nicc interviews

62
Interviews nicc Eén publiekprivate geïntegreerde aanpak. Eén sluitende nationale infrastructuur ter bestrijding van cybercrime. Interviews Uit de jaarberichten van het NICC

Upload: osage-osage

Post on 20-Mar-2016

241 views

Category:

Documents


2 download

DESCRIPTION

Alle interviews uit NICC jaarberichten

TRANSCRIPT

Page 1: NICC interviews

Interviewsnicc

Eén publiekprivate geïntegreerde aanpak.Eén sluitende nationale infrastructuur ter bestrijding van cybercrime.

Interviews

Uit de jaarberichten van het NICC

NICCsamen tegen cybercrime

Page 2: NICC interviews

Mark FrequinDirecteur-generaal Energie enTelecom bij het Ministerie vanEconomische Zaken

Page 3: NICC interviews

Mark FrequinDirecteur-generaal Energie enTelecom bij het Ministerie vanEconomische Zaken

Hoe kijkt u aan tegen de eerste twee jaren vanhet programma NICC en het Informatie-knooppunt Cybercrime?“ICT-security wordt steeds belangrijker naar-mate we meer afhankelijk worden van ICT-oplossingen. De bestrijding van cybercrimevraagt om publiekprivate samenwerking.Het programma NICC heeft daarvoor een vormgevonden die er toe heeft geleid dat er dingenin beweging zijn gekomen. Het Informatie-knooppunt is het meest zichtbare resultaatdaarvan, en daar ben ik heel tevreden over.Uit geluiden die ik hoor vanuit de bancairewereld, blijkt dat het Informatieknooppunteen heel goede formule is.”

Hoe ziet u de rol van de overheid en de rol vanhet bedrijfsleven als het gaat om de bestrijdingvan cybercrime?“ICT-security gaat ons allemaal ter harte.We hebben elkaar nodig om cybercrime aan tepakken. De overheid is aanjager en facilitator.Het is de verantwoordelijkheid van het bedrijfs-leven zelf om beveiligingsmaatregelen tetreffen, de overheden scheppen daarvoor alleende voorwaarden. Om die reden hebben we bijde start van het Informatieknooppunt met debanken afgesproken dat we daarop aanspreek-baar zijn en werk maken van de opsporing envervolging.”

U bent verantwoordelijk voor de vitale infra-structuren energie en telecom. In hoeverre isICT voor deze sectoren een kwetsbaar punt?“Bij onze eerste analyse van de nationaleinfrastructuur tegen cybercrime die we voorogen hebben, stonden ze bovenaan het lijstje

van kwetsbare infrastructuren, omdat ze deverbindingen verzorgen voor alle anderesectoren. Robuuste en veilige ICT is dus nietalleen cruciaal voor de sectoren energie entelecom zelf, maar ook conditioneel voor alleandere sectoren. Er is ons alles aan gelegenom de continuïteit te waarborgen, maar het isnatuurlijk niet zo dat de overheid er maar voormoet zorgen dat alles goed gaat; het zijn demarktpartijen die het moeten doen.”

En als het gaat om SCADA en process controlsecurity?“Dat is een kritische component van de Natio-nale Infrastructuur ter Bestrijding van Cyber-crime. Process control wordt slimmer en beter,maar daardoor ook kwetsbaarder. Het raaktde primaire besturing van grote bedrijven.De beveiliging daarvan is primair een zaakvan die bedrijven zelf, maar als onvoldoendebewustzijn daarover de kwetsbaarheid vergrootvan vitale sectoren, dan is er alle reden om hetdaar eens over te gaan hebben met de CEO’s.”

Draagt het Informatieknooppunt bij aan deweerbaarheid van de vitale sectoren?“Het Informatieknooppunt is niet hét antwoordop het probleem, maar draagt wel bij aan de op-lossing. Als je vindt dat het niet goed gaat metde ICT-security, moet je als overheid en markt-partijen informatie delen en daarnaar handelen.Het Informatieknooppunt was opgezet als expe-riment, maar de ervaringen zijn zo positief datwe ermee doorgaan. We gaan dit najaar onder-zoeken op welke manier en onder welke voor-waarden we het een solide basis kunnen gevenom de komende jaren te kunnen continueren.”

“De bestrijding van cybercrime vraagtom publiek-private samenwerking”

jaarbericht NICC 2008

11

interviews nicc

3

Page 4: NICC interviews

Fred WesterbekePlaatsvervangend Korpschef vande KLPD

Page 5: NICC interviews

Fred WesterbekePlaatsvervangend Korpschef vande KLPD

Het team High Tech Crime van de KLPDbehoort vanaf het begin tot de vaste kernvan het Informatieknooppunt. Wat heeftdat opgeleverd?“Vooral in de ISACs die het langst bestaan,zoals de banken en de waterleidingbedrijven,heeft deelname geleid tot meer vertrouwentussen de marktpartijen en de politie. We zijnveel verder gekomen in het delen van informatie.Omdat we daardoor meer zicht hebben gekregenop de cybercrime-bedreigingen, kunnen we onzemensen en middelen gerichter inzetten.In de ISACs komen echt dingen op tafel die wenog niet wisten, of nog niet zo scherp hadden.Een voorbeeld is de omvang van problematiekals phishing en creditcardfraude. Door de infor-matie uit het FI-ISAC-overleg konden we eenforse phishing-zaak rond ABN Amro-klantenaanpakken. Daar zijn we zelfs voor naar deOekraïne en Rusland gereisd, om de handen in-een te slaan met de autoriteiten daar. Drie jaargeleden kon een bank nergens bij de politieterecht met zo’n zaak.”

Wat zijn de succesfactoren?“Vertrouwen, vertrouwen en nog eens ver-trouwen! We merken dat dat groeit, vooral alsdeelnemers elkaar vaak ontmoeten. Verdermoeten deelnemers absoluut het gevoel hebbendat er evenwicht bestaat in het halen en brengenvan informatie. Vertrouwen moet je opbouwen,dat ontstaat alleen als alle partijen zich blootdurven te geven. Het team High Tech Crimegeeft binnen het Informatieknooppunt daaromook informatie terug waar private partijen hunvoordeel mee doen.”

Vergroot het Informatieknooppunt debewustwording over cybercrime?“Er is een gedeeld besef dat informatie-uitwisse-ling heel hard nodig is. Naast de hypotheekcrisiszien de banken de integriteit van het betalings-verkeer als één van de grootste risico’s. Als jekijkt naar de ontwikkelingen op het gebied vanterreur, vraag ik me af hoe lang het nog duurtvoordat onze vitale voorzieningen niet meerworden aangevallen met een bom in een rugzak,maar via de technische infrastructuur.Criminelen kunnen op die manier ook bedrijvenafpersen. In Engeland is dat al gebeurd: crimi-nelen dreigden een gok-website plat te leggentenzij er betaald werd.Ik wil één ding sterk benadrukken: het is mijnpersoonlijke overtuiging dat cybercrime dekomende vijftien jaar een enorme uitdaging is.Ik maak me oprecht zorgen dat de georgani-seerde misdaad zich er meester van maakt.Als ze met de professionaliteit die we aantreffenbij de handel in harddrugs en mensensmokkelook dit terrein ontdekken, dan wordt het eennog groter probleem. Ook al is cybercrime alsprioriteit benoemd in de kabinetsplannen,ik denk toch dat we het probleem op ditmoment nog steeds onderschatten.”

jaarbericht NICC 2008

“Vertrouwen, vertrouwen en nog eensvertrouwen!”

17

interviews nicc

5

Page 6: NICC interviews

Roelof MeijerDirecteur SIDN

Page 7: NICC interviews

Roelof MeijerDirecteur SIDN

Hoe kijkt u aan tegen het fenomeen cybercrimeals dat plaatsvindt onder of door middel vanNederlandse domeinnamen?“Het afgelopen jaar zijn daarnaar twee onder-zoeken gedaan, een algemeen onderzoek en éénover pishing, waaruit blijkt dat het .nl-domeinveilig is. Er gebeuren desondanks ongetwijfeldverkeerde dingen, maar daar krijgt SIDN weinigmeldingen van. De vraag om concreet op tetreden en een domein uit de lucht te halen, isnog niet gesteld. De Gedragscode Notice-and-Take-Down biedt goede kaders om dat tekunnen doen.”

SIDN was betrokken bij de totstandkomingvan de Gedragscode Notice-and-Take-Down.Wat is uw belang daarbij geweest?“De kracht van de Gedragscode zit in de keten-aanpak. De code zorgt ervoor dat een klachtdaadwerkelijk in behandeling wordt genomenen op de juiste plek terechtkomt. De eerste dieje aanspreekt is degene die de illegale contentop zijn website heeft gezet. Als die in het buiten-land zit, is dat lastig. Dus spreek je degene aandie de website host. Zit de host ook in het buiten-land, dan kom je uiteindelijk bij ons terecht alshet om een .nl-domein gaat.Wij zijn erbij betrokken omdat we als SIDN sindseen paar jaar onze taak breder zien dan alleenhet stabiel laten functioneren van het .nl-domein op het internet. We willen ook bijdragenaan de kwaliteit en het gebruik van internet inNederland. Daarom ondersteunen we dit soortinitiatieven voor beter gebruik van het interneten het ontmoedigen van misbruik.

Ons belang is dat klachten terechtkomen waarze het best kunnen worden behandeld en demaatregelen het meest effectief zijn. Het gebeurtimmers wel eens dat partijen de verantwoorde-lijkheid om actie te ondernemen heen en weerschuiven. Dat kan niet meer, want nu ligt er eenduidelijke afspraak.”

Is de nieuwe gedragscode Notice-and-Take-Down voldoende om illegale en onrechtmatigecontent te pakken?“De betrokken bedrijven hebben laten ziendat ze meer verantwoordelijkheid nemen.De gedragscode is een goede basis. Nu gaathet erom dat de hele sector er ook naar gaathandelen; niet alle partijen zijn bij de totstand-koming van de code betrokken geweest. Hijmoet nu echt in de praktijk worden gebruikt,zodat we ervan leren en hem kunnen finetunen.”

Welke partijen zijn cruciaal als het gaat omde infrastructuur van het internet in NL?“Onze infrastructuur op zich is niet cruciaal,maar de diensten die we daarop leveren wel.De keten bestaat uit ISPs, hostingbedrijven,access providers, noem maar op. Ook SIDN isdaar onderdeel van. Om de dienstverlening tebeschermen hebben de publieke én privateorganisaties elkaar nodig; hoe meer we ermee doen hoe beter. De meerwaarde van hetprogramma NICC is dat het die partijen bijelkaar brengt zodat we gezamenlijk actiesondernemen.”

jaarbericht NICC 2008

“Wij als sector maken het bestrijdenvan cybercrime ingewikkelder danhet is.”

21

interviews nicc

7

Page 8: NICC interviews

Wat zijn de volgende stappen die nodig zijn omcybercriminaliteit verder terug te dringen?“Daarvoor zijn twee zaken cruciaal. Ten eerstevoorlichting en bewustwording. Allereerst moetde internetgebruiker weten waar hij op moetletten als hij surft, net zoals hij zichzelfbeschermt als hij in de fysieke wereld rondloopt.Ten tweede moeten de partijen, onder anderemiddels de gedragscode, gezamenlijk hunverantwoordelijkheid nemen en maatregelentreffen. Dus niet alleen de opsporings- enhandhavingsinstanties, maar ook aanbiedersvan diensten. Er gebeurt al wel heel veel, maarniet altijd gecoördineerd. Het gaat dus niet omnieuwe maatregelen, maar om succesvolleactiviteiten waarbij aanbieders, overheid envoorlichters goed samenwerken.Verder merk ik dat Notice-and-Take-Down degemoederen aardig bezighoudt. Dienstverlenerszijn terughoudend om daar iets mee te doen uitangst voor de beschuldiging van censuur. Maarals je te terughoudend bent in je optreden tegenstrafbare of onrechtmatige content, dan wakkerje misbruik van jouw deel van het internet aan.Ik pleit niet voor meer regulering. Het zou alhelpen als we met zijn allen internet wat meergingen beschouwen als een medium als alleandere media. De bestaande wetten en regelsdie gelden voor andere media kunnen ook op hetinternet worden toegepast. Kinderporno mag jein de boekwinkel toch ook niet verkopen? Wij alssector maken het bestrijden van cybercrimesoms ingewikkelder dan het is.”

Wat is de rol van SIDN met alle internationalezusterorganisaties daarin?“Internet is bij uitstek een medium dat zich nietaan landsgrenzen houdt. Als de aanpak van mis-bruik in het ene land strakker geregeld wordt,wijken criminelen gewoon uit naar het andereland. Nederland loopt met de gedragscode nuvrij vooraan, dus internationale samenwerkingis belangrijk. SIDN is zelf zeer actief in demondiale internetgemeenschap. Daar gaan wede gedragscode presenteren als Good Practice.”

Hoe kijkt u aan tegen de rol die het programmaNICC bij het totstandkomen van de gedragscodegespeeld heeft, en nog zou kunnen spelen in detoekomst?“De gesprekken over Notice-and-Take-Down ende gedragscode liepen al langer. Maar dat hij ernu ligt, komt voor belangrijk deel op het contovan het programma NICC. De structuur van eennetwerkorganisatie is succesvol. We moetenzeker proberen om dit soort netwerken, voor-zover dat niet al het geval is, ook in andereEU-lidstaten te creëren en daarmee samen tewerken. Het programma NICC is daarvoor eenbeïnvloedend en coördinerend platform.De samenwerking staat voor onze sector nog inde kinderschoenen. Er is binnen het Informatie-knooppunt nog geen sectoroverleg voor ISPsen hostingbedrijven over computercriminaliteit.Ik vind dat dat er wel moet komen. De rol vanhet programma NICC is dus wat mij betreft noglang niet uitgespeeld.”

228

Page 9: NICC interviews

Wat zijn de volgende stappen die nodig zijn omcybercriminaliteit verder terug te dringen?“Daarvoor zijn twee zaken cruciaal. Ten eerstevoorlichting en bewustwording. Allereerst moetde internetgebruiker weten waar hij op moetletten als hij surft, net zoals hij zichzelfbeschermt als hij in de fysieke wereld rondloopt.Ten tweede moeten de partijen, onder anderemiddels de gedragscode, gezamenlijk hunverantwoordelijkheid nemen en maatregelentreffen. Dus niet alleen de opsporings- enhandhavingsinstanties, maar ook aanbiedersvan diensten. Er gebeurt al wel heel veel, maarniet altijd gecoördineerd. Het gaat dus niet omnieuwe maatregelen, maar om succesvolleactiviteiten waarbij aanbieders, overheid envoorlichters goed samenwerken.Verder merk ik dat Notice-and-Take-Down degemoederen aardig bezighoudt. Dienstverlenerszijn terughoudend om daar iets mee te doen uitangst voor de beschuldiging van censuur. Maarals je te terughoudend bent in je optreden tegenstrafbare of onrechtmatige content, dan wakkerje misbruik van jouw deel van het internet aan.Ik pleit niet voor meer regulering. Het zou alhelpen als we met zijn allen internet wat meergingen beschouwen als een medium als alleandere media. De bestaande wetten en regelsdie gelden voor andere media kunnen ook op hetinternet worden toegepast. Kinderporno mag jein de boekwinkel toch ook niet verkopen? Wij alssector maken het bestrijden van cybercrimesoms ingewikkelder dan het is.”

Wat is de rol van SIDN met alle internationalezusterorganisaties daarin?“Internet is bij uitstek een medium dat zich nietaan landsgrenzen houdt. Als de aanpak van mis-bruik in het ene land strakker geregeld wordt,wijken criminelen gewoon uit naar het andereland. Nederland loopt met de gedragscode nuvrij vooraan, dus internationale samenwerkingis belangrijk. SIDN is zelf zeer actief in demondiale internetgemeenschap. Daar gaan wede gedragscode presenteren als Good Practice.”

Hoe kijkt u aan tegen de rol die het programmaNICC bij het totstandkomen van de gedragscodegespeeld heeft, en nog zou kunnen spelen in detoekomst?“De gesprekken over Notice-and-Take-Down ende gedragscode liepen al langer. Maar dat hij ernu ligt, komt voor belangrijk deel op het contovan het programma NICC. De structuur van eennetwerkorganisatie is succesvol. We moetenzeker proberen om dit soort netwerken, voor-zover dat niet al het geval is, ook in andereEU-lidstaten te creëren en daarmee samen tewerken. Het programma NICC is daarvoor eenbeïnvloedend en coördinerend platform.De samenwerking staat voor onze sector nog inde kinderschoenen. Er is binnen het Informatie-knooppunt nog geen sectoroverleg voor ISPsen hostingbedrijven over computercriminaliteit.Ik vind dat dat er wel moet komen. De rol vanhet programma NICC is dus wat mij betreft noglang niet uitgespeeld.”

22 9

interviews nicc

Page 10: NICC interviews

Steve CummingsDirector of the Centre for theProtection of National Infrastructure(CPNI)

What is your opinion of the way in which theprogramme NICC has adopted and used theCPNI Information Exchange model?“My impression based on conversations withcolleagues in the UK and the Netherlands is thatthe Dutch Information Exchange is successful.It is aimed at getting the engagement of privatesector partners who might not talk openlyamong each other and to government partners.This idea has been adopted by a wide numberof sectors and private operators.ISACs where first established in the USA, ina wide variety of approaches. We tried to learnfrom that in the UK. When we started, we couldassess what worked well and what didn’t. To befair, the scale in the USA is bigger. But still therewere lessons to be learnt. For example, you haveto be clear about the relationship between thegovernment and private parties, and where thefunding comes from.Both public and private partners should sharethe resources: the public sector can supplyvaluable information, the private sector oftentakes the lead in the analysis part. Anotherlesson was to avoid bureaucracy. My impressionis that the programme NICC has succeeded indoing all that.”

