Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime. Jaarbericht 2007 nicc

Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime. Jaarbericht 2007 nicc

samen tegen cybercrime NICC

jaarbericht NICC 2007 Samen tegen cybercrime De resultaten worden zichtbaar De Nationale Infrastructuur ter bestrijding van cybercrime ontwikkelt zich gestaag. Sommige onderdelen zelfs sneller dan verwacht. Het NICC maakt zijn vliegwielfunctie waar. Het NICC initieert en faciliteert, brengt partijen samen en versterkt bestaande samenwerkingsverbanden, met als doel een Nationale Infrastructuur waarin alle initiatieven zelfstandig functioneren. In 2007 heeft het NICC zich vooral gericht op die functies van de Nationale Infrastructuur die nog niet of onvoldoende waren ingericht. Het Informatieknooppunt Cybercrime heeft zich sterk uitgebreid. Nieuwe sectoren sloten zich aan. De deelnemers ontplooiden op eigen initiatief en met ondersteuning van het NICC bovensectorale initiatieven. Praktische experimenten en onderzoek leidden tot nieuwe, creatieve beveiligingsoplossingen. De activiteiten rond het thema Notice-and-Take- Down zijn verder uitgebreid. Het Actieonderzoek kan waardevolle daderprofielen en typologieën van strafbare feiten opleveren. Ook andere onderzoeken en experimenten, bijvoorbeeld voor de beveiliging van scholen en gemeenten, gaan onverminderd door. Het NICC benaderde in 2007 doelgericht verwante buitenlandse organisaties voor samenwerking en kennisuitwisseling. Cybercrime stoort zich niet aan landsgrenzen. Integendeel, het maakt juist gebruik van de verschillen in wetgeving en handhaving in de diverse landen. Om cybercriminelen écht aan te pakken, is internationale samenwerking onontbeerlijk. De NICC-website www.samentegencybercrime.nl bundelt de initiatieven van publieke en private partijen. Waar kunt u cybercrime melden? Bij welke organisaties kunt u terecht voor inlichtingen over beveiliging? U vindt deze en andere informatie op de NICC-website. Er zijn voorbereidingen getroffen om tot een besloten gedeelte in de site voor samenwerkingspartners te komen. Het programma NICC is eindig. Daarom neemt het NICC zelf geen zaken in beheer. Eind 2008 loop het programma NICC in zijn huidige vorm af. Alle onderdelen van de Nationale Infrastructuur zullen daarna ondergebracht worden bij publieke of private partijen. Dit jaarbericht behandelt de activiteiten van het programma NICC in 2007. In sommige gevallen wordt aangegeven hoe deze activiteiten in het laatste programmajaar zullen worden voortgezet, geborgd of afgerond. 3

Financiële cybercrime: professionele criminelen 4 Het jaar 2007 is het jaar waarin de trend verder doorzet dat cybercriminaliteit steeds meer daadwerkelijke schade berokkent. Cybercrime-dreigingen komen steeds meer van professionele criminelen, die hun software inkopen bij commerciële malwareproducenten. Om er voor te zorgen dat de schade niet ongewenst blijft toenemen, moeten publieke en private partijen binnen de Nationale Infrastructuur samen één front vormen. Deze samenwerking zal waar nodig verder worden geïntensifeerd. Cybercriminelen en cybercrime-bestrijders voeren een constante strijd. Er is een duidelijke verschuiving waar te nemen in de richting van georganiseerde misdaad. De wijze waarop financiële phishing plaatsvindt, verandert voortdurend. Dit laten recente incidenten bij financiële instellingen zien. Zo zijn er voorbeelden van zogenaamde man-in the-middle aanvallen, die ondanks het gebruik van two-factor authenticatie succesvol zijn. De argeloze consument wordt via een e-mail ongemerkt naar een volstrekt authentiek ogende kopie van de website van zijn bank geleid, die in feite door criminelen wordt beheerd. Ze vullen hun gebruikersnaam, wachtwoord en een transactiecode in, die de criminelen gebruiken om via de échte banksite geld van zijn rekening te halen. Tot grote schade heeft dit tot nu toe nog niet geleid, vanwege een combinatie van aanvullende veiligheidsmaatregelen en snelle incidentrespons. Ook de uitwisseling van informatie over incidenten tussen de banken heeft hierbij geholpen. Al deze ontwikkelingen worden gevoed en versneld door een zwarte economie, waarin professionele malware-ontwikkelaars hun waren te koop aanbieden aan criminelen. De ontwikkelaars zijn dus allang niet meer de daadwerkelijke gebruikers. Er is sprake van een onderlinge concurrentie tussen malwareontwikkelaars, die de ontwikkeling van nog verfijndere en meer sophisticated malware verder versnelt. Dat stelt steeds hogere eisen aan de beveiliging van systemen. Opsporing en vervolging van cybercriminelen is belangrijk maar niet dé oplossing. De schade is dan immers al aangericht. Daarom heeft het NICC in 2007 sterk ingezet op preventie. Bijvoorbeeld door nog meer (vitale) sectoren aan te sluiten op het Informatieknooppunt Cybercrime. Daarin wisselen bedrijfsleven, KLPD, AIVD, GOVCERT.NL en het NICC informatie uit over incidenten, dreigingen en beveiliging daartegen. Het Notice-and-Take-Down experiment van GOVCERT is ook belangrijk in het kader van preventie en beperking van schade. De Noticeand-Take-Down service behelst het op een snelle en efficiënte wijze uit de lucht halen van illegale websites. Dit zijn dan websites die er uitzien als echte bancaire websites maar dat niet zijn. In de volgende hoofdstukken leest u wat er in het kader van het programma NICC het afgelopen jaar allemaal is gedaan om de cyberspace veiliger te maken.

