De formule blijft: Vóór allen, dóór allen

Transcriptie

1 november 2012 nummer 2 Rob Kuppens, Kwaliteitscoördinator, het CAK Delen is leerzaam en voordelig. Marlies van Eck: Jurist Belastingdienst/Toeslagen, Belastingdienst Privacybescherming is als sporten: je weet dat het goed is om iets te doen, verzint soms allerlei uitvluchten om er niet vandaag maar morgen mee te beginnen en als je eenmaal bezig bent snap je niet waarom je nou zo moeilijk deed. Ik zie de samenwerking van het CIP dan ook het liefst als samen sporten, het is niet alleen gezelliger maar het verlaagt ook de drempel om van de bank af te komen. CIP-post Voor u ligt de najaarsuitgave van CIP-Post. In deze aflevering kijken we terug op het startjaar 2012 en gaan we in op de plannen voor het jaar Verder in deze nieuwsbrief vindt u bijdragen over de thema s die ook aan de orde kwamen op de najaarsconferentie. Turabi Yildirim, Senior Adviseur Informatiebeveiliging, Rijkswaterstaat Samenwerking en kruisbestuiving tussen de verschillende disciplines: pragmatisch en verbindend. Sjoerd Weiland, Communicatieadviseur, RDW Deelnemen aan de Domeingroep Awareness is voor mij als communicatieadviseur bijzonder interessant en nuttig. Je wisselt ervaringen uit met andere organisaties en kunt op die manier veel van elkaar leren. in dit nummer: Jaarplan: doelen en activiteiten in 2013 Man-in-the-Middle attacks vragen om PKI... maar dan anders De ambitie voor een gekwalificeerde beroepsgroep Lid worden van cip.pleio Tot in het hart gehacked meer weten over cip? Als u meer wilt weten over de Voor meer informatie over uw doelstellingen en activiteiten deelname als Participant of van CIP bezoek dan de website Kennispartner neemt u contact op met Ad Reuijl. Colofon De formule blijft: Vóór allen, dóór allen Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar info@cip-overheid.nl. Concept en realisatie: Adrenaline Communicatie BV

2 Jaarplan: doelen en activiteiten in 2013 voorwoord door Ad Reuijl Het jaar 2012 is het geboortejaar van CIP. De ontwikkelingen, gestart in januari vanuit de opdracht van de gang is gekomen en dat CIP in korte tijd bij veel We kunnen constateren dat de samenwerking op Stuurgroep Compacte Rijksdienst, konden op 6 juni organisaties, zowel in de overheid als in de markt, worden bekroond met de startconferentie. 125 bestuurders, managers en professionals van een groot aantal gekregen. Bij het ter perse gaan van deze CIP-Post bekend is geraakt en een positieve klank heeft overheidsorganisaties bezochten deze conferentie en zijn er 16 overheidsorganisaties vertegenwoordigd toonden enthousiasme om bij te dragen aan de samenwerking. met een convenant verbonden aan CIP. in domeingroepen. Een 30-tal Kennispartners zijn In maanden die volgden werden er verschillende Bij de deelnemende partijen bestaat enerzijds samenwerkingsvormen gestart. Tijdens de zomermaanden kwam een kernbezetting van de domein- te leveren, anderzijds de wens/eis om van elkaars bereidheid om er wat van te maken en een bijdrage groepen tot stand en werd een eerste werkbare kennis te profiteren. Dit zijn succesfactoren voor een inrichting van de CIP-deelsite binnen PLEIO opgeleverd (een virtueel samenwerkingsplatform in over- is. goede werking van de netwerkorganisatie die CIP heidsland, M.b.v. deze omgeving ondersteunt CIP de samenwerking binnen haar We moeten daarbij niet vergeten dat het succes netwerk. van CIP direct samenhangt met de bijdrage die we er samen in leveren. De formule blijft: Vóór allen, In september zijn de domeingroepen van start dóór allen. Dat zet in de drukte van