Does CPNI in the UK experience any advantagesof the developments in the Netherlands?“You have to take into account the ‘trafficlight system’, but yes, where possible we wouldlike to see our UK-members benefiting frominformation that can be exchanged. Most of themajor companies that operate on top ICT-levelare international. They don’t like getting

conflicting messages in different countries, soit would be to their benefit if we could achieveconsistency of message internationally.”

What is your view of the importance of theNetherlands (the programme NICC, theCybercrime Information Exchange) as acollaborator of CPNI, with regards to ICT-security in general?“CPNI doesn’t deal with cybercrime as such.Our aim is to protect networks from unauthorized,often criminal abuse. Many of those acts are notfrom people with criminal purposes. We’re notinterested in fraud and extortion for criminalpurposes since we are primarily a counter-terrorist organisation. Our aim is to reducevulnerability of networks. But then again, inreducing vulnerability it doesn’t really matterwhere the threat comes from.So the programme NICC and we are bothincreasing the awareness of vulnerabilitiesin processes, making people realise thatthose processes can be misused. We exchangeinformation and try to encourage good practiceinternationally. A good example is the MeridianConference, where we bring together inter-national ICT-organisations. Together we canraise the level of the game.”

How do CPNI and NICC collaborate in the fieldof SCADA and Process Control Security inparticular?“This is a particularly important issue. Thismillennium, in terms of ICT security andparticularly in national infrastructure, we havebeen slowly identifying with more and more

jaarbericht NICC 2008

“An international infrastructureagainst cybercrime is fantasticallyimportant!”

29

Page 11: NICC interviews

Steve CummingsDirector of the Centre for theProtection of National Infrastructure(CPNI)

What is your opinion of the way in which theprogramme NICC has adopted and used theCPNI Information Exchange model?“My impression based on conversations withcolleagues in the UK and the Netherlands is thatthe Dutch Information Exchange is successful.It is aimed at getting the engagement of privatesector partners who might not talk openlyamong each other and to government partners.This idea has been adopted by a wide numberof sectors and private operators.ISACs where first established in the USA, ina wide variety of approaches. We tried to learnfrom that in the UK. When we started, we couldassess what worked well and what didn’t. To befair, the scale in the USA is bigger. But still therewere lessons to be learnt. For example, you haveto be clear about the relationship between thegovernment and private parties, and where thefunding comes from.Both public and private partners should sharethe resources: the public sector can supplyvaluable information, the private sector oftentakes the lead in the analysis part. Anotherlesson was to avoid bureaucracy. My impressionis that the programme NICC has succeeded indoing all that.”

Does CPNI in the UK experience any advantagesof the developments in the Netherlands?“You have to take into account the ‘trafficlight system’, but yes, where possible we wouldlike to see our UK-members benefiting frominformation that can be exchanged. Most of themajor companies that operate on top ICT-levelare international. They don’t like getting

conflicting messages in different countries, soit would be to their benefit if we could achieveconsistency of message internationally.”

What is your view of the importance of theNetherlands (the programme NICC, theCybercrime Information Exchange) as acollaborator of CPNI, with regards to ICT-security in general?“CPNI doesn’t deal with cybercrime as such.Our aim is to protect networks from unauthorized,often criminal abuse. Many of those acts are notfrom people with criminal purposes. We’re notinterested in fraud and extortion for criminalpurposes since we are primarily a counter-terrorist organisation. Our aim is to reducevulnerability of networks. But then again, inreducing vulnerability it doesn’t really matterwhere the threat comes from.So the programme NICC and we are bothincreasing the awareness of vulnerabilitiesin processes, making people realise thatthose processes can be misused. We exchangeinformation and try to encourage good practiceinternationally. A good example is the MeridianConference, where we bring together inter-national ICT-organisations. Together we canraise the level of the game.”

How do CPNI and NICC collaborate in the fieldof SCADA and Process Control Security inparticular?“This is a particularly important issue. Thismillennium, in terms of ICT security andparticularly in national infrastructure, we havebeen slowly identifying with more and more

jaarbericht NICC 2008

“An international infrastructureagainst cybercrime is fantasticallyimportant!”

29

interviews nicc

11

Page 12: NICC interviews

clarity which ICT systems and processes reallymatter. Many organisations don’t need adviceon viruses anymore, so we have to stop dealingwith the general noise and focus on key issuessuch as SCADA and threats on process controlsystems, which have the potential for doing realdamage. These systems control much of theservices that are delivered by the vital infra-structures such as energy and water.This is very much an international issue. That iswhy EuroSCSIE is so important. The extra valueof collaboration with the programme NICC issharing technical knowledge and experience.The awareness of SCADA systems not beingcontrolled mechanically anymore but remotelythrough computer networks is relatively new.We are still learning about the risks involved.The discussion now revolves around usingthe internet or not. However, sometimes thecompany management is not even aware of thefact that their process control has already beenrouted through the internet.”

How important is it to have an internationalinfrastructure against cybercrime?“Fantastically important! Because networks areinternational, the processes themselves areinternational. For instance, the transferring ofmoney and energy is supported by internationalnetworks and systems. It is in our interest thatevery country involved has the same level ofsecurity and protection. There are cases whenyou want an international partner to take actionbecause damage is done from another area ofjurisdiction.”

What is needed to develop such an internationalinfrastructure?“Internationally, it’s always easier whenorganisations in different countries have similarroles and methods of operating at a practicallevel. Unfortunately, in many countries theresponsible agencies change and evolve quitequickly, which makes it difficult to establishcontacts. It would make it easier to cooperateif we could get more stable and similararrangements internationally, with similar rolesand responsibilities. You need stability andcontinuity of people to establish the necessarytrust base. We try to influence that by sharinginformation with partners about what seems towork in the UK, and also by being frank aboutwhat has failed.”

What should be the programme NICC’s nextstep?“A great risk for organisations battling cyber-crime is that they can lose focus on the scopeof their activities. They try to do everything,from protecting home users to nationalorganisations, and thereby spread themselvestoo thinly. In cyber security especially, theyoften find it difficult to find the real value theycan add. You have to avoid that risk by havinga very clear mission and focus.Increasingly, it is clear to us that ICT-securityis not about just ICT. It’s about informationsecurity in general. It has as much to do withpeople as with technology. People have beena neglected area the last ten years, so it wouldbe a good idea to start tackling that now.”

3012

Page 13: NICC interviews

clarity which ICT systems and processes reallymatter. Many organisations don’t need adviceon viruses anymore, so we have to stop dealingwith the general noise and focus on key issuessuch as SCADA and threats on process controlsystems, which have the potential for doing realdamage. These systems control much of theservices that are delivered by the vital infra-structures such as energy and water.This is very much an international issue. That iswhy EuroSCSIE is so important. The extra valueof collaboration with the programme NICC issharing technical knowledge and experience.The awareness of SCADA systems not beingcontrolled mechanically anymore but remotelythrough computer networks is relatively new.We are still learning about the risks involved.The discussion now revolves around usingthe internet or not. However, sometimes thecompany management is not even aware of thefact that their process control has already beenrouted through the internet.”

How important is it to have an internationalinfrastructure against cybercrime?“Fantastically important! Because networks areinternational, the processes themselves areinternational. For instance, the transferring ofmoney and energy is supported by internationalnetworks and systems. It is in our interest thatevery country involved has the same level ofsecurity and protection. There are cases whenyou want an international partner to take actionbecause damage is done from another area ofjurisdiction.”

What is needed to develop such an internationalinfrastructure?“Internationally, it’s always easier whenorganisations in different countries have similarroles and methods of operating at a practicallevel. Unfortunately, in many countries theresponsible agencies change and evolve quitequickly, which makes it difficult to establishcontacts. It would make it easier to cooperateif we could get more stable and similararrangements internationally, with similar rolesand responsibilities. You need stability andcontinuity of people to establish the necessarytrust base. We try to influence that by sharinginformation with partners about what seems towork in the UK, and also by being frank aboutwhat has failed.”

What should be the programme NICC’s nextstep?“A great risk for organisations battling cyber-crime is that they can lose focus on the scopeof their activities. They try to do everything,from protecting home users to nationalorganisations, and thereby spread themselvestoo thinly. In cyber security especially, theyoften find it difficult to find the real value theycan add. You have to avoid that risk by havinga very clear mission and focus.Increasingly, it is clear to us that ICT-securityis not about just ICT. It’s about informationsecurity in general. It has as much to do withpeople as with technology. People have beena neglected area the last ten years, so it wouldbe a good idea to start tackling that now.”

30

interviews nicc

13

Page 14: NICC interviews

Boele StaalVoorzitter van de NederlandseVereniging van Banken

Page 15: NICC interviews

Boele StaalVoorzitter van de NederlandseVereniging van Banken

Wat is het belang van de financiële sector omnauw met overheidspartijen samen te werkenin de strijd tegen cybercrime?“Beveiliging is een totaalaanpak. Voor de pre-ventieve maatregelen is de sector zelf verant-woordelijk. Dit geldt ook voor de detectieve encorrectieve maatregelen. Repressie is de verant-woordelijkheid van de overheid. Primair moetenklanten vertrouwen hebben in de financiëlesector. Dat bereik je door goede preventie enniet door achteraf nog van alles weer recht tebreien. De doelstelling moet altijd zijn dat deprivate en publieke maatregelen op elkaaraangesloten en in balans zijn. Tegelijkertijdmoet je er rekening mee blijven houden dathonderd procent veiligheid niet bestaat.”

Wat is volgens u het belangrijkste resultaat datmet de publiekprivate samenwerking in hetInformatieknooppunt is bereikt?“Het belangrijkste resultaat is zondermeer hetvergrote wederzijds vertrouwen. Dit leidt totmeer openheid en tot meer begrip voor elkaarssituatie, en dat leidt dan weer tot concreteresultaten. Voorbeelden hiervan zijn de Notice-and-Take-Down-dienst voor de banken. Ook zijndoor GOVCERT.NL een aantal factsheets op-geleverd. Diverse andere zaken, die potentieeltot betere informatiedeling en mogelijk totsnellere detectie van malware kunnen leiden,worden onderzocht.De verwachting in de financiële sector is dat desamenwerking in de toekomst wordt geconti-nueerd. Periodieke evaluatie of aanscherpingis daarbij wenselijk en kan zeer nuttig zijn.Evolutie – stap voor stap vooruit – is belangrijkin dit soort vertrouwensprocessen.”

Wat vindt u van de rol van het programma NICCals vliegwiel?“Het gaat goed. Publiekprivate samenwerkingen de keuze voor bottom-up werken vanuit ver-trouwen zijn de belangrijkste succesfactoren.Het programma NICC koppelt partijen vanuit detoegevoegde waarde die zij voor elkaar hebben.Het doet dit door zijn kennis te gebruiken voorhet koppelen van partijen en niet door te trachtende problemen van anderen op te lossen.”

Wat is de kern van de succesvolle aanpak?“De basis van de samenwerking is wederzijdsvertrouwen. Het programma NICC heeft daarinde rol om kennispartijen van de overheid en desector te koppelen en de samenwerking tefaciliteren.Daarnaast is essentieel dat elke partij primairvanuit zijn eigen verantwoordelijkheid handelten vanuit zijn referentiekader een steeds beterbegrip krijgt van wat er bij de andere partij speelt.”

Wat zou u nog meer willen zien gebeuren?“De huidige werkwijze per sector is goed. Erzijn echter nog wat onderwerpen die op brederniveau spelen. Daar zal het programma NICCverder op moeten gaan inspelen. Onze sectorziet duidelijk mogelijkheden om met anderesectoren samen te werken om cybercrime moei-lijker te maken, maar ook in de bestrijding vancybercrime is een samenwerking met anderesectoren binnen het NICC-model nodig.Het is zeer wenselijk om internationaal deinformatie-uitwisseling op een hoger peil tebrengen. Cybercrime kent eigenlijk geen grenzenmeer. Het verhaal van de keten en de zwaksteschakel is nu een wereldwijde keten geworden.”

“Het is zeer wenselijk om inter-nationaal de informatie-uitwisselingop een hoger peil te brengen.”

jaarbericht NICC 2008

3315

interviews nicc

Page 16: NICC interviews

Bart de WijsGlobal security manager bij ABBBU Power Generation, Water & Infra

Page 17: NICC interviews

Waarom wil ABB actief participeren in eeninitiatief als het NICC?“Wij nemen security serieus. Bij mijn businessunit van ABB ben ik verantwoordelijk voor alleswat te maken heeft met IT-security. Er zijn nogzoveel vraagtekens als het gaat om IT-security.We grijpen de mogelijkheid van de PCS-eventsaan om meer te leren van en over de eind-gebruikers, en onze visie uit te dragen. Feedbackvan de klant is belangrijk, ook als we niet directin een verkooptraject zitten. In Europese aan-biedingstrajecten is er vaak weinig mogelijkheidtot dialoog. Bij het NICC is die er wel.”

Hoe beviel de eerste kennismaking met hetInformatieknooppunt?“In februari van dit jaar hebben de leveranciersvan procesautomatiseringssystemen voor heteerst samen met het NICC en GOVCERT.NL omde tafel gezeten. We hebben er nog niet echt eenvervolg aan gegeven, maar ik hoop wel dat datgaat gebeuren. Het is positief dat ook systemintegrators die niet direct leveranciers zijn, erbijbetrokken worden. Zij zijn de link tussen produc-ten en de leveranciers enerzijds, en de klantanderzijds. In de systeemontwerpen kan al veelgedaan worden om robuustheid van processcontrol systemen te vergroten.”

Welke meerwaarde brengt de samenwerking metandere partijen jullie?“Het zou verstandig zijn om al onze informatiete delen, zodat we de concurrentiepositieop cybercrime wegnemen. Dat zou het aanbe-stedingstraject vergemakkelijken. Als we datkunnen bewerkstelligen, heeft deelname aan het

Informatieknooppunt een meerwaarde voor allepartijen. Dat moeten we nog aftasten, maar ikhoop dat we daarin een stap kunnen maken. Wijvormen nog geen ISAC, dus we profiteren nogniet van de uitwisseling tussen de sectoren. Dieblijft beperkt binnen ons eigen overleg. Ook daarzijn we nu nog vaak geneigd om details weg telaten. Iedereen moet zich eerst comfortabelvoelen bij geven en nemen van informatie. Ikhoop dat de vrije uitwisseling toeneemt als weeen echt onderdeel van het Informatieknoop-punt zijn. Daar moeten overigens ook onzeklanten het mee eens zijn. Voor hen is IT-security vaak een selectiecriterium.”

Welke rol speelt de leverancier als het gaat omde IT-security van PCS?“Onze producten moeten van voldoende kwali-teit zijn om aanvallen te weerstaan, en de klantmoet op een veilige manier het proces kunnensturen. Wij zorgen ervoor dat hij bijvoorbeeldkan bijhouden welke gebruiker waarmee bezigis, dat hij de individuele gebruikers elk een eigentoegangsniveau kan geven en dat hij kan zien ofer geprobeerd is een paar keer achter elkaar inte loggen met een verkeerd wachtwoord. Van diefuncties moet de klant dan wel gebruikmaken.Uiteindelijk is hij immers zelf verantwoordelijkvoor de security van zijn proces. De klant moethet systeem continu goed beheren, bijvoorbeelddoor zijn netwerkverkeer te monitoren zodatzaken die met cybercrime te maken kunnenhebben ook gesignaleerd worden. Soms pro-beert men toch de bocht af te snijden doorbeveiligingsmogelijkheden niet te benutten of teomzeilen. Wij kunnen dan weer functionaliteiten

zomerbericht NICC 2009

Bart de Wijs, global security manager bij ABB BU Power Generation, Water & Infra

“Het gaat om een goede balans tussen veiligheiden een goed werkend systeem”

15

interviews nicc

17

Page 18: NICC interviews

inbouwen om te zorgen dat die shortcuts af-gesloten worden. Het gaat om een goede balanstussen veiligheid en een goed werkend systeem.Daar moet je als leverancier voor zorgen.”

Wat zouden vanuit het perspectief van deleveranciers de belangrijkste stappen in detoekomst moeten zijn?“Duidelijkheid in standaardisatie, want die is erhelaas nog niet. Dat maakt het lastig voor eind-gebruikers om een duidelijke richting te kiezen.We zitten al een hele tijd te wachten op ISA 99,een standaard specifiek gericht op industriëlesystemen. Er zijn nu initiatieven vanuit ge-bruikersgroepen om voor de korte termijn eenwat simpelere versie te maken, zodat we al aande slag kunnen.Verder zouden we iets moeten doen aan de ver-betering van de vraagstelling in aanbestedings-trajecten. Dat is in het voordeel van leveranciersén eindgebruikers. Klanten zijn zoekende: watmoet je vragen in je aanbesteding, wat is vol-doende, wat is goed? Daar heeft NICC al eenbelangrijke bijdrage aan geleverd door partijente informeren over het nut en doel van aan-bestedingsteksten. In Amerika zijn ze daar alveel verder mee, zoals Séan McGurk toelichttetijdens het laatste PCS-event.”

