‘Samenwerking is cruciaal voor borgen informatieveiligheid en bestrijding cybercrime en abuse’
Cybersecurity: digitale veiligheid en de aanpak van cybercriminaliteit zijn van cruciaal belang voor de Nederlandse digitale sector. Gelukkig besteden steeds meer partijen aandacht aan beveiliging en proberen zij actief cybercriminaliteit tegen te gaan. Maar individueel acteren is niet voldoende om digitale veiligheid te realiseren. Elke organisatie maakt gebruik van producten en diensten van anderen. Zwakke schakels en mismatches tussen aanbieders leiden tot beveiligingsproblemen en spelen cybercriminelen in de kaart. Stichting DINL noemt het dan ook van cruciaal belang dat er anders naar de problematiek wordt gekeken, en meer wordt ingezet op de ketenaanpak.
“Het borgen van veiligheid in de complexe ketens van aanbieders kan een uitdaging zijn”, zegt Sven Visser, voorzitter van DINL deelnemer Dutch Hosting Provider Association (DHPA). “Neem bijvoorbeeld het geval van hosters of cloud providers, die geconfronteerd worden met cybercrime in hun netwerken. De hoster kan nog zo’n uitstekend veiligheidsregime hebben, maar als de klant verzuimt zijn software up-to-date te houden ontstaan er toch zwakke plekken. Deze kunnen worden uitgebuit door cybercriminelen voor phishing, bots, worms of andere narigheid.” Het contract tussen hosters en afnemers schept niet altijd de ruimte om de klant te dwingen de software te updaten. De klant zelf heeft er geen last van, maar de servers worden wel ingezet in criminele netwerken. “De provider kan de klant dan alleen op het probleem wijzen. Het is dus noodzakelijk vooraf goede afspraken te maken”, zegt Visser.
Beveiligingsproblemen in componenten van derden
Niet alleen klanten, maar ook andere toeleveranciers hebben invloed op de digitale veiligheid van bedrijven. “Alle moderne bedrijven maken voor hun eigen IT of digitale dienstverlening gebruik van diensten, hardware en software van derde partijen”, zegt Lotte de Bruijn, directeur van Nederland ICT. “Als in één van die componenten een beveiligingsprobleem wordt aangetroffen, dan moet dit zo snel mogelijk worden opgelost. Dat vereist in de eerste plaats dat de kwetsbaarheid bij de betreffende leverancier wordt gemeld zodat deze het op kan lossen. Maar dat heeft alleen zin als gebruikers patches doorvoeren en hun systeem up-to-date houden. De verantwoordelijkheid ligt dus bij meerdere partijen, zowel publiek als privaat. Dat vraagt om goede afspraken en blijvende coördinatie. Steviger inzetten op samenwerking, snelheid van handelen en continue verbetering als norm binnen die ketens is dan ook noodzakelijk om de digitale veiligheid op peil te houden.”
Een ander voorbeeld van de problemen die kunnen ontstaan als partijen hun beveiliging niet op orde hebben is de recente Distributed Denial of Service (DDoS) aanval op de Domain Name Server (DNS) provider Dyn. Hierbij werd een netwerk van met kwaadaardige software besmette apparaten ingezet om een grootschalige cyberaanval uit te voeren, waarbij servers van Dyn werden overspoeld met een enorme hoeveelheid verzoeken. Deze servers konden de stroom verzoeken niet snel genoeg verwerken en waren hierdoor langere tijd onbereikbaar. “Dat had tot gevolg dat verschillende populaire websites uit de lucht waren, zoals Github, Twitter, Reddit en AirBnB”, legt De Bruijn uit. “Ook hier gaat het om een combinatie van factoren. Het is essentieel dat leveranciers hard- en software zo ontwerpen dat ze veilig op het internet kunnen aansluiten. Gebruikers moeten daarnaast zelf maatregelen nemen zodat ze niet besmet raken. Denk hierbij aan het aanpassen van een standaard wachtwoord dat meegeleverd wordt met de hardware. Ik vind het belangrijk dat we ons hiervoor inzetten, verantwoordelijkheid nemen en het goede voorbeeld geven. Dit soort aanvallen zijn schadelijk voor de hele digitale economie.”
Cybercriminelen aanpakken
Het is echter ook belangrijk dat de cybercriminelen worden aangepakt. “Vergelijk dat met de fysieke wereld. Een zwakke beveiliging is niet goed, maar dat mag geen vrijbrief zijn voor de inbreker, of om iemands huis te misbruiken voor criminele activiteiten”, legt De Bruijn uit. Publiek-private samenwerking en een snelle, betere uitwisseling van informatie is daarvoor cruciaal. “Het aangifte of melding kunnen doen van cyberaanvallen is nu niet goed geregeld. Het is een frustrerende ervaring voor bedrijven en consumenten. Zo ontmoedig je de samenleving om cybercrime te melden en gaat belangrijke informatie verloren. Korte lijnen, snel aangifte kunnen doen, en het delen van zowel trends als dreigingsinformatie met bedrijven is daarvoor cruciaal”, aldus De Bruijn.