alledag best de gegaan. Zij hebben enkele relevante thema s bij de nodige spanning op de bijdrage die daadwerkelijk kop gepakt. Waar dat al mogelijk was, vindt u daarover in deze nieuwsbrief wat meer informatie. ook geleverd kan worden. Ik wens u veel leesplezier toe met deze nieuwsbrief Op 8 november vond een rondetafelconferentie en reken ook in 2013 op uw bijdrage in de samenwerking. plaats over het thema Herstelvermogen. Het was een co-productie met Ordina, SIG en KPN. Op cip.pleio wordt verslag gedaan van deze bijeenkomst. Voor 2013 is het de uitdaging de voordelen van de samenwerking verder zichtbaar te maken en concrete hulp en resultaten te bieden aan de Participanten. We hanteren daarvoor de volgende resultaatgebieden. De ontwikkelingen binnen de domeingroepen: dit zijn samenwerkingsverbanden op vier themagebieden (Ketens, Normen, Awareness en Privacy). Onder leiding van respectievelijk SVB, UWV, Belastingdienst en DUO, worden op dit moment concrete deliverables gedefinieerd voor het jaar Het bieden van ondersteuning op het gebied van Emergency Response voor de Participanten en geïnteresseerde overheidsbedrijven. Dit doen we in samenwerking met en in aanvulling op het NCSC. De CIP-faciliteit zal enerzijds bestaan uit het leveren van analyses en oplossingsrichtingen die kennispartners aanleveren, anderzijds uit het organiseren van onderling contact tussen participanten en kennispartners, op het moment van grotere beveiligingsincidenten en bedreigingen. Het is de bedoeling deze faciliteit in het eerste kwartaal draaiend te krijgen. Elders in deze nieuwsbrief wordt het idee over de werking nader toegelicht. Op langere termijn wil CIP bereiken dat nieuwe kennis en ervaringen snel worden gedeeld en leiden tot een hoger niveau van kennis en kunde van de informatiebeveiligingsspecialisten bij de Participanten. Door gedeelde kennis toegankelijk te maken, wordt die herbruikbaar. De droom daarbij is dat we komen tot een situatie dat de Participanten bij hun activiteiten op Informatiebeveiliging- en privacygebied de volgende beslisboom hanteren: 1. Bij voorkeur hergebruiken van materiaal binnen het CIP-netwerk; 2. Als dat niet (in voldoende mate) beschikbaar is, dan kiezen voor co-makership binnen het CIP-netwerk; 3. Als dit niet haalbaar is, vanwege tijdsdruk of andere gewichtige redenen, dan zelf ontwikkelen en als practice beschikbaar stellen aan CIP voor hergebruik. Het bereikt hebben van deze status, kan enerzijds gezien worden als een positieve indicatie van het vertrouwen dat Participanten hebben in CIP. Anderzijds geeft het aan dat de motor van de samenwerking op gang is en autonoom draait. Het organisme houdt zichzelf dan in stand, ten bate van de Participanten waaruit het bestaat. Deze doelstelling is zeer ambitieus en minder meetbaar dan de eerste twee resultaatgebieden, maar is voor CIP wel het leidende principe voor 2013/2014. Jaarplan: bijeenkomsten en werkverbanden in We gaan door met het beleggen van de halfjaarlijkse CIP-conferenties. In 2013 zijn deze voorlopig gepland op 6 juni en op 28 november. 2 3

