1700 bedrijven gewaarschuwd voor ernstige cyberdreiging

Het Digital Trust Center (DTC), onderdeel van het ministerie van EZK, heeft sinds juni 2021 ruim 1700 bedrijven proactief gewaarschuwd voor een ernstige bedrijfsspecifieke digitale dreiging of kwetsbaarheid. In 2021 zijn 361 bedrijven en in 2022 zijn (tot peildatum 15 juni) 1378 bedrijven telefonisch of per mail ‘genotificeerd’.

Het DTC ontvangt informatie vanuit samenwerkingen met schakelorganisaties en cyberonderzoekers en onderzoekt zelf niet. Als de ontvangen gegevens na een aantal checks worden ingeschat als een ernstige cyberdreiging voor een (niet-vitaal) Nederlands bedrijf, gaat het DTC over tot het notificeren van dit specifieke bedrijf. Er zijn 46 verschillende cyberincidenten geweest die aanleiding vormden om bedrijven te notificeren. Deze cyberincidenten bestaan veelal uit kwetsbaarheden (bijvoorbeeld een beveiligingslek, configuratiefout of gestolen inloggegevens) die geconstateerd zijn bij met het internet verbonden apparaten of software. Een recent voorbeeld hiervan is de kwetsbaarheid in de samenwerksoftware Atlassian Confluence. Als ongeautoriseerden via de kwetsbaarheid toegang krijgen tot bedrijfssystemen, kan dit zeer schadelijke gevolgen hebben zoals een ransomware-aanval of diefstal van bedrijfsgegevens. Daarom meldt het DTC de dreiging zo snel mogelijk aan de betrokken bedrijven met een uitleg welke acties er genomen kunnen worden om de dreigende situatie op te heffen.

Bedrijven waarderen de waarschuwing
Sommige genotificeerde bedrijven controleren – terecht – eerst of de overheid echt afzender is van de melding. De reacties zijn overwegend positief; de ontvangen dreigingsinformatie wordt veelal als nuttig en duidelijk geclassificeerd zo blijkt uit de anonieme feedback die het DTC ontvangt van gewaarschuwde bedrijven.
“Dank voor de waarschuwing. Ik heb niet gerealiseerd dat de situatie zo dreigend is. Ik neem maatregelen.” “Nu is de notificatie via de hoster binnengekomen. Nog sneller was als ons security team direct was genotificeerd. Elke minuut vertraging in de keten levert potentieel langer/extra misbruik op.”

Pilot voor onderzoek naar schaalbaarheid
Simultaan aan het proactief notificeren van het bedrijfsleven is er in een pilot onderzocht hoe deze alarmservice kan werken als het gaat om grootschalige cyberdreigingen waarbij het DTC duizenden bedrijven in korte tijd wil kunnen waarschuwen. Naast dit onderzoek naar schaalbaarheid heeft de pilot ten doel om in deze onderzoeksopzet ervaring op te doen met het geautomatiseerd verwerken van dreigingsinformatie op basis van door bedrijven aangeleverde technische gegevens.
De pilot bestaat uit een testgroep van 57 bedrijven uit negen verschillende sectoren. Deze bedrijven hebben vooraf bepaalde bedrijfsgegevens aangeleverd waardoor het DTC, in samenwerking met het Nationaal Cyber Security Centrum (NCSC), deze gegevens kan matchen met beschikbare data over kwetsbaarheden en cyberdreigingen. Bij een match wordt de pilotdeelnemer geautomatiseerd op de hoogte gesteld van de specifieke dreiging. Bij deze notificatie wordt ook aangegeven wat eventuele vervolgacties zijn.
Sinds de eerste melding in oktober 2021 hebben 32 van de 57 deelnemende bedrijven een notificatie ontvangen. Het DTC heeft tot aan 12 mei 2022 in totaal 182 notificaties verstuurd naar de aan de pilot deelnemende bedrijven. Niet alle notificaties zijn als ‘ernstig’ of ‘kritiek’ aan te duiden, ook minder grote veiligheidsissues zijn onder de aandacht gebracht van de deelnemende bedrijven.

Eerste beeld van de pilot
De pilot maakt duidelijk dat het beschikken over de contact- en technische gegevens de snelheid van informatiedeling zeer bevordert. Het verkrijgen, verwerken en actueel houden van deze technische gegevens is daarentegen zeer arbeidsintensief. Voor het breder uitrollen van deze dienstverlening richting de doelgroep van 2,0 miljoen Nederlandse bedrijven is het daarom nodig om te kijken naar mogelijk efficiëntere distributiemodellen.
Omdat snelheid van informatiedeling en schaalbaarheid belangrijke uitgangspunten zijn, wordt in de komende maanden onderzocht op welke wijze er een toekomstbestendige, schaalbare dienstverlening opgezet kan worden. Hierbij wordt niet alleen gekeken naar technische oplossingen, maar ook naar organisatorische oplossingen. Nauwere samenwerkingen met het NCSC en met publiek-private partijen kunnen een goede bijdrage leveren aan de schaalbaarheid.

Security.txt als versneller
Het DTC wil blijven innoveren om het bedrijfsleven te bereiken met dreigingsinformatie. Omdat uit de pilot is gebleken dat het beschikken over contact- en technische gegevens de snelheid bevordert waarmee informatie kan worden gedeeld, is onderzocht hoe dit bereikt kan worden. Van 57 pilotdeelnemers zijn de contactgegevens bekend maar voor de rest van ondernemend Nederland moet het DTC eerst zoeken naar een telefoonnummer of e-mailadres van het getroffen bedrijf. Daar gaat nu nog kostbare tijd verloren.
Om deze contactinformatie vindbaar te maken, zet het DTC (onder andere in samenwerking met het NCSC) in op een nieuwe voorgenomen internetstandaard; security.txt. Als bedrijven de specifieke contactgegevens voor responsible disclosure-meldingen in het security.txt-bestand publiceren, kunnen vinders van kwetsbaarheden direct de juiste persoon of afdeling waarschuwen. Deze kan vervolgens snel actie ondernemen om bedrijfsschade te voorkomen of beperken. Als deze uniforme werkwijze breed omarmd wordt, kan dat leiden tot de gewenste snellere informatieoverdracht en de vergroting van het bereik van het DTC.

Deel dit artikel via: