Beschrijving producten en diensten NCSC
2
Beschrijving producten en diensten NCSC Versie 1.0
Nationaal Cyber Security Centrum Turfmarkt 147 | 2511 DP Den Haag Postbus 117 | 2501 CC Den Haag T 070 751 55 55 | F 070 888 75 50 www.ncsc.nl |
[email protected] Augustus 2013 | 1e Herdruk september 2013 3
4
Inhoud 1 Inleiding
6
1.1 Producten en diensten per doelgroep
7
2 Response op dreigingen en incidenten
8
2.1. 24-uurs hulp bij ICT-beveiligingsincidenten
8
2.2 Beveiligingsadvies en analyse kwetsbaarheden
8
2.3 Monitoring
9
2.4 Melding kwetsbaarheden bij derden: responsible disclosure
9
3 Inzicht en handelingsperspectief
9
3.1 Generiek inzicht en handelingsperspectief
9
3.2 Gericht inzicht en handelingsperspectief
10
3.3 Creëren van bewustwording en kennisoverdracht
10
3.4 Stimuleren van onderwijs en onderzoek
10
4 Crisisbeheersing
11
4.1 Ondersteuning tijdens crisis
11
4.2 ICT Response Board (IRB)
11
4.3 Ondersteuning bij cyberoefeningen
11
5 Samenwerkingsplatform cybersecurity
12
5.1 Nationaal point of contact
12
5.2 Faciliteren operationele en tactische overleggen
12
5.3 Operationele ondersteuning aan sectorale CERT’s
13
6 Aanmelden bij het NCSC
14
Bijlagen 15 Bijlage 1: Voorwaarden
15
Bijlage 2: NCSC contact- en aanmeldformulier
17
5
1 Inleiding Dit document beschrijft de producten en diensten die het Nationaal Cyber Security Centrum (NCSC) levert aan zijn doelgroepen. De doelgroepen van het NCSC bestaan uit organisaties uit de Rijksoverheid en de vitale sector. In de groei van een overheids-CERT naar een NCSC worden continue nieuwe diensten ontwikkeld; dit document beschrijft de situatie op 1 januari 2013 en zal periodiek worden bijgewerkt. De scope van de dienstverlening is schematisch weergeven door de gekleurde vakken in onderstaand figuur. De matrix op de volgende pagina geeft een bondig overzicht van de producten en diensten per doelgroep. Achtergrond Het NCSC draagt bij aan het gezamenlijk vergroten van de weerbaar heid van de Nederlandse samenleving in het digitale domein en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelings perspectief. Het NCSC is internationaal het Nederlandse aanspreek punt op het gebied van cybersecurity-incidenten en ICT-dreigingen (National Point of Contact). Het NCSC heeft de volgende kerntaken:
Weerbaarheid
Awareness
Alerteren
Vervolging
Response
Opsporing
6
Detecteren
Crisisbeheersing
1. Response op dreigingen en incidenten Het NCSC heeft inzicht in actuele dreigingen en kwetsbaarheden zowel nationaal als internationaal. Op basis van deze informatie waarschuwt het NCSC tijdig en gericht over mogelijke dreigingen, zoals kwetsbaarheden in software, uitbraken van virussen en gerichte aanvallen. Het beschermen van de nationale veiligheid en het beperken van schade (financieel, technisch, privacy, imago) staat daarbij centraal. 2. Inzicht en handelingsperspectief Het NCSC is een bron van informatie, inzicht en handelingsperspec tieven. Het draagt proactief bij aan de preventie (bewustwording en bescherming) en preparatie (opbouwen vaardigheden) ten aanzien van cybersecurity. De overheid, bedrijven en universiteiten brengen hun kennis bij elkaar in het centrum. Het delen van kennis met zijn nationale en internationale partners staat daarom centraal in veel van NCSC-activiteiten. 3. Crisisbeheersing Het NCSC voert de operationele coördinatie bij een ICT-crisis en adviseert de nationale crisisstructuur op dit terrein. Als onderdeel hiervan faciliteert het NCSC de ICT Response Board (IRB). De IRB is een publiek-privaat samenwerkingsverband, bestaande uit inhoudelijke vertegenwoordigers van sectoren, die bij elkaar komt bij een (dreigende) ICT-crisis. 4. Samenwerkingsplatform cybersecurity Het NCSC vormt het strategische en operationele knooppunt voor publieke en private partijen en de wetenschap in de (internationale) cybersecuritycommunity. Samenwerking is voor alle partijen essentieel om sectoroverstijgend inzicht en handelingsperspectief te ontwikkelen. Deze samenwerking richt zich op het delen van informatie op het gebied van de kerntaken van het NCSC en op het gebied van innovatie en productontwikkeling.
«
1.1
Producten en diensten per doelgroep
De onderstaande matrix geeft een bondig overzicht van welke producten en diensten beschikbaar zijn voor welke organisaties (en onder welke voorwaarden). Voor een gedetailleerde beschrijving van de inhoud en voorwaarden wordt verwezen naar de betreffende onderdelen.
