Dreigingsinformatie delen
Het is mogelijk om dreigingsinformatie te delen met de Rijksoverheid. De overheid ziet het als haar taak om de relevante doelwit- of slachtofferinformatie die je deelt snel door te delen met de belanghebbende(n). Dit doet de overheid via een waarschuwingsbericht naar de(eind)gebruiker of netwerkeigenaar. Deze zogenoemde notificatie bevat doorgaans een advies of instructie zodat de gebruiker of netwerkeigenaar maatregelen kan nemen om schade te voorkomen of beperken.
Eén loket voor het delen van informatie met de overheid
De digitale weerbaarheid van Nederland is te belangrijk om aan versnippering over te laten. Daarom is er voortaan één loket waar beveiligingsonderzoekers, ethische hackers en binnen- en buitenlandse partners informatie over cyberdreigingen en incidenten kunnen delen zodat slachtoffers of doelwitten kunnen worden geïnformeerd. Dit loket is ondergebracht bij het Nationaal Cyber Security Centrum (NCSC) als nationale CERT en het is bereikbaar via cert@ncsc.nl.
Eenduidige beoordeling
Het NCSC beoordeelt de kwaliteit en ernst van de melding. Hiervoor is een transparant en eenduidig afwegingskader opgesteld. Dit afwegingskader hanteert het principe ‘delen voor zover mogelijk is’.
Soort data
De dreigingsinformatie moet bestaan uit doelwit- of slachtofferinformatie. Doelwitinformatie is informatie over kwetsbare systemen die geraakt kunnen worden door aanvallen. Slachtofferinformatie is informatie over systemen die al gecompromitteerd zijn.
In het verleden hebben we bijvoorbeeld al potentiële slachtoffers van ransomware-aanvallen, gestolen wachtwoorden en bedrijven waarvan de servers een lek bevatten, genotificeerd.
Datakwaliteit
Het is belangrijk dat de informatie die we doordelen relevant en van aan enkele kwaliteitseisen voldoen. Hierbij de belangrijkste criteria die we aan de data stellen:
Timestamp | Is er een aanduiding van een detectiemoment aanwezig? Data zijn bij voorkeur niet ouder dan een maand oud. Afhankelijk van de ontvanger van de data, kan hier een andere afweging gemaakt worden. |
IP-adres | Is er een IP-adres aanwezig? |
Kwetsbaarheid | Wat voor kwetsbaarheid, malware of zwakheid is het? Wat is de context van de data? |
Herkomst | Hoe zijn de data verkregen? Via een scan? Gaat het om gestolen data? |
Handeling | Is er een handelingsperspectief mogelijk? Wat kan de betrokkene doen? |
Bron | Is de bron van de data betrouwbaar? |
Valide | Zijn de aangeleverde data valide? Bevat de informatie niet veel inconsistenties of 'false positives' etc. |
Doelmatigheid | Zijn deze data bedoeld voor waarschuwingsberichten? |
Internet hygiëne
Er is naast doelwit- en slachtoffernotificatie ook informatie beschikbaar die zich laat bestempelen als internethygiëne. Die afweging wordt door analisten gemaakt aan de hand van een afwegingskader. Als de informatie bestempeld is als internethygiëne, dan zal het betrokken bedrijf of netwerkeigenaar mogelijk herhaaldelijk een advies ontvangen om de kwetsbaarheid op te lossen.
Voorbeelden van DTC notificaties
In het recente verleden hebben we al honderden potentiële slachtoffers van ransomware-aanvallen, gestolen wachtwoorden en bedrijven waarvan de servers een beveiligingslek bevatten, genotificeerd. Enkele concrete situaties waarin we specifieke bedrijven benaderd hebben:
- We hebben bedrijven gewaarschuwd die een beveiligingslek hadden in hun mailserver servers (in casu Microsoft Exchange en Zimbra). Ook bedrijven met beveiligingslekken in VPN- of firewall-oplossingen zoals Fortinet en Sonicwall zijn genotificeerd.
- Bedrijven waarvan ons bekend is geworden dat zij een malware-besmetting hebben, zijn van deze dreigende situatie op de hoogte gesteld.
- Bij het DTC worden ook lijsten aangeleverd met recent via phishing buitgemaakte inloggegevens van zakelijke accounts.
DTC Doelgroep en doordelen
Graag benadrukken we dat het DTC het Nederlandse (niet-vitale) bedrijfsleven als doelgroep heeft. Zo is bijvoorbeeld een phishing dataset met overwegend niet-zakelijke of buitenlandse inloggegevens voor het DTC minder relevant.
We werken nauw samen met het NCSC en CSIRT-DSP. Als blijkt dat er in de data die je aanlevert gegevens staan van vitale organisaties of digital service providers, dan kan het zijn dat we de data (vertrouwelijk) delen met respectievelijk het NCSC en CSIRT-DSP. Hierbij zal altijd ons doel centraal staan: 'het waarschuwen van de betrokken bedrijven'.
Kwetsbaarheden delen
Naast specifiek tot individuele bedrijven herleidbare informatie kan er ook informatie (eventueel onder embargo) over een ernstige kwetsbaarheid met DTC gedeeld worden, zodat DTC de berichtgeving kan voorbereiden en bijvoorbeeld gelijktijdig met de softwareontwikkelaar kan publiceren over de betreffende kwetsbaarheid.
Aanleveren van dreigingsinformatie
Het mailadres waarop we informatie kunnen ontvangen, is: cert@ncsc.nl
Public Key
Versleuteld data aanleveren kan met behulp van een public key (PGP of publieke sleutel):
Terugkoppeling
Daarnaast zullen we ook alles in het werk stellen om terugkoppeling te geven wat we met de informatie gedaan hebben.
Vragen?
Heb je vragen over dit proces, stuur ons een e-mail en we reageren zo snel mogelijk.