Waarschuwingsdienst.nl

Transcriptie

1 Jaaroverzicht_2009

2 GOVCERT.NL is het Computer Emergency Response Team van de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incident response en kennisdeling zijn hierbij sleutelwoorden. Waarschuwingsdienst.nl is een bron van informatie over veilig internetten voor burger en kleinbedrijf. De Waarschuwings- dienst geeft voorlichting en adviezen over computerbeveiliging. Daarnaast waarschuwt deze dienst tegen computervirussen, wormen en beveiligingslekken in software. Pagina 2 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

3 Inhoud Jaaroverzicht_ _Voorwoord General manager 4 01_Januari Internationaal oefenprogramma 6 02_Februari Middelen voor monitoring 7 03_Maart Kennisproducten 8 04_April Trends & ontwikkelingen 9 05_Mei Internationale samenwerking 10 06_Juni Kennisdeling en -uitwisseling 12 07_Juli Publieksinformatie 13 08_Augustus Organisatie en dienstverlening 15 09_September Incidenten 17 10_Oktober Advies en waarschuwingen _November Deelnemers 20 12_December Nationale Veiligheid 22

4 Voorwoord GOVCERT.NL is een kleine overheidsorganisatie met grote impact dat laat het jaaroverzicht van 2009 opnieuw zien. Hieruit blijkt ook dat de expertise van GOVCERT.NL steeds vaker wordt gevraagd bij het voorkomen en bestrijden van internetcriminaliteit. We verzetten met een minimum aan mensen, veel werk om Nederland veiliger te maken op het gebied van ICT-gerelateerde incidenten en cybersecurity. Wat er ook gebeurt, we staan altijd 24/7 paraat met dienstverlening aan onze deelnemers: incident response, monitoring van het internet, kennisdeling en maatwerkadvies. Kwaliteit staat bij al onze producten en diensten hoog in het vaandel. Ons derde Trendrapport Cybercrime is daar een duidelijk voorbeeld van. Maar ook de klanttevredenheidsmeting onder onze deelnemers met als resultaat een 7,6. Uit de evaluatie van de deelnemers aan ons jaarlijkse symposium komt een tevredenheid van 8,4 naar voren. GOVCERT.NL staat niet alleen maar bekend als een betrouwbare ICT-response-organisatie, we worden ook meer en meer nationaal en internationaal gezien als een expertorganisatie. En het mag duidelijk zijn dat je cybercrime alleen kunt bestrijden en voorkomen met specialisten. We zijn onderdeel van een wereldwijd CERT-netwerk en weten waar we het over hebben als het gaat om incident response, cybersecurity en cybercrime. Het afgelopen jaar heeft GOVCERT.NL zich ingezet om de Nederlandse overheid en Nederland in z n geheel ICT-veiliger te maken. Ik ben zeer trots op onze resultaten en op alle experts van GOVCERT.NL. Elly van den Heuvel general manager Pagina 4 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

5 Management Samenvatting De ICT-veiligheid van Nederland staat onder toenemende druk. Daarbij hebben zowel overheid, als bedrijfsleven en burger hun eigen verantwoordelijkheid bij het bestrijden van bijvoorbeeld internetcriminaliteit. GOVCERT.NL ondersteunt overheidsorganisaties in het voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten en adviseert burgers, onder andere via de waarschuwingsdienst.nl, over veilig gebruik van de thuiscomputer. Nederlanders zijn zich nog te vaak niet bewust van de gevaren van het internet. Bijvoorbeeld door het onvoorzichtig omspringen met gegevens via websites of sociale netwerken. GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid, helpt Nederland ICT-veiliger te worden. We zijn een kleine organisatie, met een uitgebreide dienstverlening. Zo leveren we onze deelnemers expertise en advies op het gebied van ICT-Veiligheid, zodat zij zichzelf weerbaarder kunnen maken tegen ICT-risico s. Ook ontwikkelen wij softwareprogramma s die snel digitale dreigingen opsporen. Daardoor kunnen onze deelnemers incidenten voorkomen en kunnen Nederlanders veiliger internetten en hun pc gebruiken. Ons Trendrapport 2009 signaleert de trends op het gebied van cybercrime. Hierdoor weet iedereen voor welke huidige en toekomstige problemen, oplossingen gevonden moeten worden. Internetcriminelen houden zich niet aan landsgrenzen. Daarom werken wij intensief samen met internationale CERT s en andere bestrijders van cybercrime en delen we kennis, verbeteren die en wisselen we die kennis uit. Het beschermen van overheidsorganisaties en organisaties met een vitaal belang (zoals de energie-, telecom- en bancaire sector), moet de aandacht krijgen die het verdient en ook daar is een intensivering van belang. Meldplicht voor incidenten en afgedwongen patchbeleid bij de overheid zijn daarbij belangrijke peilers, om structureel inzicht te krijgen in de huidige problematiek van ICT-veiligheid én onveiligheid bij organisaties die van essentieel belang zijn voor de bescherming van Nederland. De veiligheidsproblemen van het internet waren ook in 2009 weer nadrukkelijk merkbaar. Het wereldwijde web is niet ontwikkeld met de focus op veiligheid en de gevolgen daarvan worden zoals gezegd steeds zichtbaarder. De risico s groeien, nu de gehele samenleving, de economie en de overheid, in toenemende mate afhankelijk zijn van het internet. De komende jaren is het om die reden noodzakelijk om blijvend te investeren in mensen en middelen op het gebied van cybersecurity. Cybercrime neemt hand over hand toe; experts, kennis en middelen moeten dito toenemen, willen we het gevecht winnen en ICT- veiligheid kunnen garanderen. Dit jaaroverzicht is verdeeld in een onderwerp per maand. Aan de hand van een actuele gebeurtenis in deze maand, informeren we u over het werk van GOVCERT.NL. Pagina 5 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

