Your SlideShare is downloading. ×
Nederlands Cyber Security Strategie (Februari 2011)
Nederlands Cyber Security Strategie (Februari 2011)
Nederlands Cyber Security Strategie (Februari 2011)
Nederlands Cyber Security Strategie (Februari 2011)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Nederlands Cyber Security Strategie (Februari 2011)

582

Published on

Nederlands Cyber Security Strategie (Februari 2011)

Nederlands Cyber Security Strategie (Februari 2011)

Published in: News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
582
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. De Nationale Cyber Security Strategie: een stap voorwaarts?AchtergrondStuxnet, Wikileaks, een gigantisch botnet en een kinderpornonetwerk: wat hebben deze onderwerpengemeen? Behalve dat ze alle vier een serieuze impact op de digitale veiligheid in Nederland hebben, latenze ook zien dat Nederland nog niet optimaal geoutilleerd is om de digitale strijd aan te gaan. Om daarverandering in te brengen, heeft het Ministerie van Veiligheid en Justitie eind februari de Nationale CyberSecurity Strategie gelanceerd. Dat is volledig in lijn met die ene zin uit het regeerakkoord: “Het kabinetkomt met een integrale aanpak van cybercrime “1. In dit artikel bespreken we de inhoud van de strategie.We vergelijken de Nederlandse aanpak met soortgelijke buitenlandse initiatieven en stellen de vraag ofhieruit de ambitie blijkt die nodig is om digitaal weerbaar te zijn. Is het een stap in de goede richting?De Nederlandse situatieNet als de ons omliggende landen heeft Nederland nu dus een nationale cyber security strategie. Destrategie heeft tot doel om Nederland weerbaarder te maken tegen de nieuwe risico’s van onze digitalesamenleving. Hij is er dan ook geen moment te vroeg. Waren we op dit moment dan nog niet weerbaar?Dat is niet per se de conclusie, maar de genoemde incidenten uit de tweede helft van 2010 hebben wellaten zien dat serieuze verstoringen mogelijk zijn en dat we in Nederland alle zeilen moeten gaan bijzettenom weerstand te bieden.Daar zijn een aantal oorzaken voor aan te wijzen. De belangrijkste is dat we in Nederland te weinigstructurele operationele slagkracht hebben. Bij elk incident kruipen een aantal experts van zowel publiekeals private partijen bij elkaar om het probleem te onderzoeken en aan te pakken. Dat is effectief gebleken,maar het biedt niet voldoende basis om de digitale veiligheid voor de toekomst te kunnen waarborgen.Daarnaast is er gebrek aan regie. Vanuit hun tradionele blikveld hebben een aantal Ministeries en andereorganisaties zoals I&V en NCTb al hun eigen verantwoordelijkheid genomen. Dat heeft geresulteerd indiverse partijen die zowel op tactisch als operationeel niveau hun eigen gang lijken te gaan. Ten derdeontbreekt -in defensie termen- Situational Awareness. We ontberen goed zicht op voorkomende digitaleaanvallen op Nederland als land. Ook hebben we weinig idee van de potentiële hacking- enverstoringsmogelijkheden van onze huidige vijanden.Tabel 1 Bestaande organisaties betrokken bij cyber securityMinDEF DEFCertMIVD ?MinBZK GovCERTMinVenJ KLPD/THTC, BDE’s, OM, ZM, NCTbAIVD NBV + ?MinELenI (nu TNO) CPNI.nlPrivate partijen Fox-IT, en diverse anderen1 http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2010/09/30/regeerakkoord-vvd-cda.html
  • 2. Internationale Cyber InitiatievenCyber Security is voor vrijwel elk land relevant. Het is dan ook niet verbazingwekkend, dat bijvoorbeeld deVerenigde Staten en het Verenigd Koninkrijk al langer een strategie hebben.Een aantal incidenten in de US zoals het inbreken in een Defensie netwerk via een usb stick2 en hetontdekken van sleeper botjes in het electriciteitsnetwerk hebben Obama heel snel na zijn aantreden doenbesluiten om een review te verlangen van alle overheidsinitiatieven op dit gebied3. Het belangrijkste gevolgdaarvan is de benoeming van een Cyber Czar, die in het Witte Huis is gepositioneerd. Dat geeft een gezichtaan cyber security en de garantie dat het een key-priority blijft zoals Obama dat heeft aangegeven.De Amerikaanse strategie heeft als insteek het blijven functioneren van de VS als geheel oftewel denationale veiligheid. Daarom is het beleid met name gericht op digitale dreigingen in het Defensie - enspionage veld en minder op typen van cybercriminaliteit, waar vooral burgers en bedrijven last van hebben.In hoofdlijnen worden drie doelen uitgewerkt: - Het realiseren van een eerste