Welke internationale trajecten zijn cruciaal omte volgen?“ABB is actief betrokken bij het tot stand komenvan internationale standaarden. We doen daarin

gedegen onderzoek zodat we kunnen sturennaar goede en implementeerbare standaarden.Dat doen we samen met universiteiten enoverheidsinstanties, ook in Europees verband.Een goed voorbeeld is ESCoRTS, dat de toepas-baarheid van standaarden in de praktijk ana-lyseert. Daarvoor doen we onderzoek in de prak-tijk van eindgebruikers. We kijken ook metinteresse naar de EuroSCSIE. Dat is nog nietheel actief op het gebied van de leveranciers,maar het moet wel toe naar een combinatie vaneindgebruikers en leveranciers. De kracht zit inde samenwerking tussen alle partijen.”

Hoe kijkt u aan tegen de Roadmap voor veiligeprocess control systemen?“Dat is een positieve ontwikkeling, mits allepartijen hem gezamenlijk opstellen. Ik ben bangdat de Roadmap nog wel te abstract is. Hij geeftweliswaar doelen aan, maar er zijn meerderewegen om die doelen te bereiken. Veel eind-gebruikers willen weten welke weg voor hen debeste is. Het zou waardevol zijn als de Roadmapdaarmee concreet werd aangevuld. Je zou deonderwerpen uit de Roadmap apart kunnen uit-lichten en in de context van de diverse industrie-sectoren plaatsen. Een koekjesfabrikant heeftimmers met hele andere risico’s te maken daneen raffinaderij. We moeten een goede balansvinden in het aantal sectoren en de diepgangvan een aansluitende Roadmap.”

1618

Page 19: NICC interviews

inbouwen om te zorgen dat die shortcuts af-gesloten worden. Het gaat om een goede balanstussen veiligheid en een goed werkend systeem.Daar moet je als leverancier voor zorgen.”

Wat zouden vanuit het perspectief van deleveranciers de belangrijkste stappen in detoekomst moeten zijn?“Duidelijkheid in standaardisatie, want die is erhelaas nog niet. Dat maakt het lastig voor eind-gebruikers om een duidelijke richting te kiezen.We zitten al een hele tijd te wachten op ISA 99,een standaard specifiek gericht op industriëlesystemen. Er zijn nu initiatieven vanuit ge-bruikersgroepen om voor de korte termijn eenwat simpelere versie te maken, zodat we al aande slag kunnen.Verder zouden we iets moeten doen aan de ver-betering van de vraagstelling in aanbestedings-trajecten. Dat is in het voordeel van leveranciersén eindgebruikers. Klanten zijn zoekende: watmoet je vragen in je aanbesteding, wat is vol-doende, wat is goed? Daar heeft NICC al eenbelangrijke bijdrage aan geleverd door partijente informeren over het nut en doel van aan-bestedingsteksten. In Amerika zijn ze daar alveel verder mee, zoals Séan McGurk toelichttetijdens het laatste PCS-event.”

Welke internationale trajecten zijn cruciaal omte volgen?“ABB is actief betrokken bij het tot stand komenvan internationale standaarden. We doen daarin

gedegen onderzoek zodat we kunnen sturennaar goede en implementeerbare standaarden.Dat doen we samen met universiteiten enoverheidsinstanties, ook in Europees verband.Een goed voorbeeld is ESCoRTS, dat de toepas-baarheid van standaarden in de praktijk ana-lyseert. Daarvoor doen we onderzoek in de prak-tijk van eindgebruikers. We kijken ook metinteresse naar de EuroSCSIE. Dat is nog nietheel actief op het gebied van de leveranciers,maar het moet wel toe naar een combinatie vaneindgebruikers en leveranciers. De kracht zit inde samenwerking tussen alle partijen.”

Hoe kijkt u aan tegen de Roadmap voor veiligeprocess control systemen?“Dat is een positieve ontwikkeling, mits allepartijen hem gezamenlijk opstellen. Ik ben bangdat de Roadmap nog wel te abstract is. Hij geeftweliswaar doelen aan, maar er zijn meerderewegen om die doelen te bereiken. Veel eind-gebruikers willen weten welke weg voor hen debeste is. Het zou waardevol zijn als de Roadmapdaarmee concreet werd aangevuld. Je zou deonderwerpen uit de Roadmap apart kunnen uit-lichten en in de context van de diverse industrie-sectoren plaatsen. Een koekjesfabrikant heeftimmers met hele andere risico’s te maken daneen raffinaderij. We moeten een goede balansvinden in het aantal sectoren en de diepgangvan een aansluitende Roadmap.”

16 19

interviews nicc

Page 20: NICC interviews

Ferenc SubaChairman of the Boardof CERT-Hungary

Page 21: NICC interviews

Ferenc SubaChairman of the Boardof CERT-Hungary

What are the crucial success factors in the fightagainst cybercrime?“First of all we need more awareness. To achievethat, we need to educate everyday users better.To increase the awareness of the top-leveldecision makers, both political and in business,we have to communicate better. Secondly, weneed international collaboration among existingnetwork security centres. And thirdly, we haveto settle a lot of regulatory issues, such as theproduct liability of software producers and thesecondary liability of ISPs.”

How does Public-Private Partnership fit intothis?“Public-Private Partnership fits into thecollaboration part. If you want to achieveanything in the jungle of cyber-security, youneed all the stakeholders. The EuropeanFI-ISAC is a good example of such a jointinitiative in which banks, CERT people, lawenforcement and policy makers from morethan fifteen countries collaborate.”

Why are initiatives like the EuroSCSIE and theEuropean FI-ISAC important in the defenceagainst cybercrime?“Because of the nature of the attacks, whichalways come from abroad. You need goodpartners in other countries who react to apossible or real threat. The only tool againstcybercrime is international collaboration.The European FI-ISAC covers cybercrimeattacks against banks. EuroSCSIE is directedto those sectors that are critical for nationalinfrastructures. EuroSCSIE is a good first stepto involve all the stakeholders.”

What is your view on the role that theNetherlands plays in the European arena?“The NICC and other Dutch initiatives are avery good example of how a small country canachieve a great deal. The Dutch have alwaysbeen good at international cooperation. Whenwe established CERT-Hungary, we copied theDutch GOVCERT.NL. The NICC project and allit has achieved is a good pattern for similarprojects in other countries. Collaboration is atrust issue. The NICC was willing to take us andour Swiss counterparts seriously, and is keen onsharing experiences and disclosing information.Without the Dutch commitment we would nothave been able to achieve so much. Now we tryto make our own Eastern European neighbourscooperate in the same way, using the Dutch asan example.”

zomerbericht NICC 2009

Ferenc Suba, Chairman of the Board of CERT-Hungary, strategy leader of the Government NetworkSecurity Centre and Vice-Chairman of the ENISA management board

“If you want to achieve anything in the jungle ofcyber-security, you need all the stakeholders”

2121

interviews nicc

Page 22: NICC interviews

What is the value of initiatives like ‘InformationExchange in a box’?“It is a good tool that every EU memberstate can use, copy and adapt to its nationalframework. The Dutch took the initiative incollaboration with CPNI and ENISA. It is a kindof how-to-do handbook for those people whowant to set up an Information Exchange in theirown country.”

What should international cooperation look likein the coming years? And what should be therole of the European Commission and ENISA?“There should be a stronger operationalcooperation, both bilateral and multilateral, likethe European FI-ISAC. The most effective rolefor ENISA would be to support this, be part ofthe process and give financial support. But itshouldn’t tell the national participants what todo. At the moment, ENISA is repositioningitself in this direction. For instance, we financedthe participation in the European FI-ISACconference. I hope that the EU will issue a callfor new tenders in this respect, and give us morefunding for cooperation at a European level.”

2222

Page 23: NICC interviews

What is the value of initiatives like ‘InformationExchange in a box’?“It is a good tool that every EU memberstate can use, copy and adapt to its nationalframework. The Dutch took the initiative incollaboration with CPNI and ENISA. It is a kindof how-to-do handbook for those people whowant to set up an Information Exchange in theirown country.”

What should international cooperation look likein the coming years? And what should be therole of the European Commission and ENISA?“There should be a stronger operationalcooperation, both bilateral and multilateral, likethe European FI-ISAC. The most effective rolefor ENISA would be to support this, be part ofthe process and give financial support. But itshouldn’t tell the national participants what todo. At the moment, ENISA is repositioningitself in this direction. For instance, we financedthe participation in the European FI-ISACconference. I hope that the EU will issue a callfor new tenders in this respect, and give us morefunding for cooperation at a European level.”

22

interviews nicc

23

Page 24: NICC interviews

Erik AkerboomNationaal CoördinatorTerrorismebestrijding (NCTb)

Page 25: NICC interviews

Hoe belangrijk zijn cybercrime en cyber securityals aandachtspunten bij terrorismebestrijding?“Bij de start van de NCTb in 2005 waren het noggeen aparte onderwerpen. Later is een speciaalprogramma over informatietechnologie en inter-net opgezet. In dat kader hebben we studiesgedaan naar hoe terroristen ICT gebruiken: alswapen of als middel. Of zien ze de ICT-infra-structuur wellicht als een doelwit? Wij denkendat het accent moet liggen op de aanpak vaninternet als middel. Jihadisten maken zelf ge-bruik van het internet. Dus als zij daar een aan-slag op zouden plegen, schieten ze zichzelf in devoet. De klassieke terrorist kiest dan ook eerdervoor fysiek terrorisme. Maar altijd is internet inhet spel. Ook terroristen netwerken, leggen snelcontacten en rekruteren via internet. Het is déplek om je ideologische contacten en voeding tevinden.”

Hoe belangrijk is publiekprivate samenwerkingvoor de NCTb en voor de veiligheid in Nederlandin het algemeen?“Publiekprivate samenwerking is voor onsbelangrijk omdat internet niet van de overheidis maar van de markt en de mensen. Als je effec-tieve oplossingen zoekt tegen cybercrime, danmoet je als overheid dus samen met privatepartijen aan de slag. Daar hoort zelfreguleringbij. De Gedragscode Notice-and-Take-Down isdaarom goud waard. De kunst is om het ook telaten werken. Als we een gedragscode afspreken,is het extra belangrijk dat die ook wordt nage-leefd. De signalen zijn tot nu toe positief, maardat moeten we goed blijven bewaken.

De gedragscode is overigens typisch zo’nNederlands product waarmee we ook interna-tionaal indruk maken. Ik was een paar wekengeleden bij mijn counterpart in Engeland. Die isop zoek naar een dergelijke oplossing en zietonze gedragscode als voorbeeld.”

Wat is de waarde van het NICC voor de NCTb?“Wij zoeken altijd coördinatiepunten waarmensen bij elkaar komen die samen iets totstand kunnen brengen. Het NICC is zo’n knoop-punt. We moeten voorkomen dat je terrorismeisoleert van andere fenomenen en een goed ooghouden voor cybercriminelen die terroristen faci-literen. Ik zie terrorisme overigens niet als een‘echte’ vorm van cybercrime. Het gaat om eenander type mensen, dat ideologisch gedreven isen niet door winstbejag. Maar de middelen enaanpak zijn wel hetzelfde. Het NICC kan er aanbijdragen terrorisme aan te pakken door degoede infrastructuur te leveren om vertrouwe-lijke informatie uit te kunnen wisselen met allepartijen die betrokken zijn bij de monitoring ende aanpak van cybercrime en terrorisme.”

Wat zijn de belangrijkste verworvenheden vanhet Informatieknooppunt Cybercrime?“De NCTb wint zelf geen inlichtingen of dader-informatie in, maar kijkt wel naar trends enontwikkelingen. Om onze taak uit te oefenen,willen we wel dat informatie wordt uitgewisselden dat daar dan ook iets mee gebeurt. Daarbijis het Informatieknooppunt heel waardevol.Wij vinden de sectoren die erbij aangeslotenzijn, van cruciaal belang. Informatie delenen vertrouwen zijn cruciaal voor succes.”

zomerbericht NICC 2009

Erik Akerboom, Nationaal Coördinator Terrorismebestrijding (NCTb)

“Het net om cybercriminelen en terroristenkun je alleen internationaal sluiten”

27

interviews nicc

25

Page 26: NICC interviews

Welke rol wil de NCTb spelen in hetInformatieknooppunt Cybercrime?“Internet is misschien geen primair doelwit ofwapen van terroristen, maar alle bedrijven zijner wel van afhankelijk. We bagatelliseren hetprobleem dus niet, en in het kader van onze taakwillen we graag geïnformeerd worden. Ik sluitook niet uit dat we er in de toekomst aan zullendeelnemen.Met de samenwerkingspartners hebben we alveel onderlinge contacten, op dezelfde basis alshet NICC. Als we informatie kunnen inbrengen,laten we dat niet na. Wij delen onze kennis alsdie consequenties heeft voor de sectoren, ookal doen we dat niet op dagdagelijkse basis.”

Hoe zou volgens u de publiekprivate samen-werking er over een paar jaar uit moeten zien?“Het lijkt mij van belang dat het NICC blijftfocussen en dat het InformatieknooppuntCybercrime in stand blijft en bewaakt wordt,want dat heeft zijn waarde bewezen. Teveelverbreden betekent al snel dat je verdunt.Maak het Informatieknooppunt niet te groot,want die vertrouwelijke setting is belangrijk.Ik ben ook geïnteresseerd in de inhoudelijkedoorontwikkeling van het NICC: wat zijn deambities, wat doe je nou met de problemen dieje signaleert? Hoe maak je de keten sluitend?In de Gedragscode Notice-and-Take-Down gaathet om het offline halen van strafbare en on-rechtmatige content. Wie zorgt ervoor dat diesites uit de lucht worden gehaald, en de dadersstrafrechtelijk vervolgd? Op dat terrein willen webij het NICC betrokken zijn en waar we kunnenook wat bijdragen.

De oplossing is uiteindelijk alleen internationaalgoed te regelen. Daar kunnen wij een steentjeaan bijdragen. Ook de dreiging die uitgaat vanterroristen internationaliseert immers. Het netom cybercriminelen en terroristen kun je dusalleen internationaal sluiten. Het NICC zou hethuidige concept van informatie-uitwisselingkunnen opschalen door een internationale pen-dant van het Informatieknooppunt te initiëren,met als doel om die club zo groot te maken datje steeds meer ‘rogue states’ isoleert.”

2826

Page 27: NICC interviews

interviews nicc

27

Page 28: NICC interviews

Danyel MolenaarOPTA hoofd internetveiligheid encommunicatie van OPTA en voorzittervan het Cybercrime-overleg

Page 29: NICC interviews

Danyel MolenaarOPTA hoofd internetveiligheid encommunicatie van OPTA en voorzittervan het Cybercrime-overleg

Het Cybercrime-overleg klinkt als een ISAC,het handelt als een ISAC, en toch is het dat niet.Het NICC faciliteert de bijeenkomsten en hetbekende stoplichtmodel garandeert vertrou-welijke informatie-uitwisseling over cybercrime.Maar bij dit overleg schuiven alleen overheids-instanties als KLPD, AIVD, GOVCERT.NL ende NCTb aan tafel, geen private partijen.Danyel Molenaar, hoofd internetveiligheid encommunicatie van OPTA, is op dit momentvoorzitter van het Cybercrime-overleg.

Hoe is het Cybercrime-overleg gestart?“Binnen OPTA kwamen we tot de conclusie datwe veel beter in staat waren internationaalsamen te werken dan nationaal. BinnenNederland was er nauwelijks overleg met andereorganisaties die we nodig hadden voor debestrijding van cybercrime. Die hebben wedus maar eens hier op kantoor uitgenodigd.We startten vier jaar geleden met de instantieswaar wij wel eens mee te maken hadden:GOVCERT.NL, KLPD, FIOD-ECD en deBovenregionale Recherche Noord- en Oost-Nederland, die een speciale afdeling Telecom-en ICT-fraude heeft. Later zijn daar het KorpsAmstelland, AIVD, MIVD, de Consumenten-autoriteit, de NCTb, de Nederlandsche Bank ende Autoriteit Financiële Markten bij gekomen.Het overleg is bedoeld voor mensen die zelfonderzoek doen, dus heel operationeel bezigzijn.”

Hoe liep de nieuwe samenwerking?“Onze insteek was: als je goed wil samen-werken, moet je elkaar kennen. Alles wat deopsporings- en inlichtingendiensten doen, isvertrouwelijk. Om die informatie te delen moet

je eerst vertrouwen hebben in je gespreks-partners. We realiseerden ons dat dat moestgroeien. In het begin ging dat dan ook heelstroef. Dus zijn wij zelf gewoon begonnen metinformatie delen. Voor ons als OPTA was hetmakkelijker, omdat de telecomwetgevingsoepeler is. Zo konden we dat vertrouwenwekken bij de anderen. In het begin waren wedus vooral zelf aan het woord, maar dat is snelveranderd.”

Het Cybercrime-overleg lijkt sterk op een ISAC,maar is het niet. Hoe zit dat nou?“Twee jaar geleden heeft het NICC aangebodenom de organisatie over te nemen. Daar warenwe erg dankbaar voor. Ik ben nu alleen nogvoorzitter van het overleg, de rest regelt hetNICC. We zijn geen onderdeel van hetInformatieknooppunt, maar werken wel methet stoplichtmodel. Het Cybercrime-overleg isecht alleen voor overheidspartijen. En de KLPD,AIVD en GOVCERT.NL zitten ook in de andereISACs, dus met toestemming van de sectorenkunnen ze informatie overdragen. OPTAontbreekt trouwens ook in de Telecom-ISAComdat de private partijen hebben aangegevendat ze daar nog niet aan toe zijn.”

