

• KLPD

• Nedap

• Koninklijke Marechaussee

• Nederland BreedbandLand

• KPN

• Nederland Digitaal in

H • Haagse Hogeschool • HBD Total Security • Heineken • Het Expertise Centrum (HEC) • HIMA

• KTH Electrical Engineering Sweden L • Laborelec

• Hogeschool Utrecht

• Leaseweb BV

• Holland Casino

• Liander (voorheen Continuon)

• Honeywell

• Lucht Verkeersleiding

• HCSS The Hague Centre for Strategic Studies • HTM • HungaryCERT I • IBM Nederland BV • ICT Media BV • ICT Recht

Nederland (LVNL) • LUMC (Leids Universitair Medisch Centrum) M • Mactwin • Madison Gurka • Marcel Rozenberg Photography Design

• National IT and Telecom Agency Denmark

Verbinding • Nederlands Politie Instituut • Nederlandse Thuiswinkel Organisatie • Nederlandse Vereniging van Banken • NICTIZ • NISA Israel • NISC Japan • NLKabel • NLnetLabs • Noordelijke Hogeschool Leeuwarden – Lectoraat Cybersafety

• ICT Regie

• McAfee International BV

• NS

• ICT-Office

• Melani Switzerland

• Nuon

• Idaho National Laboratory USA

• Meldpunt Kinderporno

• NXP

• Infocomm Development

• Meldpunt Discriminatie Internet

Authority of Singapore • Information Security Forum UK • ING-Postbank

• Meldpunt Kinderporno • Metropolitan Water District of Southern California USA

• Inspectie voor de

• Ministerie van Binnenlandse

gezondheidszorg

Zaken en Koninkrijksrelaties

• Inspectie voor Werk & Inkomen • Internet Watch Foundation UK

• Ministerie van Economische Zaken

• ISOC

• Ministerie van Justitie

• ISP Connect

• Ministerie van Verkeer en

• IT-sec J • JPCERT • Johns Hopkins University Washington USA • Joint Research Centre EU - Italy

Waterstaat • Ministerie van VROM • MKB-Nederland • Motion Picture Associates • MSB Swedish Civil Contingencies Agency

O • Oake Communications • Oasen • OBT / TDS printmaildata • Océ • Office of Cyber Security Cabinet Office UK • Office of Cyber Security and Critical Infrastructure Coordination NY USA • Online • Openbaar Ministerie • Optimeamise • OPTA • Österreichisches Institut für Internationale Politik (OIIP) • Osage

27


28

P • Philips • Platform voor Informatiebeveiliging (PvIB)

• SNS Bank NV • SRI International USA • Stedin

V • Vattenfall Sweden • Vereniging van Nederlandse Gemeenten (VNG)

• Politie

• Stichting BREIN

• VEWIN

• Politieacademie

• Stichting Kennisnet ICT op

• Veiligheidsmonitor bureau

• Port of Rotterdam (Gemeentelijk Havenbedrijf Rotterdam) • Programma Aanpak Cybercrime (Politie)

school

• Veola Transport

• Stichting M

• Verbund Austria

• Stichting Magenta

• Verdonck Klooster &

• Stichting Mijn Kind Online

Associates (VKA)

• Programma Cybercrime (OM)

• Stork BV

• Verizon Business

• Programma Veiligheid begint

• Surfnet.nl

• VIAG

• Symantec

• Vitens

• Syntens

• VNO-NCW

bij Voorkomen (Justitie) • ProRail • PWC Consulting • PWN Waterleidingbedrijf Noord-Holland R • Rabobank Nederland • Radboud Universiteit Nijmegen - Dept. of Computer Science

T • T-Mobile • Tappan • Tekstbureau De Nieuwe Koekoek • Tele2

• Vodafone • VU Medisch Centrum (VUmc) W • Warner Bross • Water Supply (Network) Department Singapore

• TenneT

• Waterbedrijf Groningen

• RET

• TNO

• Waterleidingsmaatschappij

• Rijkswaterstaat

• TNT Post

S • Santa Clara Valley Water District USA • Secrétariat Général de la

• Translink • TU Delft U • UMC St.Radboud Nijmegen

Défense et de la Sécurité

• Uneto-VNI

Nationale France

• Unilever

• Schiphol Group • Schiphol Telematics • School of Computing & Information Systems University of Tasmania • Secretariat general for national defence France • SERN

• Universitair Medisch Centrum Utrecht • Universitair Medisch Centrum Twente • Universitair Medisch Centrum Groningen • Universiteit Twente – Faculteit EWI

• Shell

• Universiteit van Maastricht

• Shell/NAM

• Universiteit van Tilburg –

• SIDN • SOVI (Strategisch Overleg Vitale Infrastructuur) • SNBReact

Faculteit der Rechtsgeleerdheid • UPC • Urenco Nederland BV • US Department of Homeland Security

Drenthe (WMD) • Waterleidingsmaatschappij Limburg (WML) • Waternet • Wetenschappelijk Bureau OM • WIB • Wintershall Noordzee BV • Witteveen & Bos • WODC X • XS4ALL Y • Yokogawa Z • Zeehavenpolitie / Port Security • Zeelandnet • Ziggo


binnenkantomslag jaarbericht Nicc

NICC-programma

Peter Hondebrink (Ministerie van EZ) opdrachtgever Annemarie Zielstra (ICTU) programmamanager Auke Huistra projectmanager Wynsen Faber projectleider NICC-Actieonderzoek Roeland Reijers projectleider Saskia Kroon (ICTU) programmasecretaris Manou Ali, Tjarda Hersman, Nicole de Ridder, Christiaan Colen programmaondersteuning Cor Ottens communicatieadviseur Eric Luiijf expertpool NICC (SCADA/PCS)

Het programma NICC is een ICTU-programma. De opdrachtgever is het Ministerie van Economische Zaken. Het motto van ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid. Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de overheid. Meer informatie? Kijk op www.ictu.nl. Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Fotografie: Marcel Rozenberg Design & Photography, Schiedam / Vormgeving: OSAGE, Utrecht / Druk: OBT / TDS printmaildata, Schiedam juni 2010


RUGDIKTE

buitenkantomslag jaarbericht Nicc

NICC | ictu Bezoekadres Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postadres Postbus 84011 2508 AA Den Haag T 070 888 79 46

www.samentegencybercrime.nl

Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime.

Lentebericht 2010 nicc

Let op! @ op voorzijde

nicc@ictu.nl

stansvorm

aparte film

Highlights

samen tegen cybercrime

NICC

Programma NICC 2009/2010


lentebericht_2010-NL