De formule blijft: Vóór allen, dóór allen

november 2012 • nummer 2

Rob Kuppens, Kwaliteitscoördinator, het CAK “Delen is leerzaam en voordelig.”

Turabi Yildirim, Senior Adviseur Informatiebeveiliging, Rijkswaterstaat “Samenwerking en kruisbestuiving tussen de verschillende disciplines: pragmatisch en verbindend.”

Marlies van Eck: Jurist Belastingdienst/Toeslagen, Belastingdienst “Privacybescherming is als sporten: je weet dat het goed is om ‘iets’ te doen, verzint soms allerlei uitvluchten om er niet vandaag maar morgen mee te beginnen en als je eenmaal bezig bent snap je niet waarom je nou zo moeilijk deed. Ik zie de samenwerking van het CIP dan ook het liefst als samen sporten, het is niet alleen gezelliger maar het verlaagt ook de drempel om van de bank af te komen.“

Sjoerd Weiland, Communicatieadviseur, RDW “Deelnemen aan de Domeingroep Awareness is voor mij als communicatieadviseur bijzonder interessant en nuttig. Je wisselt ervaringen uit met andere organisaties en kunt op die manier veel van elkaar leren.”

CIP-post Voor u ligt de najaarsuitgave van CIP-Post. In deze aflevering kijken we terug op het startjaar 2012 en gaan we in op de plannen voor het jaar 2013. Verder in deze nieuwsbrief vindt u bijdragen over de thema’s die ook aan de orde kwamen op de najaarsconferentie.

in dit nummer: • Jaarplan: doelen en activiteiten in 2013 • Man-in-the-Middle attacks vragen om PKI... maar dan anders • De ambitie voor een gekwalificeerde beroepsgroep • Lid worden van cip.pleio • Tot in het hart gehacked

meer weten over cip? Als u meer wilt weten over de doelstellingen en activiteiten van CIP bezoek dan de website www.cip-overheid.nl.

De formule blijft: ‘Vóór allen, dóór allen’

Voor meer informatie over uw deelname als Participant of Kennispartner neemt u contact op met Ad Reuijl.

Colofon Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar [email protected]. Concept en realisatie: Adrenaline Communicatie BV

Jaarplan: doelen en activiteiten in 2013 Voor 2013 is het de uitdaging de voordelen van de samenwerking verder zichtbaar te maken en concrete hulp en resultaten te bieden aan de Participanten. We hanteren daarvoor de volgende resultaatgebieden.

voorwoord

door Ad Reuijl

Het jaar 2012 is het geboortejaar van CIP. De ontwikkelingen, gestart in januari vanuit de opdracht van de Stuurgroep Compacte Rijksdienst, konden op 6 juni worden bekroond met de startconferentie. 125 bestuurders, managers en professionals van een groot aantal overheidsorganisaties bezochten deze conferentie en toonden enthousiasme om bij te dragen aan de samenwerking.

We kunnen constateren dat de samenwerking op gang is gekomen en dat CIP in korte tijd bij veel organisaties, zowel in de overheid als in de markt, bekend is geraakt en een positieve klank heeft gekregen. Bij het ter perse gaan van deze CIP-Post zijn er 16 overheidsorganisaties vertegenwoordigd in domeingroepen. Een 30-tal Kennispartners zijn met een convenant verbonden aan CIP.

In maanden die volgden werden er verschillende samenwerkingsvormen gestart. Tijdens de zomermaanden kwam een kernbezetting van de domeingroepen tot stand en werd een eerste werkbare inrichting van de CIP-deelsite binnen PLEIO opgeleverd (een virtueel samenwerkingsplatform in overheidsland, www.cip.pleio.nl). M.b.v. deze omgeving ondersteunt CIP de samenwerking binnen haar netwerk.

Bij de deelnemende partijen bestaat enerzijds bereidheid om er wat van te maken en een bijdrage te leveren, anderzijds de wens/eis om van elkaars kennis te profiteren. Dit zijn succesfactoren voor een goede werking van de netwerkorganisatie die CIP is.