Hoe werken jullie in de praktijk samen?“We komen elke twee maanden bij elkaar endaarnaast is er veel bilateraal overleg. De kernvan de samenwerking is informatie-uitwisseling.Dat kan over algemene zaken gaan zoals risico’sen methodes om die aan te pakken. We pratenniet over taakverdelingen en beleidsplannen,het gaat puur om het uitwisselen van praktischeinformatie: hoe doe je onderzoek, ken je ditprobleem, hoe pak je dit aan, wie is waar mee

lentebericht NICC 2010

“Onze insteek was: als je goed wilt samenwerken,moet je elkaar kennen”

7

interviews nicc

29

Page 30: NICC interviews

bezig? Als we bijvoorbeeld met een cyber-crimineel zitten die onvindbaar is en zijn geldheeft laten verdwijnen naar het buitenland, danzouden we de Belastingdienst uitnodigen omeens te komen praten. Die heeft contacten in hetbuitenland. Zo kun je elkaar helpen.”

Heeft het overleg al wat concreets opgeleverd?“OPTA heeft wel eens een spammer beboet waarde politie ook in geïnteresseerd was. Dan dragenwij de informatie over, zodat de politie hem kanvervolgen. Verder hebben we de overleggentelkens bij een andere organisatie, die dan kanlaten zien wat ze kunnen en doen. Bij hetNederlands Forensisch Instituut is eens eenpresentatie gegeven over een nieuwe vorm vangeautomatiseerde beeldanalyse, een computer-programma dat heel snel een bepaald soortbeelden herkent. Dat is handig bij de opsporingvan kinderporno, want dan hoef je al die beeldenniet een voor een te bekijken. En we zijn voorons volgende overleg uitgenodigd door hetProjectbureau Aanpak Cybercrime, dat beleidvoorbereidt voor de politie en het ministerie vanBZK.”

Werken jullie ook wel eens samen met privatepartijen?“Een hoogleraar is wat komen vertellen overtechnieken voor privacybescherming. We hebbenook een keer een antivirussoftware-producentuitgenodigd. Die heeft ons uitgelegd hoe zegegevens verzamelen voor hun rapporten, enwat wij daar aan kunnen hebben. Soms is deafstemming ook heel concreet, als er bijvoor-beeld een ISP is waar een hele hoop ellendevandaan komt. Dan ga je dat samen onder-zoeken. Nederland heeft veel kleine hosting

providers, die niet allemaal 100 procent bonafidezijn. De grote ISPs hebben weer veel te makenmet botnetproblemen, die geven ons daarinformatie over.”

Wat heeft OPTA zelf aan de samenwerking methostingbedrijven en datacentra?“OPTA zal het Cybercrime-overleg nooitgebruiken als bron richting private partijen.Wat in het overleg besproken wordt, blijft daar.Maar de informatie helpt ons wel bij het richtinggeven aan ons onderzoek. Soms roepen we deISPs bij elkaar om te praten. Het is alleen lastigdat ze niet georganiseerd zijn. Soms regelen wedat dan ook via het Economic CommercePlatform ECP-EPN of het Platform Internet-veiligheid, dat afgelopen december is opgericht.De overheid probeert het sectoroverleg gelukkigwel meer te stroomlijnen. Dat ISPs geenbrancheorganisatie hebben, zit in de aard vande internetpioniers. Het zijn van oudshervrijgevochten jongens die geloven in de anarchievan het internet. We merken wel dat ze steedsopener worden. Toen OPTA zes jaar geledencontact zocht met de ISPs, was de reactie zeerkil. Het oprichten van een Telecomknooppuntheeft jaren geduurd, maar dat is er nu in iedergeval. De botnet-afspraken om zombie-computers af te sluiten waren drie jaar geledenniet gelukt. De aversie tegen de overheid wordtminder. ISPs zijn nu ook meer bereid om zelfactie te ondernemen om het vertrouwen tevergroten. Ze beseffen dat er in een vrije wereldook een hoop slechte mensen rondlopen enhebben daar zelf onder te lijden. De tijdgeestverandert, de branche wordt volwassener.”

830

Page 31: NICC interviews

bezig? Als we bijvoorbeeld met een cyber-crimineel zitten die onvindbaar is en zijn geldheeft laten verdwijnen naar het buitenland, danzouden we de Belastingdienst uitnodigen omeens te komen praten. Die heeft contacten in hetbuitenland. Zo kun je elkaar helpen.”

Heeft het overleg al wat concreets opgeleverd?“OPTA heeft wel eens een spammer beboet waarde politie ook in geïnteresseerd was. Dan dragenwij de informatie over, zodat de politie hem kanvervolgen. Verder hebben we de overleggentelkens bij een andere organisatie, die dan kanlaten zien wat ze kunnen en doen. Bij hetNederlands Forensisch Instituut is eens eenpresentatie gegeven over een nieuwe vorm vangeautomatiseerde beeldanalyse, een computer-programma dat heel snel een bepaald soortbeelden herkent. Dat is handig bij de opsporingvan kinderporno, want dan hoef je al die beeldenniet een voor een te bekijken. En we zijn voorons volgende overleg uitgenodigd door hetProjectbureau Aanpak Cybercrime, dat beleidvoorbereidt voor de politie en het ministerie vanBZK.”

Werken jullie ook wel eens samen met privatepartijen?“Een hoogleraar is wat komen vertellen overtechnieken voor privacybescherming. We hebbenook een keer een antivirussoftware-producentuitgenodigd. Die heeft ons uitgelegd hoe zegegevens verzamelen voor hun rapporten, enwat wij daar aan kunnen hebben. Soms is deafstemming ook heel concreet, als er bijvoor-beeld een ISP is waar een hele hoop ellendevandaan komt. Dan ga je dat samen onder-zoeken. Nederland heeft veel kleine hosting

providers, die niet allemaal 100 procent bonafidezijn. De grote ISPs hebben weer veel te makenmet botnetproblemen, die geven ons daarinformatie over.”

Wat heeft OPTA zelf aan de samenwerking methostingbedrijven en datacentra?“OPTA zal het Cybercrime-overleg nooitgebruiken als bron richting private partijen.Wat in het overleg besproken wordt, blijft daar.Maar de informatie helpt ons wel bij het richtinggeven aan ons onderzoek. Soms roepen we deISPs bij elkaar om te praten. Het is alleen lastigdat ze niet georganiseerd zijn. Soms regelen wedat dan ook via het Economic CommercePlatform ECP-EPN of het Platform Internet-veiligheid, dat afgelopen december is opgericht.De overheid probeert het sectoroverleg gelukkigwel meer te stroomlijnen. Dat ISPs geenbrancheorganisatie hebben, zit in de aard vande internetpioniers. Het zijn van oudshervrijgevochten jongens die geloven in de anarchievan het internet. We merken wel dat ze steedsopener worden. Toen OPTA zes jaar geledencontact zocht met de ISPs, was de reactie zeerkil. Het oprichten van een Telecomknooppuntheeft jaren geduurd, maar dat is er nu in iedergeval. De botnet-afspraken om zombie-computers af te sluiten waren drie jaar geledenniet gelukt. De aversie tegen de overheid wordtminder. ISPs zijn nu ook meer bereid om zelfactie te ondernemen om het vertrouwen tevergroten. Ze beseffen dat er in een vrije wereldook een hoop slechte mensen rondlopen enhebben daar zelf onder te lijden. De tijdgeestverandert, de branche wordt volwassener.”

8

interviews nicc

31

Page 32: NICC interviews

Ria DoedelDirecteur van Waterleiding MaatschappijLimburg en voorzitter van de Vewin-stuur-groep beveiliging en crisismanagement

Page 33: NICC interviews

Ria DoedelDirecteur van Waterleiding MaatschappijLimburg en voorzitter van de Vewin-stuur-groep beveiliging en crisismanagement

Ria Doedel, directeur van WaterleidingMaatschappij Limburg en voorzitter van deVewin-stuurgroep beveiliging en crisis-management, is zeer tevreden over de samen-werking die op gang is gekomen in hetInformatieknooppunt Cybercrime. Niet alleenbinnen de sector zelf en met publieke partijenwordt nu eindelijk informatie uitgewisseld overbeveiliging van de procesautomatisering. Met deenergiesector zijn bovendien gezamenlijke over-leggen gepland. Doedel: “Het is goed dat er nuook een leveranciers-ISAC is. Dat biedt meermogelijkheden om aan informatie te komen hoeje je het beste kunt beveiligen.”

Wat betekent de Water-ISAC voor dedrinkwatersector?“De Water-ISAC is een waardevol platform voorde vertrouwelijke uitwisseling van informatie,ervaringen en best practices over proces-automatisering en cybercrime. Als deze ISACniet was opgericht, zouden de waterleiding-bedrijven elk in hun eigen koker zijn blijvenopereren. Dan wisten we veel te weinig overwat er wel en niet goed gaat, of bijna misloopt.Nu leren we van elkaar.”

Heeft de samenwerking in de Water-ISACantwoorden opgeleverd op dreigingen?“Een concrete bedreiging is misschien wat tezwaar gesteld. We kennen wel de praktijk-voorbeelden van hackers die zijn binnen-gedrongen in systemen. En we weten datterroristische groeperingen interesse hebbengetoond voor SCADA-systemen, onder anderein de drinkwatersector. Dat is door de AIVD

onderkend en die informatie is met de drink-waterbedrijven gedeeld. De belangstelling voorSCADA heeft in de drinkwatersector geleid toteen heel actief beveiligingsbeleid voor dekantoorautomatisering, en in toenemend mateook voor de procesautomatisering. Dat varieertvan een actief wachtwoordenbeleid en beveiligingvan verbindingen tot de mogelijkheid om deprocesbesturing handmatig over te nemen, enalle gradaties die daar tussen zitten.”

Heeft een eigen ISAC de contacten in dedrinkwatersector verbeterd?“De voorzitter van de Water-ISAC is lid vande Vewin-stuurgroep beveiliging en crisis-management. Die zorgt voor een hele actieveinbreng vanuit de ISAC. Hij heeft bijvoorbeeldhet TNO-rapport over de benchmark SCADA-security uit 2007 in het bestuur van de VEWINen in de stuurgroep laten presenteren. Dat waseen belangrijke stap in het verkrijgen van inzichtin de kwetsbaarheden, en om bewustzijn tecreëren.Andersom werkt het ook. Als we tegen bepaaldezaken aanlopen, dan neemt hij dat mee naar hetISAC-overleg, zodat ze daar gezamenlijk kunnenbekijken of er een reëel gevaar is en of daar aloplossingen voor zijn. Een vraagstuk waar weallemaal tegenaan lopen is het onderhoud vanproductielocaties. Hoe ga je om met debeveiliging en het toezicht als je daarvoorderden moet toelaten op de locatie? Daarwisselen we praktijkervaringen over uit. En toensommige drinkwaterbedrijven gewerkt haddenmet mystery guests om te beproeven of jebeveiligingsbeleid in de praktijk werkt,

lentebericht NICC 2010

“Als drinkwaterbedrijven zijn we veel afhankelijkergeworden van procesautomatisering dan we onsrealiseren”

11

interviews nicc

33

Page 34: NICC interviews

wisselden ze die ervaringen uit. Zo hoeft nietiedereen eerst weer in de bekende valkuilente trappen.”

Hoe zit het met de contacten met anderesectoren?“Het TNO-onderzoek in de drinkwatersector,dat als basis diende voor de benchmark SCADA-security, wordt dit jaar herhaald. Ook deenergiesector voert een dergelijk onderzoek uit.We gaan de uitkomsten van die onderzoekensectoroverschrijdend vergelijken, zodat we vanelkaar kunnen leren. Dat is ook een concreetresultaat van het Informatieknooppunt. Voordathet Water-ISAC bestond, was er helemaal geenuitwisseling tussen deze sectoren.”

De Water-ISAC heeft een pilotproject geïnitieerdvoor een generiek oefendraaiboek op het gebiedvan verstoringen in de industriële auto-matisering. Wat denkt u dat de conclusieszullen zijn?“Na afronding van de pilots gebruiken we debevindingen om ons preparatieniveau teverhogen. Wat die bevindingen zullen zijn, isnatuurlijk koffiedik kijken. Maar goed, ik denkwel dat daar uit zal komen dat we als drink-waterbedrijven veel afhankelijker zijn gewordenvan procesautomatisering dan we ons reali-seren. Een belangrijk aspect van dat oefendraai-boek is het handmatig kunnen overnemen vande besturing van de installaties, als de proces-automatisering door interventie van buitenaf stilkomt te liggen. De oudere garde kan dat nog,want die komt uit de periode dat alle processenmet de hand bedreven werden. Maar de jongere

generatie kent alleen de geautomatiseerdesystemen. Als we uitval handmatig willenoplossen, moeten we dus aan actieve kennis-overdracht gaan werken. Daar moeten we nogwel wat slagen in maken.”

Hoe gaat Waterleiding Maatschappij Limburgom met de beveiliging van procesauto-matisering?“Bij ons is dat een geïntegreerd onderdeel vande beveiliging. In de eerste ronde ging dat omfysieke maatregelen: toegangshekken, ver-zwaring van deuren, elektronische toegangs-systemen. Vervolgens maken we het indringersdoor firewalls en hoge beveiligingsniveaus zomoeilijk mogelijk om door te dringen tot onzesystemen. Ook hebben we de personelebeveiliging aangepakt. Aan elke functie is eenrisicoprofiel gekoppeld met een bijpassendscreeningsniveau dat kan oplopen tot eenzware, extern uitgevoerde procedure. Iedereendie nieuw aangenomen wordt of van functiewisselt, ondergaat zo’n screening. Verder doenwe regelmatig security awareness trainingen omveiligheid ook fris en actueel te houden. Kleinedingen waar je snel overheen stapt, kunnensignalen zijn dat er iets aan de hand is.”

Wat verwacht u de komende jaren aanontwikkelingen op het gebied van ICT-security?“Zonder meer een belangrijke ontwikkeling ishet feit dat een aantal drinkwaterbedrijven aande vooravond staan van grote vervangingen inde procesautomatisering. Met wat we nu weten,zullen de beveiligingseisen die je als bedrijf steltbij het maken van een ontwerp veel zwaarder

1234

Page 35: NICC interviews

wisselden ze die ervaringen uit. Zo hoeft nietiedereen eerst weer in de bekende valkuilente trappen.”

Hoe zit het met de contacten met anderesectoren?“Het TNO-onderzoek in de drinkwatersector,dat als basis diende voor de benchmark SCADA-security, wordt dit jaar herhaald. Ook deenergiesector voert een dergelijk onderzoek uit.We gaan de uitkomsten van die onderzoekensectoroverschrijdend vergelijken, zodat we vanelkaar kunnen leren. Dat is ook een concreetresultaat van het Informatieknooppunt. Voordathet Water-ISAC bestond, was er helemaal geenuitwisseling tussen deze sectoren.”

De Water-ISAC heeft een pilotproject geïnitieerdvoor een generiek oefendraaiboek op het gebiedvan verstoringen in de industriële auto-matisering. Wat denkt u dat de conclusieszullen zijn?“Na afronding van de pilots gebruiken we debevindingen om ons preparatieniveau teverhogen. Wat die bevindingen zullen zijn, isnatuurlijk koffiedik kijken. Maar goed, ik denkwel dat daar uit zal komen dat we als drink-waterbedrijven veel afhankelijker zijn gewordenvan procesautomatisering dan we ons reali-seren. Een belangrijk aspect van dat oefendraai-boek is het handmatig kunnen overnemen vande besturing van de installaties, als de proces-automatisering door interventie van buitenaf stilkomt te liggen. De oudere garde kan dat nog,want die komt uit de periode dat alle processenmet de hand bedreven werden. Maar de jongere

generatie kent alleen de geautomatiseerdesystemen. Als we uitval handmatig willenoplossen, moeten we dus aan actieve kennis-overdracht gaan werken. Daar moeten we nogwel wat slagen in maken.”

Hoe gaat Waterleiding Maatschappij Limburgom met de beveiliging van procesauto-matisering?“Bij ons is dat een geïntegreerd onderdeel vande beveiliging. In de eerste ronde ging dat omfysieke maatregelen: toegangshekken, ver-zwaring van deuren, elektronische toegangs-systemen. Vervolgens maken we het indringersdoor firewalls en hoge beveiligingsniveaus zomoeilijk mogelijk om door te dringen tot onzesystemen. Ook hebben we de personelebeveiliging aangepakt. Aan elke functie is eenrisicoprofiel gekoppeld met een bijpassendscreeningsniveau dat kan oplopen tot eenzware, extern uitgevoerde procedure. Iedereendie nieuw aangenomen wordt of van functiewisselt, ondergaat zo’n screening. Verder doenwe regelmatig security awareness trainingen omveiligheid ook fris en actueel te houden. Kleinedingen waar je snel overheen stapt, kunnensignalen zijn dat er iets aan de hand is.”

Wat verwacht u de komende jaren aanontwikkelingen op het gebied van ICT-security?“Zonder meer een belangrijke ontwikkeling ishet feit dat een aantal drinkwaterbedrijven aande vooravond staan van grote vervangingen inde procesautomatisering. Met wat we nu weten,zullen de beveiligingseisen die je als bedrijf steltbij het maken van een ontwerp veel zwaarder

12 zijn dan in het verleden. Het akelige is alleendat de ontwikkelingen op het gebied vancybercrime ook alsmaar doorgaan. Techno-logisch is steeds meer mogelijk, kwaadwillendepartijen worden slimmer. In die wedloop moetenwe dus proberen telkens een stapje voor teblijven. Naar mijn inschatting blijft dat dekomende decennia een groot aandachtspunt.”

