Hoe ervaren bedrijven de pilot van de DTC Notificatiedienst?

Het Digital Trust Center (DTC) heeft afgelopen jaar in een pilot ervaringen opgedaan met een nieuwe notificatiedienst. Het informeerde de 57 aan de pilot deelnemende bedrijven direct bij de constatering van cyberdreigingen of kwetsbaarheid in hun systemen. Om dit mogelijk te maken, leverde deze groep bedrijven al hun technische bedrijfsgegevens, zoals IP-adressen en domeinnamen, aan bij het DTC. Het DTC vergeleek deze gegevens met actuele dreigingsinformatie van het Nationaal Cyber Security Centrum (NCSC) en andere (openbare) bronnen. Bij een match kregen pilotdeelnemers direct relevante informatie en advies toegestuurd. Nu het eerste jaar van de pilot is afgerond, is het tijd om terug te blikken. Hoe hebben deelnemende bedrijven het afgelopen jaar ervaren?

Verbond van Verzekeraars
Anne Sonnenschein
Beleidsadviseur Verbond van Verzekeraars & Teamcoördinator i-CERT

"Het Verbond van Verzekeraars is een brancheorganisatie van ruim 130 verzekeraars. Wij behartigen niet alleen hun belangen, maar ondersteunen onze leden ook op veel  vlakken. Zo hebben wij een centrale CERT voor de hele sector als onderdeel van onze dienstverlening. Dankzij de DTC Notificatiedienst is de waarde van dit zogeheten ‘i-CERT’ nog groter geworden. Er was al langer de roep om informatie vanuit de overheid te ontvangen over kwetsbaarheden. Voorheen werkten we samen met het NCSC, maar die geven eigenlijk alleen informatie aan de vitale-sector. Daar vallen verzekeraars niet onder.

En zo kwamen we ongeveer twee jaar geleden in contact met het DTC. Toen deze pilot werd aangekondigd, wisten we gelijk dat we wilden meedoen. We vinden het niet alleen heel fijn om informatie vanuit de overheid over kwetsbaarheden te ontvangen. Omgekeerd vinden we het ook belangrijk om informatie vanuit onze leden terug te delen. Wat dat betreft snijdt het mes aan twee kanten. Bij de verzekeraars die zijn aangesloten op ons i-CERT zit enorm veel cybersecurity kennis; verzekeraars beschikken over professionele security analisten en hebben veel informatie, zoals IP-adressen en domeinen. Daar kan de overheid weer goed gebruik van maken.

We ontvangen waardevolle notificaties. Nog niet in heel grote aantallen, maar alles wat we ontvangen, zetten we door aan onze leden. In sommige gevallen is de verzekeraar al bekend met een kwetsbaarheid, maar soms kan een notificatie van het DTC weer extra informatie geven.

Een verbeterpunt zou zijn als de notificaties meer geautomatiseerd worden. Ik heb het idee dat er nu nog veel handwerk aan te pas komt. Door automatisering kan informatie misschien sneller gedeeld worden met relevante partijen. Maar volgens mij wordt hier al naar gekeken."

Toen deze pilot werd aangekondigd, wisten we gelijk dat we wilden meedoen.

Ormer ICT
Jeroen Bakker
Chief Information Security Officer & Senior Technical Consultant

"Wij zijn verantwoordelijk voor de IT-omgevingen van verschillende mkb-bedrijven. Wij moeten dus snel kunnen reageren in het geval van een digitale dreiging. Deze pilot is daarom heel interessant voor ons. Bovendien is het goed om het DTC beter te leren kennen. Wij hebben dezelfde doelstellingen, namelijk een digitaal veiliger mkb. Ik zie echt voordelen in het centraal bijhouden van dreigingen op een breed gedragen platform. Daarbij denken we graag mee.

Ik vond de pilot heel nuttig om twee redenen. Allereerst heeft het ons in contact gebracht met veel andere bedrijven en dat biedt waardevolle inzichten. We hebben daardoor een breder beeld van wat er nog meer voor alternatieven zijn om bepaalde vraagstukken aan te pakken. Ten tweede is het heel goed om een kijkje in de keuken te krijgen van wat het DTC aan het doen is en mee te praten.