verdedigingslinie tegen de huidige dreigingen. Denk daarbij aan het continu monitoren van alle overheidsnetwerken. Later moeten daar ook kritische private partijen op aansluiten. Gekoppeld daaraan wordt een response mogelijkheid gebouwd; verdedigen door aan te vallen. - Het opbouwen van een volledige verdedigingsomgeving. Dit doel reikt een stuk verder. Een goede verdediging kan alleen door continu te analyseren waar de dreiging vandaan komt en waar de interesse van de vijand ligt. In inlichtingen termen wordt dit contra-inlichtingen genoemd. Dat Amerika het serieus neemt, blijkt ook uit dat ze zelfs zo ver gaan dat ze apparatuur uit het buitenland wantrouwen (supply chain). - Investeren in de toekomst. Meer opleiding en regie en herijking van onderzoek en ontwikkelingsprogramma’s.Gekoppeld aan dit initiatief heeft Amerikaanse overheid ondanks de financiële crisis een serieuzehoeveelheid geld vrijgemaakt. Voor het fiscale jaar 2011 bedraagt dit budget 3,6 miljard US Dollar4.Zoals vaker heeft het Verenigd Koninkrijk hun grote broer gevolgd en het ook grootschalig aangepakt. 5Naast de dreiging van andere staten en terroristen nemen de Engelsen ook cybercrime mee alsrisicogebied. Ze kondigen daarbij ook aan dat hiervoor nog een aparte e-crime strategie zal volgen. Deverantwoordelijk daarvoor is belegd bij hun Nationale Recherche, de Serious Organised Crime Agency.Het belangrijkste initiatief vanuit het Verenigd Koninkrijk is echter het inrichten van een “multi-agency”Cyber Security Operations Centre. Deze operationele unit wordt ondergebracht bij de afluisterdienst GCHQ.Het heeft drie heldere taken: - Verschaffen van situational awareness. Dit doen ze onder andere via monitoring systemen die permanent meekijken op het Internet in het Verenigd Koninkrijk. - Analyseren van trends en dreigingsinschattingen maken van de mogelijkheden van mogelijke (statelijke) aanvallers. - Het technisch reageren op dreigingen richting het Verenigd Koninkrijk.2 http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain3 http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative4 http://www.bankinfosecurity.com/articles.php?art_id=22575 http://www.direct.gov.uk/en/Nl1/Newsroom/DG_191679 OPENBAAR 2
  • 3. Behalve het beschermen van netwerken van de staat zelf, waarschuwt het CSOC via de Engelseveiligheidsdienst MI5 zelfs vitale bedrijven op het moment dat het CSOC vaststelt dat mogelijke spionageincidenten plaatsvinden. “U heeft zojuist een e-mail met een pdf bestand ontvangen...”.Het geheel wordt strategisch aangestuurd door de Office of Cyber Security (OCS) dat een plaatsje krijgt inthe Cabinet Office, dus net als in de Verenigde Staten dicht bij de Prime Minister. Hoeveel geld de Engelsenhebben vrijgemaakt is niet precies bekend. In ieder geval heeft het Ministerie van Defensie ondanks allebezuiningen voor de komende 4 jaar meer dan 500 miljoen Pond 6vrijgemaakt om te investeren in cybersecurity.De Nederlandse Cyber Security StrategieDe oorsprong van de Nederlandse strategie ligt in kamervragen die eind 2008 bij de behandeling van dedefensiebegroting gesteld zijn. De Kamer verbaasde zich er over dat nergens in de begroting een post wasopgenomen voor de digitale veiligheid van Nederland, terwijl in veel omliggende landen dat wel gebeurt.7De Nederlandse strategie wordt uitgewerkt op basis van 6 actielijnen: 1. Integrale aanpak door publieke en private partijen. 2. Adequate en actuele dreigings- en risicoanalyses. 3. Versterken van de weerbaarheid tegen ICT-verstoring en cyberaanvallen. 4. Versterking responscapaciteit om ICT-verstoringen en cyberaanvallen te pareren. 5. Intensivering opsporing en vervolging van cybercrime. 6. Stimuleren onderzoek en onderwijs.De eerste hoofdlijn onderscheidt ons meteen van het buitenland: een integrale aanpak door publieke enprivate partijen. Ook in Cyberspace gaan we samen polderen. Net als het Verenigd Koninkrijk krijgtNederland twee nieuwe organisaties. Ten eerste wordt een Cyber Security Raad opgericht, waarbijvertegenwoordigers van publieke en private partijen vanuit elk hun eigen verantwoordelijkheid totovereenstemming moeten komen over de juiste prioriteitsstelling voor dit onderwerp. Ten tweede komt ereen Nationaal Cyber Security Centrum (NCSC). De dan opgeschaalde organisatie GovCERT zal hierinopgenomen worden. Het wordt een kennis- en expertise centrum en zal ondersteuning bieden bij hetaanpakken van incidenten. Of het NCSC ook diensten