PRODUCTEN EN DIENSTEN
Rijksoverheid
Vitale organisaties *1
Sectorale CERT’s *5
Response op dreiging en incidenten 24-uurshulp bij ICT-beveiligingsincidenten
X
X*2
X
Beveiligingsadvies en analyse kwetsbaarheden*3
X
X
X
Monitoring
X
Melding kwetsbaarheden bij derden: responsible disclosure
X
X
X
Generiek inzicht en handelingsperspectief
X
X
X
Gericht inzicht en handelingsperspectief
X
Creëren van bewustwording en kennisoverdracht
X
X
X
Ondersteuning tijdens crisis
X
X
X
ICT Response Board
X
X
X
Ondersteuning bij cyberoefeningen
X*4
X*4
X
X
Bieden inzicht en handelingsperspectief
X
Crisisbeheersing
Samenwerkingsplatform cybersecurity Faciliteren operationele en tactische overleggen Operationele ondersteuning sectorale CERT's
X X
Voorwaarden op hoofdlijnen *1
Producten en diensten beschikbaar voor organisaties aangesloten bij de ISAC’s NCSC beschikbaar als derdelijnssupport. Eerste lijn is de eigen helpdesk, tweede lijn is de ICTleverancier of de SOC of CERT *3 Gericht en specifiek per e-mail als contactgegevens & software bekend zijn *4 Beperkt beschikbaar en altijd maatwerk *5 Een schakelorganisatie die voor een branche of sector als hub dient tussen het NCSC en zijn doelgroepen *2
7
2 Response op dreigingen en incidenten Het Nationaal Cyber Security Centrum (NCSC) heeft inzicht in actuele dreigingen en kwetsbaarheden zowel nationaal als internationaal. Op basis van deze informatie waarschuwt het NCSC tijdig en gericht over mogelijke dreigingen, zoals kwetsbaarheden in software, uitbraken van virussen en gerichte aanvallen. Het beperken van aantasting van de nationale veiligheid of andere schade (financieel, technisch, privacy, imago) staat daarbij centraal. Hiervoor heeft het NCSC de onderstaande producten en diensten. 2.1 24-uurshulp bij ICT-beveiligingsincidenten Het NCSC is voor organisaties binnen de Rijksoverheid en de vitale sectoren het centrale punt voor afhandeling en coördinatie van ICT-gerelateerde beveiligingsincident voor organisaties binnen de vitale sectoren geldt dat er alleen van de dienstverlening van het NCSC gebruik kan worden gemaakt indien het beveiligings incident of de verstoring direct impact heeft op het primaire of vitale proces van de organisatie. Organisaties binnen de doelgroep van het NCSC kunnen deze incidenten, bijvoorbeeld een virus uitbraak of een grootschalige aanval op netwerken, 24/7 melden bij het NCSC. Het NCSC coördineert en verleent technisch en organisatorisch advies over de afhandeling van het gemelde incident. Daarbij heeft het NCSC een rol als informatieknooppunt om de juiste mensen en organisaties samen te brengen om een adequate response te kunnen organiseren. Zo nodig ondersteunt het NCSC de getroffen organisatie met aanvullende technische analyses van bijvoorbeeld netwerkver keer of kwaadaardige software. Incident response is afhankelijk van de situatie en na de intake onderneemt het NCSC op basis van triage op verschillende manieren actie. Dit kan onder meer bestaan uit: Bij een Denial- of Service-aanval »» advies over de afhandeling van de aanval; »» inschakelen van ons (inter)nationale netwerk; »» ondersteuning van de technische medewerkers om de omvang van de aanval in kaart te brengen en de normale situatie te herstellen. Bij een hackingaanval »» advies over de afhandeling van het incident; »» analyse van kwaadaardige software (malware); »» inschakelen van ons (inter-)nationale netwerk;
8
»» ondersteuning van de technische medewerkers om de omvang van de aanval in kaart te brengen en de normale situatie te herstellen; »» assistentie ter plaatse indien noodzakelijk. Bij onbekende of onduidelijke incidenten »» ondersteunen van technische medewerkers om de aard van de situatie te bepalen; »» advies over afhandeling incident en mogelijke vervolgacties om de situatie te herstellen. Bij datalekken »» ondersteunen van technische medewerkers bij vaststellen oorzaak incident; »» informeren van partijen binnen onze doelgroep. Bij phisingsites »» inschakelen van ons (inter)nationale netwerk voor het doen van een notice and takedown verzoek.
Bereikbaarheid NCSC
»» ICT-beveiligingsincidenten kunnen worden aangemeld binnen kantooruren (08.30-17.00), per e-mail (
[email protected]) of telefoon (070 751 55 55); »» ICT-beveiligingsincidenten met prioriteit ‘noodgeval’ moeten telefonisch worden aangemeld. Buiten kantoortijden kan dit 24/7 via het alarmnummer. Voorwaarden (zie Bijlage 1) 1, 2, 3, 4, 5, 6, 11, 12.
2.2 Beveiligingsadvies en analyse kwetsbaarheden Het NCSC schrijft dagelijks adviezen over nieuwe kwetsbaarheden in hard- en software die in gebruik is bij zijn doelgroepen. Deze adviezen hebben een standaardopbouw. Zij beschrijven de aard van de kwetsbaarheid, een inschatting van de kans dat de kwetsbaarheid zich voordoet en een inschaling van mogelijke schade die ontstaat wanneer de kwetsbaarheid wordt misbruikt. De daadwerkelijke impact verschilt per organisatie. Daarbij geeft het NCSC een technisch advies om het risico te verkleinen. Organisaties die het NCSC een overzicht hebben gegeven van de hard- en software die hun organisatie gebruikt, ontvangen desgewenst alleen de voor hen relevante adviezen. Bij zeer risicovolle en ernstige kwetsbaarheden informeert het NCSC direct de organisaties in zijn netwerk (die zich daarvoor hebben aangemeld). Een zeer groot gedeelte van deze adviezen is publiek beschikbaar via www.ncsc.nl. Naast de website gebruikt het NCSC RSS-feeds, XML-berichten en e-maillijsten om adviezen beschikbaar te stellen.