6 01_Januari Internationaal oefenprogramma GOVCERT.NL organiseert internationale oefening Eind januari ontvangen de deelnemers het verslag van een oefening die eind 2008 gehouden is en waarvan GOVCERT.NL deze keer de organisator en coördinator is. De oefening vindt plaats vanuit het International Watch and Warning Network (IWWN), een informeel samenwerkingsverband van 15 landen. GOVCERT.NL vertegenwoordigt Nederland in de IWWN vanuit de CERT-rol voor incident response en is ook het nationaal contactpunt vanuit Nederland voor dit samenwerkingsverband. Nationaal en internationaal is er groeiende aandacht voor het voorkómen van grootschalige ICT-verstoringen. Tegelijkertijd maken risico-inventarisaties duidelijk dat de kans op dit soort grootschalige verstoringen reëel is en de impact toeneemt als gevolg van de groeiende afhankelijkheid van ICT voor vitale en niet-vitale processen. Om optimaal voorbereid te zijn op ICT-verstoringen, wordt nationaal en internationaal regelmatig geoefend, vaak in verschillende verbanden, zowel formeel als informeel. Zo draait GOVCERT.NL mee in het oefenprogramma van het IWWN. Door een cyberaanval te oefenen, zijn we voorbereid bij een echte aanval waardoor Nederland beter beveiligd is. Bij toerbeurt organiseert en coördineert één van de deelnemende landen een oefening. Eind 2008 was het de beurt aan Nederland, die door GOVCERT.NL georganiseerd is. Doel van deze oefening was de bereikbaarheid van deelnemende organisaties te oefenen in tijden van crisis. Daarom werd, zonder melding vooraf, via diverse communicatiekanalen een bericht verstuurd, met het verzoek hierop binnen 24 uur te reageren. De resultaten bevestigen het belang van oefenen, want niet alle partijen waren in staat tijdig en adequaat te reageren. De insteek van het oefenprogramma dat gehanteerd wordt, is om de complexiteit en het realisme van de oefeningen toe te laten nemen met elke nieuwe oefening, én te komen tot een goede set aan procedures waarin beschreven staat hoe afstemming plaats kan vinden bij een grootschalig, internationaal incident. Dit is een informeel netwerk waarin 15 landen participeren: Australie, Canada, Duitsland, Finland, Frankrijk, Hongarije, Japan, Italië, Nederland, Nieuw Zeeland, Noorwegen, Verenigd Koninkrijk, Verenigde Staten, Zweden en Zwitserland. De samenwerking is gebaseerd op wederzijdse belangen om gezamenlijk verder te komen met beleid rondom cyber security en de respons bij grootschalige, internationale incidenten. Deelname vindt plaats vanuit verschillende rollen binnen de overheid: beleid, opsporing & handhaving en operatie (CERT). GOVCERT.NL vertegenwoordigt Nederland in de IWWN vanuit de CERTrol voor incident response en is ook het nationaal contactpunt vanuit Nederland voor de deze groep. Er vinden meer internationale oefeningen plaats, waarbij GOVCERT.NL vaak betrokken is vanuit haar rol als expert in de voorbereiding, dan wel als speler vanuit de overheid voor respons op ICT-verstoringen. Het belang van oefenen is bekend, toch gebeurt het nog in beperkte mate in nationaal en internationaal verband. De komende jaren zal dan ook vanuit GOVCERT. NL gewerkt worden aan het stimuleren en ondersteunen van nieuwe oefeningen. Alleen zo worden de verschillende publieke en private belangen en rollen, nationaal en internationaal, bij elkaar gebracht en kunnen we zorgen voor de noodzakelijke verbeteringen om bij crisis gezamenlijk goed beslagen ten ijs te komen. Pagina 6 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

7 02_Februari Middelen voor monitoring HoneySpider Network Tool met belangstelling ontvangen in Kuala Lumpur Van 25 tot 28 februari bezoeken specialisten van GOVCERT.NL een bijeenkomst van The Honeynet Project in Kuala Lumpur. Zij presenteren daar aan een internationaal (onderzoeks)gezelschap de HoneySpider Network Tool. Dit instrument, dat samen met Surfnet en CERT Polska is ontwikkeld, zoekt naar verdachte websites die via een browser een computer proberen te infecteren. De eerste versie van de sofware zal begin 2010 gereed zijn. Een aantal internationale CERT s en securitygroepen helpen bij het testen van de software. De ontwikkeling van tools om het CERT-werk te vergemakkelijken én te verbeteren, is een activiteit die meer en meer in samenwerking met andere (buitenlandse) organisaties plaatsvindt. De HoneySpider Network Tool geeft de mogelijkheid om grote hoeveelheden websites te testen, wat een grote hulp is voor security specialisten. Hoe sneller kwaadaardige websites immers worden gedetecteerd, hoe sneller er ingegrepen kan worden. Wij ontwikkelen softwareprogramma s die snel digitale dreigingen opsporen. Daardoor kunnen onze deelnemers incidenten voorkomen en kunnen Nederlanders veiliger internetten en hun pc gebruiken. In 2009 zijn de laatste mijlpalen van het project gerealiseerd. Zo is de highinteraction Honeyclient ontwikkeld en zijn de specificaties uitgewerkt voor de ontwikkeling van de webinterface. Negen organisaties meldden zich aan om het HoneySpider Network Tool te gebruiken, waarvan het merendeel CERT s. Tijdens het GOVCERT.NL Symposium in oktober tekenden zes van hen een gentlemen s agreement voor het gebruik van de software speurt 7 dagen per week, 12 uur per dag het internet af, op zoek naar digitale dreigingen en kwetsbaarheden en controleert dagelijks alleen al meer dan 900 bronnen. Alle informatie die uit deze bronnen voortkomt, moet verwerkt worden. Daar helpt Taranis bij: het is een applicatie die de workflow ondersteunt bij het verzamelen, analyseren en publiceren van informatie. Taranis ondersteunt GOVCERT.NL al sinds 2008 in haar kernactiviteiten en is in 2009 beschikbaar gesteld aan collega-cert s. Inmiddels hebben CERT s uit acht verschillende landen interesse getoond in Taranis en maken enkelen van hen ook al daadwerkelijk gebruik van deze tool. Hun ervaringen gebruikt GOVCERT.NL om Taranis verder te ontwikkelen en te verbeteren. Malwarelab In 2009 heeft GOVCERT.NL een workshop georganiseerd voor enkele Europese CERT s over malwarelabs. De workshop was georganiseerd om de onderlinge problemen en behoeftes met betrekking tot malware-analyse in kaart te brengen en de samenwerking te bevorderen. Resultaten van deze workshop hebben we gepresenteerd tijdens een meeting van de Europese Government CERT s (EGC) in Madrid. De Finse CERT organiseert een vervolg op deze workshop. Taranis Taranis is een andere bekende tool van GOVCERT.NL. Taranis is ontwikkeld om de waakdienst van GOVCERT.NL te ondersteunen. De waakdienst GOVCERT.NL is in 2009 ook begonnen met de implementatie van de infrastructuur en software voor het ontvangen en analyseren van malware. Ook hierbij zoeken we de samenwerking met partners. Pagina 7 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

8 03_Maart Kennisproducten GOVCERT.NL waarschuwt met factsheet voor ernstige zwakheden door gebruik van MD5 Op 30 maart 2009 publiceert GOVCERT.NL de factsheet FS over Zwakheden in de internet PKI door gebruik van MD5. Hierin wordt een ernstige zwakheid in de PKI van het internet beschreven, waaruit blijkt dat een getekend certificaat van een website vals kan zijn. Met andere woorden: Het is niet meer gegarandeerd dat er een beveiligde verbinding tot stand komt met de juiste website. De factsheet over deze zwakheden is veel geraadpleegd en heeft veel stof doen opwaaien. Er zijn nog meer factsheets verschenen in 2009 die voor deelnemers, maar ook voor andere partijen bijzonder relevant bleken. Factsheets zijn korte, praktische instrumenten om een groter publiek te bereiken. Alle factsheets zijn ook in het Engels vertaald en te downloaden vanaf onze website We publiceren ook whitepapers. Dit zijn langere documenten met achtergrondinformatie, die specifiek bedoeld zijn voor de deelnemers van GOVCERT.NL. Afhankelijk van de relevantie voor de doelgroepen en rubricering worden ze gepubliceerd op onze website, of specifiek gericht aan onze deelnemers en partners in verband met vertrouwelijkheid. Voorkomen is beter dan genezen. Daarom leveren we onze deelnemers expertise en advies op het gebied van ICT-Veiligheid, zodat zij zichzelf weerbaarder kunnen maken tegen ICT-risico s. Factsheets in 2009 Kwetsbaarheden in internet PKI Grenzen aan cryptogebruik Mogelijk lekken van geheime sleutel bij gebruik van RSA-CRT in smartcards Grenzen aan cryptogebruik, Engelse versie TCP-kwetsbaarheid TCP sockstress Afluisteren GSM-communicatie dichterbij Whitepapers in 2009 Telewerken Raamwerk Beveiliging Webapplicaties Kennis voor beleid Het ontsluiten van kennis voor beleidsmedewerkers binnen de overheid heeft in 2009 meer vorm gekregen. De grote hoeveelheden informatie waarover we beschikken, zowel uit eigen waarneming als vanuit de CERT-community, vertaalden we meer en meer naar informatie die als input voor beleid kon dienen. Immers, digitale veiligheid staat hoog op de agenda van het kabinet en om nog beter beleid te ontwikkelen is goede informatievoorziening nodig. We doen dat door bepaalde kennisproducten speciaal van een beleidskatern te voorzien, zoals het Trendrapport, maar ook door tussentijds op andere manieren belangrijke ontwikkelingen onder de aandacht van de beleidsmakers te brengen. De media Tot slot is ook de media een essentiële schakel in kennisdeling, met name naar de professionele computergebruiker (vak- en branchemedia) en de thuis gebruiker (dagbladen en sites). Door veelvuldig contact te hebben met de media, wordt het onderwerp cybercrime en computerveiligheid geen thema voor security specialisten alleen, maar ontstaat er bewustwording over veilig internetten en verantwoord omgaan met persoonlijke gegevens en de computer. Pagina 8 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