3 De conferenties zijn gericht op het belichten van relevante ontwikkelingen, bedreigingen, oplossingen, etc. op het gebied van informatiebeveiliging en privacybescherming. De conferenties vormen daarbij tevens de gelegenheid voor: o Het breed delen van de resultaten van de domeingroepen; o Het breed onder de aandacht brengen van nuttige practices; o Onderling netwerkcontact; o Het versterken van het bewustzijn van gezamenlijkheid; Door het jaar heen zullen enkele rondetafelgesprekken worden georganiseerd. Dit zijn miniconferenties, gericht op ca. 20 à 25 deelnemers van een specifieke doelgroep en met een interactief karakter. Rondetafels worden belegd om relatief onbekende/ nieuwe onderwerpen vanuit verschillende invalshoeken te belichten. Rondetafels zijn co-producties van CIP met één of enkele Kennispartners. De domeingroepen (voor Ketens, Normen, Awareness en Privacy) vergaderen gemiddeld eens per maand. Op hun terrein behandelen zij onderwerpen met als doel de ontwikkelingen te monitoren, good practices te delen en tijdig acties te initiëren die gericht zijn op oplossingen, vorming van best pratices, voorstellen tot gemeenschappelijk beleid, etc. De domeingroepen bestaan uit vaste deelnemers vanuit verschillende Participanten en vormen als zodanig het fundament onder de samenwerking van CIP. Jaarplan: hoe wil CIP hulp bieden bij Emergency Response in 2013 Met enerzijds het groeiende belang van internet en mobiele apparaten voor overheidsdienstverlening en anderzijds het toenemende aantal cyberaanvallen, is scherpe aandacht voor weerbaarheid en herstelvermogen van groot belang. CIP wil op dit vlak hulp gaan bieden. Dit is mogelijk met de hulp van het inmiddels aanzienlijke netwerk van Kennispartners. De kern van deze faciliteit komt op het volgende neer. Weerbaarheid en herstelvermogen: het zodanig voorzien in zinvolle en actuele informatie over bedreigingen, kwetsbaarheden en oplossingen alsmede het faciliteren van de communicatie daarover, dat Participanten snel geholpen worden in het bepalen van hun response op actuele bedreigingen. Leervermogen: opbouwen van een collectief geheugen met de in de loop der tijd ontstane informatie t.a.v. analyses en oplossingen over kwetsbaarheden en dreigingen. Hierdoor bereiken we geleidelijk een grotere weerbaarheid en herstelvermogen. We beogen deze faciliteit in de loop van januari te starten. Dat zal klein beginnen en in de loop van de tijd versterken. Voor het organiseren van de informatievoorziening stellen wij ons het volgende voor. 1. Selectie van belangwekkende nieuwsfeiten uit de constante stroom van nieuwtjes in het domein van IB&P is van groot belang om te voorkomen dat met hagel wordt geschoten op alles dat langskomt. Voor de bepaling van wat echt belangrijk is, leunt CIP op NCSC en op afspraken met Kennispartners. NCSC en Kennispartners vervullen een triggerfunctie: feiten binnen de nieuwsstroom, waaruit zij de conclusie trekken dat daarop ingesprongen moet worden, melden zij direct aan CIP. 2. CIP stelt n.a.v. deze meldingen vast dat het thema om response vraagt. 3. CIP zet vervolgens onmiddellijk een vraag uit in het netwerk van Kennispartners, waarbij de individuele Kennispartners worden uitgenodigd hun analyse van het probleem te delen alsmede de gedragslijn of oplossingsrichting die zij adviseren. De contactpersonen plaatsen zonder tussenkomst de gevraagde informatie vrijelijk en onder eigen titel op cip.pleio. De informatie kan dus voorlopig zijn van karakter en kan mochten de inzichten in de loop van de dagen erop veranderen of verfijnen - bijgesteld worden. 4. Overheidsbedrijven (maar ook Kennispartners die aan deze faciliteit bijdragen) hebben de beschikking over deze informatie en kunnen hun beslissingen omtrent hun eigen response verrijken met deze informatie. 5. Ook onder de overheidsbedrijven worden contactpersonen benoemd die in het geval van dreigingen benaderd kunnen worden, toegang hebben op cip.pleio en daar hun inschattingen en maatregelen actief delen. Hiermee wordt de beschikbare informatie verder uitgebreid. 