Beschikbaarheid NCSC
2.3 Monitoring
Werkdagen 09.00 tot 17.00 Het NCSC schrijft adviezen over nieuwe kwetsbaarheden in hard- en software en is beschikbaar voor eventuele vragen hierover. Bij zeer risicovolle en ernstige kwetsbaarheden informeert het NCSC direct de zijn bekende contactpersonen.
Het NCSC gebruikt diverse systemen voor zijn monitoringdiensten. Hiermee controleert het NCSC onder andere periodiek de websites van deelnemende organisaties op verspreiding van malware. Tevens kan het NCSC met behulp van deze dienst geautomatiseerde aanvallen detecteren die vanaf het internet op netwerken plaatsvinden. Op deze manier ondersteunt het NCSC de Rijksoverheid en de organisaties in de vitale sectoren bij de preventie en afhandeling van ICT-incidenten.
Werkdagen van 17.00 tot 21.00 Het NCSC schrijft alleen adviezen in geval van zeer risicovolle en ernstige kwetsbaarheden in hard- en software. Bij zeer risicovolle en ernstige kwetsbaarheden informeert het NCSC direct de zijn bekende contactpersonen. Werkdagen van 21.00 tot 09.00 Het NCSC heeft afspraken met collega CERT’s in de andere tijdzones. Bij zeer risicovolle en ernstige kwetsbaarheden infor meert het NCSC direct de zijn bekende contactpersonen. Op feestdagen en in het weekend van 9.00 tot 21.00 Het NCSC schrijft alleen adviezen in geval van zeer risicovolle en ernstige kwetsbaarheden in hard- en software. Bij zeer risicovolle en ernstige kwetsbaarheden informeert het NCSC direct de zijn bekende contactpersonen. Op feestdagen en in het weekend van 21.00 tot 09.00 Het NCSC heeft afspraken met collega CERT’s in de andere tijdzones. Bij zeer risicovolle en ernstige kwetsbaarheden infor meert het NCSC direct de zijn bekende contactpersonen. Voorwaarden met betrekking tot het ontvangen van gerichte ICT security-adviezen en direct contact bij zeer risicovolle en ernstige kwetsbaarheden (zie Bijlage 1) 1, 2, 3, 4, 7, 11, 12, 14.
Voorwaarden (zie Bijlage 1) 1, 2, 7, 13.
2.4 Melding kwetsbaarheden bij derden: responsible disclosure Responsible disclosure binnen de ICT-wereld is het op een verant woorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure. Primair is responsible disclosure een aangelegenheid die organisa ties en melder aangaat. Het NCSC zal, indien een melding bij het NCSC wordt gedaan en daarbij is gebleken dat de melder zich daarvóór eerst, maar zonder resultaat, tot de betrokken organisatie heeft gewend, proberen de melder in contact te brengen met de betrokken organisatie. Daarbij kan het NCSC, in samenspraak tussen melder en organisatie, betrokken worden om informatie over de kwetsbaarheid met de doelgroep te delen om daarmee verdere veiligheidsrisico’s te beperken. De uitgebreide richtlijnen / voorwaarden voor responsible disclosure zijn terug te vinden in: Leidraad om te komen tot een praktijk van responsible disclosure op www.ncsc.nl.
«
3 Inzicht en handelingsperspectief Het delen, verdiepen en vertalen van kennis is van cruciaal belang voor het Nationaal Cyber Security Centrum (NCSC). De overheid, bedrijven en universiteiten brengen hun kennis bij elkaar in het centrum. Het delen van kennis met zijn nationale en internationale partners staat daarom centraal in veel NCSC-activiteiten. 3.1 Generiek inzicht en handelingsperspectief Het NCSC wil zijn doelgroepen inzicht bieden in ICT-dreigingen en een bijpassend handelings- perspectief, zodat zij hun weerbaarheid op dit vlak kunnen vergroten. Het NCSC publiceert hiertoe onder andere whitepapers, factsheets en best practices. Deze publicaties zijn
erop gericht inzicht te verschaffen in dreigingen, oorzaken te duiden en oplossingen aan te dragen. Publicaties worden online beschikbaar gesteld, wanneer de behandelde dreigingen een maatschappelijke impact kunnen hebben. Generieke richtlijnen Het NCSC draagt bij aan de preventie van mogelijke cyberincidenten door generieke richtlijnen te publiceren. Beveiligingsrichtlijnen van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van applicaties en bijbehorende infra structuur. De beveiligingsrichtlijnen zijn breed toepasbaar voor ICT-oplossingen.
9
Cybersecuritybeeld Nederland Het Cybersecuritybeeld Nederland (CSBN) wordt elk jaar door het NCSC gepubliceerd. Het rapport, een observatie van de status van cybersecurity binnen Nederland, geeft beleidsmakers inzichten om de weerbaarheid van Nederland tegen cyberdreigingen te versterken en lopende cybersecurityprogramma’s te verbeteren. Op verzoek van zowel de Tweede Kamer als de Cyber Security Raad worden de komende rapportages uitgebreid met een gedetailleerder overzicht van de toestand van cybersecurity binnen de private sectoren en binnen de organisaties uit de vitale sectoren. In de rapportage worden geen aanbevelingen en adviezen gedaan. Factsheets In zijn factsheets geeft het NCSC kort en bondig informatie over belangrijke zaken op het gebied van ICT-veiligheid. Hierin probeert het NCSC de situatie te schetsen en te analyseren en ook hier weer praktische adviezen te geven. Naarmate de situatie vordert of wijzigt, brengt het NCSC updates uit op een bestaande factsheet. De factsheets worden, uitzonderingen daargelaten, na verspreiding onder zijn doelgroepen gepubliceerd op de NCSC-website. Whitepapers In de whitepapers gaat het NCSC uitvoerig in op onderwerpen die belangrijk zijn voor ICT-veiligheid. De whitepapers zijn vooral bedoeld voor de ICT- & security-experts. Voorwaarden (zie Bijlage 1) 10.