aan de vitale sectoren zoals energie, en de banksectorgaat bieden, wordt nog onderzocht. Misschien ontstaat daar wel een rol voor marktpartijen die nauwsamenwerken met het NCSC. Op dit moment monitort GovCERT al de netwerken van een aantaloverheidsdeelnemers8 om incidenten in een vroeg stadium te ontdekken.Het NCSC wordt ook het platform om op te treden bij digitale incidenten waarbij sprake is van eenmaatschappelijke ontwrichting. Op dat moment worden uit de diverse gelederen van publieke en privateorganisaties de cyber experts bij elkaar gezet om samen op te treden.De “integrale” aanpak van de strategie beschrijft verder dat zowel de AIVD , MIVD als Defensie hun eigenverantwoordelijkheid hebben en zelfstandig zullen optreden. Er zal nog wel onderzocht gaan worden hoeDefensie de kennis, die zij uit de cyber capaciteit gaat opbouwen, voor haar civiele taak ter beschikking kanstellen.6 http://www.number10.gov.uk/news/statements-and-articles/2010/10/sdsr-559127 Motie Knops, Tweede Kamer, vergaderjaar 2009-2010, 32 123 X, nr. 66,http://rijksbegroting.minfin.nl/algemeen/gerefereerd/1/3/9/kst139420.html8 Deelnemers zijn bijvoorbeeld Ministeries en gemeentes. Ze doen in tegenstelling tot in de VS en VK mee op basis vanvrijwilligheid. OPENBAAR 3
  • 4. Defensie krijgt een eigen cybercentrum met daarin ondermeer een Opleidings- en trainingscentrum (OTC).Net als de rest van de maatschappij is ook Defensie afhankelijk geworden van digitale systemen. Daaromwordt fors geïnvesteerd in zelfs offensieve capaciteiten om te voorkomen dat ons eigen leger niet kanoptreden door digitale aanvallen.Op het gebied van cybercrime wordt stevig geïnvesteerd. Het programma aanpak cybercrime (PAC) wordtversterkt. Daarnaast mag het succesvolle Team High Tech Crime van de KLPD uitbreiden naar 70 man in2014. Ze moeten dan wel 20 zaken per jaar oplossen.ConclusieAan de Nederlandse cyberstrategie vallen drie zaken op, ook in vergelijking met de besproken initiatievenin de VS en het Verenigd Koninkrijk. Ten eerste is dat de belangrijke functie, die aan samenwerking tussenpublieke en private partijen is toebedacht. Positief hieraan is, dat binnen het bedrijfsleven aanwezigekennis en initiatieven verder bij kunnen gaan dragen aan een cybersecure Nederland. Een risico van dezebenadering is dat duidelijke en sterke regie door de Nederlandse overheid achterwege zou kunnen blijven,terwijl het belang en de aard van de problematiek die regie wel nadrukkelijk behoeft. Een ander risico is,dat overleggen en compromissen een snelle besluitvorming bemoeilijken en de mate van slagvaardigheidverminderen.Het tweede wat opvalt is, dat Defensie en de inlichtingendiensten AIVD en MIVD zelfstandig zullen blijvenopereren met betrekking tot dit onderwerp. Met name als het gaat om situational awareness werpt ditdirect de cruciale vraag op hoe structurele kennisdeling wordt gerealiseerd. Immers, het OperationeelCyber Security Centrum (OCSC) zal voor een goede dreigingsanalyse van deze kennis in grote mateafhankelijk zijn. Ook bestaat in het algemeen natuurlijk de kans, dat mogelijke synergievoordelen nietworden benut.Als laatste valt de mate van concreetheid van acties bij de intensivering van de opsporing op. Nu al isbekend, dat succesvolle initiatieven voor bestrijding van cybercrime zullen worden beloond met meer gelden mensen. Dat is hoe dan ook een goede stap. Hoe strategisch we het probleem van Cybersecurity ookbenaderen, voor een blijvend succesvolle bestrijding binnen een steeds snel veranderend dreigingsbeeldkunnen we niet anders dan blijven steunen op bevlogen professionals en hun initiatieven. Die geven wehiermee de ruimte en dat is een goede zaak.In onze analyse van de huidige Nederlandse situatie onderkenden we drie belangrijke aandachtspunten,namelijk een gebrek aan (1) structurele operationele slagkracht, (2) regie en (3) situational awareness. Hetis nog geen uitgemaakte zaak, dat de huidige cyberstrategie hier een adequaat antwoord op vormt. De cruxis de rol van de overheid, zoals ook al blijkt uit de door haar gekozen titel voor deze strategie. Binnen deNederlandse aanpak van cyberdreigingen blijven verantwoordelijkheden verspreid. Als de overheid erdesalniettemin in slaagt kennis te bundelen en leiding en richting te geven aan de verschillende initiatieven,zullen we voldoende slagkracht kunnen opbouwen. Dan zal deze strategie de eerste stap naar een blijvendcyberveilig Nederland blijken. OPENBAAR 4

×