9 04_April Trends en ontwikkelingen Ghostnet is een voorbeeld van een gerichte aanval met ideologisch motief Begin april werd het nieuws beheerst door de zogenaamde Ghostnetcase. Meer dan 1000 computers van officiële instanties in 103 landen bleken geïnfiltreerd door een botnet, op zoek naar gevoelige documenten. Ook werd correspondentie van de Dalai Lama gestolen. Speurwerk wees in de richting van China als de locatie van herkomst van de aanval. Ghostnet kreeg een plaats in het later gepubliceerde Trendrapport Cybercrime 2009 van GOVCERT.NL. De casus is beschreven in het hoofdstuk Macht en ideologie als drijfveer, waarin duidelijk wordt dat er steeds meer gerichte aanvallen plaatsvinden met een ideologische of politieke motivatie. veel kanten bijval kreeg. Maar er is geen eenduidige snelle oplossing voor deze fundamentele kwetsbaarheden, mede omdat hiervoor heel veel partijen wereldwijd nodig zijn. Dat weerhield ons er niet van een aantal zaken concreet aan te bevelen, zoals het invoeren van DNSSEC voor een veiliger infrastructuur. Daarmee is ook in Nederland inmiddels begonnen. Het internet wordt er niet veiliger op, meldt het trendrapport Door de trends te signaleren, weet iedereen voor welke huidige en toekomstige problemen oplossingen gevonden moeten worden. GOVCERT.NL doet daarvoor aanbevelingen. Trendrapport Cybercrime 2009 nieuwswaardig Het Trendrapport 2009 kreeg veel aandacht van vakgenoten en de media. Vooral het feit dat GOVCERT.NL aanraadt om voor het delen van vertrouwelijke informatie geen online webdiensten te gebruiken bleek nieuwswaardig. Inderdaad signaleerden we dat de opkomst van cloud computing naast vele voordelen, ook risico s met zich mee brengt. Veel gebruikersgemak heeft een keerzijde in de vorm van extra beveiligingsrisico s. De kernboodschap van het Trendrapport 2009 luidt niets voor niets: het internet wordt er niet veiliger op. GOVCERT.NL beschreef de barsten in de fundamenten van het internet (protocollen zoals DNS, BGP en TCP) en de risico s van verouderde cryptografie. Een verhaal dat overigens van Nationaal trendrapport In het jaarlijkse Trendrapport signaleren we een aantal trends op het gebied van cybercrime, internetgebruik en samenwerking en daarnaast doen we aanbevelingen. Deze vallen uiteen in heel praktische basismaatregelen voor beheerders en specifieke aanbevelingen naar aanleiding van de gesignaleerde trends. Een concept dat tot nog toe goed bevalt. Maar tegelijkertijd is er behoefte aan een breder beeld van trends en ontwikkelingen op het terrein van ICT-security en cybercrime. Naar aanleiding van deze behoefte heeft GOVCERT.NL een haalbaarheidsstudie voor een Nationaal Trendrapport uitgevoerd. In de opzet van een Nationaal Trendrapport zal mede input geleverd worden door de KLPD, AIVD, NCTb en andere partijen, om tot een integraal beeld te komen. Eind 2009 is het idee voor een Nationaal Trendrapport met enthousiasme ontvangen en zijn voorbereidingen getroffen voor daadwerkelijke publicatie in Pagina 9 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

10 05_Mei Internationale samenwerking Initiating Change thema symposium 2009 In mei 2009 startten we bij GOVCERT.NL met de voorbereidingen van ons jaarlijkse ICT- security symposium. Het thema Initiating Change kreeg vorm en dat betekende dat er ter plekke tijdens het symposium concrete initiatieven zijn opgestart met onze internationale partners. Initiating Change kozen we als thema omdat het ons uit het hart gegrepen was. Jarenlange samenwerking op het gebied van incident response en preventie met vele partners, is niet genoeg gebleken om het gevaar van cybercrime te weren. Wat te doen? Nog meer bewustwording, nog meer samenwerken? Een daadwerkelijke ommekeer in denken en doen was nodig, zo vonden we bij GOVCERT.NL. Het thema Initiating Change was geboren en werd meteen op diverse fronten ingevuld. Internetcriminelen houden zich niet aan landsgrenzen. Daarom werken wij intensief samen met internationale CERT s en andere bestrijders van cybercrime. Concrete initiatieven Zo werden de voorbereidingen getroffen voor een speciale sessie tijdens het symposium, waarbij de hoofden van alle CERT s werden uitgenodigd. Want hechte samenwerking op operationeel niveau is aan de orde van de dag, maar op tactisch en strategisch niveau was dat minder. Het uitwisselen van jaarplannen, strategische besluiten, opleidingsvragen: veel zaken werden door de CERT s afzonderlijk geregeld. Elly van den Heuvel van GOVCERT.NL zette zich persoonlijk in voor een verandering op dat gebied. Tijdens het symposium bleek het een succesvol initiatief: 10 hoofden van CERT s deelden informatie én ideeën voor meer samenwerking. Het heeft inmiddels geleid tot een betere uitwisseling van tools voor onderzoek. Daarnaast kreeg internationale samenwerking vorm op het podium, voor het oog van het publiek. AIVD, KLPD (Team High Tech Crime), Microsoft, een internationale CERT (CERT-Polska) en GOVCERT.NL kwamen samen op het podium om zichtbaar te maken welke initiatieven gezamenlijk aangepakt worden en welke gepland zijn om cybercrime het hoofd te bieden. Markt, opsporing en CERT-community sloegen zo de handen ineen. Uit de evaluatie die deelnemers hebben ingevuld kwam een positief beeld naar voren. Het symposium behaalde een 8,4, een cijfer om trots op te zijn. Bij het samenstellen van het programma was nog nadrukkelijker dan voorheen rekening gehouden met de diversiteit van de bezoekers. Zowel bijvoorbeeld technisch specialisten als beleidsmedewerkers konden voor hen interessante presentaties kiezen. Deelname aan internationale samenwerkingsverbanden Internationale samenwerking is onmisbaar in de strijd tegen cybercrime. Samenwerking door kennis, ideeën en visies met elkaar te delen. GOV- CERT.NL maakt dat jaarlijks tot haar prioriteit, niet alleen door het symposium, maar ook door in een groot aantal (inter)nationale netwerken vanuit een expert- en kennisfunctie te participeren. Want als we in Nederland resultaat willen bereiken in de aanpak van cybercrime, dan vraagt dat om een bijdrage op internationaal terrein. Om die reden nemen wij deel aan diverse samenwerkingsverbanden. Pagina 10 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

