“Op cybersecurity moet je niet concurreren.”

Een Landelijk Dekkend Stelsel, wat moeten we ons daarbij voorstellen?

Wim: “Het Landelijk Dekkend Stelsel is een stelsel waarin publieke en private partijen, zoals CERTs, sectorale en regionale samenwerkingsverbanden, het NCSC en het Digital Trust Center (DTC), informatie en kennis uitwisselen. Het NCSC fungeert hierbij als een centraal informatieknooppunt. In samenwerking met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) wijst het NCSC op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) CERTs of OKTT's aan. Die OKTT's hebben 'objectief kenbaar tot taak' (OKTT) om organisaties of het publiek te informeren over dreigingen en incidenten die voor hen relevant zijn. Dit kan een samenwerkingsverband zijn binnen een branche, een regio of een keten. Denk bijvoorbeeld aan een verband van managed service providers (MSP's) of samenwerking van high-tech bedrijven binnen een bepaalde regio.

Een samenwerkingsverband wordt dus aangewezen als CERT of OKTT. Die aanwijzing stelt het NCSC in staat om in bepaalde gevallen meer waardevolle informatie over kwetsbaarheden of dreigingen met deze organisaties uit te wisselen. Met die kennis kunnen CERTs en OKTT's vervolgens hun doelgroepen weer informeren. In de vliegtuigindustrie heet dat het Hub and Spoke model. Een centrale hub legt allerlei verbindingen, zodat niet alles via die centrale hub hoeft te gaan. Het moet een stelsel zijn waarbij we samen met andere belangrijke spelers op landelijk niveau naar een volwassen aanpak komen van cybersecurity.

Een voorbeeld: de IBD wordt deze maand, samen met SurfCERT, Z-CERT en CERT Watermanagement, voorgedragen aan de minister van JenV om aangewezen te worden als CERT. Het NCSC kan zo, onder bepaalde voorwaarden, meer informatie delen met deze organisaties. Zij kunnen die informatie filteren, verrijken en delen met alle gemeenten, hogescholen, universiteiten, zorginstellingen en waterschappen in Nederland. Daarmee informeer je in één klap een groot deel van Nederland.”

Waarom doet het NCSC dit niet zelf?

Wim: “Het NCSC richt zich primair op de weerbaarheid van de Rijksoverheid en vitale processen en heeft zich vanwege die rol ontwikkeld tot het expertise- en kenniscentrum van Nederland op het gebied van cybersecurity. Maar wij hebben niet de wettelijke taak om iedere organisatie in Nederland van relevante informatie te voorzien. Dit zou praktisch ook onmogelijk zijn. Om effectief te zijn moet je alle bijzonderheden van een sector kennen; van applicaties die zij gebruiken tot de ketenafhankelijkheden binnen de belangrijkste processen. Daarom is het goed als er initiatieven zijn die deze rol voor een sector oppakken en zich daarmee ontwikkelen tot expertisecentrum voor hun sector. In het geval van de IBD hebben zij alle relevante informatie over gemeenten. Zij kennen de te beschermen belangen en weten welke kwetsbaarheden en dreigingen voor gemeenten relevant zijn.”

Nausikaä: “De IBD wordt de hub voor gemeenten in het landelijk dekkend stelsel. Wij onderhouden het contact met de informatiebeveiligers van alle gemeenten in Nederland. Incidenten bij de ene gemeente zouden ook kunnen spelen bij anderen omdat ze gebruik maken van dezelfde hard- en software of klant zijn bij eenzelfde leverancier. We hebben kennis van de sector en daardoor kunnen we ook gelijk duiding meegeven. In zo’n geval informeren wij gemeenten en geven we ze advies over wat ze kunnen doen.”

De IBD wordt dus een CERT?

Nausikaä: “Nou, eigenlijk is de IBD al een CERT. Alleen worden we met de komst van de Wet Beveiliging Netwerk- en Informatiesystemen officieel aangewezen als CERT door het NCSC en de NCTV. Daardoor kunnen wij meer -vertrouwelijke- informatie ontvangen van het NCSC.”

Wim: “Daarom ben ik ook blij met die CERT-rol van de IBD. De IBD staat dichterbij gemeenten en lokale overheid dan het NCSC dat staat. Wij hebben grofweg wel een beeld van welke processen er bij gemeenten draaien. Maar hoe die processen precies verlopen, of wat er gebeurt als die ermee ophouden, daarvan kunnen we de gevolgen niet inschatten. Als je dichterbij die processen zit, zoals de IBD, dan kun je dat beter inschatten. Je werkt dan ook efficiënter. Het is goed dat zij een informatiepositie innemen die ons helpt om onze centrale keuzes af te wegen.” 