jaarbericht NICC 2007 Wim Hafkamp (Rabobank), voorzitter van de FI-ISAC: De bancaire sector heeft vanaf het begin gezegd dat beveiliging geen concurrentie-item is. We hebben dus bijvoorbeeld een gezamenlijk crisishandboek opgesteld, en afgesproken dat we geen publiekelijke uitspraken doen over incidenten bij collega s. Alleen vertrouwen kan leiden tot openheid van informatie. De voortrekkersrol van het NICC is belangrijk; het netwerk werpt zijn vruchten af. Inmiddels delen de deelnemers wel eens informatie buiten het FI- ISAC-overleg om, als het om iets actueels gaat en er niet gewacht kan worden tot er weer een bijeenkomst is. De experts binnen de banken weten elkaar nu te vinden. Ze vinden een klankbord bij collega s van andere banken, stellen elkaar vragen over het hoe en waarom van beveiligingsmaatregelen, vergelijken de verschillen en risico s. Soms maken ze gezamenlijke risicoanalyses, waardoor ze beter inzicht krijgen in mogelijke maatregelen. Ze bespreken de kwetsbaarheden van bijvoorbeeld de diverse detectietechnieken voor cybercrime-aanvallen en wisselen verbeteringen uit. Op het internet circuleren naar schatting zes miljoen wormen, virussen en trojans. 95 Procent van alle e-mailtjes is spam. De OV-chipkaart is in opspraak omdat hij simpel te hacken zou zijn. Pinpasfraudeurs plunderden de rekeningen van ten minste honderd klanten van de Praxis in Beverwijk en kraakten de nieuwste beveiliging op kaartautomaten van de NS. Een omvangrijke DDoS-aanval legde vorig jaar de digitale infrastructuur van Estland plat. 5

Trendrapportage 8 De informatie-uitwisseling tussen publieke en private organisaties is goed op gang gekomen. Maar te veel informatie kan verlammend werken. Daarom heeft het programma NICC een begin gemaakt met het overzichtelijk rangschikken van deze dataovervloed. Hoe overduidelijk de reële dreiging van cybercriminaliteit ook is, geen enkele instantie heeft een compleet overzicht. Vanuit de verschillende initiatieven binnen het NICC komen grote informatiestromen op gang, met als gevaar dat de deelnemers het overzicht verliezen. Deze informatiestromen zijn afkomstig uit diverse bronnen, zoals de KLPD, GOVCERT.NL en commerciële partijen zoals aanbieders van antivirussoftware. Ook het NICC-Actieonderzoek is een bron van informatie. Nu het delen van informatie goed op gang gebracht is, wordt het tijd om deze gegevens ook te analyseren en te kanaliseren. Het doel is een integraal beeld van trends en ontwikkelingen op het gebied van cybercrime. Een eerste stap is het bundelen van de diverse rapportages in de vorm van een overkoepelende Trendrapportage. Daarvoor heeft het NICC in 2007 het voorwerk verricht. Alle partijen die actief zijn binnen de Nationale Infrastructuur zullen hierbij betrokken worden. In 2008 wordt de mogelijkheid bezien of daadwerkelijk tot een periodieke trendrapportage kan worden gekomen.

jaarbericht NICC 2007 NICC in internationaal verband Cybercriminelen storen zich niet aan landsgrenzen. Integendeel, ze maken daar juist dankbaar gebruik van door zich te verschuilen in landen waar ze zo min mogelijk beperkt worden door wetgeving en handhaving. Hun werkterrein is het internet en daarmee de hele wereld. Om cybercrime effectief aan te pakken, is internationale samenwerking noodzakelijk. Het NICC heeft in 2007 daarom zijn contacten met buitenlandse partners sterk uitgebreid, zodat de nationale samenwerking zo optimaal kan aansluiten op internationale kennisnetwerken. Het NICC heeft in 2007 veel geïnvesteerd in het aanhalen en versterken van internationale connecties zoals het Office of Cyber Security and Critical Infrastructure Coordination in de Verenigde Staten, het EastWest Institute, het Britse Centre for the Protection of National Infrastructure (CPNI), het Swedish Emergency Management Agency (SEMA) en het Zwitserse Melani. Met deze internationale partners heeft het NICC regelmatig ontmoetingen om kennis uit te wisselen over cybercrime en de beveiliging daartegen. Het NICC heeft in 2007 presentaties gegeven tijdens de EuroSCSIE in juni te Genève, tijdens de bijeenkomst van het London Action Plan en de FBI in oktober te Washington en op de Meridian Conference in november 2007 te Stockholm. Deze internationale contacten en de concrete NICC-producten hebben er mede toe geleid dat het NICC inmiddels participeert in het EuroSCSIE-overleg (European Scada and Control Systems Information Exchange). 9