11 FIRST FIRST is het Forum of Incident Response and Security Teams met ruim 175 CERT-teams uit de hele wereld. GOVCERT.NL heeft binnen FIRST de NM-SIG (Network Monitoring Special Interest Group) opgericht en is hiervan voorzitter. Voor de Annual Meeting van FIRST programmeren wij de bijeenkomst van de NM-SIG. Ook is GOVCERT.NL actief sponsor voor nieuwe leden. Wij begeleiden een aspirant-lid tijdens de lidmaatschapsprocedure en voeren een site visit uit. Tijdens de site visit onderzoeken we alles op het gebied van ICTveiligheid en fysieke veiligheid. De rapportage van de visit speelt een belangrijke rol in het toelatingsproces. In 2009 heeft GOVCERT.NL een site visit uitgevoerd bij Rabobank Nederland, die daarna is toegelaten als lid van FIRST. European Government CERTS (EGC) De EGC is een samenwerking van 10 CERT s die voor de overheid werken, binnen het geografische Europa. Binnen het EGC-verband spreken leden met elkaar over het optimaal functioneren als een overheids-cert en wat daarvoor nodig is. Dat klinkt abstract, maar het overleg is vooral operationeel en praktisch. Informatie wordt altijd uitgewisseld op basis van hoge mate van vertrouwelijkheid. GOVCERT.NL organiseert jaarlijks één van de EGC-meetings, die gekoppeld is aan ons symposium. Ook zijn wij verantwoordelijk voor het up-todate houden van de EGC-domeinregistratie en de EGC-contactlijst, die in geval van incidenten gebruikt wordt. Poster symposium Initiating Change Pagina 11 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

12 06_Juni Kennisdeling en -uitwisseling Kennis: backbone van missie GOVCERT.NL Van 22 tot en met 25 juni organiseert GOVCERT.NL voor haar deelnemers de training malware-analyse in Den Haag. Het is één van de manieren waarop we (inter)nationaal investeren in kennis delen, kennis verbeteren en van elkaar leren. Het samen met deelnemers volgen van een training is belangrijk omdat we onze deelnemers nog beter leren kennen en zij ons. In een omgeving waar alles draait om vertrouwelijkheid, is het nodig om elkaar ook persoonlijk te leren kennen zo weten onze deelnemers ons steeds beter te vinden. Samen trainen betekent ook samen werken aan eenzelfde kennisniveau, waardoor de preventie en afhandeling van ICT-incidenten verbetert. Kennis is macht zeker in de wereld van het internet. GOVCERT.NL investeert in kennis delen, kennis verbeteren en kennisuitwisselen. GOVCERT.NL bouwt en onderhoudt een netwerk van relaties, in binnen- en buitenland. Dat doen we door jaarlijks diverse zusterorganisaties te bezoeken. Ook nemen we deel aan samenwerkingsbijeenkomsten en bezoeken we conferenties. Het blijkt uiterst leerzaam te zijn om een kijkje te nemen in de ICT-response-keuken van een collega! Eén van onze medewerkers heeft in 2009 stage gelopen bij AusCERT in Australië. Andersom heeft een medewerker van IVENT, onderdeel van Defensie, stage gelopen bij ons. Kennis backbone CERT-functie We investeren in kennis delen, vermeerderen en verbeteren omdat het de backbone van onze CERT-functie is. Met onze informatie willen we het bewustzijn van dreigingen vergroten en inzicht geven in maatregelen waarmee organisaties zich kunnen beschermen tegen de risico s van het internet. We verspreiden kennis naar deelnemers en vitale sectoren omdat wij goed op de hoogte zijn van de informatie- en kennisbehoefte van onze deelnemers (doelgroepen) en tegelijkertijd toegang hebben tot alle relevante netwerken, sectoren en niveaus waar die informatie beschikbaar is. Vertrouwelijkheid is daarin het sleutelwoord. GOVCERT.NL heeft toegang tot besloten netwerken van experts waarin vertrouwelijke kennis wordt gedeeld en onze meerwaarde is dat we relevante ontwikkelingen daaruit, opnieuw strikt vertrouwelijk, delen met onze deelnemers. Hackdemo Ter illustratie van de impact van cybercrime heeft GOVCERT.NL demonstraties ontwikkeld, de zogenaamde hackdemo s. Deze maken duidelijk hoe gemakkelijk je als internetgebruiker in een virus trapt. We verbinden twee laptops; de ene is de laptop van de gebruiker met een kwetsbare browser, met de andere de laptop wordt de aanval uitgevoerd. Het resultaat is dat het slachtoffer aan den lijve ondervindt wat er met zijn computer gebeurt wanneer hij een kwaadaardige site bezoekt of phishingmail opent. Ook wordt gedemonstreerd wat de hacker vervolgens met de computer van het slachtoffer kan doen. Een andere demo toont de mogelijkheden van een zogenaamde banking trojan. Ten slotte hebben we een demonstratie die duidelijk maakt wat de veiligheidsrisico s van onvoldoende beveiligde websites zijn. Pagina 12 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