6. CIP-Centraal kan (in tweede instantie na afweging van de verschillende inputs) een CIP- Advies maken, maar het laat onverlet dat er door de beschreven werkwijze - dus al heel snelbruikbare info is. Ook een snel onderling gesprek kan helpen om grond onder de voeten te krijgen als de onzekerheid groot is. Daarvoor zullen in ieder geval de communicatiemogelijkheden worden ingezet van cip.pleio. Daarnaast wordt teleconferencing overwogen om als middel in te zetten. Met de in de loop der tijd verkregen informatie n.a.v. dreigingsituaties bouwt CIP een registratie op. Zo ontstaat geleidelijk een meer structureel inzicht in soorten dreigingen, kwetsbaarheden, mogelijke gedragslijnen en oplossingsrichtingen. Deze leer-effecten zullen langzaam maar zeker gaan bijdragen aan de snelheid en doeltreffendheid waarmee overheidsorganisaties zich teweer stellen tegenover dreigingen. Zo af en toe (we hopen natuurlijk niet al te vaak) kunt u een CIP-Flits in uw mailbox krijgen. We doen dit als we in staat zijn om snelle informatie te verschaffen over dreigingen die zich voor doen. FLITS 4 5 De eerste keer zullen we die naar u allen sturen. Mocht u er geen prijs op stellen, dan kunt u dat per retourmail aangeven.

4 Thema s van de domeingroep ketens in 2013 De continuïteit van de primaire bedrijfsprocessen van ketens. Veilige koppelvlakken tussen de organisaties. De vraag naar het noodzakelijke volwassenheidsniveau om te kunnen participeren in een keten. Verkenning middels een rondetafelsessie. Security by design: een werkgroep gaat de benadering uitwerken. Governance van ketens. Een delicaat onderwerp, omdat ketenregie ook betekent: bevoegdheden afstaan. De domeingroep brengt de problematiek in kaart door het bijeenbrengen van een rondetafel over het onderwerp. Thema s van de domeingroep normen in 2013 Ontwikkeling van een normenkapstok waarin de ongelijksoortige syntax, semantiek en overlap van huidige normenkaders stap voor stap worden opgelost. Het gaat niet om weer een nieuw normenkader, maar om herschikking van bestaand materiaal en best practices, in een structuur en syntax die herbruikbaar zijn en praktische uitwerkingen formuleert naar concrete deelgebieden. Er zal niet alleen tijd nodig zijn om dit proces in zijn geheel te doorlopen, maar ook om tegelijkertijd een breed draagvlak te genereren voor deze aanpak en de uitkomst. Daarom willen we duidelijke en nuttige tussenstappen maken. Stap voor stap worden bruikbare onderdelen opgeleverd. De eerste stap in het concreet en productief maken van het model betreft het consistent maken van de kapstok van het NCSCnormenkader en het daarmee laten aansluiten op de NORA en ISO 27001/2. De werkgroep doet dat in samenwerking met de trekker van NORA, het NCSC en overige deelnemers van CIP. Het doel is in mei 2013 een eerste concept te presenteren dat kan dienen als universeel model voor toegespitste normenkaders voor andere deelterreinen. Thema s van de domeingroep Awareness in 2013 Concrete bijdrage leveren aan het vergroten van security awareness, gericht op nieuwe ontwikkelingen zoals mobile devices, Het Nieuwe Werken en cloud computing. Het ontwikkelen van een security awareness APP, welke inspeelt op de behoefte van verschillende doelgroepen. Dit kan beginnen bij een elektronische folder en verder uitgebouwd worden (bijvoorbeeld met Business Intelligence). Borgingsmechanisme ontwikkelen, waarmee bewaakt wordt dat awareness programma s niet incident gestuurd zijn maar regulier ingeregeld. Onderling structureel aanbieden van beschikbare good practices m.b.t. awareness programma s. Thema s van de domeingroep Privacy in 2013 