3.2 Gericht inzicht en handelingsperspectief Het NCSC vertaalt kennis naar concrete bedrijfsprocessen en geeft advies over mogelijke handelingsperspectieven bij specifieke kwetsbaarheden of dreigingen. Hiervoor gebruikt het NCSC zijn kennis en ervaring, opgebouwd door o.a. monitoring, incident response en zijn CERT-netwerk. Als er bedrijven zijn die dezelfde dienst kunnen leveren, dan verwijzen we door naar die partijen. Het NCSC geeft ad-hocadviezen maar neemt ook deel aan diverse platforms en werkgroepen waarin onze kennis wordt gevraagd. Het NCSC voert geen productevaluaties uit. Voorwaarden (zie Bijlage 1) 1, 2, 5, 7, 9, 10, 15.
3.3 Creëren van bewustwording en kennisoverdracht Jaarlijkse NCSC-conferentie Met de organisatie van de conferentie biedt het NCSC een platform voor uiteenlopende nationale en internationale partijen uit de cybercommunity, publieke en private sector en wetenschap voor het opdoen en uitwisselen van kennis en ervaring. Daarnaast worden belangrijke internationale netwerken van Computer Emergency Response Teams (CERT’s) en cybersecurity onderhouden. Daarnaast geeft het NCSC regelmatig (op verzoek) presentaties in binnen- en buitenland over ICTsecurityonderwerpen. Enerzijds deelt het NCSC hiermee zijn kennis en inzichten en anderzijds verhoogt het hiermee het bewustzijn van cyberrisico’s. Ook heeft 10
het NCSC een hackdemo tot zijn beschikking die ingezet kan worden voor het creëren van bewustwording op zowel operatio neel, tactisch als strategisch niveau binnen een organisatie. Het NCSC is ook nauw betrokken bij campagnes op het vlak van cyberbewustwording (bijv. Alert Online). Voorwaarden (zie Bijlage 1) 7.
3.4 Stimuleren van onderwijs en onderzoek Onderzoek Het NCSC is een kennisknooppunt dat een relatienetwerk onder houdt met spelers in het researchdomein. Het NCSC voert enerzijds zelfstandig onderzoek uit en anderzijds laat het onderzoek uitvoeren door de wetenschap en private partijen. Daarbij beheert en bewaakt het NCSC een overzicht van en inzicht in research initiatieven op het gebied van cybersecurity. Het NCSC geeft mede invulling aan de Nationale Cyber Security Research Agenda (NCSRA). Het NCSC heeft verschillende taken op het gebied van onderzoek: »» Bijdragen aan onderzoeksactiviteiten. »» Beoordelen van en ondersteuning bij subsidieaanvragen. »» Zelfstandig uitvoeren van onderzoek. »» Regievoering op uitbesteed onderzoek. Onderwijs Het NCSC zet zich in voor de versterking van onderwijs op het gebied van cybersecurity, teneinde de (toekomstige) beroepsgroep te versterken. Daartoe richt het NCSC zich enerzijds op het versterken en opnemen van cyber als onderdeel van onderwijs programma’s en opleidingen en anderzijds op de daadwerkelijke begeleiding en uitvoering van onderwijs. Dit uit zich in activiteiten zoals: »» Participatie in beroepsveldcommissies. »» Aanbieden en begeleiden van stages. »» Geven van gastcolleges. »» Adviseren ten aanzien van opleidingsprogramma’s en modules. »» Verbinden van partijen in onderwijs en in het cybersecurityveld.
4 Crisisbeheersing Ten tijde van een crisissituatie is goede coördinatie en samenwerking van doorslaggevend belang. Het NCSC heeft de operationele coördinatie bij een ICT-crisis en adviseert hierover. 4.1 Ondersteuning tijdens crisis Coördinatie Het NCSC heeft twee rollen tijdens crisis; de operationele coördinatie bij een ICT-crisis en het adviseren van de nationale crisisbeheersings structuur. Wanneer incidenten een maatschappelijke ontwrichting hebben of dreigen te hebben, wordt het NCSC opgeschaald. In principe verricht het NCSC tijdens een crisissituatie dezelfde diensten die het ook buiten crisistijd verricht. Response op dreigingen en incidenten en het bieden van handelingsperspectief komen in een stroomversnelling, maar zullen zoveel mogelijk uitgevoerd blijven worden. Advisering Als de nationale crisisstructuur is opgeschaald, krijgt het NCSC (naast de coördinerende rol) een adviserende functie. Dat wil zeggen dat het NCSC vanuit zijn expertise aan het NCC informatie verschaft over de aard en omvang van de crisis en adviezen verstrekt over de aanpak. Dit advies wordt ingebracht in het Interdepartementale Adviesteam. Evaluatie van crises Het NCSC evalueert incidenten en crises om te beoordelen of de response tijdens deze gebeurtenissen adequaat is geweest en welke verbeteringen gedaan kunnen worden om als organisatie nog effectiever en efficiënter in de toekomst te kunnen handelen. In deze evaluatie kijkt het NCSC primair naar eigen handelen, maar zal het ook de samenwerking met publieke en private partijen betrekken. Voorwaarden (zie Bijlage 1) 7, 16.