13 07_Juli Publieksinformatie Waarschuwingsdienst nauw betrokken bij succesvolle campagne Veilig Internetten Op maandag 27 juli lanceert minister Hirsch Ballin van Justitie de Postbus 51 campagne over Veilig Internetten. GOVCERT.NL is nauw betrokken bij het ontwikkelen ervan. Uit effectmetingen van de Rijksvoorlichtingsdienst blijkt dat deze campagne hoog scoort als het gaat om effectiviteit en waardering en dat deze één van beste campagnes van postbus 51 is van het afgelopen decennium. Aanstekelijk en spraakmakend Voor het eerst in de geschiedenis van de Postbus 51 campagnes is gebruik gemaakt van een zogenaamde viral. Dit is een filmpje dat als het ware rondwaart op internet of - in het geval van de campagne - binnen een sociaal netwerk zoals Hyves. Een goede viral is zo aanstekelijk dat het op grote schaal door kijkers wordt doorgestuurd. Stijging in aantal bezoekers van Waarschuwingsdienst.nl De site van Veilig Internetten verwijst naar de Waarschuwingsdienst en deze website mocht zich verheugen in unieke bezoekers vanaf de site van Veilig Internetten. Onze website Waarschuwingsdienst.nl werd in de periode van de campagne in vergelijking met % vaker bezocht. Waarschuwingsdienst.nl waarschuwt Nederlandse computergebruikers tijdig voor aanvallen van internetcriminelen en voor ernstige lekken in software En dat gebeurde inderdaad. Hyves kent zo n 8 miljoen leden. De viral is 7 miljoen keer rondgestuurd en 5 miljoen keer bekeken. Uit de reacties is gebleken dat de campagne mensen aan het denken heeft gezet. Dat kwam vooral doordat in het filmpje de suggestie werd gewekt dat persoonlijke informatie (afkomstig van het eigen Hyves profiel) werd misbruikt door een fake internetcrimineel Voor veel mensen was de campagne een eerste confrontatie met internetcriminelen. Drive van Waarschuwingsdienst.nl Het zoeken naar nieuwe wegen om onze doelgroepen te informeren en daarmee Nederland veiliger te maken, is een drive van Waarschuwingsdienst.nl. Daarom zijn we in 2009 gestart met de vernieuwing van onze website om de leden en bezoekers nog meer op maat te waarschuwen voor actuele dreigingen vanaf het internet. Alle waarschuwingen staan op Waarschuwingsdienst.nl. Ernstige waarschuwingen versturen we ook op verzoek per sms- of mailbericht. Dit laatste is een gratis service. Eind 2009 hebben we leden die of sms-alerts ontvangen en mensen ontvangen de maandelijkse nieuwsbrief. Er zijn in 2009 totaal 67 waarschuwingen verstuurd: 26 per sms en en 41 alleen op de website. Pagina 13 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

14 Waarschuwingen in Aantal 5 0 jan feb mrt apr mei jun jul aug sep okt nov dec alleen op website website + sms Maanden Onderwerpen nieuwsbrieven Waarschuwingsdienst.nl 2009: Maand Januari Februari Maart Maart extra editie Mei Juni Juli/aug September Oktober November December Onderwerp De levensloop van software Safer Internet Day 2009: de kunst van het online opvoeden Internetbankieren Conficker worm: Wat kun je er tegen doen? Vakantiegeld besteden aan een nieuwe computer? Checklist voor de winkel Trends in internetveiligheid Vakantie-editie Mobiele telefoon met internetpret Kwaadaardige software via sociale netwerken Een tweedehands computer kopen of verkopen Hoe herken je een hoax? Pagina 14 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

15 08_Augustus Organisatie en dienstverlening Verhuizing GOVCERT.NL biedt betere basis voor professionele dienstverlening Op donderdag 27 augustus verhuist GOVCERT.NL naar een grotere ruimte op dezelfde etage. Voor de buitenwereld verloopt alles geruisloos. De nieuwe huisvesting is nodig om onze dienstverlening ook voor de toekomst professioneel en verantwoord uit te kunnen voeren. Onze dienstverlening bestaat uit twee kerntaken: Het afhandelen van ICT-incidenten en het beperken van schade en Het voorkomen van ICT-incidenten door preventie en preparatie. GOVCERT.NL is een kleine overheidsorganisatie met grote impact. Afhandelen van incidenten ICT-gerelateerde incidenten doen zich regelmatig voor en veroorzaken steeds meer schade. GOVCERT.NL staat daarom 24 uur per dag, 7 dagen per week, 365 dagen per jaar paraat om deelnemers te ondersteunen bij het afhandelen van deze incidenten en de schade ervan te minimaliseren. We beschikken hierbij over specifieke informatie, kennis en ervaring en kunnen een uitgebreid netwerk van contacten inschakelen om schade te beperken of te voorkomen. Voorkómen van incidenten Het voorkómen van incidenten is de tweede kerntaak van GOVCERT.NL. Dat doen we door tijdig actuele dreiginginformatie te geven en praktisch maatwerkadvies en best practices voor zelfbescherming. Daarnaast signaleren we trends en stellen we onze expertise beschikbaar voor het beantwoorden van Kamervragen. Ook de Waarschuwingsdienst.nl is een belangrijk instrument in het voorkomen van incidenten bij eindgebruikers binnen de overheid, het bedrijfsleven en bij burgers thuis. Concrete resultaten van onze dienstverlening 8760 uur beschikbaar geweest voor afhandelen van incidenten 777 beveiligingsadviezen verstuurd 19 beveiligingsadviezen op één dag (recordaantal) Resultaat klanttevredenheidsmeting deelnemers 7,6 65 waarschuwingen op waarschuwingsdienst.nl 15 organisaties uit verschillende (Europese) landen ben interesse in de software die we ontwikkelen ter onder steuning van monitoring en incident response 8 organisaties werken met Taranis 6 ondertekenen een gentlemen s agreement voor het gebruik van de Honey Spider Tool 5 factsheets 2 whitepapers Symposium scoort 8,4 (record) Betrokken bij Postbus 51 campagne Veilig Internetten die als beste scoort over het afgelopen decennium. Pagina 15 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