Nausikaä: “Door de decentralisatie van zorgtaken, bijvoorbeeld de uitvoering van de Jeugdwet en de Wet Maatschappelijke Ondersteuning (WMO), is het werkveld van de gemeente groter geworden. Gemeenten moeten met een grote diversiteit aan partijen zakendoen. Ketensamenwerking maakt informatiebeveiliging complex omdat een incident van de ene organisatie gevolgen kan hebben bij de ander.”

Welk soort informatie krijgt de IBD straks wel die het nu niet krijgt?

Nausikaä: “Denk aan een belangrijke Indicators of Compromise (IoC), zoals een IP-adres, waar malafide activiteit plaatsvindt. Nu krijgen wij een melding vanuit het NCSC over een kwetsbaarheid in een systeem of over een aanval maar mogen ze niet alle informatie met ons delen. Met de officiële aanwijzing als CERT mag het NCSC dit direct met ons delen. Je kunt dan sneller handelen.”

Hoe werkt dat dan in de praktijk?

Nausikaä: “Wij krijgen een melding vanuit het NCSC (of andere bron) over een aanval of een kwetsbaarheid in een systeem. Dan kijken we bij welke gemeenten dat systeem wordt gebruikt. Gebruikt een gemeente het getroffen systeem? Dan sturen we de desbetreffende gemeenten een melding en wat je moet doen. Vooral dat wat je moet doen, is een stukje duiding die we vanuit de IBD toevoegen voor gemeenten, in plaats van dat we alleen zeggen wat er aan de hand is.”

De voordelen voor het IBD lijken me duidelijk. Zit er ook nog een wederzijds voordeel in?

Wim: “Jazeker. Het versterkt namelijk onze informatiepositie. We krijgen beter inzicht in wat er op landelijk niveau speelt. Ook buiten onze primaire groepen, Rijksoverheid en vitaal.”

Nausikaä: “De IBD is voor het NCSC ook een interessante partner. Er mag straks meer informatie van 355 gemeenten naar het NCSC over processen en systemen. En daardoor kan het NCSC ook weer informatie delen met andere CERTs, die bijvoorbeeld gebruikmaken van dezelfde processen of systemen. Daarmee bouw je een groter stelsel en werk je aan de ambitie van het NCSC om echt een landelijk informatieknooppunt te worden.”

Hoe ziet dat landelijke informatieknooppunt er idealiter uit?

Wim: “Samen met het ministerie van Economische Zaken en Klimaat en andere partners hebben we een goed overzicht van de belangrijkste sectoren in Nederland die impact hebben op economie en maatschappij. Dit gaat verder dan alleen vitaal, maar moet ons ook inzicht geven in alles wat niet vitaal is, maar wel erg belangrijk. De witte vlekken die we dan zien ontstaan, moeten we gezamenlijk stukje bij beetje inkleuren. Uiteindelijk moet op die manier iedereen in Nederland weten waar hij terecht kan voor informatie of bijstand op het gebied van cybersecurity. 

Dat gaat bijvoorbeeld om lokale samenwerkingsverbanden. Initiatieven die veelal een geografische component in zich hebben. Denk aan de Rotterdamse haven, of de high-tech regio Eindhoven, oftewel ‘Brainport’. Daar hebben allerlei organisaties de handen ineengeslagen en proberen ze cybersecurity op een hoger plan te krijgen. Dat kan bijvoorbeeld versterkt worden met de informatie die deze samenwerkingsverbanden van het NCSC uitwisselen.”

Nausikaä: “Je ziet dat dit bijvoorbeeld in de bankenwereld al gebeurt. Daar hebben ze een soort gentlemen’s agreement. Als er iets bij de ene bank gebeurt, dan helpen ze elkaar uit de problemen. Dat is hier ook fundamenteel. Op cybersecurity moet je niet concurreren, maar elkaar helpen.”

En het NCSC neemt de lead in het verdelen van die rollen?

Wim: “Dit doen we gelukkig niet alleen. We werken daarbij goed samen met andere ministeries en belangrijke partners als het DTC en CSIRT-DSP. Samen met hen richten wij ons eerst op het inkleuren van de landkaart, zodat het stelsel steeds dekkender wordt. Hierbij kijken we ook naar de ketenafhankelijkheden. Zo zijn we bijvoorbeeld in gesprek met MSP's en Security Vendoren over informatiedeling.”

Wat kunnen organisaties doen om onderdeel te worden van die 'landkaart'?

Wim: “Je kan als CERT of OKTT worden aangewezen. Je moet wel kunnen aantonen dat je als organisatie aan bepaalde eisen voldoet. Het NCSC informeert organisaties hierover en helpt hierbij.”