4.2 ICT Response Board (IRB) Faciliteren van de IRB De ICT Response Board (IRB) is een publiek-privaat samenwerkings verband, bestaande uit inhoudelijke vertegenwoordigers van diverse sectoren, dat bij elkaar komt wanneer een ICT-crisis dreigt of zich voordoet. De IRB zorgt voor duiding en advies bij grootschalige ICT-crises. De IRB geeft de nationale crisisstructuur advies over maatregelen om grootschalige ICT-verstoring tegen te gaan of te bestrijden. Dit advies is zowel bruikbaar voor de nationale crisis structuur van de overheid, als (in afgeleide vorm) voor de andere, private, IRB-partijen. De IRB wordt gefaciliteerd door het Nationaal Cyber Security Centrum en hij vervult hierin de rol van secretaris
& informatiecoördinator. Het NCSC organiseert trainingen voor, en beheert de communicatielijnen en structuren binnen de IRB. Indien nodig activeert het NCSC de IRB en zorgt voor opschaling wanneer de situatie daarom vraagt. Verzorgen van trainingen De deelnemers in de IRB krijgen een training die uit twee delen bestaat. Het eerste deel is informatief en verstrekt aan hen informatie over de opbouw van de crisisstructuur en de verschil lende organisaties die daarin een rol spelen specifiek voor het deel cyber. Het tweede deel is een simulatietraining waarbij de deelnemers een scenario naspelen. Voorwaarden (zie Bijlage 1) 7, 17, 18.
4.3 Ondersteuning bij cyberoefeningen Preparatie Het NCSC ontwikkelt realistische oefenscenario’s voor de nationale crisisstructuur en eventueel voor andere (inter)nationaal ICTgerelateerde oefeningen. Ook speelt het NCSC een coördinerende rol bij oefeningen en oefent daarmee zelf zijn operationele rol tijdens crises, al dan niet samen met IRB en private partijen. Ook neemt het NCSC deel aan (inter)nationale oefeningen en adviseert het organisaties uit zijn doelgroep over het opzetten en ontwikke len van cyberoefeningen. Uitvoering De uitvoering van een oefening is een zeer intensief proces waarbij de spelers in een situatie worden gebracht waarin zij onder tijdsdruk moeten kunnen handelen en daarbij hun rol moeten spelen. In de voorbereiding is daarbij een goede briefing cruciaal. De oefening vergt een korte maar stevige investering van de deelnemers. Evaluatie Standaard bij een oefening is een goede evaluatie. Het NCSC evalueert zijn eigen oefeningen met behulp van een aantal vragen op basis van de gestelde oefendoelen. De uitkomsten van de evaluatie worden verwerkt in de aanpassing van planvorming of als input voor de ontwikkeling van nieuwe processen die kunnen worden toegepast bij de aanpak van crises.
«
Voorwaarden (zie Bijlage 1) 7, 19.
11
5 Samenwerkingsplatform cybersecurity Het NCSC vormt het strategische en operationele knooppunt voor publieke en private partijen en de wetenschap in de (internationale) cybersecuritycommunity. Samenwerking is voor alle partijen essentieel om sectoroverstijgend inzicht en handelingsperspectief te ontwikkelen. Deze samenwerking richt zich op het delen van informatie op het gebied van de kerntaken van het NCSC. Samenwerking vindt ook plaats op het gebied van innovatie en productontwikkeling, zowel op structurele basis als in projecten of programma’s. Op basis van het bovenstaande is samenwerking met publiek en private partners onmisbaar bij de uitvoering van de kerntaken van het NCSC: response op dreigingen en incidenten, het bieden van inzicht en handelingsperspectief en crisisbeheersing. De samenwer kingsverbanden op het gebied van cybersecurity zijn zeer divers en enorm in ontwikkeling. De komende tijd wordt deze samenwerking verder vormgegeven.
5.1 Nationaal point of contact Het NCSC is internationaal het Nederlandse aanspreekpunt op het gebied van cybersecurity-incidenten en ICT-dreigingen. Hiervoor onderhoudt het NCSC actief een breed internationaal netwerk. Deze dienstverlening is tweeledig. 1 Buitenlandse organisaties kunnen dreigingen en incidenten melden op het gebied van cybersecurity. 2 Het NCSC kan organisaties in contact brengen met zijn inter nationale partners.
Operationeel Incident Response Team overleg (o-IRT-o) Het operationeel Incident Response Team overleg (o-IRT-o) is een operationeel overleg voor Nederlandse incidentresponseteams. Dit overleg wordt om de twee maanden georganiseerd door het NCSC. Het o-IRT-o bevordert de samenwerking en informatie-uitwisseling tussen de deelnemende partijen aan dit overleg. Aan dit overleg doen incidentresponseteams uit verschillende sectoren mee, zoals netwerk- en serviceproviders, banken en industrie. Voorwaarden (zie Bijlage 1) 20, 21, 22. ISAC tactische overleggen Het NCSC faciliteert de per vitale sector georganiseerde Information Sharing and Analysis Centers (ISAC’s). De ISAC’s zijn publiek-private gremia waar in een vertrouwelijke omgeving informatieuitwisseling plaatsvindt over zwakke plekken in en digitale aanvallen op systemen en netwerken van de ISAC-deelnemers. De ontwikkeling en implementatie van best practices, incidentresponseplannen en algemene standaarden kunnen hieruit voortvloeien. Ook komen trends en ontwikkelingen in cybersecurity aan de orde. In een ISAC zitten naast bedrijven uit de desbetreffende vitale sector ook verschillende overheidsinstanties die zich met cybersecurity bezighouden. Afhankelijk van de betreffende ISAC, worden twee tot acht keer per jaar ISAC-bijeenkomsten georganiseerd. Door regelmatig met elkaar informatie uit te wisselen wordt een onderlinge vertrouwensband opgebouwd en wordt extra waarde voor de deelnemers gecreëerd. De informatie-uitwisseling vindt plaats volgens de zogenaamde Traffic Light Protocol. Inmiddels zijn de volgende ISAC’s actief: Financial Institutions, Multinationals, Telecom, Water, Nucleair, Energy, Haven, Airport, Managed Services Providers en Zorg
Voorwaarden (zie Bijlage 1) 5.