Het NCSC coördineert de uitwisseling van dreigings- en veiligheidsinformatie voor overheid en kritieke infrastructuur. De Bruijn: “Nederland ICT vindt dat het de hoogste tijd is dat zo’n functie voor het hele digitale bedrijfsleven, dus ook het MKB, beschikbaar komt. Wij pleiten daarom voor een DTC: een digital trust center. Het is belangrijk dat alle bedrijven over actuele, up to date informatie kunnen beschikken, en dat bedrijven incidenten en informatie over cybercrime en abuse niet alleen kunnen aangeven, maar ook kunnen delen ten behoeve van de algehele veiligheid.”
Bouwen op Platform Internetveiligheid
Een derde probleem bij de borging van veiligheid in de complexe ketens en netwerken van partijen vormt de toename van conflicten tussen de regelgeving en de praktijk. Dat maakt het moeilijk en soms onmogelijk op elkaars veiligheidsmaatregelen te kunnen bouwen. “Dat probleem komen we steeds vaker tegen bij de toepassing van de Wet bescherming persoonsgegevens (Wbp)”, zegt Visser. Bij opslag van persoonsgegevens eist de wetgever regie over de veiligheidsmaatregelen in de gehele keten. Vaak wordt daarom gesteld dat de verantwoordelijke partijen zelf inspecties moeten kunnen doen bij hun dienstverleners, die als bewerkers van persoonsgegevens worden gezien. Of moet die dienstverleners worden opgelegd wat ze moeten doen. Maar dat is niet altijd realiseerbaar, want zeker de grote service providers laten geen hordes controleurs in hun datacenters toe. Laat staan dat ze zich door kleine afnemers laten vertellen wat ze moeten doen.
“Dat dreigt sommige cloud diensten om juridische redenen te diskwalificeren als een veilige methode, terwijl die aanbieders hun veiligheid vaak beter op orde hebben dan hun klanten. Die puur juridische insteek , die als doel had de veiligheid te verbeteren, kan dus uitlopen op een vermindering ervan“, zegt Visser. Dat moet veranderen. Het moet voor een partij voldoende zijn om zich één keer te laten controleren. Daarvoor moet er veel meer duidelijkheid komen over de te treffen maatregelen per type dienstverlener en moet er een systematiek komen zodat de veiligheid van ketenpartners beter op elkaar gaat aansluiten.
Platform Internetveiligheid
Om deze en andere kwesties te agenderen en mee te denken over oplossingen, participeert DINL onder andere in het Platform Internetveiligheid (PIV) van het ECP: het platform voor de digitale samenleving. Bij dat platform zijn een groot aantal partijen betrokken uit de publieke sector, waaronder het ministerie van Economische Zaken, justitie en veel partijen uit het bedrijfsleven.
Binnen het PIV bestaan verschillende deelprojecten rond genoemde thema’s. Een voorbeeld is de gedragscode Notice-and-Take-Down, opgesteld om ISP’s en hosters duidelijkheid te geven over de wijze waarop zij kunnen omgaan met onrechtmatige content zoals kinderporno, discriminatie en aangeboden illegale goederen. DINL en Nederland ICT maken zich sterk voor brede inzet van deze gedragscode.
Nederland Schoon
Éen van die projecten bij het PIV is het project Nederland Schoon, gericht op de bestrijding van abuse in netwerken. “Dat project is destijds geïnitieerd door de Nationale Politie, de Autoriteit Consument en Markt (ACM), het Openbaar Ministerie en het ministerie van Economische Zaken. Nederland Schoon heeft als doel om in nauwe samenwerking met hostingbedrijven abuse en cybercrime uit hun netwerken te weren. In het project wordt in kaart gebracht welke partijen opvallend veel worden misbruikt door cybercriminelen, waarna deze hierop worden aangesproken. Samen met deze partijen wordt gekeken hoe de situatie kan worden verbeterd”, aldus Sven Visser.
Een ander initiatief waarin DINL en bijvoorbeeld ook haar deelnemer Stichting NLnet in participeren is het Platform Internetstandaarden, dat de inzet van moderne, basic veiligheidsstandaarden promoot. "Internetstandaarden waren oorspronkelijk vooral bedoeld om internetverkeer überhaupt mogelijk te maken", zegt Marc Gauw, directeur NLnet. "Maar nieuwere standaarden zoals DNSSEC, (START-)TLS, DKIM, DANE, SPF en ODF zorgen ervoor dat het internet ook veilig en open blijft, iets waar Stichting NLnet zich al jaren hard voor maakt . Dit soort standaarden zijn nu gelukkig ook onderdeel geworden van de zogenaamde PTOLU (Pas Toe of Leg uit) lijst die geldt voor alle overheids-ICT."
‘Iedereen moet zijn steentje bijdragen’
De Bruijn: “Er zijn volop initiatieven gaande om de aandacht voor cyber security en bestrijding van cybercrime en misbruik van netwerken te vergroten. En daar zie je de kracht van samenwerking. Die aanpak laat duidelijk zien dat privaat-publieke samenwerking en een actieve betrokkenheid van veel partijen tot concrete resultaten leidt. En dat die aanpak van de genoemde problemen nooit het exclusieve domein van de overheid kan zijn.”
Desondanks blijft er werk aan de winkel. Reden voor DINL, Nederland ICT, DHPA, NLnet en de andere deelnemers van DINL om ook in 2017 in te blijven zetten op deze thema’s, en nieuwe initiatieven aan tafel te brengen. “De digitale economie kan alleen écht veilig en betrouwbaar functioneren als iedereen daar zijn steentje aan bijdraagt”, besluit De Bruijn.