Bevorderen dat informatieketens uniforme niveaus van privacybescherming gaan bieden, zodat gegevensuitwisseling beter wordt gefaciliteerd en privacybescherming beter en breder wordt verankerd. Introductie van een situationeel afgewogen (flexibele) toepassing van privacybescherming. Behoefte aan of recht op privacy kunnen verschillen in situaties, bij personen of in organisaties. De domeingroep wil tot praktische aanwijzingen komen voor de toepassing. Aspecten die hierbij meegenomen worden, zijn doelbinding van gegevensgebruik in samenwerkingsketens en de privacyrisico s die samenhangen met eenmalige uitvraag/hergebruik. Als een van de eerste concrete activiteiten in 2013 zal de domeingroep een inventarisatie doen van de verschillen in de wet- en regelgeving op het punt van privacybescherming. Ook de invloed van Brusselse ontwikkelingen op de Nederlandse situatie en de ontwikkelingen van geautomatiseerde klantprofilering hebben de aandacht van de domeingroep. 6 7

5 Man-in-the-Middle attacks vragen om PKI maar dan anders Door Maarten Stultjens Elephant Security De uitgifte van een paspoort verloopt plechtig. Ongeveer op dezelfde manier is de uitgifte van Als we (1) vast stellen dat we kunnen vertrouwen De drager van een certificaat hoeft geen smart card PKI-certificaten geïmplementeerd. Het doel van een op het authenticatieproces dat een organisatie heeft meer te zijn maar kan uw computer of device zijn. U gaat naar het loket van uw gemeente binnen PKI-certificaat is de authenticiteit van de persoon te ingericht en (2) het distributieproces van certificaten In een hacking-demo laat Sten Kalenda - destijds garanderen op een zodanige manier dat anderen kunnen automatiseren, dan ontstaan er legio nieuwe verantwoordelijk voor de technische realisatie van de openingstijden, overlegt vingerafdruk, een (landen of organisaties) hierop kunnen vertrouwen. mogelijkheden voor versleuteling en ondertekening. PKI-Overheid - zien hoe eenvoudig een man-in-themiddle attack is als u zonder client-certificaat (dus pasfoto, uw oude reisdocumenten en betaalt Een PKI-certificaat dient echter niet alleen voor de Certificaten kunnen met flexibele gebruikers- uitsluitend server-side SLL/TLS) communiceert. authenticatie, maar ook voor het versleuteld attributen worden ingericht, waarvan services weer EUR Na een week is uw nieuwe pas- communiceren en het tekenen van documenten. gebruik kunnen maken. Certificaten kunnen een Sten toont tevens aan hoe met standaard Omdat de certificaat-technologie alom wordt gezien korte geldigheid hebben waardoor er geen beheer Nederlandse gepatenteerde en toegepaste PKI- poort klaar, ontvangt u het persoonlijk opnieuw als een technisch ideale, open en nodig is en de attributen op dagbasis kunnen technologie data-in-motion kan worden beveiligd en gestandaardiseerde technologie, is geprobeerd om wijzigen. Verlies en heruitgifte zijn geen probleem welke mogelijkheden dat biedt voor cloud-diensten, bij het loket gedurende de openingstijden en deze toe te passen binnen en tussen organisaties. meer. VPN- en WiFi-verbindingen en machine-naar- De administratieve en juridische rompslomp, de machine communicatie. kunt u het 5 jaar gebruiken... Ongeacht wat er kosten en de gebruikersonvriendelijkheid hebben ertoe geleid dat de business case voor een brede in de tussenliggende tijd met u gebeurt. Even- uitrol van PKI-ontbreekt en er uiteindelijk zonder certificaten wordt gewerkt. tueel kunt u een tweede paspoort krijgen als Juist in een tijd waarin we buiten het eigen u gaat reizen naar landen die een onderling organisatiedomein