In september zijn de domeingroepen van start gegaan. Zij hebben enkele relevante thema’s bij de kop gepakt. Waar dat al mogelijk was, vindt u daarover in deze nieuwsbrief wat meer informatie.

• De ontwikkelingen binnen de domeingroepen: dit zijn samenwerkingsverbanden op vier themagebieden (Ketens, Normen, Awareness en Privacy). Onder leiding van respectievelijk SVB, UWV, Belastingdienst en DUO, worden op dit moment concrete deliverables gedefinieerd voor het jaar 2013. • Het bieden van ondersteuning op het gebied van Emergency Response voor de Participanten en geïnteresseerde overheidsbedrijven. Dit doen we in samenwerking met en in aanvulling op het NCSC. De CIP-faciliteit zal enerzijds bestaan uit het leveren van analyses en oplossingsrichtingen die kennispartners aanleveren, anderzijds uit het organiseren van onderling contact tussen participanten en kennispartners, op het moment van grotere beveiligingsincidenten en bedreigingen. Het is de bedoeling deze faciliteit in het eerste kwartaal draaiend te krijgen. Elders in deze nieuwsbrief wordt het idee over de werking nader toegelicht.

2

1. Bij voorkeur hergebruiken van materiaal binnen het CIP-netwerk; 2. Als dat niet (in voldoende mate) beschikbaar is, dan kiezen voor co-makership binnen het CIP-netwerk; 3. Als dit niet haalbaar is, vanwege tijdsdruk of andere gewichtige redenen, dan zelf ontwikkelen en als practice beschikbaar stellen aan CIP voor hergebruik. Het bereikt hebben van deze status, kan enerzijds gezien worden als een positieve indicatie van het vertrouwen dat Participanten hebben in CIP. Anderzijds geeft het aan dat de motor van de samenwerking op gang is en autonoom draait. Het organisme houdt zichzelf dan in stand, ten bate van de Participanten waaruit het bestaat. Deze doelstelling is zeer ambitieus en minder meetbaar dan de eerste twee resultaatgebieden, maar is voor CIP wel het leidende principe voor 2013/2014.

We moeten daarbij niet vergeten dat het succes van CIP direct samenhangt met de bijdrage die we er samen in leveren. De formule blijft: ‘Vóór allen, dóór allen’. Dat zet in de drukte van alledag best de nodige spanning op de bijdrage die daadwerkelijk ook geleverd kan worden.

Jaarplan: bijeenkomsten en werkverbanden in 2013. We gaan door met het beleggen van de halfjaarlijkse CIP-conferenties. In 2013 zijn deze voorlopig gepland op 6 juni en op 28 november.

Ik wens u veel leesplezier toe met deze nieuwsbrief en reken ook in 2013 op uw bijdrage in de samenwerking.

Op 8 november vond een rondetafelconferentie plaats over het thema ‘Herstelvermogen’. Het was een co-productie met Ordina, SIG en KPN. Op cip.pleio wordt verslag gedaan van deze bijeenkomst.

Op langere termijn wil CIP bereiken dat nieuwe kennis en ervaringen snel worden gedeeld en leiden tot een hoger niveau van kennis en kunde van de informatiebeveiligingsspecialisten bij de Participanten. Door gedeelde kennis toegankelijk te maken, wordt die herbruikbaar. De droom daarbij is dat we komen tot een situatie dat de Participanten bij hun activiteiten op Informatiebeveiliging- en privacygebied de volgende beslisboom hanteren:

3

De conferenties zijn gericht op het belichten van relevante ontwikkelingen, bedreigingen, oplossingen, etc. op het gebied van informatiebeveiliging en privacybescherming. De conferenties vormen daarbij tevens de gelegenheid voor: o Het breed delen van de resultaten van de domeingroepen; o Het breed onder de aandacht brengen van nuttige practices; o Onderling netwerkcontact; o Het versterken van het bewustzijn van gezamenlijkheid; Door het jaar heen zullen enkele rondetafelgesprekken worden georganiseerd. Dit zijn miniconferenties, gericht op ca. 20 à 25 deelnemers van een specifieke doelgroep en met een interactief karakter. Rondetafels worden belegd om relatief onbekende/ nieuwe onderwerpen vanuit verschillende invalshoeken te belichten. Rondetafels zijn co-producties van CIP met één of enkele Kennispartners. De domeingroepen (voor Ketens, Normen, Awareness en Privacy) vergaderen gemiddeld eens per maand. Op hun terrein behandelen zij onderwerpen met als doel de ontwikkelingen te monitoren, good practices te delen en tijdig acties te initiëren die gericht zijn op oplossingen, vorming van best pratices, voorstellen tot gemeenschappelijk beleid, etc. De domeingroepen bestaan uit vaste deelnemers vanuit verschillende Participanten en vormen als zodanig het fundament onder de samenwerking van CIP.

Jaarplan: hoe wil CIP hulp bieden bij Emergency Response in 2013 Met enerzijds het groeiende belang van internet en mobiele apparaten voor overheidsdienstverlening en anderzijds het toenemende aantal cyberaanvallen, is scherpe aandacht voor weerbaarheid en herstelvermogen van groot belang. CIP wil op dit vlak hulp gaan bieden. Dit is mogelijk met de hulp van het inmiddels aanzienlijke netwerk van Kennispartners. De kern van deze faciliteit komt op het volgende neer. Weerbaarheid en herstelvermogen: het zodanig voorzien in zinvolle en actuele informatie over bedreigingen, kwetsbaarheden en oplossingen alsmede het faciliteren van de communicatie daarover, dat Participanten snel geholpen worden in het bepalen van hun response op actuele bedreigingen. Leervermogen: opbouwen van een collectief geheugen met de in de loop der tijd ontstane informatie t.a.v. analyses en oplossingen over kwetsbaarheden en dreigingen. Hierdoor bereiken we geleidelijk een grotere weerbaarheid en herstelvermogen. We beogen deze faciliteit in de loop van januari te starten. Dat zal klein beginnen en in de loop van de tijd versterken. Voor het organiseren van de informatievoorziening stellen wij ons het volgende voor.

1. Selectie van belangwekkende nieuwsfeiten uit de constante stroom van nieuwtjes in het domein van IB&P is van groot belang om te voorkomen dat met hagel wordt geschoten op alles dat langskomt. Voor de bepaling van wat echt belangrijk is, leunt CIP op NCSC en op afspraken met Kennispartners. NCSC en Kennispartners vervullen een triggerfunctie: feiten binnen de nieuwsstroom, waaruit zij de conclusie trekken dat daarop ingesprongen moet worden, melden zij direct aan CIP. 2. CIP stelt n.a.v. deze meldingen vast dat het thema om response vraagt. 3. CIP zet vervolgens onmiddellijk een vraag uit in het netwerk van Kennispartners, waarbij de individuele Kennispartners worden uitgenodigd hun analyse van het probleem te delen alsmede de gedragslijn of oplossingsrichting die zij adviseren. De contactpersonen plaatsen zonder tussenkomst de gevraagde informatie vrijelijk en onder eigen titel op cip.pleio. De informatie kan dus voorlopig zijn van karakter en kan mochten de inzichten in de loop van de dagen erop veranderen of verfijnen - bijgesteld worden. 4. Overheidsbedrijven (maar ook Kennispartners die aan deze faciliteit bijdragen) hebben de beschikking over deze informatie en kunnen hun beslissingen omtrent hun eigen response verrijken met deze informatie.