Het Informatieknooppunt Cybercrime krijgt inde toekomst een permanente plek. Is dat goedvoor de drinkwatersector?“Op zich wel, want daarmee bereik je dat debestuurlijke drukte kleiner wordt dan toen ernog meerdere organisaties waren die zich metcybercrime bezighielden. Door die expertise eninformatie te bundelen, krijg je ook een beterbeeld. Ik ben heel blij dat het Informatieknoop-punt behouden blijft. Bij drinkwater gaat hetimmers om de volksgezondheid. Als je acties vankwaadwillenden wilt voorkomen, dan moet je jeinformatie delen, signalen oppikken en door-geven, zodat er tijdig en alert actie ondernomenkan worden. Vroeger was die informatie er ookwel, maar werd hij niet gedeeld.Het is ook belangrijk dat we elkaar op de hoogtebrengen over technologische mogelijkheden omcybercriminelen een stapje voor te blijven. Diekennis hebben we niet allemaal zelf in huis. Hetis dus goed dat er nu ook een leveranciers-ISACis. Ik begrijp best dat die niet al hun bedrijfs-geheimen met ons kunnen delen, maar het biedttoch weer meer mogelijkheden om aan informa-tie te komen hoe je je het beste kunt beveiligen.”

lentebericht NICC 2010

13

interviews nicc

35

Page 36: NICC interviews

v.l.n.r.Jos WeyersIT-security en continuity officer, TenneT

Renny ter VeerIB-coördinator, WaterleidingmaatschappijDrenthe en Waterbedrijf Groningen

Sytze BakkerManager Electro & Instrumentatieen Procesbesturing, Gasunie

Industrial Control Systems Cyber Security Advanced TrainingHet United States Department of Homeland Security en het NICC organiseerden in november een vijfdaagsesecurity training. 32 Nederlandse control systems engineers en operators, IT-medewerkers en securitymanagers uit diverse vitale infrastructuren namen deel aan deze Industrial Control Systems Cyber SecurityAdvanced Training in het Idaho National Laboratory. Drie van de 32 deelnemers aan de Idaho-trainingpresenteerden hun ervaringen tijdens het PCS-event ‘Manage IT!’ van het NICC in december 2009.

Page 37: NICC interviews

v.l.n.r.Jos WeyersIT-security en continuity officer, TenneT

Renny ter VeerIB-coördinator, WaterleidingmaatschappijDrenthe en Waterbedrijf Groningen

Sytze BakkerManager Electro & Instrumentatieen Procesbesturing, Gasunie

Industrial Control Systems Cyber Security Advanced TrainingHet United States Department of Homeland Security en het NICC organiseerden in november een vijfdaagsesecurity training. 32 Nederlandse control systems engineers en operators, IT-medewerkers en securitymanagers uit diverse vitale infrastructuren namen deel aan deze Industrial Control Systems Cyber SecurityAdvanced Training in het Idaho National Laboratory. Drie van de 32 deelnemers aan de Idaho-trainingpresenteerden hun ervaringen tijdens het PCS-event ‘Manage IT!’ van het NICC in december 2009.

Vier dagen lang, van ’s ochtends vroeg tot’s avonds laat, intensief buffelen op hetbeveiligen van PCS. En er dan in de praktijktestop de vijfde dag achter komen dat je binnen eenkwartier al je vitale informatie al kwijt bent aande ‘vijand’… Hoe alert je ook denkt te zijn, het isbepaald niet eenvoudig je essentiële systemente beschermen tegen een aanval. Drie deel-nemers aan de Control Systems Cyber SecurityAdvanced Training in Idaho vertellen hunervaringen: Renny ter Veer (IB-coördinator,Waterleidingmaatschappij Drenthe en Water-bedrijf Groningen), Sytze Bakker (ManagerElectro & Instrumentatie en Procesbesturing,Gasunie) en Jos Weyers (IT-security encontinuity officer, TenneT).

Wat vonden jullie van de training?Renny ter Veer: “Geweldig! Het mooiste vond ikde live Red team/Blue team-training. We werdenverdeeld in twee teams. Ons team moest desystemen verdedigen terwijl we aangevallenwerden door het andere team. Dat kun je in jeeigen omgeving nooit oefenen. Alle aspectenkwamen aan bod: niet alleen technisch maar ookorganisatorisch. Hoe reageert het management,heb je een incidentmanager die alles regelt, enwat doe je met negatieve berichtgeving in depers? En dan de fysieke beveiliging. De ‘vijand’liep gewoon binnen om rond te snuffelen,maakte foto’s van ons whiteboard door deluxaflex heen, haalde de afvalbakken leeg…”Jos Weyers: “Na een kwartier was er al iemandeen map kwijt waar al onze informatie in stond.Je wéét dat het een test is, dat de ‘vijand’dichtbij zit en je in de gaten houdt – en dannog lukt het niet om je data veilig te stellen!

In een normale situatie moet dat dus nog veelmakkelijker zijn. Dat is een nuttige eyeopener.Veel dingen wisten we al, maar zelfs iemand diezo paranoïde is als ik wordt met de neus op defeiten gedrukt.” Sytze Bakker: “Het was vooraleen heel praktische cursus. Geen wolligeverhalen of bangmakerij, de mensen op dewerkvloer kunnen er meteen mee aan de slag.”

Wat heb je er van opgestoken?Weyers: “Vooral dat je bij moet zijn met depatches op je systeem. Je weet best dat dat vanlevensbelang is, maar niet dat het zo makkelijkis om in een systeem binnen te komen als je zeniet bijhoudt.” Ook bij de Gasunie moet hetpatch-management beter, bevestigt Bakker:“Als er een zwakheid wordt gevonden, moet jezo snel mogelijk de juiste patches installeren.We wachten daar vaak te lang mee omdat we debeschikbaarheid en de betrouwbaarheid van desystemen niet willen verstoren in verband metde leveringszekerheid. Maar als de zaak daar-door uitvalt, hebben we een nog veel groterprobleem. Ik heb nu ook gezien dat het echtnoodzakelijk is om een specifiek intrusion-detectiesysteem te hebben voor de proces-automatisering. Nu nog de budgetten daarvoorvrij zien te maken….” “Maar we hebben ookgeleerd hoe belangrijk het is om je systemengoed te kennen”, vult Ter Veer aan, ”anders hebje niet eens in de gaten dat er een intrusionplaatsvindt.”

Heeft de training al concreet wat opgeleverd injullie bedrijven?“Ik ben meteen na de training gevraagd ompresentaties te geven op alle afdelingen over

lentebericht NICC 2010

Idaho-training: ‘samen tegen cybercrime’ in depraktijk

21

interviews nicc

37

Page 38: NICC interviews

de werkwijze van hackers,” vertelt Ter Veer.“Het zingt rond: ‘Renny is naar Amerika geweestom te hacken!’ Dat heeft de bewustwordingecht een zetje gegeven, ook op management-niveau. De manager die verantwoordelijk isvoor beveiliging heeft me uitgenodigd om bijbesprekingen aan te schuiven.” TenneT was albezig een campagne op te zetten over hetbelang van security awareness, vertelt Weyers.“Dat hebben we nu wat harder ingezet. Door detraining heb ik daar nu ook meer munitie voor.”Bakker is vooral blij met de goudmijn aaninformatie die de training heeft opgeleverd:“De US CERT-website kende ik voorheen niet.Daar vinden we nu veel praktische informatieover cybersecurity, standaarden en guidelinesover procesautomatisering. Heel handig is ookde Defence in Depth Strategy, dat is eenreferentie-systeemarchitectuur voorprocesautomatisering die je kunt gebruikenom een installatie te ontwerpen. Als je dieguidelines volgt, ben je al een heel eind in derichting van een veilige installatie.”

Zouden we in Nederland of Europa ook zulketrainingsfaciliteiten moeten hebben?Bakker: “Ja, zou heel goed zijn. Security blijfttoch een beetje achterlopen in proces-automatisering, want het management is er teweinig mee bezig. Ook bij engineers is er teweinig kennis.” Jos Weyers heeft meteengevraagd of de training ook naar Nederland kankomen. “De meerwaarde van de training washoger geweest als we met meer TenneT-mensentegelijk waren gegaan. Wat techneuten dieachter de knoppen zitten erbij, maar het liefstook wat managers. Eigenlijk moet er zo gauw

mogelijk een dergelijk trainingcentrum in Europakomen. Daar moet iemand gewoon een pot geldvoor opentrekken! Dit moeten we gewoonwillen. Ook al vanwege het netwerken, want inzo’n training zit iedereen snel op dezelfdegolflengte. Het zou al mooi zijn als je een vasteplek hebt waar je een Scada-stukje van je eigenbedrijf kunt inbrengen om mee te oefenen.”“Ik zou dat ook echt aanbevelen”, bevestigtTer Veer. “Je vliegt niet zomaar even een paarmanagers voor vijf dagen naar Idaho. Dat gaatmakkelijker als het in Europa is.”

Hebben jullie nog wat opgestoken van deworkshop tijdens het PCS-event in december?Ter Veer: “Ik vond het heel interessant: hoevertel ik mijn manager hoe het verder moet?Als je wat gedaan wil krijgen, moet je een goedverhaal hebben dat je kunt onderbouwen metgedegen onderzoek.” Sytze Bakker vond hetvooral nuttig om te kunnen praten met mensenuit zelfde vakgebied. “Daar haal je veel kennisvandaan. Iedereen doet zijn best, maarnationaal of internationaal wordt eigenlijk nietsamengewerkt.” “Ik vond het wel lastig om dethema’s uit de workshop meteen toe te passen”,zegt Jos Weyers. “Eigenlijk moet je het in eenkleiner stramien oefenen, in een grote groepwerkt dat niet.”

Jullie hebben de lessons learned uit de Idaho-training gepresenteerd tijdens het PCS-event.Wat hebben jullie daar zelf al mee gedaan?Weyers: “Ik ga er lezingen over geven voor detechneuten die het Scada-gedeelte bewaken, omte kijken welke lessons learned gelden voorTenneT.” “Wij hebben er een soort checklist van

2238

Page 39: NICC interviews

de werkwijze van hackers,” vertelt Ter Veer.“Het zingt rond: ‘Renny is naar Amerika geweestom te hacken!’ Dat heeft de bewustwordingecht een zetje gegeven, ook op management-niveau. De manager die verantwoordelijk isvoor beveiliging heeft me uitgenodigd om bijbesprekingen aan te schuiven.” TenneT was albezig een campagne op te zetten over hetbelang van security awareness, vertelt Weyers.“Dat hebben we nu wat harder ingezet. Door detraining heb ik daar nu ook meer munitie voor.”Bakker is vooral blij met de goudmijn aaninformatie die de training heeft opgeleverd:“De US CERT-website kende ik voorheen niet.Daar vinden we nu veel praktische informatieover cybersecurity, standaarden en guidelinesover procesautomatisering. Heel handig is ookde Defence in Depth Strategy, dat is eenreferentie-systeemarchitectuur voorprocesautomatisering die je kunt gebruikenom een installatie te ontwerpen. Als je dieguidelines volgt, ben je al een heel eind in derichting van een veilige installatie.”

Zouden we in Nederland of Europa ook zulketrainingsfaciliteiten moeten hebben?Bakker: “Ja, zou heel goed zijn. Security blijfttoch een beetje achterlopen in proces-automatisering, want het management is er teweinig mee bezig. Ook bij engineers is er teweinig kennis.” Jos Weyers heeft meteengevraagd of de training ook naar Nederland kankomen. “De meerwaarde van de training washoger geweest als we met meer TenneT-mensentegelijk waren gegaan. Wat techneuten dieachter de knoppen zitten erbij, maar het liefstook wat managers. Eigenlijk moet er zo gauw

mogelijk een dergelijk trainingcentrum in Europakomen. Daar moet iemand gewoon een pot geldvoor opentrekken! Dit moeten we gewoonwillen. Ook al vanwege het netwerken, want inzo’n training zit iedereen snel op dezelfdegolflengte. Het zou al mooi zijn als je een vasteplek hebt waar je een Scada-stukje van je eigenbedrijf kunt inbrengen om mee te oefenen.”“Ik zou dat ook echt aanbevelen”, bevestigtTer Veer. “Je vliegt niet zomaar even een paarmanagers voor vijf dagen naar Idaho. Dat gaatmakkelijker als het in Europa is.”

Hebben jullie nog wat opgestoken van deworkshop tijdens het PCS-event in december?Ter Veer: “Ik vond het heel interessant: hoevertel ik mijn manager hoe het verder moet?Als je wat gedaan wil krijgen, moet je een goedverhaal hebben dat je kunt onderbouwen metgedegen onderzoek.” Sytze Bakker vond hetvooral nuttig om te kunnen praten met mensenuit zelfde vakgebied. “Daar haal je veel kennisvandaan. Iedereen doet zijn best, maarnationaal of internationaal wordt eigenlijk nietsamengewerkt.” “Ik vond het wel lastig om dethema’s uit de workshop meteen toe te passen”,zegt Jos Weyers. “Eigenlijk moet je het in eenkleiner stramien oefenen, in een grote groepwerkt dat niet.”

Jullie hebben de lessons learned uit de Idaho-training gepresenteerd tijdens het PCS-event.Wat hebben jullie daar zelf al mee gedaan?Weyers: “Ik ga er lezingen over geven voor detechneuten die het Scada-gedeelte bewaken, omte kijken welke lessons learned gelden voorTenneT.” “Wij hebben er een soort checklist van

22 gemaakt”, vertelt Ter Veer. “Aan heel veel dingenvoldeden we al, maar je ziet zo ook wat er noggedaan moet worden. Als je in de proces-automatisering iets nieuws bouwt, wordtbeveiliging vaak niet in het bestek meegenomen.In nieuwe projecten nemen we beveiligingseisenen -beleid voortaan meteen mee.” Bakker:“Security wordt alleen gezien als kostenpost,en dan loopt het minder snel. Omdat je er nietsaan verdient, is het een lastige business case.Ik gebruik de lessons learned daarom om hetmanagement ervan te overtuigen dat we er nogniet zijn, en voor projectvoorstellen. Ik denkdat dat goed gaat werken. Als je een goed enrealistisch verhaal hebt wat je kan verliezen aanreputatie en leveringszekerheid, de risico’s inkaart brengt en aangeeft wat je met de maat-regelen kunt oplossen, dan heeft managementdaar wel oor voor.”

Is er door de training een nieuw netwerkontstaan?“Jazeker, van de week kwam ik bij een congreswat deelnemers tegen en dan sta je makkelijkweer te praten. En mensen die informatie nodighebben, weten elkaar nu rechtsreeks te vinden”,zegt Weyers. Ter Veer heeft daar al gebruik vangemaakt: “Ik ben de enige in ons bedrijf diegespecialiseerd is in security. Een dergelijknetwerk heeft als voordeel dat ik dingen waar ikzelf niet uitkom aan anderen kan vragen. Diedrempel is lager geworden.” Bakker ervaart ookdat de interne samenwerking is verbeterd:“Wij deden met vier Gasunie-mensen mee aande training. Daar zaten ook mensen bij van dekantoorautomatisering, waar we vroeger bijna

nooit mee praatten over dit onderwerp. Nuhouden we binnen de Gasunie contact. Wepakken security nu samen op en hebben eengemeenschappelijke security policy geschreven.”

Hebben jullie nog tips?Bakker: “Zo’n Idaho National Laboratory, eenpraktische organisatie die concrete documentenoplevert en assessments maakt van besturings-systemen, dat missen we hier wel. Met allerespect voor het NICC, dat blijft toch steken opeen hoger abstractieniveau. Zoiets zou toch hierook moeten kunnen?”Ter Veer: “Verandering gaat langzaam, dus zorgin ieder geval dat er bij nieuwe projecten meteenaan beveiliging gedacht wordt. Betrek nietalleen de procesautomatiseerders bij securitymaar ook het management. Die mensen moetenzien wat er kan gebeuren, weten hoe ze omgaanmet stresssituaties en hoe ze dan handelen.”Weyers vindt awareness het allerbelangrijkste:“Je kan het technisch nog zo mooi dicht-timmeren, maar daar heb je niks aan als mensenniet meewerken, usb-sticks laten rondslingerenof op hun LinkedIn-pagina vertrouwelijkeinformatie achterlaten over hun werk. De heleorganisatie moet daarvan doordrongen zijn.”Ter Veer: “Klopt, menselijk handelen is vaak hetzwakke punt. ICT en procesautomatiseringhebben elkaar nodig om die zwakke punten aante pakken. Bundel je krachten en maak gebruikvan elkaars kennis!”

lentebericht NICC 2010

2339

interviews nicc

Page 40: NICC interviews

Hellen van DongenWaarnemend directeur Telecommarkt bij het ministerie van Economische Zaken, Landbouw & Innovatie

Page 41: NICC interviews

11

Jaarbericht NICC 2010

“Wat mij betreft groeit CPNI.NL uit tot hét platform voor publiekprivate samenwerking op het gebied van digitale, fysieke en personele veiligheid”

Het was een langzaam en behoedzaam proces. Maar na vijf jaar NICC is er dan eindelijk een nieuwe organisatie, onder de vleugels van TNO: CPNI.NL, platform voor cybersecurity. Het Informatieknooppunt Cybercrime is daarmee geborgd. En als de vitale sectoren dat willen, dan gaat CPNI.NL ook de aspecten fysieke en personele veiligheid daarbij betrekken. Hellen van Dongen, waarnemend directeur Tele com-markt bij het ministerie van Economische Zaken, Landbouw & Innovatie: “Daar is draag vlak voor nodig in de vitale sectoren, want die moeten er tijd en energie in stoppen.”