Voorwaarden (zie Bijlage 1) 23, 24.
5.2 Faciliteren operationele en tactische overleggen
Liaisons Het NCSC draagt zorg voor vergader- en werkruimtes voor liaisons van partijen waarmee het NCSC een samenwerkingsrelatie aangaat. Waar gewenst zal het NCSC overleggen tussen liaisons van verschil lende partijen faciliteren en het voorzitterschap van besprekingen op zich nemen. De ‘liaisonpartijen’ (dit kunnen zowel publieke als private partijen zijn die een aanzienlijke rol en kennispositie hebben op het terrein van cybersecurity) en het NCSC maken nadere afspraken over de mate van inzet van de liaison en de mate waarin kennis en informatie wordt gedeeld. De afspraken over de samenwerking worden vastgelegd in een convenant of in samenwerkingsafspraken.
Het NCSC faciliteert diverse operationele en tactische overleggen. Operationeel overleg ICT-contactpersonen Rijksoverheid Het NCSC organiseert een aantal keer per jaar een plenaire bijeen komst voor de ICT-contactpersonen van aangesloten organisaties van de rijksoverheid. In dit overleg wordt de stand van zaken binnen de overheid op beveiligingsgebied besproken en een aantal technisch inhoudelijke presentaties gegeven. Deze presentaties zijn toegespitst op de rol die de ICT-contactpersonen vervullen binnen hun organisaties. Dit overleg wordt ondersteund door diverse mailinglijsten die gebruikt worden voor onderlinge communicatie en door het NCSC om operationele informatie te delen. Voorwaarden (zie Bijlage 1) 1, 2, 5. 12
De liaisonfunctie dient om de samenwerking tussen het NCSC en andere partijen in zowel de koude (business as usual), de lauwe (incidenten) als de warme fase (crisis) te versterken en dient onder meer om in een vroeg stadium ontwikkelingen op het gebied van cybersecurity te identificeren.
verkend worden. Daarnaast kunnen de sectorale CERT-medewerkers deelnemen aan interne cursussen, mits dat mogelijk is binnen de daartoe gestelde NCSC-kaders. Eventuele kosten hiervoor worden gedragen door de sectorale CERT.
«
Voorwaarden (zie Bijlage 1) 25, 26, 27. Voorwaarden (zie Bijlage 1) 7, 28.
5.3 Operationele ondersteuning aan sectorale CERT’s Het NCSC adviseert sectoren/domeinen bij het opzetten van een sectorale responsecapaciteit (of sectorale CERT’s). Hieronder volgt een globale beschrijving van de producten en diensten waarmee het NCSC sectorale CERT’s kan ondersteunen. Met elke deelnemende organisatie zal het NCSC hierover eerst concrete werkafspraken maken en deze vastleggen in bijvoorbeeld een convenant. Preventie Het NCSC assisteert de sectorale CERT om ICT-incidenten te voorkomen middels: »» het verschaffen van informatie die verkregen is middels monito ring, voor zover relevant en van toepassing; »» het verschaffen van ICT-security-adviezen (advisories) met betrekking tot mogelijke en actuele risico’s in software, besturingssystemen, hardware, aanvallen en malware. Incidentafhandeling Het NCSC assisteert voor zover nodig en mogelijk de sectorale CERT bij het afhandelen van specifieke ICT-beveiligingsincidenten bij zijn doelgroep. Uitgangspunt bij incidentafhandeling is ondersteuning op basis van best effort en conform de gemaakte operationele werkafspraken. Uitgangspunt bij incidentafhandeling is dat sectorale CERT’s altijd zelf verantwoordelijk blijven voor de ondersteuning van hun achterban bij ICT-incidenten. Kennisuitwisseling Het NCSC deelt zijn kennis en expertise om beveiligingsincidenten op een efficiëntere manier aan te pakken / voorkomen met sectorale CERT. Daaronder valt, naast de ICT-security-adviezen, het ter beschikking stellen van kennisproducten zoals trendrapporten, ‘white papers’, ‘factsheets’, alsmede eventuele presentaties. Ook vindt er kennisdeling plaats over de stand van zaken en ontwikke lingen op het CERT-expertisegebied. Technische hulpmiddelen Het NCSC zal voor zover mogelijk technische hulpmiddelen delen en ter beschikking stellen aan de sectorale CERT. Het gaat daarbij specifiek om middelen om te kunnen detecteren en monitoren en om incidenten te kunnen analyseren en oplossen. De eventuele randvoorwaarden die voor het gebruik van deze technische hulpmid delen van toepassing zijn, zullen tussen partijen worden vastgesteld. Opleidingen Het NCSC zal beschikbare informatie over opleidingsplannen voor de CERT-medewerkers delen. In overleg met de sectorale CERT, zal de mogelijkheid van korte (algemene of thematische) stages 13
6 Aanmelden bij het NCSC Hieronder staat samengevat welke organisaties zich op welke wijze en onder welke voorwaarden kunnen aanmelden bij het NCSC. Doelgroep
»» Organisaties uit de Rijksoverheid »» Organisaties uit de vitale sectoren (indien het ICT-beveiligings incident of de verstoring direct impact heeft op het primaire of vitale proces van de organisatie);
Niveaus van incidentresponse (voorwaarden) 1 Eerstelijnsincidentresponse: incident response door de eigen interne ICT-organisatie van organisaties uit de doelgroep. 2 Tweedelijnsincidentresponse I Rijksoverheid: het NCSC zorgt voor incident response. II Vitale sector: commerciële organisatie die ICT ondersteuning levert. 3 Derdelijnsincidentresponse: aanvulling op tweedelijnsincident response bij organisaties uit de vitale sector.