5. Ook onder de overheidsbedrijven worden contactpersonen benoemd die in het geval van dreigingen benaderd kunnen worden, toegang hebben op cip.pleio en daar hun inschattingen en maatregelen actief delen. Hiermee wordt de beschikbare informatie verder uitgebreid. 6. CIP-Centraal kan (in tweede instantie na afweging van de verschillende inputs) een ‘CIP Advies’ maken, maar het laat onverlet dat er door de beschreven werkwijze - dus al heel snel bruikbare info is. Ook een snel onderling gesprek kan helpen om grond onder de voeten te krijgen als de onzekerheid groot is. Daarvoor zullen in ieder geval de communicatiemogelijkheden worden ingezet van cip.pleio. Daarnaast wordt teleconferencing overwogen om als middel in te zetten. Met de in de loop der tijd verkregen informatie n.a.v. dreigingsituaties bouwt CIP een registratie op. Zo ontstaat geleidelijk een meer structureel inzicht in soorten dreigingen, kwetsbaarheden, mogelijke gedragslijnen en oplossingsrichtingen. Deze leer-effecten zullen langzaam maar zeker gaan bijdragen aan de snelheid en doeltreffendheid waarmee overheidsorganisaties zich teweer stellen tegenover dreigingen.

Zo af en toe (we hopen natuurlijk niet al te vaak) kunt u een CIP-Flits in uw mailbox krijgen. We doen dit als we in staat zijn om snelle informatie te verschaffen over dreigingen die zich voor doen. De eerste keer zullen we die naar u allen sturen. Mocht u er geen prijs op stellen, dan kunt u dat per retourmail aangeven.

4

S T I FL

5

Thema’s van de domeingroep ketens in 2013 • De continuïteit van de primaire bedrijfsprocessen van ketens. • Veilige koppelvlakken tussen de organisaties. • De vraag naar het noodzakelijke volwassenheidsniveau om te kunnen participeren in een keten. Verkenning middels een rondetafelsessie. • Security by design: een werkgroep gaat de benadering uitwerken. • Governance van ketens. Een delicaat onderwerp, omdat ketenregie ook betekent: bevoegdheden afstaan. De domeingroep brengt de problematiek in kaart door het bijeenbrengen van een rondetafel over het onderwerp.

Thema’s van de domeingroep Awareness in 2013 • Concrete bijdrage leveren aan het vergroten van security awareness, gericht op nieuwe ontwikkelingen zoals mobile devices, Het Nieuwe Werken en cloud computing. • Het ontwikkelen van een security awareness APP, welke inspeelt op de behoefte van verschillende doelgroepen. Dit kan beginnen bij een elektronische folder en verder uitgebouwd worden (bijvoorbeeld met Business Intelligence). • Borgingsmechanisme ontwikkelen, waarmee bewaakt wordt dat awareness programma’s niet incident gestuurd zijn maar regulier ingeregeld. • Onderling structureel aanbieden van beschikbare good practices m.b.t. awareness programma’s. Thema’s van de domeingroep normen in 2013 Ontwikkeling van een ‘normenkapstok’ waarin de ongelijksoortige syntax, semantiek en overlap van huidige normenkaders stap voor stap worden opgelost. Het gaat niet om weer een nieuw normenkader, maar om herschikking van bestaand materiaal en best practices, in een structuur en syntax die herbruikbaar zijn en praktische uitwerkingen formuleert naar concrete deelgebieden.

Thema’s van de domeingroep Privacy in 2013 Bevorderen dat informatieketens uniforme niveaus van privacybescherming gaan bieden, zodat gegevensuitwisseling beter wordt gefaciliteerd en privacybescherming beter en breder wordt verankerd. Introductie van een situationeel afgewogen (flexibele) toepassing van privacybescherming. Behoefte aan of recht op privacy kunnen verschillen in situaties, bij personen of in organisaties. De domeingroep wil tot praktische aanwijzingen komen voor de toepassing. Aspecten die hierbij meegenomen worden, zijn doelbinding van gegevensgebruik in samenwerkingsketens en de privacyrisico’s die samenhangen met eenmalige uitvraag/hergebruik.