Wat vindt u het grootste succes van vijf jaar NICC?“Het Informatieknooppunt Cybercrime!”

En waar had u achteraf gezien meer van verwacht?“Een verbeterpunt is de terugkoppeling naar beleids vorming, zo bleek uit het rapport van PricewaterhouseCoopers over het NICC. We hebben dat aan TNO, de nieuwe host van het Informatieknooppunt Cybercrime, meegegeven als aandachtspunt. Publiekprivate samen werking wordt over de hele linie veel belangrijker. Ik zie dat in een breder kader van de wisselwerking tussen trends en voeding van beleid, zoals GOVCERT.NL dat ook doet met zijn trendrapportages.“

De borging van het programma NICC is niet zonder slag of stoot gegaan. Waarom heeft het zo lang geduurd om een geschikte partner te vinden?“We hebben eerst gekeken of we GOVCERT.NL, NAVI en NICC konden samenvoegen. Dat gaf wat problemen met de fi nanciering, en door de val van het kabinet is het sowieso afgeketst. Toen zijn we het helemaal opnieuw gaan bekijken. Dat heeft tijd gekost, want we wilden echt een aantal randvoorwaarden voor het Informatie knooppunt borgen. We hebben sterk bepleit dat de factoren die het Informatie-knooppunt tot een succes hebben gemaakt, zouden blijven bestaan in de nieuwe situatie: publiekprivate samenwerking, onafhankelijk-heid, vraaggestuurd en faciliterend werken, de sector in de lead. En het gaat om mensen die daar veel tijd en energie in hebben gestopt, dus daar moet je zorgvuldig mee omgaan.”

Voldoet TNO als host voor het nieuwe CPNI.NL aan die criteria?“TNO is neutraal en heeft een unieke kennis-positie tussen overheid en bedrijfsleven. CPNI.NL kan bij hen onafhankelijk aan de slag. TNO heeft bovendien door de intensieve samen-werking met het ministerie van Defensie veel ervaring met het delen en borgen van kennis in een vertrouwelijke omgeving.”

interviews nicc

41

Page 42: NICC interviews

12 Toen het NICC startte na beëindiging van het NHTCC, leek het organiseren van samenwerking bij cybercrimebestrijding onmogelijk. Vijf jaar later is dat de gewoonste zaak van de wereld… “De rol van ICT is de laatste jaren enorm gegroeid, dus dat is een logische ontwikkeling. Als Nederland economisch wil groeien, dan is het gigantisch belangrijk dat we kunnen vertrouwen op ICT. Het NICC heeft daar een belangrijke bijdrage aan geleverd. Het heeft ervoor gezorgd dat overheid en bedrijfsleven in vertrouwen informatie delen. Het NICC vervulde ook een rol in andere, inmiddels afgeronde zaken waar we nu gebruik van maken, bijvoorbeeld de gedrags code Notice-and-Take-Down en de hand reikingen op het terrein van Process Control Security. Het programma heeft in vijf jaar veel kennis opgebouwd en verspreid. Daarom willen we het Informatieknooppunt ook structureel vormgeven.”

Uw ministerie heeft zich altijd redelijk afzijdig gehouden van de inhoudelijke activiteiten van het NICC. Dat gaf de sectoren veel ruimte. Was dat niet moeilijk?“Vroeger werd er sterk aangestuurd vanuit de departementen. Toen ik drie jaar geleden bij het toenmalige ministerie van Economische Zaken dit dossier overnam, ging het al veel beter. Voor mij, en voor het huidige ministerie van Economische Zaken, Landbouw, & Innovatie (EL&I), is afstand houden gen perobleem. We hebben geleerd de sectoren in de lead te laten en de uitwisseling van kennis op een goede manier te faciliteren. Ik zeg: laat duizend bloemen bloeien! In een programma als het

NICC moet je kunnen experimenteren, fouten kunnen maken en daarvan leren. Wanneer partijen een thema als cybersecurity zelf op-pakken, is er niet veel bureaucratie nodig om het aan de gang te houden. Daarin zit de kracht.”

Het regeerakkoord besteedt expliciet aandacht aan cybercrime. Heeft het NICC daar een rol in gespeeld?“Met name de enorme toename van het gebruik van ICT in onze maatschappij is de crux geweest. Die toename levert voordelen op, maar maakt de maatschappij ook kwetsbaar. Wel is na vijf jaar NICC gebleken dat een publiekprivate aanpak een heel goede manier is om dit punt aan te pakken.”

Is het in dat licht niet raar dat juist onder dit kabinet een programma als CPNI.NL meer ‘op afstand’ wordt gezet van de ministeries?“Dat doen we juist opdat het Informatie knoop-punt goed zijn werk kan doen. CPNI.NL is daar-naast onderdeel van een heel breed pakket van cyberstrategie-activiteiten, van keiharde regel-geving tot zelfregulering. Je kunt niet met één instrument zo’n breed probleem oplossen, je hebt een goede combinatie nodig. Het Informatie knooppunt is een heel goed instrument, en onderdeel van dat pakket.”

42

Page 43: NICC interviews

13

Jaarbericht NICC 2010

Welke rol ziet u voor het netwerk van CPNI.NL binnen de Nationale Cybersecurity Strategie?“Deze strategie geeft het belang aan van het werken aan onze cybersecurity. ICT heeft een meer dan prominente plek in onze samenleving: het levert gebruikersgemak, stuurt industriële processen aan en geeft een nieuwe dimensie aan ons sociale leven. Dit gebruik vraagt dan ook om aandacht in termen van kwetsbaarheid, privacy en misbruik van informatie. Cybercrime en cyber-warfare zijn uitingen van die kwets baarheid. De Nationale Cybersecurity Strategie geeft aan waar er bij preventie, detectie en response nog verbeterslagen te maken zijn. Daarbij zetten we in op meer regie en het beter gebruikmaken van bestaande structuren. CPNI.NL en zijn netwerk krijgen wat mij betreft een belangrijke rol in de uitvoering, want cyber security vraagt om een publiekprivate aanpak die bij uitstek is terug te vinden in het Informatieknooppunt-model.”

Aan de andere kant is de overheid over de hele linie aan het bezuinigen. Kan dit nieuwe platform om die reden weer snel sneuvelen?“Nee, want zoals gezegd is cybersecurity een aandachtspunt in het regeerakkoord; daarbij is CPNI.NL geen waanzinnig dure oplossing, en het levert bovendien veel op. Dus dit platform zal niet gauw sneuvelen. Het ministerie van EL&I vindt de borging van het Informatieknooppunt zo belangrijk dat we er via TNO subsidie voor verlenen. Als de scope verbreed gaat worden naar personele en fysieke veiligheid, dan gaat het erom wie er bereid is dat te ondersteunen.”

Wat zijn de belangrijkste terreinen waarop u snel resultaten verwacht?“Allereerst de succesformule handhaven en uit-breiden, en zorgen dat de aansluiting en wissel-werking tussen het platform en het CERT-deel via de Nationale Cybersecurity Strategie goed geregeld zijn. Verder zou ik graag zien dat de kracht van TNO wordt benut: ondersteuning aan de onderzoekskant en terugkoppeling naar beleid. Dat lijkt mij genoeg voor het komende jaar. CPNI.NL blijft het herkenbare gezicht voor de publiekprivate samenwerking en kan verder gewoon zo blijven draaien zoals eerder het Informatieknooppunt. Dan ben ik tevreden.”

Hoeveel ruimte krijgt CPNI.NL om te experimenteren en onderzoeken? Kunnen de sectoren straks nog steeds in alle vrijheid aan-geven waar ze behoefte aan hebben, of wordt het overheidstoezicht scherper?“Het experimentele deel is in principe klaar. Maar het Informatieknooppunt heeft ook een makel- en schakelfunctie. Dat er uit de informatie-deling soms onderzoeksvragen zullen komen, is duidelijk. Dat is ook een van de voor delen om via TNO te werken, want daar hebben ze goed zicht op bestaande kennis en organisaties die erbij betrokken kunnen worden.”

43

interviews nicc

Page 44: NICC interviews

14 De internationale dimensie van cybersecurity wordt steeds groter. Gaat de overheid stimuleren dat die in beeld blijft, of nog veel sterker wordt aangezet? “Cybersecurity en het voorkómen van cybercrime staat in Europees verband hoog op de digitale agenda van eurocommissaris Kroes. Cyber-security en cybercrime houden immers niet op aan de grens. We spelen een actieve rol in Europese gremia, dragen zo veel mogelijk bij door presentaties en kennisoverdracht. En wat betreft de rol van CPNI.NL: de dreigingen zijn vaak internationaal dus het internationaal delen van best practices blijft van belang. Daaraan kan CPNI.NL bijdragen door presentaties te geven, en op andere manieren te zorgen voor kennis-overdracht. Als ministerie van EL&I zullen wij, naast de Nationale Cybersecurity Strategie, de plannen van het Nederlandse kabinet voor de digitale samenleving presenteren in de Digitaleagenda.nl.”

Wat zou in uw ogen de volgende stap van CPNI.NL moeten zijn in de aanpak van cybercrime?“CPNI.NL zou zijn herkenbare gezicht voor publiek private samenwerking kunnen versterken, zodat de rol van het platform binnen de Nationale Cybersecurity Strategie goed benut wordt. Die strategie houdt ook in: welke acties ga je ondernemen om kansen te benutten? Het zou mooi zijn als het Informatieknooppunt, dat startte als een experiment en nu goed werkt, daar een vaste plek in krijgt. De ingezette tendens van uitbreiding naar fysieke en personele veiligheid zit daar nu nog niet in, maar hoort wel bij cybersecurity. Menselijk handelen kan immers ook leiden tot verstoring, dus is er aandacht nodig voor bijvoorbeeld screening en wacht-woordenbeleid. In de NICC-constructie zat die verbreding er automatisch in. Of dat binnen CPNI.NL ook zo zal zijn, is afhankelijk van de deelnemers. Ik ben daar zeker voor stander van, maar dat is niet aan mij… Daar is draagvlak voor nodig in de vitale sectoren, want die moeten er tijd en energie in stoppen. Maar wat mij betreft groeit CPNI.NL uit tot hét platform voor publiek-private samenwerking op het gebied van digitale, fysieke en personele veiligheid. Dan hebben we een mooie stap gezet!”

44

Page 45: NICC interviews

45

interviews nicc

Page 46: NICC interviews

Leon StrousOverseer bij de afdeling Oversight van de divisie betalings- en effectenverkeer van De Nederlandsche Bank. Verder is hij voorzitter van de International Federation for Information Processing (IFIP).

Page 47: NICC interviews

19

Jaarbericht NICC 2010

“De realiteit is dat je je gewoon niet 100 procent kunt beveiligen. Misschien moeten we daar duidelijker over zijn”

Leon Strous van De Nederlandsche Bank was vanaf het begin betrokken bij het overheids-project Capaciteitsadvies Elektriciteit en Telecom / ICT (CAET), dat de afhankelijkheden tussen vitale sectoren in kaart brengt. Conclusie: de fi nanciële wereld heeft de business continuity goed geregeld. Maar het kan altijd beter. Strous: “We weten nu wat er nog aanvullend mogelijk is op de deelgebieden energie en telecom / ICT, en dat daar een prijskaartje aan hangt. Dus kunnen we de afweging maken of we die extra stukjes zekerheid erbij willen nemen en of we daar dat geld voor over hebben.”

Hoe bent u bij CAET betrokken geraakt? “Samen met mijn collega Matthijs van Oers vorm ik een team dat de fi nanciële sector onder-steunt op het gebied van business continuity management, crisismanagement en de bescherming van de vitale infrastructuur. Crisis-management gaat dan vooral om operationele verstoringen in de betaal- en effectensystemen. Je wilt immers continuïteit van je dienstverlening bieden, en dat gaat wel een stapje verder dan de dieseltank onder de vloer. Hoe krijg je die afhankelijk heden van andere sectoren zoals telecom, energie en water in beeld? Is ons gevoel van veiligheid terecht? Als telecom uitvalt, wat zijn dan de mogelijk heden om je daartegen te beschermen? “De ministeries van Economische Zaken en van Binnenlandse Zaken en Koninkrijksrelaties hebben daarvoor ooit een initiatief genomen. Daar ontstond later CAET uit, een initiatief dat instak op de leverende sectoren telecom en energie. In een gesprek met BZK heb ik aan ge-geven dat de fi nanciële sector als klant van die

sectoren gezien kan worden, en dat het mij zin-vol leek ook die kant mee te nemen. De scheiding tussen leverende en afnemende sectoren is overigens helemaal niet zo helder: de telecom-bedrijven zijn van de fi nanciële sector afhankelijk voor het betalingsverkeer, en als energie geen transport heeft gaat het ook mis. Maar de banken zijn wel afhankelijker van de telecom-sector dan andersom.”

Wat is het belang van CAET voor de fi nanciële sector? “Uit de analyse kwamen voor onze sector geen verrassende dingen: geen bedreigingen die we over het hoofd hadden gezien, geen maatregelen die we niet al hadden genomen. Voor mij is de toegevoegde waarde dat de sectoren met elkaar in overleg komen en elkaar vragen kunnen stellen: wat verwacht jij van mij, wat denk je dat ik lever, is dat terecht? Een simpel voorbeeld. Wij gaan ervan uit dat iedereen in het kader van business continuity voorzieningen treft. Je zorgt ervoor dat de telecomvoorzieningen dubbel uit-gevoerd zijn. Dus als dat ene kabeltje door-gesneden is, ligt er nog een ander kabeltje. Maar we hadden niet tot op het allerlaatste niveau inzicht of dat goed geregeld is, gegeven de complexiteit en ook verwevenheid van de telecomwereld.“In het CAET-proces konden we de leveranciers gewoon vragen om uit te leggen hoe het precies in elkaar zit en hoe ver ze gaan met hun continuïteits voorzieningen. Het gaat daarbij immers niet om individuele leveranciers, maar om wat de hele sector kan bieden. Als je maar enkele leveranciers spreekt, heb je niet het gevoel dat je het plaatje compleet hebt. Om

interviews nicc

47

Page 48: NICC interviews

20 dat van sector tot sector te doen heeft ook als voordeel dat je niet telkens hetzelfde verhaal hoeft te vertellen. Je bundelt de verhalen en legt het uit aan mensen die er verstand van hebben. Dat scheelt tijd.”

Wat leverde CAET de fi nanciële sector op?“De energie- en telecomsectoren zijn erg open geweest. Dat draagt bij aan onze bewustwording van de risico’s. We weten nu wat er nog aan-vullend mogelijk is, en dat daar een prijskaartje aan hangt. Dus kunnen we de afweging maken of we die extra stukjes zekerheid erbij willen nemen en of we daar dat geld voor over hebben. Die duidelijkheid is een mooi resultaat van CAET.”

CAET kijkt naar onderlinge afhankelijkheden tussen sectoren. Is dat allemaal nog wel te overzien?“Per sector valt dat wel mee, ook al lijkt het lijkt erg complex, zeker voor een buitenstaander, als je voor een sector alle relaties en afhankelijk-heden in kaart brengt. In de fi nanciële sector is voldoende kennis aanwezig om de verbanden te kennen en te overzien. Als overheid, die het onder werp nationale veiligheid stuurt vanuit de bescherming van de vitale infrastructuren, is het wel handig om een beeld te hebben hoe alle af-hankelijkheden tussen alle vitale sectoren lopen en wie erbij betrokken zijn. En dat beeld is nog niet compleet. Dat overzicht is ook wat moei-lijker te krijgen. Het lijkt een kluwen, maar het is bij mijn weten ook nog nooit op de manier aangepakt zoals CAET dat doet. Ik zie geen handigere manier om deze complexe sets van afhankelijkheden en overlegstructuren in kaart te brengen. Bovendien stimuleert CAET de open

communicatie tussen sectoren. Zoals ik al eerder aangaf zijn de openheid en samenwerking toe-genomen vanuit het besef dat je elkaar nodig hebt.”

Is die complexiteit eigenlijk wel beheersbaar? Mogen wij ons zo afhankelijk maken van systemen? “Dat kan niet anders! Het is een illusie te denken dat we ons minder afhankelijk kunnen maken van systemen. Dat betekent dat je moet blijven werken aan de beheersbaarheid, met name van de onderlinge afhankelijkheden. Geen enkele sector kan zichzelf bedruipen. Terug naar dat voorbeeld: als je diesel wilt hebben voor je noodgenerator, heb je de chemische industrie nodig die de voorraad aanvult, de transport-sector voor het vervoer, en iemand die ervoor zorgt dat het transport niet wordt overvallen. Zo complex is het, dat is de realiteit. “Het moet ook duidelijk zijn dat je je niet op voorhand kunt wapenen tegen alles wat er bedacht kan worden. Als je kijkt naar de ont-wikkelingen op het gebied van cybercrime en ICT, krijg je het nooit voor elkaar om alles voor te zijn, ook al zijn de huidige beveiligings-maatregelen van een hoog niveau. Criminelen blijven werken aan sabotagemogelijkheden. Als beveiliger loop je altijd achter de feiten aan, dus zorg je dat de gevolgen zo beperkt mogelijk blijven en verdeel je de risico’s. ‘Ga maar lekker slapen want er kan niets gebeuren’, dat is niet reëel. Dus blijft het zaak om met elkaar te blijven werken aan de beheersbaarheid van de risico’s en een zo goed mogelijke bescherming van onze vitale infrastructuren.”