moeten communiceren (het nieuwe werken, cloud adoptie en machine-naar- conflict hebben. Bij verlies of diefstal van uw machine communicatie) is er behoefte aan een oplossing voor het versleutelen en ondertekenen paspoort gaat u eerst naar de politie waarna van informatie. Hoe zouden we zonder de hierboven beschreven rompslomp deze onomstreden een lastig blokkerings- en heraanvraagproces technologie in kunnen zetten om communicatie via het publieke netwerk te beveiligen? kan worden gestart, waarbij een verblijf in het buitenland het allemaal niet makkelijker maakt. 8 9

6 De ambitie voor een gekwalificeerde beroepsgroep Fred van Noord: Fred van Noord is management consultant bij VKA en heeft ruim 20 jaar ervaring met vraagstukken op het gebied van informatiebeveiliging en service management. Fred heeft jarenlange bestuurlijke en organisatorische ervaring in beroepsorganisaties. Fred stimuleert als voorzitter van de beroepsvereniging PvIB (Platform voor Informatiebeveiliging, de professionalisering van de beroepsgroep. Het interview van PvIB-bestuursleden met Neelie Kroes, EU-commissaris voor ICT en Telecommunicatie over Trust & Security in de Digitale Agenda voor Europa van 2010, beschouwt hij als een belangrijke impuls voor de professionalisering van het vakgebied. Professionalisering van de beroepsgroep informatiebeveiligers is een belangrijk doel van het Platform voor Informatiebeveiliging (PvIB). Onder het motto professionals voor professionals groeit de beroepsvereniging al jarenlang en slagen we er in om soms meer dan 200 deelnemers op een themabijeenkomst te verwelkomen. PvIB biedt op verschillende manieren een podium aan professionals om hun praktijkervaring te delen en te verdiepen en wil op die manier bijdragen aan de steeds groter wordende maatschappelijke relevantie van het vakgebied. Uit onderzoek is gebleken dat kwalificatie wenselijk is en als urgent wordt gezien en dat er draagvlak voor is. Neelie Kroes, EU-commissaris voor ICT en Telecommunicatie benadrukte in 2010 in haar interview met PvIB-bestuurders, om kwalificatie te beschouwen vanuit het perspectief van Europa. De vraag naar kwalificatie is actueel vanwege het niet-aflatende aantal incidenten met economische, maatschappelijke, sociale en politieke impact. Diginotar, Stuxnet, Veere, Lektober en Amerikaanse toegang tot de Nederlandse cloud maakten dat kwalificatie ook op de politieke agenda staat. In april 2012 is op het Algemeen Overleg van minister Opstelten (Veiligheid & Justitie) met Tweede Kamerleden naar aanleiding van recente security incidenten geconstateerd dat er gebrek is aan kennis en gebrek aan capaciteit op ons vakgebied. Een van de parlementariërs stelde de vraag hoe de minister staat tegenover de realisatie van een kwalificatieieschema dat de kwaliteitsborging van de beroepsgroep informatiebeveiligers eenduidig maakt en bewaakt. Het antwoord van Opstelten was duidelijk: Het is van belang dat we in Nederland kwalitatief hoogwaardige informatiebeveiligers bezitten. Initiatieven van de beroepsgroep juich ik toe, en we zullen ervoor zorgen dat we in gesprek komen en blijven. Dat parlementariërs kwalificatie expliciet op de politieke agenda plaatsen is verheugend. De overheid heeft in haar eigen Nationale Cyber Security Strategie overigens ook al een paragraaf opgenomen over de kwalificatie van de beroepsgroep. Het CEN (European Committee for Standardization) ontwikkelde het European e-competence Framework (e-cf) waar 23 beroepsprofielen binnen de ICT zijn gedefinieerd. Het doel van het e-cf is om een algemeen gedeeld Europees