Er zal niet alleen tijd nodig zijn om dit proces in zijn geheel te doorlopen, maar ook om tegelijkertijd een breed draagvlak te genereren voor deze aanpak en de uitkomst. Daarom willen we duidelijke en nuttige tussenstappen maken. Stap voor stap worden bruikbare onderdelen opgeleverd. De eerste stap in het concreet en productief maken van het model betreft het consistent maken van de ‘kapstok’ van het NCSCnormenkader en het daarmee laten aansluiten op de NORA en ISO 27001/2. De werkgroep doet dat in samenwerking met de trekker van NORA, het NCSC en overige deelnemers van CIP. Het doel is in mei 2013 een eerste concept te presenteren dat kan dienen als universeel model voor toegespitste normenkaders voor andere deelterreinen.

6

Als een van de eerste concrete activiteiten in 2013 zal de domeingroep een inventarisatie doen van de verschillen in de wet- en regelgeving op het punt van privacybescherming. Ook de invloed van Brusselse ontwikkelingen op de Nederlandse situatie en de ontwikkelingen van geautomatiseerde klantprofilering hebben de aandacht van de domeingroep.

7

Man-in-the-Middle attacks vragen om PKI… maar dan anders Door Maarten Stultjens – Elephant Security De uitgifte van een paspoort verloopt plechtig. U gaat naar het loket van uw gemeente binnen de openingstijden, overlegt vingerafdruk, een pasfoto, uw oude reisdocumenten en betaalt EUR 50-100. Na een week is uw nieuwe paspoort klaar, ontvangt u het persoonlijk opnieuw bij het loket gedurende de openingstijden en kunt u het 5 jaar gebruiken... Ongeacht wat er in de tussenliggende tijd met u gebeurt. Even-

Ongeveer op dezelfde manier is de uitgifte van PKI-certificaten geïmplementeerd. Het doel van een PKI-certificaat is de authenticiteit van de persoon te garanderen op een zodanige manier dat anderen (landen of organisaties) hierop kunnen vertrouwen.

Als we (1) vast stellen dat we kunnen vertrouwen op het authenticatieproces dat een organisatie heeft ingericht en (2) het distributieproces van certificaten kunnen automatiseren, dan ontstaan er legio nieuwe mogelijkheden voor versleuteling en ondertekening.

Een PKI-certificaat dient echter niet alleen voor de authenticatie, maar ook voor het versleuteld communiceren en het tekenen van documenten. Omdat de certificaat-technologie alom wordt gezien als een technisch ideale, open en gestandaardiseerde technologie, is geprobeerd om deze toe te passen binnen en tussen organisaties. De administratieve en juridische rompslomp, de kosten en de gebruikersonvriendelijkheid hebben ertoe geleid dat de business case voor een brede uitrol van PKI-ontbreekt en er uiteindelijk zonder certificaten wordt gewerkt.

Certificaten kunnen met flexibele gebruikersattributen worden ingericht, waarvan services weer gebruik kunnen maken. Certificaten kunnen een korte geldigheid hebben waardoor er geen beheer nodig is en de attributen op dagbasis kunnen wijzigen. Verlies en heruitgifte zijn geen probleem meer.

tueel kunt u een tweede paspoort krijgen als Juist in een tijd waarin we buiten het eigen organisatiedomein moeten communiceren (het nieuwe werken, cloud adoptie en machine-naarmachine communicatie) is er behoefte aan een oplossing voor het versleutelen en ondertekenen van informatie. Hoe zouden we zonder de hierboven beschreven rompslomp deze onomstreden technologie in kunnen zetten om communicatie via het publieke netwerk te beveiligen?

u gaat reizen naar landen die een onderling conflict hebben. Bij verlies of diefstal van uw paspoort gaat u eerst naar de politie waarna een lastig blokkerings- en heraanvraagproces kan worden gestart, waarbij een verblijf in het buitenland het allemaal niet makkelijker maakt.