48

Page 49: NICC interviews

21

Jaarbericht NICC 2010

Banken werken aan de bewustwording van de consument, en dan kan een kleine calamiteit juist een uitkomst zijn. Als de pinautomaten een dag niet werken, zorg je er wel voor dat je voor-taan genoeg cash op zak hebt. “De banken werken aan een zo veilig en effi ciënt mogelijk betalingsverkeer. Dat is en blijft een zaak van de juiste balans. Elektronisch bankieren beperkt het risico op overvallen. Maar aan de andere kant zitten daar ook risico’s aan. Je bent afhankelijk van de beschikbaarheid van de systemen. Wijs de burger op zijn eigen verant-woorde lijkheid maar doe als sector ook zo veel mogelijk om hem te beschermen, want de burger heeft niet alles in de hand. Wat mag je van de gemiddelde internetbankierder verwachten aan kennis van de risico’s en beveiligings maat-regelen? Dat hij op het slotje let? Vergelijk het met de auto: ik heb er geen verstand van of daar-in voldoende veiligheids maatregelen aanwezig zijn en of ze werken. Daar heb ik een garage voor. Misschien moet je als banken en overheid ook wel gaan eisen dat burgers met hun pc naar de ‘garage’ gaan en de basisvoorzieningen regel-matig laten controleren en testen. Deze ‘garage’ moet dan wel gekwalifi ceerd zijn om een derge-lijk APK-keuring uit te voeren. Daarnaast heb ik voor mijn auto een rijbewijs nodig. Misschien ook een idee voor het omgaan met een computer?”

De consument vertrouwt er op dat er 24 uur per dag elektriciteit, ICT en betalingsverkeer is. Willen de banken alles 100 procent veilig hebben, tegen elke prijs, of is er een grens? “Door CAET is een begin gemaakt met het in kaart brengen van de afhankelijkheden tussen sectoren, en wat we elkaar te bieden hebben.

Dan kom je ook op dat soort vragen uit. Mensen verwachten dat de overheid en de aanbieders van diensten alles regelen en dat er nooit iets mis kan gaan. Maar wij krijgen de wind van voren als we de zaak te zeer dichtgetimmerd hebben, omdat het dan tijdrovend en moeilijk wordt. Je kunt niet alles afdekken, want dat is onwerkbaar en te kostbaar. Dus mag je niet verwachten dat alles foutloos gaat. De realiteit is dat je je gewoon niet 100 procent kunt beveiligen. Misschien moeten we daar duidelijker over zijn.”

Wat zou volgens u nu de volgende stap zijn?“De fi nanciële sector is al redelijk ver. De grote stappen hebben we al jaren achter ons, de stapjes worden steeds kleiner. Het gaat om het laatste stukje van de puzzel, dus is de toe ge-voegde waarde van nieuwe projecten voor onze sector kleiner dan de overheid hoopte of dacht. Maar dat betekent niet dat die laatste stapjes niet waardevol zijn. Wat ik belangrijk vind is dat de sectoren zich steeds meer zelf organiseren. En ik zou willen dat de overheid dat ook deed. Er is al een aantal initiatieven genomen voor publiek private samenwerking zoals het NICC en Strategisch Overleg Vitale Infrastructuur, maar ik heb nog niet het gevoel dat helder is hoe alle initiatieven verband houden met elkaar. De over-heid wil bijvoorbeeld een tool ontwikkelen om business continuity-plannen te maken voor alle sectoren. Daaruit blijkt dat ze onvoldoende kennis heeft van wat er al is. Je kunt beter eerst overleggen met sectoren en vragen of het klopt dat er iets ontbreekt, in plaats van meteen een project te starten. Ik mis vaak die eerste stap. Maatschappelijke effi ciëntie betekent ook dat je niet iets oplegt waar mensen niets mee doen.”

interviews nicc

49

Page 50: NICC interviews

Tom Kuperij (links)Managing Director van de WIB, de branche-vereniging van eindgebruikers van control en automation equipment in de procesindustrie.

Ted Angevaare (rechts)PACO EMEA Control & Automation Systems Team Leader en Global PCD Security Manager voor alle Shell-maatschappijen.

Tyler Wiliams Medeoprichter en directeur van Wurldtech Security Technologies, een Canadees bedrijf gespecialiseerd in veiligheidsadvies en cybersecurity-oplossingen.

Page 51: NICC interviews

29

Jaarbericht NICC 2010

Process Control Domain Security Requirements for Vendors

Eindelijk is het er dan: een ‘lean en mean’ document waarin alle nodige eindgebruikers-eisen voor veilige procescontrolesystemen overzichtelijk zijn samengevat. ‘Process Control Domain Security Requirements for Vendors’ is het resultaat van drie jaar hard werken door de plant security werkgroep van de WIB onder voorzitterschap van Ted Angevaare (Shell). Consultant Tyler Williams van Wurldtech ont-wikkelde het bijbehorende certifi cerings proces, waarmee gecontroleerd kan worden of de cyber-beveiligingsmaatregelen van fabrikanten vol-doen aan de eisen van WIB-leden. WIB-directeur Tom Kuperij en het NICC volgden het hele proces op de voet als kwaliteitsbewakers.

Hoe is jullie initiatief voor de ontwikkeling van het document Process Control Domain Security Requirements for Vendors ontstaan?“Voor procescomputers stappen we steeds meer over van gespecialiseerde systemen naar Windows- en Linux-besturingssystemen”, legt Ted Angevaare uit. “Dus krijgen we te maken met dezelfde problemen als particulieren: hackers en virussen. In tien jaar tijd is die bedreiging exponentieel toegenomen. Sinds zeven jaar hebben we bij Shell een security-programma om de processen veiliger te maken. Om dat te laten slagen, heb je ook de leveran-ciers nodig. Daarom hebben we het initiatief genomen om samen met de WIB-leden een standaard te maken. Dan weten de leveranciers wat we van hen verwachten.”Tyler Williams van Wurldtech werd erbij betrokken omdat dit bedrijf ervaring heeft op het gebied van certifi catieprogramma’s. “Veel WIB-leden zijn klanten van Wurldtech; wij waren ook

betrokken bij het Cybersecurity-programma van Shell. Het Shell-team is verreweg het verst gevorderd als het gaat om het defi niëren van standaarden en vereisten op het gebied van cyber security. Deze prestatie is geheel het gevolg van Shells eigen activiteiten, vooral Ted Angevaare verdient alle lof daarvoor. De WIB Plant Security Werkgroep, een toegewijde groep van experts uit een breed scala aan industrie-kolommen, tilde het op naar de wereldwijde gemeenschap van industriële stakeholders.”

Wat wilde de WIB Plant Security Werkgoep met dit document bereiken?Williams: “Een grote uitdaging bij het verbeteren van de weerbaarheid van industriële systemen is het gebrek aan een gemeenschappelijk evaluatie -kader waarbinnen je een verzameling begrippen en defi nities kunt vastleggen. We hadden gewoon weg geen taal om met elkaar in te communiceren over wat cybersecurity inhoudt. De gebruiker heeft een veilig systeem nodig, maar weet niet precies wat hij wil. De leverancier wil gewoon weten aan welke eisen hij moet vol-doen. Ze hebben een gemeen schappelijke taal nodig in de vorm van internationale richtlijnen, maar die bestond nog niet. Dus dat is wat we tot stand wilden brengen.”Angevaare: “Als Shell hebben we dit binnen de WIB opgepakt omdat we fabrikanten en systeem-leveranciers in staat willen stellen om met één set van requirements de systemen die ze leveren robuuster en veiliger te maken. Om dat aan te tonen, moeten ze een certifi caat halen.”Tom Kuperij: “Normaal gesproken moet je lid zijn van het WIB om onze rapporten te krijgen. Maar dit document kan iedereen op verzoek

interviews nicc

51

Page 52: NICC interviews

30 gratis van ons ontvangen, omdat wij deze zaak zo uiterst belangrijk vinden. We willen het echt op de kaart zetten voor hele procesindustrie, niet alleen voor onze eigen leden. Je moet immers kritische massa krijgen. Dit document moet een zodanige status krijgen in de industrie dat het een requirement wordt waar je niet omheen komt. We willen een zo groot mogelijke groep bij elkaar krijgen om een front te vormen tegen cyber criminelen. Dit document kan alleen effectief zijn als het breed gedragen en bekend gedachtegoed is. Daarom hebben wij als WIB het ook ondersteund.”

Hoe is het document tot stand gekomen?Kuperij: “De plant security werkgroep heeft eerst in kaart gebracht wat er al lag op het gebied van standaarden, en waar de gevaren dreigden. Er bleken wel zo’n 35 internationale standaarden te bestaan met een hoofdstuk security! De informatie was over zoveel verschillende standaarden versnipperd dat de werkgroep besloot om zelf een document te schrijven waar alles wat wij nodig achten in staat. Vervolgens zijn er specifi caties opgesteld waaraan fabrikantensystemen moeten voldoen. Het voordeel van dit document is dat het helemaal gericht is op één gebied: veilige process control systemen.”Angevaare: “We hebben de beste dingen uit al die andere standaarden gehaald, bij elkaar gevoegd en in nog duidelijkere taal verwoord. Dus: gebruikmaken van wat er is, en vervolgens de lat nog hoger leggen. De kracht van het document is dat we al die requirements gewogen hebben door middel van een risco-analyse. We hebben alleen de zaken opgenomen die een

groot risico inhouden, zodat je een compacte, fi t for purpose standaard overhoudt.” “Het resultaat is een document van slechts dertig pagina’s. Er staat geen overbodig woord in!” vult Kuperij aan.

Gaat het alleen om technische specifi caties?Angevaare: “Heel veel standaarden gaan alleen over techniek. De conclusie van ons document is dat slechts 20 procent van wat we vragen met techniek te maken heeft. De rest is menselijk handelen: hoe gaan medewerkers om met systemen, zowel bij de gebruikers als de leveranciers? Bedrijven moeten dus vooral ook hun mensen gaan trainen.”

Waarom is dit document zo belangrijk?Williams: “De manier waarop dit document is bedacht, ontwikkeld en ingezet heeft de lat voor process control security meetbaar hoger gelegd. Het belangrijkste kenmerk is dat het werd ont-worpen door de eindgebruikers. Die hebben immers het meest te maken met de gevolgen van risico’s en storingen in hun systemen. De best haalbare manier om iets voor elkaar te krijgen is hen eerst zelf de requirements te laten ont werpen en die dan met de leveranciers in de keten en experts uit de industrie te herzien zodat er een bruikbaar model ontstaat. Dus niet anders om, wat de normale gang van zaken is in de wereld van industriële cybersecurity. De WIB-werkgroep heeft voor het eerst een lijst van requirements opgesteld in een gezamenlijke taal, en rekening houdend met de hele levens-cyclus van het industriële product. In het ver-leden richtten we ons alleen op het product zelf. Maar zodra je dat inplugt, veranderen er dingen. De eisen in dit document houden niet op

52

Page 53: NICC interviews

31

Jaarbericht NICC 2010

wanneer de leverancier het product afl evert, maar gaan door wanneer het product is geïntegreerd in het systeem en in de jaren daarna wanneer er onderhoud op gepleegd wordt. Dat is een zeer bruikbare aanpak.”Kuperij: “Veel process control systemen zijn nu zo’n vijftien tot twintig jaar oud, dus toe aan vervanging. We krijgen te maken met een enorm uitgebreide potentiële vervangingsmarkt. Trend-matig wordt die vervangingstijd ook steeds korter. Nu kun je dit document gebruiken bij de aanbesteding van nieuwe, veilige systemen.”

Denkt u dat alle vendors kunnen voldoen aan alle criteria in de certifi catielijst?Angevaare: “Ik geef toe, het is een heel ambitieus document en dat zal niet makkelijk worden voor vendors… Maar we moeten toch een vuist maken en die standaarden opleggen, anders gebeurt het niet. De grote bedrijven lukt het wel, die zijn er al mee bezig. Maar voor de kleinere leveranciers zal dat nog wel een drama worden. Dat is dan ook de reden dat we drie niveaus in de standaard hebben gecreëerd: brons, zilver en goud. Brons is eenvoudiger te halen dan een gouden certifi caat.”

Heeft het document al effect?Williams: “Een bewijs voor het succes van dit document is het feit dat leveranciers het daad-werkelijk gebruiken en het zich eigen maken. Het verandert de bedrijfscultuur, en dat is volgens mij ook nodig om de veiligheid te verbeteren. We hebben al een wachtlijst van leveranciers die zich willen laten certifi ceren.”Invensys is net gecertifi ceerd, dus dat bedrijf is nu 100% compliant. Shell eist een bronzen

certifi catie van elke aanbieder in zijn Process Control Domain voor het eind van 2011. Angevaare: “Als wij dit de markt in pushen, hopen we dat we veel bedrijven meekrijgen die het ook verplicht gaan stellen. DSM en Laborelec gaan deze standaarden dwingend opleggen en Dupont is er ook mee bezig. Toch verbaast het me wel dat de introductie onder afnemers wat langzaam gaat. Ik denk dat de business case voor techneuten heel duidelijk is. Alleen: hoe overtuigen die de bestuurders en de inkoop-afdeling? Die willen weten wat het kost en wat het oplevert.”Williams: “Als jouw bedrijf olie verkoopt, dan helpt dit document je om dat veiliger te doen. Dus het is nodig dat je het bespreekt met je collega’s. We merken echter dat de communicatie hierover gebrekkig is. De uit-daging is mensen te motiveren om meer te doen dan in hun functieomschrijving staat.”

Welke rol zou de overheid moeten spelen om de invoering van deze standaarden te bevorderen? Angevaare: “Ik denk niet dat je het als Nederlandse overheid verplicht moet stellen. Eerder op EU-niveau, maar dan moet je ook weer een controlelichaam hebben dat de certifi cerings bureaus controleert. Aan ene kant zou het mooi zijn, zo’n steuntje in de rug. Maar je creëert wel weer gigantische problemen voor vooral kleinere bedrijven, en die moet je in een economische crisis het leven niet nog moeilijker gaan maken. Bovendien jaag je de kosten van de overheid ook omhoog. Zelfs in de Verenigde Staten, waar ze erg bang zijn voor cybercrime, is nog geen sprake van dwang. Ik geloof meer in motivatie dan in het

53

interviews nicc

Page 54: NICC interviews

32 dwingend opleggen van regelgeving. Daarom zijn wij als Shell, Wurldtech en WIB samen met het NICC, nu CPNI.NL, ook heel actief bezig om dit document binnen en buiten Europa uit te dragen.”Williams: “Normaal gesproken heeft de industrie een slechte dunk van overheidbemoeienis, zeker in Noord-Amerika. Maar we merkten in Neder-land dat het NICC een goed voorbeeld gaf van een overheidsinstelling die alles goed doet. Ze bemoeien zich er niet mee maar ondersteunen de uitwisseling van informatie om de communicatie-kloof te dichten. Ze bieden een platform waar de private sectoren ideeën en succesvolle initia-tieven met elkaar kunnen delen. Het NICC deed dat door nationaal en internationaal deel te nemen aan werkgroepen, per e-mail, in nieuwsbrieven, door presentaties te geven op conferenties en met de stakeholders te praten. Ze hebben geweldig werk geleverd!”Kuperij: “Het zou kunnen dat CPNI.NL op gegeven moment de ownership van het document overneemt om voor een nog bredere verspreiding te zorgen. In de ISACs zijn deze standaarden heel goed ontvangen. Schiphol Airport zal er niet veel aan hebben, maar voor energiedistributeurs, energiemaatschappijen en de drinkwaterbedrijven is het wel interessant.”

Waarom is certifi catie zo belangrijk?Angevaare: “Het is in de industrie heel gebruike-lijk om een onafhankelijke partij in de arm te nemen, die ervoor getraind is en expertise opbouwt. En als we deze standaarden inter-nationaal willen doorvoeren is dat ook heel belangrijk. Onze concurrenten gaan echt niet blind af op wat wij als Shell doen.”

Wat is de waarde van deze certifi catie op basis van standaarden?Angevaare: “Dat kan je niet in één bedrag uitdrukken. Het gaat om reputatieschade, fi nanciële gevolgen. Je moet het ook per bedrijfs-tak bekijken. Een industrie die werkt met gevaar-lijke stoffen zal ook meerekenen wat het gevaar voor medewerkers en omwonenden is als sys-temen falen. En wat kost het je als een hacker van de concurrent weet wat jij vraagt bij een tender? Vergelijk het met een goed slot op je voordeur, waardoor er vervolgens jarenlang niet wordt ingebroken. Als je niet investeert in een goed slot, wordt op een dag je hele huis leeg-gehaald. Dan is de waarde van je slot gelijk aan de waarde van je hele inboedel, niet die paar honderd euro om het te installeren. De waarde van een ‘veilig’ proces control systeem is als je geluk hebt een dag productie en als je pech hebt een week per jaar. Bedrijven die werken met Linux- en Windowssystemen kunnen er zeker van zijn dat ze snel aan de beurt zijn voor een aanval. Drie jaar geleden was die kans nog eens in de tien jaar. Op nieuwere systemen schatten we die kans nu in op één keer per jaar, en daar zit al de nodige beveiliging op! Hoe groter je bent, hoe groter de kans dat je systemen besmet raken.” De recente Stuxnet-infecties zijn daar een goed voorbeeld van. Dat kan via Windows een controlesysteem besmetten en de functie ervan beïnvloeden. “Als de leverancier een WIB-certifi caat had gehaald, dan had het Stuxnet-virus geen invloed gehad op dat systeem.”