16 GOVCERT.NL wordt het hele jaar door gevraagd om presentaties te geven in diverse gremia, op symposia en tijdens andere sessies. We vinden bewustwording en kennisdeling cruciaal voor de bestrijding van cybercrime. Tegelijkertijd krijgen we zoveel aanvragen, dat we niet aan alle verzoeken kunnen voldoen. Een selectie uit onze optredens in binnen- en buitenland: Forum International Information Integrity Institute (I-4) AFCEA (platform voor de defensieindustrie) Curriculum voor CIO s van de rijksoverheid Diverse ISAC's Diverse ISAC's Haagse Hogeschool GOVCERT.NL Symposium GOVCERT.NL Symposium FIRST, Kyoto GOVCERT Australië CERT/CC Department of Homeland Security ISF Orange/Grey Chapter TU Delft Dag van de Wetgeving SANS Community Night Onderwerp Trends in Cybercrime Trends in Cybercrime De rol van GOVCERT.NL in cybersecurity en incident response Beveiligingsrisico s van GSM Trends in cybercrime Incident Response en CERTS Crisiscommunicatie Beveiliging van webapplicaties Samenwerking CERT s Publieksvoorlichting Monitoring Samenwerking en strategie Web 2.0 Security De toekomst van cryptografie ICT en Privacy Odd one out! Formatie De kerntaken van GOVCERT.NL zijn in 2009 gerealiseerd door: 1 general manager 9 security-adviseurs 5 kennisadviseurs incl. pers en communicatieadvies 2 adviseurs nieuwe diensten. Pagina 16 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

17 09_September Incidenten Reeks grote incidenten vergroot roep om meldplicht De zomer van 2009 kenmerkt zich door enkele grote en impactvolle ICT-incidenten. De security specialisten van GOVCERT.NL waren veel, soms dag en nacht, in touw om bij deelnemers op locatie problemen op te lossen. De grote ICT-incidenten bij de overheid zoals die zich voordeden, hebben invloed op de dienstverlening van de overheid. Waar die dienstverlening op het spel staat en niet meer gegarandeerd kan worden, is het belangrijk om oorzaken en oplossingen grondig aan te pakken. In september analyseerden we de zomerse gebeurtenissen. De incidenten bleken met name het gevolg te zijn van het onvoldoende opvolgen van de adviezen van GOVCERT.NL. Het implementeren van een advies is overigens niet altijd gemakkelijk: het installeren van een software-update bij een grote organisatie kost tijd en inzet. Een advies van GOVCERT.NL is niet bindend of verplicht, maar kan naar goeddunken van de ontvanger worden opgevolgd. Dat daaraan soms geen prioriteit wordt gegeven is begrijpelijk. Maar niet als onveiligheid het gevolg is. Cybersecurity en informatiebeveiliging is een gezamenlijke verantwoordelijkheid van alle overheidsorganisaties. Uit de analyse die GOVCERT.NL uitvoerde, bleek een andere omissie: we hebben geen volledig inzicht in alle incidenten die zich afspelen bij de rijksoverheid, doordat ze niet allemaal bij GOVCERT.NL worden gemeld. Overheidsorganisaties zijn namelijk niet verplicht ICT-incidenten te melden bij GOVCERT.NL. Het instellen van zo n meldplicht zou GOVCERT.NL meer inzicht geven in de risico s binnen de overheid en zou ervoor zorgen dat de overheid zich beter kan prepareren op Incident Response. Daarnaast kunnen patronen tussen aanvallen zichtbaar worden, maar vooral op preventief vlak zouden we effectiever kunnen werken. Staatssecretaris Het enorme beroep dat in de zomer is gedaan op de capaciteit van onze organisatie, was aanleiding om te kijken naar verbetering van afspraken over het melden van incidenten. In oktober 2009 opende staatssecretaris Ank Bijleveld-Schouten van Binnenlandse Zaken en Koninkrijksrelaties ons symposium Initiating Change en meldde onomwonden haar zorgen: zij zegde toe te onderzoeken of er een mogelijkheid is voor een meldplicht van incidenten bij Rijksoverheden. NB: Dit is iets anders dan het melden van incidenten door bedrijven en overheden waarin de privacy van personen in het geding is. Door een meldplicht kan de overheid en in het bijzonder GOVCERT.NL zich namelijk beter prepareren. Ook riep de staatssecretaris op om de adviezen van GOVCERT.NL beter en sneller op te volgen. Incidenten in 2009 Afgehandelde acties op phishingincidenten (NTD s) Aantal Cumulatief Aantal Cumulatief jan feb mar apr mei jun jul aug sep okt nov dec Pagina 17 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

18 10_Oktober Advies en waarschuwingen Drukste patchmanagementdag in de historie van GOVCERT.NL Dinsdagavond, 13 oktober 2009: het Security Team van GOVCERT.NL is van uur tot uur bezig met de zogenaamde Microsoft Tuesday. Maandelijks komt Microsoft met alle updates, de zogenaamde patches van de verschillende softwareproducten. In de wandelgangen heeft deze dag de titel Microsoft Tuesday gekregen bij GOVCERT.NL. Die dag is de drukste patchmanagementdag in onze historie: we brengen 19 adviezen uit. Er wordt hard mogelijk gewerkt om alle informatie snel te verwerken, de ernst te bepalen en berichten te versturen naar de deelnemers. Ook waarschuwen we leden van Waarschuwingsdienst.nl per en sms. Tijdens de patchdag op 13 oktober brengen we 19 adviezen uit waarmee 34 beveiligingslekken worden verholpen. Omdat zich soms meerdere lekken in één product voordoen, kan het gebeuren dat er meer beveiligingslekken zijn dan adviezen. Het Security Team van GOVCERT.NL is op de tweede dinsdag van de maand altijd volledig geprepareerd op Microsoft Onze dienstverlening aan deelnemers gaat zo ver, dat we persoonlijk contact opnemen bij ernstige dreigingen. Ook volgen meteen - en smsberichten vanuit Waarschuwingsdienst.nl Tuesday. De informatie die Microsoft dan vrijgeeft, is van belang voor zowel deelnemers als thuisgebruikers, dus moet meteen worden verwerkt. Internetcriminelen gebruiken namelijk vaak dezelfde informatie om snel de zwakke plekken voor hun kwade doelen te misbruiken. Dit window of opportunity moet zo klein mogelijk blijven. Ook andere leveranciers komen regelmatig met patches: soms ook op een vast moment, soms meteen wanneer deze beschikbaar is. De top 10 van drukste advisory-dagen in het bestaan van GOVCERT.NL: Datum Aantal Advisories Voor de deelnemers zijn de advisories van GOVCERT.NL van belang voor het voorkómen van incidenten. Altijd als er een beveiligingslek, software-update, worm of virus gesignaleerd is waarmee de systemen van onze deelnemers geraakt kunnen worden, publiceert GOVCERT.NL een advisory, waarin oorzaak, gevolgen, relevante systemen en eventuele oplossingen opgesomd worden. In totaal zijn er in advisories uitgebracht, waarvan 373 nieuw en 404 updates. Een update bevat nieuwe informatie van een al eerder gesignaleerd probleem, waarvoor bijvoorbeeld een oplossing is gevonden of waarover meer informatie beschikbaar is gekomen. Pagina 18 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