www.samentegencybercrime.nl 10 Het programma NICC maakt de samenwerking tussen publieke en private partijen inzichtelijk op www.samentegencybercrime.nl. Deze website is vanaf september 2007 online. U vindt daar een overzicht van het NICCprogramma. Er zijn eind 2007 ook voorbereidingen getroffen om de website uit te breiden met een besloten gedeelte dat alleen toegankelijk is voor de deelnemers aan de Nationale Infrastructuur. Het aantal deelnemers aan de Nationale Infrastructuur tegen Cybercrime groeit gestaag. Zij komen uit alle geledingen van de Nederlandse samenleving: het bedrijfsleven, de overheid en non-profit organisaties zoals scholen. Al deze informatiespecialisten, beveiligingsexperts, managers, bestuurders, juristen, politieagenten en beleidsambtenaren hebben één gezamenlijk belang: een veilige cyberspace. Vanuit verschillende sectoren is de wens geuit om de samenwerking tegen cybercrime nadrukkelijker zichtbaar te maken. Het NICC trof om die reden in 2007 voorbereidingen om een Membership Samen tegen Cybercrime op te zetten. De gedachte is dat organisaties zich kunnen aansluiten bij de Nationale Infrastructuur tegen Cybercrime. Met een Samen tegen Cybercrime -logo op hun website of andere uitingen kunnen ze aangeven dat ze beveiliging tegen cybercrime serieus nemen. Individuen uit die organisaties kunnen dan toegang krijgen tot het besloten deel van de NICC-website. Daar kunnen ze deelnemen aan besloten discussies en informatie uitwisselen. Ook worden voor hen speciale bijeenkomsten georganiseerd over de bestrijding van cybercrime. In 2008 wordt bezien óf en in welke vorm dit idee een bijdrage kan leveren aan de preventie tegen cybercrime.

Informatieknooppunt Cybercrime 12 Het Informatieknooppunt Cybercrime groeit gestaag. In de al eerder aangesloten sectoren heeft de vertrouwelijke informatie-uitwisseling haar waarde bewezen. Deze sectoren ontplooien inmiddels zelfstandig nieuwe initiatieven. Nieuwe sectoren sloten zich in 2007 aan, of startten met de voorbereidingen daarvoor. Er is een tendens zichtbaar om thematische, sectoroverschrijdende overleggen op te zetten. Ook wordt internationaal aansluiting gezocht bij vergelijkbare initiatieven. Eind 2007 waren de bancaire sector, de drinkwaterbedrijven, de energiesector en Schiphol aangesloten bij het Informatieknooppunt. Ze vormen elk afzonderlijk een Information Sharing and Analysis Centre (ISAC), waarbinnen ze in strikte vertrouwelijkheid informatie uitwisselen. Bijvoorbeeld over beveiligingsincidenten en kwetsbaarheden, dreigingen, cybercrime-tools en werkwijzen, good practices die de weerbaarheid vergroten en de mogelijkheden voor early warning systemen. Voorlopig ligt de nadruk op informatie-uitwisseling (IS) en nog niet op de analysefunctie (AC). Peter Zinn, Beleidsmedewerker bij het Team High Tech Crime van de KLPD: Door deel te nemen aan het Informatieknooppunt hebben we beter inzicht gekregen in de dreigingen die er spelen in de vitale sectoren en de ernst daarvan. Die zijn heel divers. De banken hebben voornamelijk last van phishing, bij multinationals gaat het onder andere om bedrijfsspionage. Uit de VS zijn gevallen bekend van energiebedrijven die te maken kregen met afpersing. Dat speelt hier nog niet maar mocht dat wel gebeuren, dan zal dat door het ISACoverleg snel boven water komen. Doordat je elkaar kent, melden bedrijven nu sneller verdachte zaken bij ons. Ook buiten het overleg om. Op grond van die informatie kunnen we betere keuzes maken in onze prioriteiten. Als KLPD herkennen we op grond van eigen onderzoek en gegevens uit binnen- en buitenlandse politiebronnen trends en ontwikkelingen op het gebied van cybercrime. Die worden dan doorgegeven aan de ISACs. Wanneer cybercriminelen bijvoorbeeld hun werkwijze veranderen, lichten we de ISACs in zodat ze maatregelen kunnen nemen. Het NICC is samen met AIVD, KLPD en GOVCERT.NL bij elk ISAC-overleg aanwezig, en vormt zo de kern van het Informatieknooppunt. Via deze kern kan relevante informatie met goedkeuring van de deelnemers doorgesluisd worden van de ene ISAC naar de andere.