54

Page 55: NICC interviews

33

Jaarbericht NICC 2010

Shell is groot genoeg om een dergelijk document in zijn eentje op te stellen. Waarom dan toch samenwerken met concurrenten en andere bedrijfstakken in de WIB-werkgroep? Angevaare: “Als er bij een oliemaatschappij iets uitvalt door een cyberterrorismeaanval, straalt dat uit naar andere oliemaatschappijen en de hele maatschappij. Door het probleem met het hele bedrijfsleven aan te pakken, voorkom je reputatieschade en kun je de kosten ook nog eens samen delen.”

Het uitgangspunt is de lat hoger leggen als het gaat om de beveiliging van het Process Control Domain. Is dit document voldoende?Angevaare: “Het zou mooi zijn als ook de fabri-kanten en leveranciers zich zouden verenigen en met een document zouden komen. Dan zouden we onze twee documenten naast elkaar kunnen leggen. Maar dat zie ik niet zo snel gebeuren. De FHI is wel bezig om fabrikanten en leveranciers bewust te maken van het cybersecurity-probleem. Als die dan met de in het WIB verenigde eind-gebruikers zouden samenwerken om samen het process control security probleem op te lossen, zou dat ideaal zijn. Dat zou ik wel aanmoedigen.”

Binnen de ISA zijn leveranciers, fabrikanten en eindgebruikers toch al samen standaarden aan het maken?Angevaare: “Ja, maar voordat ISA 99 een compleet pakket heeft, zijn we vijf tot tien jaar verder! Wel hebben ze positief gereageerd op ons aanbod om de inhoud van ons document in te passen in de ontwikkeling van de ISA / 99 document series.”Kuperij: “Als je het tempo van cybercrime-ontwikkelingen probeert bij te houden, kun je niet wachten tot er een internationale standaard is. Maar door middel van zusterorganisaties in Frankrijk, Engeland en Duitsland en interna tio-nale ISACs kunnen we wel voor elkaar krijgen dat dit in Europa alvast een geaccepteerde standaard wordt.” “We hebben contact met het International Electrical Committee (IEC), het hoogste orgaan op het gebied van standaarden”, voegt Angevaare toe. “We willen graag dat ons document in het IEC wordt ondergebracht.”Williams: “Het process van internationale standaardisatie is complex. Daarin moet je niet over één nacht ijs gaan. Onze aanpak was om een benchmark te ontwikkelen die meteen inge-oerd kon worden, en die zo ontworpen was dat hij in de loop der tijd makkelijk overgenomen zou kunnen worden in standaarden zoals ISA in IEC. Dat is een win-winsituatie. Voor het ontwikkelen van het certifi catieprogramma hebben we samen gewerkt met internationale standaar-disatie organisaties; we hebben er ook eisen in verwerkt uit SP99 en bijvoorbeeld NIST 800-53.”

interviews nicc

55

Page 56: NICC interviews

34 Wat is de status van het document op dit moment?Kuperij: “De eerste versie van het document is in maart 2010 offi cieel gepresenteerd. We hebben het toegestuurd aan allerlei partijen zoals leveranciers, fabrikanten en TNO voor commentaar.” In oktober is de tweede verbeterde versie van het document offi cieel gepubliceerd tijdens de ISA Conferentie in Houston.Williams: “Voordat we op grote schaal kunnen beginnen met certifi cering, moeten we in de pilotfase eerst een paar lacunes aanvullen. We hebben het document al gereviseerd op basis van feedback van de leveranciers. Het gaat daar-bij om kleine administratieve wijzigingen en bij-voorbeeld taalproblemen. En de leveranciers die aan de pilot zullen meedoen, zijn al bekend.”Angevaare: “We gaan het accreditatieproces regelen zodat er specifi caties komen waar certifi ceerders aan moeten voldoen. Maar voor nu zijn we eerst nog bezig om het document juridisch dicht te timmeren zodat het gebruikt kan worden als aankoopdocumentatie. Samen met Wurldtech en WIB doen we sinds september 2010 een roadshow om het document op confe-ren ties te promoten en bedrijven te motiveren zich te laten certifi ceren. We komen immers niet verder met alleen over het probleem te praten. We hopen dat meer bedrijven deze standaarden dwingend gaan opleggen, liever vandaag dan morgen. Daarom zijn we nu met IEC / NEN in gesprek om van het WIB-document een inter-nationale standaard te maken, voor iedereen toegankelijk.” De verwachting is dat de IEC het document in mei 2011 al kan uitgeven. Het document ‘Process Control Domain Security

Requirements for Vendors’ wordt onderdeel van de Nationale Roadmap to Secure Process Control Systems.

En hoe gaat het dan verder?Kuperij: ‘We blijven de technologie volgen zodat we in de toekomst dingen kunnen toevoegen die nu nog niet bestaan of waar we niet aan gedacht hebben.”Williams: “De enige manier om van het Vendor Requirements-document internationaal een succes te maken, is te zorgen dat het goed wordt verspreid onder de belangrijkste wereldwijde stakeholders. Dat zal vooral gebeuren doordat eindgebruikers het gaan inzetten, maar kan ver-sneld worden als de betrokken overheden samen zouden besluiten om dit certifi catie programma in hun eigen landen te verspreiden. Het is moei-lijk voor Nederlandse overheids instellingen om een eindgebruiker in bij voor beeld de Verenigde Staten te bereiken. Maar CPNI.NL kan wel praten met de US Department of Homeland Security en andere verwante instellingen. Als we een omslagpunt kunnen bereiken in machtige sectoren zoals energie, chemie, transport en andere vitale infra structuren, dan zullen de voordelen van dit programma vanzelf door-sijpelen. Zoals John F. Kennedy zei: een opkomend tij tilt alle boten op!”

Geïnteresseerden kunnen op de distributielijst komen door een e-mail te sturen aan [email protected] met contactdetails, bedrijf en functie.

56

Page 57: NICC interviews

interviews nicc

57

Page 58: NICC interviews

Eric AdamseBeleidsmedewerker Beveiliging & Crisismanagement bij Vitens en voorzitter van het platform Beveiliging & Crisismanagement van de Nederlandse drinkwaterbedrijven.

Strategies for Combating Terrorism: Lessons from High-Risk EnvironmentsHet Homeland Security Executive Certifi cate Studies Program biedt samen met ASIS International, ASERO Worldwide en de Universiteit van Tel Aviv een intensieve studieweek aan over de snel veranderende wereld van terroristische dreigingen en security. Deelnemers aan ‘Strategies for Combating Terrorism: Lessons from High-Risk Environments’ maken kennis met methodes en best practices om vitale infrastructuren te beschermen. Meer informatie over deze opleiding vindt u op www.asero.com.

Page 59: NICC interviews

37

Jaarbericht NICC 2010

“Terroristische aanslagen stoppen door fysieke maatregelen heeft niet zoveel zin. Het gaat om snelle detectie en respons”

Eric Adamse volgde de opleiding ‘Strategies for Combating Terrorism: Lessons from High-Risk Environments’ in Tel Aviv. Hij maakte het NICC attent op de waarde ervan voor security mana gers van bedrijven in de vitale infrastructuren. “Om verdere goede keuzes te kunnen maken uit de maatregelen op het gebied van risico manage ment, had ik eerst een goed beeld nodig van de bedrei-gingen. Zonder dreiging immers geen risico.”

Waarom bent u de opleiding ‘Strategies for Combating Terrorism’ gaan doen?“Ik wilde een beter beeld krijgen van de diepere gedachtegang van terroristen. Wat voor soort mensen zijn het, wat hebben we van ze te vrezen, hoe werken ze, hoe zit het met het krachten- en machtenspel eromheen? Daar moest toch onder-hand veel over bekend zijn, maar in doorsnee security-trainingen komt dat niet aan bod. Die zijn meer gericht op criminali teit. Drinkwater-bedrijven zijn de laatste tien jaar volop bezig geweest zich te beveiligen tegen criminele en terroristische dreigingen. We hebben maat-regelen genomen om onze kwets baarheid te verkleinen. Maar om verdere goede keuzes te kunnen maken uit maatregelen op het gebied van risicomanagement, had ik een beter beeld nodig van terroristische dreiging. Zonder dreiging immers geen risico.”

Is uw beeld van bedreigingen daardoor veranderd?“We hebben in Europa een beperkt bewustzijn van dreigingen, een beetje het beeld van de terrorist als opererende eenling. Maar ik weet nu bijvoorbeeld dat achter iedere zelfmoordterrorist een organisatie van negentig mensen zit om een aanslag voor te bereiden.”

Wat houdt de opleiding in Tel Aviv in?“Israël is het Mekka van de security. De opleiding focuste op antiterrorisme op overheid niveau, met als belangrijkste onderwerpen veilig heid in de luchtvaart, op toeristische hot spots en bij kritische infra structuren. Je krijgt vijf dagen lang colleges van vooral Israëlische experts. Verder ga je in het veld kijken hoe security-maatregelen in de praktijk werken. Op het vliegveld Ben Goerion kregen we een presentatie van het hoofd security over zonering in beveiliging en over hoe ze daar werken met ‘profi ling’. Het is ondoenlijk zoveel mensen van top tot teen te screenen, inclusief bagage, dus doen ze een basisscreening en handelen ze verder op basis van risicofactoren en gedrag. Verder zijn we naar de Knesset geweest, die een eigen beveiligingsdienst heeft. Op de plek waar Rabin is vermoord kregen we een uitleg over wat daar uit security-oogpunt allemaal is misgegaan. Verder bezochten we een checkpoint waar dagelijks 100.000 forensen worden gescreend. Door al die maatregelen is het aantal aanslagen in Israël met 95 procent afgenomen.”

Wat vond u het meest leerzame aspect?“De opleiding heeft ons geholpen om een beter beeld te krijgen van wie ons bedreigen, hoe we daar gericht maatregelen tegen kunnen nemen zonder onnodig door te schieten. Onze meest ongewenste gebeurtenis is moedwillige contaminatie van drinkwater, ofwel vergiftiging. Die kan chemisch, biologisch, radiologisch en nucleair zijn. Maar het is niet eenvoudig om dergelijke stoffen waar veel mensen het slacht-offer van worden in voldoende hoeveel heden te vinden. Daar komt bij dat degene die de stof

interviews nicc

59

Page 60: NICC interviews

38 inbrengt in het drinkwater, er ook in de hoogste concentratie mee in aanraking komt en misschien wel het eerste en enige slachtoffer wordt. Dat is dus behoorlijk gecom pliceerd. Maar áls zoiets gebeurt, ook klein schalig, dan geeft dat een enorme knauw in het vertrouwen dat de consument en de overheid in ons als water-leiding bedrijf hebben. De drink watersector moet tien dagen selfsupporting kunnen zijn, en kunnen leveren als bijvoorbeeld de stroom uitvalt. Vanuit goed huisvaderschap is een goed basisbeveiligingsniveau de standaard in Nederland, en alle drinkwaterbedrijven vol doen daaraan. Maar op basis van de kennis uit deze opleiding gaat Vitens nog een stapje verder.”

Heeft dat consequenties voor jullie beveiligings-beleid? “Jazeker! De opleiding heeft ertoe geleid dat we het beleid hebben aangepast. Eenvoudig gezegd was onze strategie in het verleden ‘nergens onze naam op zetten en je verstoppen in het bos’. Want als ze ons niet kunnen vinden, kunnen ze ons ook niet raken. Zo werken terroristen niet. Die nemen twee jaar de tijd om hun aanslag voor te bereiden. Tegenwoordig staan de Nederlandse water win-gebieden op iedere website en de leidingen zijn te traceren via paaltjes op straat. Het heeft dus geen zin je te verbergen. Stap één is dat je je juist goed zichtbaar moet maken en moet laten zien dat je de infrastructuur goed hebt beveiligd. We begonnen met dikke deuren, ramen en kwaliteits sloten: buiten houden en vertragen. Nu is het steeds meer zaak om op afstand snel en zeker te kunnen reageren. Stap twee is dus de verschuiving van een hoge fysieke weerbaarheid en vertraging door fortifi catie van de infrastructuur naar snelle,

doeltreffende detectie op afstand en een goede respons als er iets gebeurt.”

Is fortifi catie van de infrastructuur dan niet zinvol?“Ik ben er echt niet bang voor dat onze infra-structuur getroffen wordt door vernietiging, want dan moet je op heel veel plekken tegelijk een aanslag plegen. Als een terrorist beschikt over grote ladingen explosieven, dan gaan ze hoogstwaarschijnlijk geen drinkwaterstation opblazen maar zoeken ze eerder tot de ver beel-ding sprekende soft targets waar veel mensen zijn. Daarom nemen wij geen bijzondere maat-regelen tegen bomaanslagen. Natuurlijk is ons beveiligingsniveau zodanig dat een doorsnee inbreker het al snel te moeilijk vindt. Maar terroristische aanslagen stoppen door fysieke maatregelen heeft niet zoveel zin. Het ergste scenario in onze sector is drinkwatervergiftiging. We kunnen op afstand productielocaties af-schakelen. Dus gaat het erom dat je de juiste security-informatie vergaart en snel door hebt dat er iets niet in de haak is, zodat je het betref-fende pompstation snel kunt afschakelen. Beter even geen water distribueren dan mogelijk vergiftigd water.”

Dat maakt je nogal afhankelijk van communicatiesystemen.“Daarmee creëer je inderdaad een nieuwe uit-daging. Security-informatie gaat vanuit elke locatie minimaal via twee onafhankelijke communicatie kanalen naar het security-control-centrum. Als iemand een van die lijntjes uit de grond trekt, zie je meteen dat er iets mis is en heb je een back-up. Je moet dus niet al je geld zetten op internetprotocollen. Verder

60

Page 61: NICC interviews

39

Jaarbericht NICC 2010

ontwikkelen we early-warning contamination- systemen, waarmee we veranderingen in water-kwaliteit detecteren die wijzen op terrorisme. Om dat helemaal goed te krijgen zijn we nog wel paar jaar bezig.”

Besteedde de opleiding ook aandacht aan cybercrime?“Een Israëlische docent liet ter plekke zien hoe hij alle communicatiemiddelen die we bij ons hadden, van laptops en mobieltjes tot iPhones en iPads, ter plekke kon kraken. Dat krijg je gewoon met shareware voor elkaar. Zo’n demon-stratie vergroot het bewustzijn van je kwetsbaar-heid enorm! Je kunt daar wat aan doen met encryptie. Hij liet zien hoe je in een jpeg-bestand heel veel informatie onzichtbaar voor buiten-staanders kunt versturen. In één foto zat een bestand ter grootte van een boek van 700 pagina’s, en in hoge kwaliteit. Maar daar vertragen de systemen van.”

Is honderd procent security nodig? En mogelijk?“Nee. Je moet accepteren dat je in een maat-schappij met risico’s leeft. Het is altijd een afweging tussen menselijke inspanning, geld, middelen. Ook in Israël realiseren ze zich dat die dreiging er altijd is en zal zijn, dat er dus af en toe iets gebeurt en dat je daarvan leert.”

De scenario’s van het Midden-Oosten staan toch wel heel ver van onze realiteit af.“Je moet wel doseren. Vitens heeft samen werking-verbanden met het Israëlische drink water bedrijf Mekorot, daar lopen bewapende mensen rondom de plants. Wij zijn in Nederland natuurlijk niet zo zwaar beveiligd. In de opleiding hebben we

overigens ook besproken hoe je je beveiligings-maatregelen scherp kunt houden in situaties waarin er heel lang niets gebeurt. Die urgentie moet in de genen van het integraal management zitten, en niet bij één security manager als een roepende in de woestijn.”

Voor wie is de opleiding interessant?“Security experts die te maken kunnen krijgen met terrorisme. Alle kritische infrastructuren worden daardoor bedreigd. Beveiligen kost veel geld; bij Vitens heb je het al gauw over tien tot twintig miljoen euro aan investeringen, en dan heb ik het nog niet eens over het operationele deel. Je moet beveiligingskeuzes dus goed beargumenteerd maken, en daar heb je kennis van zaken voor nodig. Het hele team van de opleiding bestaat uit enthousiaste, open mensen die zo’n zwaar verhaal op een luchtige en behap-bare manier kunnen brengen. Ik vond het ook waardevol dat de docenten een mix vormden van haviken en duiven. Docenten uitten ook kritische geluiden over wat er in Israël gaande is. Ik had daardoor de indruk dat ze hun boodschap zo genuanceerd mogelijk overbrachten.”

Wat gaat u verder doen met de opgedane kennis?“Vitens deelt de opgedane kennis over dreigingen met anderen in de sector en de Water-ISAC. We hebben als drinkwaterbedrijven immers een gemeenschappelijke verant woordelijkheid naar de consument. Als bij een collega-bedrijf een aanslag plaatsvindt, hebben wij daar ook last van. Je moet dus zorgen dat dat in heel Nederland niet zal gebeuren. Het is een gemeen-schappelijk belang, dus het heeft geen zin om op dat gebied met elkaar te concurreren.”

61

interviews nicc

Page 62: NICC interviews

PostadresPostbus 96864 2509 JG Den Haag

Bezoekadres Oude Waalsdorperweg 63 2597 AK Den Haag

T 088 866 38 61 E [email protected] I www.cpni.nl