Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.
Het probleem is dat er juridisch zoiets is als een vitale organisatie. Deel van het takenpakket van het NCSC is dat men alleen deze instanties mag informeren. Daarmee is er dus geen bevoegdheid om ook andere bedrijven te informeren.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud

 

21 reacties

  1. Ik denk dat ik heel gemeen ben, maar… als je als NCSC begint met het informeren van bedrijven over een data-lek, neem je een bepaalde verantwoordelijkheid. Dat is onaangenaam, want daar kan je dus op worden aangesproken. Liever verstoppen achter “dat mogen we niet van de wet…” en de verantwoordelijkheid dus bij iemand anders leggen (of laten liggen).

  2. Ik heb wel eens gehoord dat je als burger/bedrijf alles mag tenzij het in de wet verboden is, maar dat de overheid niets mag tenzij dit in de wet is toegestaan. Dat vind ik nog steeds een slecht excuus om gehackte bedrijven niet te informeren, maar dit verklaart wellicht de smalle interpretatie van het NCSC van haar bevoegdheden.

    1. Daar hebben overheid en ZBO’s normaal geen enkel probleem mee … (Een Belastingdienst die hosting aanbiedt, een RDW die digitale zelf geproduceerde passen uitgeeft). Dit is gebaseerd op het Cohen advies markt en overheid uit 1998. Maar dat is natuurlijk en errug lang geleden en was maar een advies …

  3. Ik denk dat ze in ieder geval tegen Matthijs Koot hadden moeten vertellen dat ze er niks mee gingen doen, en dat hij dus ook een andere instantie/bedrijf/… zou moeten inlichten zodat er wel wat mee werd gedaan. Als ze dat niet hebben gedaan is dat nogal nalatig IMO.

    1. Naast de informatie van Matthijs, is er meer informatie die exclusief naar het NCSC gaat. Denk bijvoorbeeld aan de ‘Nederland feed’ van ShadowServer of informatie over Nederlandse spammende IP adressen van Microsoft. Deze organisaties sturen deze info naar het Nederlandse nationale cert (het NCSC dus).

      Andere organisaties kunnen deze informatie verder niet krijgen.

    1. Ik weet niet zeker of Pulse haar klanten geïnformeerd heeft. In de praktijk blijkt informeren via de leverancier niet altijd Te werken, omdat: – de informatie van de leverancier bij een inkoper beland en niet bij de techneuten – een leverancier niet altijd weet wie zijn eindklanten zijn (PluseVPN is bv tot 3 gebruikers gratis te gebruiken) – de kopende klant niet altijd de eindklant is (bv bij outsourcing) – leveranciers zo veel commerciële email sturen dat dit aoort berichten onder sneeuwen.

  4. Probleem is dat het buiten de formele taakstelling van het NCSC valt, en dat dit gewoon werk kost. Om dit te doen moet je gaan uitzoeken welk bedrijf er achter de hardware zit, en hoe je die moet benaderen. Bovendien schept dit een precendent/verwachting, en dus een “requirements creep” van dit overheidsorgaan. Ik gok dat ze simpelweg niet de formatieplaatsen hebben en gaan krijgen.

    1. Er zijn naast ons initiatief (Het Nederlands Security Meldpunt) nog meer organisaties die het ‘zware werk’ voor NCSC willen doen als ze de informatie mogen/kunnen krijgen.

      Als het echt alleen het werk is, da. Is dit op te lossen. Het leeuwendeel van de organisaties wil, in tegenstelling tot het beeld dat soms door de minister geschetst wordt, juist wèl patchen.

      Waarom er niet gepatcht wordt is een complex vraagstuk. In de meeste gevallen is onwil de laatste reden. Systemen die uit zicht zijn geraakt, buiten het reguliere proces zijn opgezet (shadow it), te kort capaciteit, angst voor verstoringen of onbeschikbaar, incompetentie of domweg vergeten of een misser het kan allemaal meetellen.

      Helaas ia de aanvaller in het voordeel. Hij hoeft slechts één kwetsbaar systeem te vinden, terwijl de verdediger alle kwetsbare systemen moet patchen.

      Dit probleem lossen we alleen op als iedereen ook onderdeel is van de oplossing.

  5. Arnoud,

    In gesprekken die ik met mensen van het NCSC had, wordt hun interpretatie van de AVG als reden genoemd waarom het niet mag/kan. De redenatie is (iets versimpeld) een IP adres is een persoonsgegeven of kan dit zijn. De doelgroepvan het NCSC informeren (rijk, vitaal en nog een beetje) pas in de wettelijke grondslag voor het verwerken/delen van deze persoonsgegevens, al het andere niet. Dus delen met andere organisaties zou in strijd zijn met de AVG en mag dus niet.

    1. Ik was hier al bang voor. Daaronder ligt namelijk dat het gerechtvaardigd belang niet mag worden ingeroepen bij uitvoering van een wettelijke taak (artikel 6 lid 1 sub f laatste zin AVG). Ik zou zeggen: het is juist niet de wettelijke taak van het NCSC om deze losse bedrijven te informeren, dus mag men juist wél zich beroepen op gerechtvaardigd belang.

      Ik blijf met de zorg zitten van de capaciteitsproblemen die je dan creëert voor jezelf, want dan open je de deur om alles te melden aan iedereen en dat moet je als overheidsorgaan toch zorgvuldig doen, óók als het geen wettelijke taak is. Dus ik begin wel te snappen waarom het NCSC het niet wil, maar ik had liever gehad dat men zei “daar hebben we de menskracht niet voor, dus dat doen we niet tot de politiek ons meer geld geeft”.

      1. Als het idd een capaciteitsprobleem is, dan is dat goed nieuws. Ik weet dat wijzelf van het Nederlands Security Meldpunt maar ook andere organisaties zoals NBIP deze capaciteitsproblemen graag oplossen. Maar, het NCSC zegt zelf dat zij, volgens de interpretatie van de AVG van haar eigen juristen en die van het NCTV dit soort informatie niet met ons mag uitwisselen als wij geen expliciet contract/toestemming hebben van de eigenaar van het IP adres. Dat wij dit soort informatie onder de grondslag van “gerechtvaardigd belang” verspreiden is volgens het NCSC niet voldoende.

        De situatie is zelfs zo absurd dat het NCSC op dit moment geen informatie uitwisselt met het DTC, wat is opgericht als NCSC voor de rest, omdat het NCSC op dit moment nog niet is aangewezen is als OKTT.

        Overigens betwist het NCSC ook je bewering dat ze, als iets buiten haar wettelijke taak valt gebruik mag maken van het “gerechtvaardigd belang”.

  6. Los van alle rechtsgronden en inzet capaciteiten, voelt het gewoon ongelofelijk slecht dat een organisatie binnen onze overheid die aantoonbare en gerichte aanvals informatie heeft, deze niet deelt. Diezelfde overheid die de veiligheid van zijn inwoners en organisaties zou moeten borgen. Dit voelt bijna als verwijtbaar nalaten van handelen, of zelfs laakbaar. Dat we ondertussen ons meer zorgen maken over rechtsgrond en andere excuses, vind ik op z’n zachtst gezegd verontrustend. Zeker als diezelfde overheid regels (wetgeving) wil gaan opstellen mbt (Security) patches en updates! Dan wordt het verschil in de gemeten maten wel erg schrijnend.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.