jaarbericht NICC 2007 Douwe Leguit, Teamleider Projecten en Pilots bij GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid: Met de inzet van het Informatieknooppunt Cybercrime zijn we als GOVCERT.NL in staat om onze kennis en ervaringen op het gebied van ICT- en informatiebeveiliging effectiever en efficiënter te delen binnen en met de vitale sectoren. Het helpt ons met het vervullen van onze taak: preventie en het verhogen van de bewustwording. In het Informatieknooppunt Cybercrime worden de juiste partijen om tafel gebracht om de gesignaleerde problemen gezamenlijk aan te pakken. De samenwerking geeft inzicht in de informatiebehoefte van de vitale sectoren en zorgt voor een betere afstemming van de activiteiten rondom kennisdeling. GOVCERT.NL gebruikt de informatie samen met de KLPD en de AIVD om de richting te bepalen voor onze eigen kennisontwikkeling. Ook kunnen we de respons beter aansluiten op de behoefte van de aangesloten organisaties. Het NICC heeft een belangrijke rol als facilitator voor de ISACs en zorgt voor een sfeer van vertrouwen en actie. Via de ISACs ontsluiten we ook de kennis en ervaringen die we via onze (inter)nationale partners ontvangen. De informatie die wij als GOVCERT.NL terug krijgen uit de ISACs helpt ons bij de advisering van de beleidsdepartementen en is input voor ons jaarlijkse trendrapport. Het sluit aan op de lopende initiatieven en overlegstructuren in (inter)nationaal verband. Dat zet Nederland op de kaart als het gaat om publiek-private samenwerking op het vlak van cybercrime. Het NICC en GOVCERT.NL bieden de ISACdeelnemers de mogelijkheid om zich aan te sluiten op de monitoringservice van GOVCERT.NL. De helft van de drinkwaterbedrijven heeft daar inmiddels gebruik van gemaakt. Bedrijven uit andere sectoren overwegen zich aan te sluiten. Afgelopen jaar heeft het NICC voorbereidende gesprekken gevoerd voor de aansluiting van de spoorsector (onder andere NS en ProRail) en de Rotterdamse havensector. Deze transportsectoren zullen in 2008 elk van start gaan met een eigen sectoroverleg. Een interessante sectoroverschrijdende ontwikkeling was in 2007 dat tien multinationals met een hoofdkantoor in Nederland interesse toonden voor een eigen ISAC. Hoewel de bedrijven zeer verschillende markten bedienen, hebben ze toch een gemeenschappelijke problematiek die uitwisseling interessant maakt. Dergelijke bekende, grote organisaties zijn een doelwit voor bedrijfsspionage. Bovendien hebben ze door hun internationale activiteiten te maken met allerlei verschillende weten regelgeving. Ze verwachten veel raakvlakken te vinden op het gebied van ICT-beveiliging. Het NICC heeft financieel bijgedragen aan de opzet van een Information Threat Monitor voor de FI-ISAC, het overleg van de bancaire sector. Deze moet de belangrijkste bedreigingen in kaart brengen voor de verdere ontwikkeling van financiële dienstverlening met behulp van ICT. De Nederlandse Vereniging van Banken startte in november 2007 een gezamenlijke reclamecampagne ( 3x kloppen ) om hun klanten voor te lichten over veilig online bankieren en hen 13

14 bewust te maken van hun eigen verantwoordelijkheid daarin. De banken, internet service providers (ISP s), Security softwareleveranciers en enkele overheidspartijen (waaronder GOVCERT.NL, ECP.NL en het NICC) gaan samenwerken aan Internet Banking Security. Dit moet in 2008 leiden tot uitwisseling van relevante informatie en afstemming van activiteiten om de veiligheid van internetbankieren te blijven garanderen. De Water-ISAC heeft een benchmark SCADAsecurity laten uitvoeren waarin de beveiliging rondom SCADA en Control Systems van de aangesloten drinkwaterbedrijven in kaart is gebracht. Naar aanleiding daarvan is een gids opgesteld met 39 vertrouwelijke good practices, die in 2008 zullen worden uitgediept en aangevuld met concrete voorbeelden uit de deelnemende bedrijven. De good practices-gids zal geanonimiseerd worden, zodat hij beschikbaar gesteld kan worden aan andere sectoren. Deze versie wordt ook in het Engels vertaald en gepresenteerd tijdens het EuroSCSIE-overleg. Wim Breugom, adviseur procesautomatisering bij de afdeling Strategie & Ontwikkeling van het Duinwaterbedrijf Zuid-Holland: Voor de SCADA-wereld is cybercrime een relatief nieuw verschijnsel. We constateerden dus witte vlekken in onze kennis over cybercrime en informatiebeveiliging. In het Informatieknooppunt ontstaan dwarsverbanden tussen collega-drinkwaterbedrijven, maar ook tussen sectoren. Die werken als een katalysator, waardoor we die kennis- en informatiegaten snel kunnen vullen. De Energie-ISAC is in september 2007 van start gegaan. Het zal in 2008 eenzelfde benchmark SCADA-security laten uitvoeren als de Water- ISAC.