Gebruikmaken van de NCSC-producten en -diensten
»» De NCSC-producten en -diensten zijn primair beschikbaar voor organisaties uit de bovenstaande doelgroep.
»» Om van (een selectie van) de diensten gebruik te kunnen maken, heeft het NCSC een juist en volledig ondertekend formulier met contactgegevens nodig (zie bijlage) - Scan het ingevulde en ondertekende formulier en verstuur de aanmelding naar
[email protected]. - Het NCSC ontvangt de informatie bij voorkeur als PGPversleutelde bijlage in een met PGP-ondertekende e-mail. »» Het NCSC toetst iedere aanvraag aan de gestelde voorwaarden van de betreffende producten en diensten. »» Aanvragers ontvangen een bevestiging zodra zij zijn opgenomen in het systeem. »» Het NCSC organiseert intakegesprekken met nieuwe afnemers waarin het zijn diensten toelicht en werkafspraken maakt.
Up-to-date houden van uw gegevens
»» Organisaties dienen zelf bij te houden wat de gebruikte domein namen, URL’s, IP-adressen/ranges en eventuele AS-nummers zijn. Wijzigingen kunnen gemaild worden naar
[email protected]. »» Organisaties zijn zelf verantwoordelijk voor het tijdig en juist doorgeven van technische of administratieve wijzigingen via het formulier met contactgegevens.
14
Privacy en vertrouwelijkheid
»» Het NCSC behandelt de door aanvragers aangeleverde gegevens vertrouwelijk en conform de nationale wetgeving.
»» Bij gebruikmaking van de hierin beschreven dienstverlening gaan organisaties ermee akkoord dat het NCSC de aangeleverde informatie bewaart en gebruikt voor de uitvoering van de betreffende producten en diensten.
«
Bijlage 1 » Voorwaarden Per beschreven dienst wordt verwezen naar één of
Voor alle voorwaarden geldt dat ten tijde van een
meerdere voorwaarden uit deze bijlage, die op de
ICT-crisis / grootschalig incident het NCSC zijn producten
betreffende producten of diensten van toepassing zijn.
en diensten zal verrichten op basis van best effort.
1
Initiële intake heeft plaatsgevonden.
2
Organisaties hebben het contact- en aanmeldformulier uit de bijlage volledig en juist ingevuld en geretourneerd aan het NCSC. Zij blijven zelf verantwoordelijk voor het bijhouden van de juistheid en volledigheid hiervan.
3
Organisaties blijven te allen tijde zelf verantwoordelijk voor het gemelde incident.
4
Organisaties hebben een inspanningsverplichting om incidenten tijdig te melden om zodoende mogelijke aantasting van de nationale veiligheid of andere schade aan derden (financieel, technisch, privacy, imago) zoveel als mogelijk te voorkomen of te beperken.
5
Deze dienst is beschikbaar voor organisaties uit de Rijksoverheid.
6
Deze dienst is beschikbaar voor organisaties uit de vitale sectoren, indien het ICT-beveiligingsincident of de verstoring direct impact heeft op het primaire of vitale proces van de organisatie.
7
Deze dienst is beschikbaar voor organisaties uit de Rijksoverheid en voor organisaties uit de vitale sectoren.
8
Het NCSC levert deze dienst aan de doelgroep op basis van best effort.
9
Het NCSC biedt alleen dienstverlening aan die niet extern in de markt te verkrijgen is.
10 Het NCSC biedt alleen producten en diensten aan waarbij er een duidelijke toegevoegde waarde is vanuit de unieke kennispositie van het NCSC. 11 Organisaties die een overzicht van hun in gebruik zijnde IP-ranges, hard- en software overhandigen aan het NCSC, ontvangen alleen de voor hen relevante security-adviezen (maatwerk). Organisaties kunnen er ook voor kiezen alle security-adviezen te ontvangen.