hulpmiddel te hebben om organisaties en opleidingsinstellingen te ondersteunen bij werven, belonen, leerprogramma s, carrièrepaden en ontwikkeling van professionals. Het ministerie van EL&I ondersteunt de implementatie van het e-cf in Nederland en heeft de uitvoering daarvan belegd bij ECP (Electronic Commerce Plaform Nederland). Voor het ontwikkelen van een kwalificatiesysteem voor informatiebeveiligers is een projectvoorstel geschreven. Als het tot uitvoering komt van dit projectvoorstel dan zullen over enkele jaren jonge talenten, na hun middelbare schoolopleiding, kunnen kiezen voor opleidingen information risk management en IT- Security op mbo-, hbo- en wo-niveau. Ook weten de huidige informatiebeveiligers dan beter wat ze kunnen doen om hun professionele ontwikkeling verder uit te bouwen. Zij komen dan, met recente kennis uit onderzoeksinstellingen, beschikbaar voor de arbeidsmarkt en leveren een bijdrage aan een veilige digitale wereld

7 Lid worden van cip.pleio Cip.pleio is een deelsite binnen Stap 2: log in bij Pleio Hier kunt u inloggen met het adres en Uw aanvraag wordt nu automatisch Pleio is een samenwerkingsplatform voor Ga naar en vul uw gebruikersnaam wachtwoord dat u voor Pleio heeft opgegeven. doorgestuurd naar de beheerder van de deelsite, (semi)-overheidsmensen. Om toegang te krijgen en wachtwoord in. Tip: de meeste browsers accepteren cip.pleio. die de aanvraag accepteert (kan mogelijk 1 of 2 tot cip.pleio is eerst een Pleio-account nodig. Typ cip in het zoekboxje bovenin het scherm. nl als voldoende adressering. dagen duren). Alle medewerkers van overheidsorganisaties De deelsite (herkenbaar aan ons logo) staat in Uitloggen doet u in het pulldown menu bij uw Wanneer het lidmaatschap gehonoreerd is kunnen zo n account aanvragen. de lijst die verschijnt. naam, rechtsboven in het scherm. (u ontvangt weer een ter bevestiging), kunt u de pagina van de groep zonder meer Stap 1: vraag account aan voor pleio Stap 3: aanmelden voor deelsite cip.pleio Lid worden van een Domeingroep op cip.pleio benaderen. Ga naar Rechts op de openings- Klik op de knop Lidmaatschap aanvragen. Uw Voor iedere domeingroep is een aparte pagina pagina kunt u zich registreren. aanvraag wordt nu automatisch ingericht, die onder het beheer staat van de be- Schrijf in met uw zakelijke adres (alleen doorgestuurd naar de beheerder van de heerder van de domeingroep. Wilt u meedoen, adressen van overheidsbedrijven worden deelsite, die de aanvraag accepteert (kan meelezen en meebepalen met wat in een domein- toegelaten). mogelijk 1 of 2 dagen duren). Van deze actie groep omgaat, dan kunt u als volgt lid worden. NB: het vinkje om op de hoogte gehouden te ontvangt u een . Na ingelogd te zijn op cip.pleio: klik op een worden kunt u ook later nog zetten. domeingroep en vraag het lidmaatschap aan. U ontvangt een met daarin een Inloggen en uitloggen op de deelsite van CIP activeringscode. Nadat u deze heeft aangeklikt, Na toekenning van de lidmaatschapsaanvraag bent u lid van Pleio. voor de deelsite cip.pleio, kunt u inloggen op deze site. De URL van de site is Wat is en voor wie is het bestemd? Cip.pleio is een besloten site, die opgezet is voor de ondersteuning van de samenwerking binnen het Centrum Informatiebeveiliging en Privacybescherming. Medewerkers van overheidsbedrijven die geïnteresseerd zijn in het delen en ophalen van kennis en meewerken aan de opbouw van kennis binnen de CIPsamenwerking, kunnen zich aanmelden als deelnemer op de site. Aangezien de site een besloten karakter heeft, volgt er na aanmelding een procedure per mail voor toelating. Medewerkers van Kennispartners krijgen toegang als zij een rol hebben in de Emergency Response faciliteit of deelnemen in werkgroepen