SCADA en Process Control Systems 16 In de loop van 2007 werd het steeds duidelijker dat SCADA en Process Control Systems aparte aandacht verdienen, omdat ze als een rode draad door diverse bedrijfstakken heen lopen. Een aparte SCADA-ISAC zou een oplossing kunnen zijn. Diverse vitale sectoren en multinationals zijn sterk afhankelijk van procesautomatisering: bedrijven in de nucleaire sector, energie- en drinkwaterbedrijven, de (petro)chemische industrie en de transportsector (Schiphol, NS, het Rotterdamse Havenbedrijf). Deze sectoren hebben besloten in 2008 te bespreken of zij binnen het Informatieknooppunt gezamenlijk een apart, sectoroverschrijdend SCADA-overleg gaan opzetten. De SCADA-ISAC zou veel aandacht moeten besteden aan bewustwording en opleiding, en verder drie keer per jaar een activiteit organiseren voor deelnemers uit diverse sectoren van het Informatieknooppunt die met procesautomatisering te maken hebben. Het NICC heeft in dit kader samenwerkingsafspraken gemaakt met het CIO Platform Nederland, een besloten groep van ICT-eindverantwoordelijken in Nederland. Het doel van de samenwerking is op het niveau van raden van bestuur bewustwording te creëren over beveiliging tegen cybercrimedreigingen. In 2008 zullen het NICC en het CIO Platform samen met enkele andere partijen de SCADA security-dagen organiseren, en verder opleidingen en trainingen over SCADA-beveiliging opzetten. Daarnaast zullen ook phishing en bedrijfsspionage aan de orde komen. Een SCADA-ISAC leent zich bij uitstek voor internationale samenwerking. Het NICC nam in 2007 voor het eerst aan deel aan het Europese SCADA-platform EuroSCSIE (SCADA Control Systems Information Exchange). In 2008 is NICC gastheer van het EuroSCSIE-overleg. Samen met het CPNI en de Swedish Emergency Management Agency (SEMA) is het NICC in 2007 gestart met de voorbereiding van de EuroSCSIE-conferentie die in 2008 gehouden zal worden. Foppe Vogd, programmadirecteur van CIO Platform Nederland: Samenwerking tussen NICC en het CIO Platform is uitermate noodzakelijk, want informatiebeveiliging is voor de BV Nederland van cruciaal belang. Bundeling van onze gezamenlijke kracht is daarin zinvol. Door kennisuitwisseling tussen het CIO Platform en het NICC, en samenwerken waar mogelijk, wordt wederzijds de kennis en ervaring optimaal ingezet ten gunste van beide partijen. In plaats van dingen dubbel te doen, versterken we elkaar. Dat is wat we nodig hebben om afzonderlijk en gezamenlijk succesvol te zijn.

jaarbericht NICC 2007 Het Informatieknooppunt Cybercrime is het hart van de Nationale Infrastructuur. In het Informatieknooppunt vindt per vitale sector informeel overleg plaats, georganiseerd door het NICC. Het is opgebouwd volgens het bloemblaadjesmodel, dat gebaseerd is op het informatie-uitwisselingsmodel van het Britse Centre for the Protection of National Infrastructure (CPNI). Elk bloemblaadje bestaat uit vertegenwoordigers van een bepaalde sector, die onderling in strikt vertrouwen informatie over dreigingen uitwisselen. Om de geheimhouding te waarborgen is een aantal spelregels opgesteld. Degene die de informatie aanbiedt, beslist over het niveau van vertrouwelijkheid. nationals Havensector EuroSCSIE Drinkwaterbedrijven Multi- SCADA Prorail/ NS Banken AIVD KLPD GOVCERT NICC Schiphol Energiesector 17 Nucleaire sector Telecomsector

