Blog Security Management: Wie is volwassen genoeg voor het NCSC?

Iedere maand schrijft directeur Cyberveilig Nederland een prikkelende blog voor Security Maganagement.

De laatste tijd is veel te doen geweest over het delen van informatie vanuit het Nationaal Cyber Security Centrum, oftewel het NCSC. Zo publiceerde Het Financieele Dagblad meerdere artikelen over het gebrek aan informatie delen vanuit het NCSC.

Kort samengevat kwamen de artikelen hierop neer: het NCSC krijgt informatie van, bijvoorbeeld, goedwillende hackers. In deze informatie staan IP-adressen van organisaties die kwetsbaar zijn vanwege een beveiligingslek dat ze nog niet hebben gedicht. Wanneer deze organisaties vitale organisaties zijn dan is er niets aan de hand. Het NCSC deelt deze informatie en de betreffende organisaties kunnen ermee aan de slag.

Wanneer het echter gaat om een organisatie die niet vitaal is – en dan hebben we het over de ruime meerderheid van de Nederlandse organisaties – dan is het Digital Trust Center (DTC) de aangewezen instantie om organisaties te informeren. En hier loopt het mis. Op basis van de Wet beveiliging netwerk- en informatiesystemen mag het NCSC alleen informatie delen met instellingen die ‘objectief kenbaar tot taak (OKTT)’ hebben om organisaties te informeren wanneer deze organisatie niet tot de vitale infrastructuur behoort. Voordat het NCSC informatie deelt, moet een organisatie als zodanig worden aangemerkt. Het DTC heeft deze status echter niet. En daar valt iedereen over, want het DTC is immers opgericht om het niet-vitale bedrijfsleven te helpen weerbaar(der) te worden op gebied van cybersecurity.

Waar in deze discussie aan voorbij wordt gegaan, is dat veel organisaties vaak niet zoveel kunnen met informatie van het NCSC. Ik geef een voorbeeld van een recente ‘advisory’ van het NCSC die geschreven is om een kwetsbaarheid breed te publiceren:

“F5 heeft een kwetsbaarheid gevonden in BIG-IP. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand in de gelegenheid TLS-versleutelde berichten te ontsleutelen. De kwaadwillende moet hiertoe een malafide TLS-handshake uitvoeren.”

Ik durf de stelling aan dat het gros van de Nederlandse bedrijven echt helemaal niets kan met dit soort informatie. Niet voordat het eerst wordt geanalyseerd, verrijkt en wordt vertaald naar de juiste doelgroep. Capaciteiten die het DTC op dit moment niet heeft, maar het NCSC wel.

k ben dan ook voorstander van een meer pragmatische oplossing rond het probleem van informatie delen. Kijk in de eerste plaats naar de ontvanger van informatie, ongeacht of je vitaal of niet vitaal bent. Wanneer het om een organisatie gaat die een hoog cybersecurity volwassenheidsniveau heeft, dan is het veel logischer dat deze organisaties schakelen met het NCSC. Immers, zij kunnen direct met de informatie aan de slag en kunnen hierdoor bijdragen aan het digitaal weerbaar maken van hun digitale ketens. Maak hierbij duidelijk aan welke eisen organisaties moeten voldoen willen zij over de NCSC-informatie mogen beschikken. Het OKTT-middel is hier uitermate geschikt voor.

Inmiddels zijn de eerste organisaties, waaronder het Z-CERT en het Cyberweerbaarheidscentrum Brainport aangewezen als OKTT. Ook vanuit Cyberveilig Nederland zijn we nu met het NCSC bezig deze status te verwerven. Belangrijk is dat er een brede visie wordt ontwikkeld hoe je dit OKTT-landschap kunt uitbreiden en vooral hoe je kunt zorgen dat de verschillende OKTT-organisaties niet alleen met het NCSC, maar ook met elkaar (dreigings)informatie gaan delen.

Als op deze manier belangrijke informatie terechtkomt bij een bredere doelgroep, dan kan het DTC zich focussen op organisaties met een lager volwassenheidsniveau en het initiëren van nieuwe weerbaarheidsinitiatieven. Het hele vraagstuk rondom de OKTT-status van het DTC los je hiermee op. Beide organisaties kunnen zo elk op hun eigen manier bijdragen aan het weerbaar maken van de BV Nederland.

Lees het blog ook op: https://www.securitymanagement.nl/petra-oldengarm-wie-is-volwassen-genoeg-voor-het-ncsc/