19 De advisories van GOVCERT.NL worden ingeschaald op impact en kans. Deze criteria worden voorzien van een kwalificatie Low, Medium of High. Deze kwalificatie geeft aan hoe urgent de waarschuwing is. Een advisory met het kwalificatie High/High is dus bijzonder belangrijk. In 2009 zijn er 8 High/High-advisories gepubliceerd, waarvan 4 in de maand september. Dit had te maken met een aantal ernstige lekken in Microsoft Windows en ernstige kwetsbaarheden in TCP, het protocol dat de basis vormt van het internet. Advisories in Aantal jan feb mrt apr mei jun jul aug sep okt nov dec updates nieuw Maanden Pagina 19 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave

20 11_November Deelnemers Interactie met onze deelnemers is belangrijk Op 24 november vindt in Den Haag een overleg plaats met vertegenwoordigers van onze deelnemers, alle overheidsorganisaties. De opkomst is groter dan het aantal geregistreerde aanmeldingen en stoelen moeten bijgeplaatst en broodjes gedeeld worden. Op het programma staan naast de reguliere agenda, twee presentaties over de beveiliging van netwerkapplicaties. Ieder kwartaal overlegt GOVCERT.NL met haar deelnemers, telkens op locatie bij één van de deelnemers. De vertegenwoordigers van onze deelnemers heten ook wel DSC ers: Department Security Contacts, onze contactpersonen als het gaat om preventie, kennisuitwisseling en incidentafhandeling. In een sfeer van vertrouwelijkheid wisselen met de DSC ers informatie uit over technische security en beveiligingsmaatregelen binnen de verschillende organisaties. Ook worden incidenten doorgenomen: hoe is het incident in de pers besproken en wat is de visie van de deelnemer zelf op wat er is gebeurd? Ook al zijn onze deelnemers tevreden over ons, toch blijven we ons inzetten voor nog betere producten en diensten. Foto en herintake Om iedere deelnemer maatwerkadvies te kunnen geven, maken we van iedere deelnemer een foto, een overzicht van de hard- en sofware van onze deelnemers. Hierdoor ontvangt een deelnemer alleen waarschuwingen van GOVCERT.NL die van toepassing zijn op producten die een deelnemer daadwerkelijk in productie heeft. Als deelnemers een aantal jaar gebruik maken van onze services, biedt GOVCERT.NL een herintake aan op locatie van de deelnemers. Onze security specialisten gaan persoonlijk langs om de foto te actualiseren en de producten en diensten van GOVCERT.NL te bespreken. Klanttevredenheidsonderzoek (KTO) Natuurlijk is GOVCERT.NL geïnteresseerd in de mening van onze deelnemers over de kwaliteit van onze dienstverlening en daarom hebben we ook dit jaar een tevredenheidmeting gehouden over de dienstverlening van 2008/2009. Via dit klanttevredenheidsonderzoek onderzoeken we functioneren op operationeel niveau en kunnen deelnemers aangeven hoe zij onze dienstverlening ervaren. 50% van de deelnemers heeft meegewerkt aan het onderzoek, dat resulteerde in een klanttevredenheid met een score van 7,6. Een deelnemer schrijft: Mijn beoordeling van Govcert is goed tot uitstekend. Vragen worden altijd snel en adequaat beantwoord. De verstrekte informatie is goed. Vanzelfsprekend krijgen we ook verbeterpunten aangedragen, die we ter harte nemen en waarmee we ons voordeel doen. Zo zijn we erop geattendeerd dat we de administratieve afhandeling van zaken als bijvoorbeeld accounts en contactgegeven voor onze deelnemers kunnen verbeteren. 3 nieuwe deelnemers in 2009 Het beleid van 2008 om niet actief nieuwe deelnemers te werven, is nog steeds van toepassing; dit heeft te maken met de grenzen aan de formatie van GOVCERT.NL en de mate waarin wij de kwaliteit van onze dienstverlening kunnen handhaven bij uitbreiding op grote schaal van nieuwe deelnemende organisaties. We werven dus niet, maar een eigen initiatief om deel te mogen nemen, nemen wij serieus in overweging. In het afgelopen jaar hebben het ICT-bedrijf van de Rechterlijke Organisatie (ICTRO), de Stichting Internet Domein Registratie (SIDN) en de Gemeente Haarlemmermeer dit verzoek aan ons gericht en zijn deelnemer geworden. Pagina 20 Jaaroverzicht_2009 GOVCERT.NL Naar inhoudsopgave