jaarbericht NICC 2007 NICC-Actieonderzoek Welke werkwijzen en daderprofielen passen bij bepaalde vormen van internetgerelateerde cybercrime? Hoe zijn die te benutten om onrechtmatigheden en hun veroorzakers op het spoor te komen? Het NICC-Actieonderzoek wil een antwoord geven op deze vragen. Kennis over de diverse vormen van cybercrime en daders is verspreid over diverse partijen. Deze kennis wordt in het kader van het Actieonderzoek verzameld en ondergebracht in hypothesen. In 2007 zijn circa driehonderd onderzoeksdossiers over spyware, spam, effectenfraude, intellectuele eigendomsfraude en oplichting geanalyseerd. De dossiers werden aangeleverd door de OPTA, de bovenregionale recherche en het Openbaar Ministerie. Op basis van onder meer deze gegevens zijn daderprofielen en typologieën van strafbare feiten samengesteld. In dit kader zijn ook afspraken gemaakt met het Wetenschappelijk Onderzoeken Documentatiecentrum (WODC) van het ministerie van Justitie. In 2008 zullen nog eens vierhonderd cybercrime-dossiers van de politieregio Amsterdam- Amstelland op dezelfde manier worden geanalyseerd, plus een nog onbekend aantal dossiers van onderzoeken waaraan door het Korps Landelijke Politiediensten is meegewerkt. Met de FIOD-ECD zijn nog gesprekken over samenwerking gaande. In de loop van 2008 worden de hypothesen in de praktijk getoetst. Dit kan leiden tot interventies. Voor het opsporen van cybercriminelen is het nodig dat instanties daderinformatie, bijvoorbeeld surfgedrag of fraude bij webwinkels, uitwisselen. Daarbij mag de privacy niet in het geding komen. Gegevens moeten dus privacyveilig gedeeld worden, zonder de identiteit van de daders bekend te maken. Parallel aan het Actieonderzoek is afgelopen jaar gewerkt aan een methode voor privacyveilige gegevensuitwisseling. Hypothesen over daders en hun gedrag worden getoetst bij de diverse bronnen. Als daar overlappingen uitkomen, kan dat een reden zijn om ook de daadwerkelijke dadergegevens te delen. De beheerders van de bronnen beslissen daarover ieder afzonderlijk. Deze methode is in het najaar van 2007 getest op twee fictieve daderbestanden. 19

Notice-and-Take-Down uitgebreid 20 Gedachte is om in de tweede fase van het project door bundeling van juridische en technische expertise de Notice-and-Take- Down procedure voor overheid en particuliere sector efficiënter te maken. De bancaire sector heeft samen met het NICC in 2006 een experiment Notice-and-Take-Down opgezet in verband met een specifieke vorm van cybercrime: phishing. GOVCERT.NL heeft een centrale positie in dit experiment. De eerste resultaten zijn bemoedigend. In samenwerking met GOVCERT.NL blijken de banken goed in staat om de phishing-sites snel en effectief uit te schakelen. Tijdens de looptijd van het experiment heeft GOVCERT.NL meer dan honderd, voornamelijk buitenlandse, sites uit de lucht laten halen. Ook de banken zelf hebben via commerciële bureaus sites uitgeschakeld. Het experiment wordt begin 2008 geëvalueerd. Dan zal ook bepaald worden op welke wijze aan Notice-and-Take-Down een vervolg zal worden gegeven. Het NICC is op verzoek van de Stuurgroep Internet en Terrorisme van de Nationaal Coördinator Terrorismebestrijding (NCTb) in 2007 gestart met een juridisch onderzoek naar de mogelijkheden die Art. 54a Sr aan de officier van justitie biedt om sites uit de lucht te halen. Dit artikel regelt de aansprakelijkheid en de uitsluiting van rechtsvervolging van ISP s. Met betrekking tot de toepasbaarheid van dit artikel is door het Centrum voor Recht, Technologie en Samenleving van de Universiteit van Tilburg en het Center for Cybercrime Studies (CyCriS) in 2007 een aantal vraagstukken in kaart gebracht. Het rapport hierover is in december 2007 aangeboden aan de minister van Justitie en zal in het voorjaar van 2008 openbaar worden gemaakt. In het kader van een breder NICC-project Stroomlijnen en Convergentie van Notice-and- Take-Downsystemen maakt het voor het aanpakken van sites met strafbare, onrechtmatige of ongewenste content veel uit of een ISP zelf de strafbare content host of alleen optreedt als doorgeefluik. Een hosting provider biedt klanten opslagruimte aan op Internet, en kan daarom vaak zelf gericht ingrijpen om illegale informatie off-line te halen. In zogenaamde mere-conduit situaties verloopt het data verkeer via de ISP, maar zijn de (illegale) bestanden elders opgeslagen. Maatwerk is dan soms technisch niet mogelijk. Ook is het van belang of de informatie zich bevindt op een server in Nederland of in het buitenland. Veel internetbedrijven willen bijdragen aan het terugdringen van onrechtmatigheden op websites zoals kinderporno, haatzaaien, het te koop aanbieden van nagemaakte producten, gekopieerde software of gestolen goederen. Het ontbreekt hen echter aan voldoende deskundigheid om te bepalen wat onrechtmatig is.