8 Brenno Tot de Winter: in het hart gehacked Tientallen gemeenten, ministeries, bestuurs- Totaal gehackt organen en bedrijven zijn deze zomer zo Wie een versleuteld document aanklikt, ontcijfert het gehacked dat de criminelen toegang hadden virus en raakt ook besmet. Op die manier tot alle bedrijfsdocumenten. Alle firewalls, verspreidt het virus zich razendsnel door de detectiesystemen en overige veiligheidsmaatregelen ten spijt, bleek het eenvoudig organisaties. organisatie en via het uitwisselen ook tussen om binnen te komen en dan is er volledige toegang. Infecteer een gemeente en geleidelijk zal de hele regio worden geïnfecteerd. En zoals ET al vroeg Dorifel is door de media aangeduid als een om phone home doet Dorifel het ook. Het neemt virus. Na het infecteren van een computer contact op met het moederschip dat gecodeerd in ging het aan de slag door Word en Excel te het virus stond geprogrammeerd. Op die manier kan zoeken op vooral het netwerk. Het vermoeden er een nieuwe versie worden gegeven en vallen dus bestaat dat dit virus zich op bedrijfsmatige de computers in de organisatie te misbruiken. systemen richt, omdat het vooral kijkt op netwerkschijven. De versleuteling is erg Wat Dorifel zo pijnlijk maakt, is dat het virus defacto eenvoudig en lijkt vooral als doel te hebben toegang heeft tot de interne organisatie en dus ook om het virus dat in de documenten wordt bij documenten kan komen, die normaliter verborgen horen te blijven. Waar het overheden betreft, verstopt te verbergen. Een slimme truc. Als een virusscanner ooit Dorifel kan herkennen zijn het precies de documenten die ik met Wob-verzoeken vaak niet geopenbaard krijg. U kunt pro- dan is het document dus verborgen en volstaat de handtekening van het virus niet cederen wat u wilt, maar de criminelen hebben meer voor detectie. transparantie dan een burger ooit zal krijgen. Moeilijk, maar toch detecteerbaar Of het nu een gemeente, de Belastindienst, DUO, ziekenhuizen, huisartsenposten, vervoersbedrijven, een handelsonderneming of het UWV betreft: als ze geïnfecteerd zijn, ligt de wereld open. En het nare is dat virusscanners het virus niet herkenden. Dat had twee redenen. Om te beginnen bleken de infecties hun zwaartepunt in Nederland te hebben en daarmee - op wereldschaal bekeken - nogal regionaal te opereren. Dat is weinig interessant voor antivirusleveranciers, die vaak mondiaal kijken. Het toevoegen van een checksum (een controlegetal op een bestand) is niet effectief, omdat het virus zich ook muteerde en er dus updates van het virus ontstonden. Wie vermoedde dat zijn computer was geïnfecteerd, ontdekte maar weinig. Als u op CTRL+ALT+DEL drukt om de processen te bekijken, sloot het virus zichzelf af. Na een herstart werd het weer actief. Dat is slim. Uiteindelijk werd het toch ontdekt en wel om een hele simpele reden: er waren soms teveel processen op het netwerk actief, die bestanden wilden versleutelen. De netwerken werden traag. Misschien is het zorgwekkende dat, als de code nog iets beter zou zijn uitontwikkeld, u het maar moeilijk had kunnen ontdekken. Dat stemt tot nadenken. Defacto heeft dus de organisatie gehacked en criminelen kunnen zich begeven binnen de systemen. De denksprong is niet ingewikkeld om te beseffen dat men die computers ook op afstand kunt bedienen en bijvoorbeeld hackertools kunt installeren. Het netwerk is van binnenuit te hacken. Vergeet de firewall maar, want de toegang is compleet