8

9

De drager van een certificaat hoeft geen smart card meer te zijn maar kan uw computer of device zijn. In een hacking-demo laat Sten Kalenda - destijds verantwoordelijk voor de technische realisatie van PKI-Overheid - zien hoe eenvoudig een man-in-themiddle attack is als u zonder client-certificaat (dus uitsluitend server-side SLL/TLS) communiceert. Sten toont tevens aan hoe met standaard Nederlandse gepatenteerde en toegepaste PKItechnologie data-in-motion kan worden beveiligd en welke mogelijkheden dat biedt voor cloud-diensten, VPN- en WiFi-verbindingen en machine-naarmachine communicatie.

De ambitie voor een gekwalificeerde beroepsgroep Fred van Noord: Fred van Noord is management consultant bij VKA en heeft ruim 20 jaar ervaring met vraagstukken op het gebied van informatiebeveiliging en service management. Fred heeft jarenlange bestuurlijke en organisatorische ervaring in beroepsorganisaties. Fred stimuleert als voorzitter van de beroepsvereniging PvIB (Platform voor Informatiebeveiliging, www.pvib.nl) de professionalisering van de beroepsgroep. Het interview van PvIB-bestuursleden met Neelie Kroes, EU-commissaris voor ICT en Telecommunicatie over Trust & Security in de Digitale Agenda voor Europa van 2010, beschouwt hij als een belangrijke impuls voor de professionalisering van het vakgebied. Professionalisering van de beroepsgroep informatiebeveiligers is een belangrijk doel van het Platform voor Informatiebeveiliging (PvIB). Onder het motto “professionals voor professionals” groeit de beroepsvereniging al jarenlang en slagen we er in om soms meer dan 200 deelnemers op een themabijeenkomst te verwelkomen. PvIB biedt op verschillende manieren een podium aan professionals om hun praktijkervaring te delen en te verdiepen en wil op die manier bijdragen aan de steeds groter wordende maatschappelijke relevantie van het vakgebied. Uit onderzoek is gebleken dat kwalificatie wenselijk is en als urgent wordt gezien en dat er draagvlak voor is. Neelie Kroes, EU-commissaris voor ICT en Telecommunicatie benadrukte in 2010 in haar interview met PvIB-bestuurders, om kwalificatie te beschouwen vanuit het perspectief van “Europa”. De vraag naar kwalificatie is actueel vanwege het niet-aflatende aantal incidenten met economische, maatschappelijke, sociale en politieke impact. Diginotar, Stuxnet, “Veere”, Lektober en “Amerikaanse toegang tot de Nederlandse cloud” maakten dat kwalificatie ook op de politieke agenda staat. 10

Dat parlementariërs kwalificatie expliciet op de politieke agenda plaatsen is verheugend. De overheid heeft in haar eigen Nationale Cyber Security Strategie overigens ook al een paragraaf opgenomen over de kwalificatie van de beroepsgroep. Het CEN (European Committee for Standardization) ontwikkelde het European e-Competence Framework (e-CF) waar 23 beroepsprofielen binnen de ICT zijn gedefinieerd. Het doel van het e-CF is om een algemeen gedeeld Europees hulpmiddel te hebben om organisaties en opleidingsinstellingen te ondersteunen bij werven, belonen, leerprogramma’s, carrièrepaden en ontwikkeling van professionals. Het ministerie van EL&I ondersteunt de implementatie van het e-CF in Nederland en heeft de uitvoering daarvan belegd bij ECP (Electronic Commerce Plaform Nederland). Voor het ontwikkelen van een kwalificatiesysteem voor informatiebeveiligers is een projectvoorstel geschreven. In april 2012 is op het Algemeen Overleg van minister Opstelten (Veiligheid & Justitie) met Tweede Kamerleden naar aanleiding van recente security incidenten geconstateerd dat er gebrek is aan kennis en gebrek aan capaciteit op ons vakgebied. Een van de parlementariërs stelde de vraag “… hoe de minister staat tegenover de realisatie van een kwalificatieieschema dat de kwaliteitsborging van de beroepsgroep informatiebeveiligers eenduidig maakt en bewaakt.” Het antwoord van Opstelten was duidelijk: “Het is van belang dat we in Nederland kwalitatief hoogwaardige informatiebeveiligers bezitten. Initiatieven van de beroepsgroep juich ik toe, en we zullen ervoor zorgen dat we in gesprek komen en blijven.” 11