jaarbericht NICC 2007 Gedachte is om in de tweede fase van het project de juridische en technische expertise en intensief overleg tussen de overheid en de particuliere sector te bundelen. Het internetbedrijfsleven is een jonge, relatief weinig gereguleerde bedrijfstak. Daarom is men grotendeels afhankelijk van jurisprudentie en eigen initiatieven met voldoende draagvlak binnen de sector. De bedoeling is om samen met de internetbedrijfstak in 2008 te bezien welke verbeteringen mogelijk zijn ten aanzien van de inzet van NTD. Margaret Verhulst, Public Affairs - Strategie en Regelgeving bij XS4ALL: Wij hebben zelf al een NTD-procedure die werkt. We willen graag meedenken over een NTD-standaard voor alle ISP s als het gaat om zaken die in strijd met de wet zijn. Als het om ongewenste of onfatsoenlijke zaken gaat, zou één meldpunt misschien beter zijn. Maar we moeten als bedrijf zelf kunnen beslissen of we iets met een melding doen. Dat moet geen verplichting worden. Het is wel goed dat we daarover nu discussie voeren met elkaar. 21

Gemeenten: werken aan bewustwording 24 Het kabinet stimuleert elektronische datauitwisseling bij gemeenten. Burgers en bedrijven worden elektronisch bediend en moeten zelf ook gegevens elektronisch aanleveren. Maar hoe is het met de beveiliging van digitale informatie bij gemeenten gesteld? In 2007 is bij elf gemeenten van diverse omvang onderzoek gedaan naar de risico s en behoeften rond deze verdergaande inzet van ICT en het benutten van internet. Deze meta-analyse is natuurlijk niet representatief voor de hele sector, maar geeft wel handvatten voor vervolgstappen. Zo lijkt er een gebrek te zijn aan dwingende wet- en regelgeving, controle, kennis en hulpmiddelen om zich tegen cybercrime te beschermen. Incidenten worden niet gemeten en het ICTbudget is onvoldoende. Bij de bestuurders en managers die er geld voor moeten uittrekken, heeft informatiebeveiliging geen hoge prioriteit. Om budget voor hulpmiddelen zoals internetwaarschuwingssystemen te krijgen, is het dus zaak de bewustwording bij bestuurders te vergroten. Daarom zijn in 2007 voorbereidingen getroffen voor een gecontroleerde ethische hack en social engineering in tien gemeenten. Bij een ethische hack probeert een extern bureau in de systemen van een gemeente binnen te dringen. Bij social engineering probeert een mystery guest met een smoesje door te dringen in een gemeentehuis en daar zoveel mogelijk gevoelige informatie te vinden, bijvoorbeeld in kasten, op rondslingerende usb-sticks, uit archieven of de kluis. Het NICC zal de geanonimiseerde uitslagen in de loop van 2008 onder de aandacht brengen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, de Verenging van Nederlandse Gemeenten, ICTU, EGEM (kennisplatform voor gemeentelijke vraagstukken rond ICT), gemeentesecretarissen en burgemeesters. Het traject is begeleid door een klankbordgroep met vertegenwoordigers van het kennisplatform voor gemeenteleijke ICT-vraagstukken EGEM, het Coördinatiepunt ICT (CP-ICT), de Vereniging van coördinatoren Informatievoorziening en Automatisering in Nederlandse Gemeenten (VIAG), de intergemeentelijke sociale dienst Optimisd, Centric en Getronics PinkRoccade.

jaarbericht NICC 2007 Drie WARP-projecten voor scholen In het onderwijs heeft de afgelopen jaren in hoog tempo een verbetering van de ICTvoorzieningen plaatsgevonden. Veel scholen gebruiken voor het onderwijs snelle internetverbindingen. Dat vereist meer aandacht voor beveiligingsrisico s. Het NICC en GOVCERT.NL hebben samen met Stichting Kennisnet en SURFnet het initiatief genomen om WARPs (Warning, Advice and Reporting Point) in Nederland te introduceren GOVCERT.NL heeft dit WARP-experiment in het voorjaar van 2007 gepresenteerd op een internationale WARP-conferentie in Engeland. Rond die tijd vond ook de kick-off met de deelnemende Nederlandse scholen plaats. Eind 2008 moet de pilot voldoende informatie hebben opgeleverd om te kunnen concluderen op WARP meerwaarde kan hebben voor de onderwijssector. 25 Een WARP is een community die bestaat uit leden uit eenzelfde sector, in dezelfde regio of met een vergelijkbare ICT-infrastructuur. De communityleden krijgen via de WARP betrouwbare ict-beveiligingsinformatie, advies van experts en waarschuwingen op maat. Door middel van de WARP wisselen de communityleden van de scholen informatie en expertise uit. Op deze manier kan er efficiënter en op een praktisch toepasbare manier worden omgegaan met beveiliging, ontstaat een pool van experts op bepaalde terreinen waar iedereen gebruik van kan maken en wordt het algemene bewustzijn op het gebied van ict-beveiliging vergroot. Er is een pilot-project gestart in de onderwijssector met als doel het uitproberen van het WARP-concept in de Nederlandse onderwijssituatie en tevens om te kijken of het WARPconcept bruikbaar is en meerwaarde kan hebben voor de onderwijssector. Tijdens de pilot levert GOVCERT.NL beveiligingsinformatie aan de WARP.