12 Organisaties ontvangen security-adviezen over courante systemen waar security-informatie voor beschikbaar is. Security-adviezen over legacy systemen en systemen die niet meer door de fabrikant worden ondersteund, kunnen mogelijk door een sectorale CERT worden aangeboden (zie 5.3 Operationele ondersteuning aan sectorale CERT’s). 13 Deelnemende organisaties zorgen voor de beschikbaarheid van fysieke ruimte, IP-adressen en initiële resources wanneer het NCSC de sensor komt leveren en installeren. Specifieke beschrijving beschikbaar met gedetailleerde voorwaarden bij het NCSC na aanmelding. 14 Mede-overheden betrekken security-adviezen bij de schakelorganisaties, sectorale CERT’s of sectorale responsecapaciteit. 15 Adviestrajecten hebben een beperkte scope/doorlooptijd. 16 Partijen die geacteerd hebben tijdens incidenten en crisis leveren een actieve bijdrage aan de evaluatie. 17 Vanuit de vitale sectoren wordt één vertegenwoordiger per sector aangewezen. Deze persoon is vertegenwoordiger op persoonlijke titel. Er kunnen meerdere contactpersonen voor de sector worden aangewezen die elkaar dan onderling via piket kunnen afwisselen. Potentiële deelnemers kunnen hierover contact opnemen met het NCSC. 18 De IRB-deelnemers zijn verantwoordelijk voor het inbren gen van de benodigde inhoudelijke kennis, expertise of informatie vanuit de eigen sector in de IRB-vergaderingen. Daarbij is het afstemmen van het IRB-advies met de eigen achterban en het eventueel inbrengen van bezwaren / aanvullingen uit de sector van belang. 19 Organisaties kunnen alleen aanspraak maken op ondersteu ning bij cyberoefeningen indien er capaciteit/middelen beschikbaar zijn (o.a. afhankelijk van mogelijke incidenten). 20 Deze dienst is beschikbaar voor security operation centers / interne CERT’s binnen organisaties uit de Rijksoverheid en de vitale sectoren.
15
21 Primair is het o-IRT-o bedoeld voor personen waarvan het oplossen van ICT-gerelateerde veiligheidsincidenten binnen Nederland een van hun kerntaken is. Mensen die daaraan, in de ogen van de doelgroep, een positieve bijdrage kunnen leveren worden toegelaten. 22 Er mag binnen het o-IRT-o geen twijfel bestaan over de integriteit van deze personen. Werknemers van organisaties die een commercieel oogmerk hebben bij deelname aan het o-IRT-o worden niet toegelaten. 23 Een bedrijf kan deelnemen aan de ISAC van de vitale sector waarin het bedrijf actief is. 24 Elke ISAC heeft binnen de lidmaatschapsrichtlijnen de criteria ten aanzien van de aangesloten organisaties en de persoonlijke vertegenwoordigers bepaald. Omdat elke ISAC zijn eigen dynamiek heeft en ook zijn eigen specifieke criteria hanteert in de door hen opgestelde lidmaatschaps richtlijnen, zijn deze hier niet verder uitgewerkt. Het is uiteindelijk aan de deelnemers van een ISAC om te bepalen of een organisatie lid kan worden van de ISAC. 25 Uitgangspunt bij incidentafhandeling is dat sectorale CERT’s altijd zelf verantwoordelijk blijven voor de ondersteuning van hun achterban/domein bij ICT-incidenten. 26 Het NCSC kan, op voorwaarde dat het NCSC daartoe de capaciteit beschikbaar heeft, op verzoek van de sectorale CERT ondersteuning bieden aan de sectorale CERT bij het oplossen en afhandelen van specifieke ICT-beveiligingsincidenten. 27 De voorwaarden waaronder sectorale CERT’s samenwerken met het NCSC zijn grotendeels maatwerk en worden op basis van de wederzijdse ambities opgesteld. 28 Met de liaisonpartijen wordt na een opstartfase een convenant of samenwerkingsovereenkomst gesloten waarin de samenwerking wordt vastgelegd.
16
Bijlage 2 » NCSC contact- en aanmeldformulier Algemene informatie Organisatienaam Postcode Adres Algemeen telefoonnummer Domein: Rijksoverheid of Vitaal* *Tot welke vitale sector behoort de organisatie en welke vitale producten of diensten levert u?
Naam aanvrager
Functie aanvrager
E-mailadres aanvrager
Mobiel nummer aanvrager
Handtekening aanvrager Door ondertekening gaat u akkoord met de opslag en verwerking van uw gegevens door het NCSC t.b.v. de betreffende diensten
Contactinformatie 1e ICT-contactpersoon Naam Functie E-mailadres Telefoonnr. mobiel
Telefoonnr. vast
24/7 bereikbaar
Toevoegen aan NCSC-mailinglijst ICT-contactpersonen
ja / nee
ja / nee
Back-up ICT-contactpersoon Naam Functie E-mailadres 24/7 bereikbaar
Telefoonnr. mobiel / vast ja / nee
Toevoegen aan NCSC-mailinglijst ICT-contactpersonen
ja / nee
Contactpersoon escalatie Naam Functie E-mailadres 24/7 bereikbaar
Telefoonnr. mobiel / vast ja / nee
Persvoorlichting/Woordvoerder Naam Functie E-mailadres 24/7 bereikbaar
Telefoonnr. mobiel / vast ja / nee
17
Toelichting op contactinformatie
»» Het 1e ICT-contactpersoon is het primaire NCSC-aanspreekpunt voor technisch-operationele zaken;. »» Organisaties zijn zelf verantwoordelijk voor het informeren van het NCSC over veranderingen met betrekking tot de
technische en contactinformatie.
»» De ICT-contactpersoon is verantwoordelijk voor juiste en tijdige verspreiding van de NCSC-informatie binnen de eigen organisatie.
Informatie t.b.v. ontvangen ICT security-adviezen E-mailadres(sen)
Gericht ontvangen adviezen
ja / nee
Als ja: NCSC neemt contact op met 1e ICT-contactpersoon voor het invullen van de lijst met gebruikte hard- en software
Technische informatie t.b.v. monitoring Domeinnamen
URL’s
AS-nummers (autonomous system)
IP-adres(sen)
IP-adressen range(s)
18
19
Nationaal Cyber Security Centrum Turfmarkt 147 | 2511 DP Den Haag Postbus 117 | 2501 CC Den Haag T 070 751 55 55 | F 070 888 75 50 www.ncsc.nl |
[email protected] Augustus 2013 | 1e Herdruk september 2013