Als het tot uitvoering komt van dit projectvoorstel dan zullen over enkele jaren jonge talenten, na hun middelbare schoolopleiding, kunnen kiezen voor opleidingen information risk management en ITSecurity op mbo-, hbo- en wo-niveau. Ook weten de huidige informatiebeveiligers dan beter wat ze kunnen doen om hun professionele ontwikkeling verder uit te bouwen. Zij komen dan, met recente kennis uit onderzoeksinstellingen, beschikbaar voor de arbeidsmarkt en leveren een bijdrage aan een veilige digitale wereld.

Lid worden van cip.pleio Cip.pleio is een deelsite binnen www.pleio.nl. Pleio is een samenwerkingsplatform voor (semi)-overheidsmensen. Om toegang te krijgen tot cip.pleio is eerst een Pleio-account nodig. Alle medewerkers van overheidsorganisaties kunnen zo’n account aanvragen.

Stap 2: log in bij Pleio • Ga naar www.pleio.nl en vul uw gebruikersnaam en wachtwoord in. • Typ cip in het zoekboxje bovenin het scherm. De deelsite (herkenbaar aan ons logo) staat in de lijst die verschijnt.

Stap 1: vraag account aan voor pleio • Ga naar www.pleio.nl. Rechts op de openingspagina kunt u zich registreren. • Schrijf in met uw zakelijke e-mailadres (alleen e-mailadressen van overheidsbedrijven worden toegelaten). • NB: het vinkje om op de hoogte gehouden te worden kunt u ook later nog zetten. • U ontvangt een e-mail met daarin een activeringscode. Nadat u deze heeft aangeklikt, bent u lid van Pleio.

Stap 3: aanmelden voor deelsite cip.pleio • Klik op de knop “Lidmaatschap aanvragen”. Uw aanvraag wordt nu automatisch doorgestuurd naar de beheerder van de deelsite, die de aanvraag accepteert (kan mogelijk 1 of 2 dagen duren). Van deze actie ontvangt u een e-mail.

• •

Hier kunt u inloggen met het e-mailadres en wachtwoord dat u voor Pleio heeft opgegeven. Tip: de meeste browsers accepteren “cip.pleio. nl” als voldoende adressering. Uitloggen doet u in het pulldown menu bij uw naam, rechtsboven in het scherm.

Lid worden van een Domeingroep op cip.pleio Voor iedere domeingroep is een aparte pagina ingericht, die onder het beheer staat van de beheerder van de domeingroep. Wilt u meedoen, meelezen en meebepalen met wat in een domeingroep omgaat, dan kunt u als volgt lid worden. • Na ingelogd te zijn op cip.pleio: klik op een domeingroep en vraag het lidmaatschap aan.

Uw aanvraag wordt nu automatisch doorgestuurd naar de beheerder van de deelsite, die de aanvraag accepteert (kan mogelijk 1 of 2 dagen duren). • Wanneer het lidmaatschap gehonoreerd is (u ontvangt weer een e-mail ter bevestiging), kunt u de pagina van de groep zonder meer benaderen.

Inloggen en uitloggen op de deelsite van CIP • Na toekenning van de lidmaatschapsaanvraag voor de deelsite cip.pleio, kunt u inloggen op deze site. De URL van de site is www.cip.pleio.nl

Wat is www.cip.pleio.nl en voor wie is het bestemd? Cip.pleio is een besloten site, die opgezet is voor de ondersteuning van de samenwerking binnen het Centrum Informatiebeveiliging en Privacybescherming. Medewerkers van overheidsbedrijven die geïnteresseerd zijn in het delen en ophalen van kennis en meewerken aan de opbouw van kennis binnen de CIPsamenwerking, kunnen zich aanmelden als deelnemer op de site. Aangezien de site een besloten karakter heeft, volgt er na aanmelding een procedure per mail voor toelating. Medewerkers van Kennispartners krijgen toegang als zij een rol hebben in de Emergency Response faciliteit of deelnemen in werkgroepen.