Het programma NICC is eindig, de Nationale Infrastructuur gaat door 26 Volgens de planning houdt het programma NICC in zijn huidige vorm eind dit jaar op te bestaan. De Nationale Infrastructuur zelf moet dan zo ver gevorderd zijn dat hij zichzelf in stand kan houden. In 2008 wordt het programma NICC geëvalueerd. Centrale vraag is hoe en onder welke condities onderdelen van het programma NICC kunnen worden beëindigd, en welke vervolgstappen er nodig zijn om de Nationale Infrastructuur te borgen en door te laten groeien. In 2008 zal het NICC de betrokkenheid van publieke en private partijen bij de Nationale Infrastructuur verder versterken door bijvoorbeeld het logo Samen tegen Cybercrime voor gebruik op websites ter beschikking te stellen en een besloten gedeelte op de website voor deelnemers in te richten. Hoewel het programma NICC eindig is, zal de Nationale Infrastructuur op een solide basis verder kunnen bouwen aan een veilige cyberspace. Het NICC zal in 2008 veel aandacht besteden aan het borgen van succesvolle experimenten zoals het Informatieknooppunt en Notice-and- Take-Down, bijvoorbeeld door ze in beheer geven van andere partijen. Daarnaast gaat het NICC natuurlijk onverminderd door met het ondersteunen en faciliteren van onderdelen van de Nationale Infrastructuur.

Het programma NICC 28 Het Nationaal Platform Criminaliteitsbeheersing (NPC) is een publiek-privaat samenwerkingsverband dat zich bezighoudt met het tegengaan van criminaliteit waarmee het bedrijfsleven in Nederland wordt geconfronteerd. Dit platform heeft in het kader van het Actieplan Veilig Ondernemen II (AVO II) de aanzet gegeven voor een programma tot het tegengaan van cybercrime. Doel van het programma NICC is te komen tot een Nationale Infrastructuur tot het tegengaan van CyberCrime. Inmiddels is het programma onderdeel geworden van de Agenda ICT veiligheid. De huidige opzet van de bestrijding van cybercrime in Nederland is gefragmenteerd. Op diverse plaatsen worden functies van de nationale infrastructuur ingevuld. Er is echter onvoldoende sprake van een geïntegreerde aanpak en van een gestructureerde publiekprivate samenwerking. Daardoor wordt in Nederland niet altijd adequaat gereageerd op cybercrime. De Nederlandse samenleving als geheel is dus vanwege toenemende digitalisering van onze maatschappij kwetsbaar voor deze vorm van criminaliteit. De kernwoorden van het programma NICC zijn: publiekprivate samenwerking; aansluiten bij de behoefte van de partijen in de markt; voorkomen én bestrijden. Het NICC initieert, ontwikkelt en experimenteert, maar heeft niet tot doel zelf de nieuwe nationale infrastructuur te worden. Het NICC brengt partijen bij elkaar, zoals het bedrijfsleven, universiteiten onderzoeksinstellingen, (de)centrale overheden, GOVCERT.NL, het KLPD, de AIVD en het Meldpunt Cybercrime. Het NICC is vooral een ontwikkelomgeving die door middel van experimenten onderdelen van de nationale infrastructuur ontwikkelt en daar tegelijkertijd kennis mee vergaart. Van uitontwikkelde producten wordt de wenselijkheid en mogelijkheid bezien tot voortzetting. Na besluitvorming vindt al dan niet overdracht plaatst naar een beheeromgeving.

NICC-programma Peter Hondebrink (ministerie van EZ) opdrachtgever Annemarie Zielstra (ICTU) programmamanager Auke Huistra projectleider Informatieknooppunt But Klaasen projectmanager NTD Jeroen Walschots programmasecretaris Manou Ali programmaondersteuner Cor Ottens communicatieadviseur Het programma NICC is ondergebracht bij ICTU. Het motto van ICTU is: overheden helpen beter te presteren met ICT. ICTU bundelt kennis en kunde op het gebied van ICT en overheid. Voor en met overheidsorganisaties voert ICTU diverse projecten uit. Zo wordt beleid omgezet in concrete projecten voor de overheid. Meer informatie? Kijk op www.ictu.nl. Uitgave: NICC / Redactie: Tekstbureau De Nieuwe Koekoek, Utrecht / Vormgeving: Tappan Communicatie, Den Haag / Druk: OBT / TDS printmaildata, Schiedam mei 2008

NICC p/a ICTU Bezoekadres Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postadres Postbus 84011 2508 AA Den Haag T 070 888 79 46 nicc@ictu.nl www.samentegencybercrime.nl samen tegen cybercrime NICC