12

13

Brenno de Winter:

Tot in het hart gehacked Tientallen gemeenten, ministeries, bestuursorganen en bedrijven zijn deze zomer zo gehacked dat de criminelen toegang hadden tot alle bedrijfsdocumenten. Alle firewalls, detectiesystemen en overige veiligheidsmaatregelen ten spijt, bleek het eenvoudig om binnen te komen en dan is er volledige toegang.

Totaal gehackt Wie een versleuteld document aanklikt, ontcijfert het virus en raakt ook besmet. Op die manier verspreidt het virus zich razendsnel door de organisatie en via het uitwisselen ook tussen organisaties.

Moeilijk, maar toch detecteerbaar Of het nu een gemeente, de Belastindienst, DUO, ziekenhuizen, huisartsenposten, vervoersbedrijven, een handelsonderneming of het UWV betreft: als ze geïnfecteerd zijn, ligt de wereld open. En het nare is dat virusscanners het virus niet herkenden. Dat had twee redenen. Om te beginnen bleken de infecties hun zwaartepunt in Nederland te hebben en daarmee - op wereldschaal bekeken - nogal regionaal te opereren. Dat is weinig interessant voor antivirusleveranciers, die vaak mondiaal kijken. Het toevoegen van een checksum (een controlegetal op een bestand) is niet effectief, omdat het virus zich ook muteerde en er dus updates van het virus ontstonden.

Infecteer een gemeente en geleidelijk zal de hele regio worden geïnfecteerd. En zoals ET al vroeg om ‘phone home’ doet Dorifel het ook. Het neemt contact op met het moederschip dat gecodeerd in het virus stond geprogrammeerd. Op die manier kan er een nieuwe versie worden gegeven en vallen dus de computers in de organisatie te misbruiken.

‘Dorifel’ is door de media aangeduid als een virus. Na het infecteren van een computer ging het aan de slag door Word en Excel te zoeken op vooral het netwerk. Het vermoeden bestaat dat dit virus zich op bedrijfsmatige systemen richt, omdat het vooral kijkt op netwerkschijven. De versleuteling is erg eenvoudig en lijkt vooral als doel te hebben om het virus dat in de documenten wordt verstopt te verbergen. Een slimme truc. Als een virusscanner ooit Dorifel kan herkennen dan is het document dus verborgen en volstaat de handtekening van het virus niet voor detectie.

Wat Dorifel zo pijnlijk maakt, is dat het virus defacto toegang heeft tot de interne organisatie en dus ook bij documenten kan komen, die normaliter verborgen horen te blijven. Waar het overheden betreft, zijn het precies de documenten die ik met Wob-verzoeken vaak niet geopenbaard krijg. U kunt procederen wat u wilt, maar de criminelen hebben meer transparantie dan een burger ooit zal krijgen. Defacto heeft dus de organisatie gehacked en criminelen kunnen zich begeven binnen de systemen. De denksprong is niet ingewikkeld om te beseffen dat men die computers ook op afstand kunt bedienen en bijvoorbeeld hackertools kunt installeren. Het netwerk is van binnenuit te hacken. Vergeet de firewall maar, want de toegang is compleet. 14

15

Wie vermoedde dat zijn computer was geïnfecteerd, ontdekte maar weinig. Als u op CTRL+ALT+DEL drukt om de processen te bekijken, sloot het virus zichzelf af. Na een herstart werd het weer actief. Dat is slim. Uiteindelijk werd het toch ontdekt en wel om een hele simpele reden: er waren soms teveel processen op het netwerk actief, die bestanden wilden versleutelen. De netwerken werden traag. Misschien is het zorgwekkende dat, als de code nog iets beter zou zijn uitontwikkeld, u het maar moeilijk had kunnen ontdekken. Dat stemt tot nadenken.