We hebben tot dusver geen notificaties gehad van dreigingen richting ons. Dat zegt me deels dat we op dit moment waarschijnlijk voldoende cyberweerbaar zijn. Maar het betekent niet dat we ons geen zorgen hoeven maken. Misschien worden we wel in de gaten gehouden door cybercriminelen. Het is altijd belangrijk om alert te blijven en continu te blijven zoeken naar verbeteringen.

Een mooi verbeterpunt voor de notificatiedienst zou zijn als bedrijven zelf hun technische gegevens bij het DTC kunnen bijhouden. Bijvoorbeeld via een portaal waar bedrijven inloggen. In deze pilot ging dat allemaal via de mail. Dat proces kan snel tijdrovend worden. Maar zo’n portaal moet natuurlijk wel 100% veilig zijn."

Het is altijd belangrijk om alert te blijven en continu te blijven zoeken naar verbeteringen.

ANWB
Léon
Security Architect

"De ANWB heeft cybersecurity hoog op de agenda staan. Veel mensen kennen ons als belangenbehartiger of van de Wegenwacht. Maar de ANWB doet nog zoveel meer. We hebben onze winkels, webshops en verkopen reizen en verzekeringen. Omdat we zo breed opereren, is het ook belangrijk om ons overzicht op gebied van cyberweerbaarheid zo compleet mogelijk te hebben. Daarom hebben we geen moment geaarzeld toen het DTC ons vroeg mee te doen aan deze pilot.

We hebben in de afgelopen tijd een paar notificaties gehad, maar die waren gelukkig niet direct een probleem voor de ANWB. Een verbeterpunt zou zijn om de informatie niet als e-mail te versturen, maar als technische koppeling. Bijvoorbeeld in het STIX-formaat of als TAXII. Op die manier kan de informatie automatisch door onze systemen ingelezen en verwerkt worden.

Al met al denk ik dat de DTC Notificatiedienst een toegevoegde waarde heeft. We zochten al langer naar een manier om dreigingsinformatie vanuit de overheid te krijgen. Met name omdat het onafhankelijk is ten opzichte van leveranciers, waar we doorgaans onze informatie van krijgen. Die kunnen soms nog een commerciële afweging maken om informatie niet te delen. DTC doet dat niet."

We zochten al langer naar een manier om dreigingsinformatie vanuit de overheid te krijgen. 

Digital Trust Center
Kim van Veen
Projectleider DTC Notificatiedienst

"De pilot met onze waarschuwingsdienst heeft interessante resultaten opgeleverd en mag in die zin als geslaagd bestempeld worden. In totaal hebben 46 van de 57 bedrijven ook daadwerkelijk een of meerdere notificaties gekregen. Zij hebben in totaal ruim 2.000 notificaties ontvangen. Als een bedrijf geen notificaties ontvangt, wil dat niet zeggen dat het bedrijf veilig is. Een bedrijf kan ook nu kwetsbaar zijn voor cyberdreigingen. Bijvoorbeeld door nieuwe beveiligingslekken in de IT- of OT-systemen, door het gebruik van zwakke wachtwoorden of door het klikken op phishing e-mails. De pilot laat zien dat het voor ons als DTC makkelijker is om in contact te komen met bedrijven als zij zelf hun gegevens met ons hebben gedeeld. Bedrijven zijn ook sneller geneigd om iets met deze notificaties te doen, omdat ze er zelf om gevraagd hebben. Dit in tegenstelling tot onze ‘ongevraagde’ notificaties voor het bedrijfsleven waarbij het voor bedrijven soms onduidelijk is wie de afzender is.

De pilot-deelnemers hebben bedrijfstechnische gegevens met het DTC gedeeld. Daardoor kunnen wij dreigingsinformatie gelijk aan relevante pilotdeelnemers sturen op basis van automatische matching. In totaal ging het om circa 1 miljoen gegevens. Dat is een enorme hoeveelheid data. Het verzamelen van zoveel gegevens is zeer tijdrovend en bewerkelijk. Een van de conclusies van de pilot is dan ook dat deze gegevens op een efficiëntere manier verzameld moeten worden.

We gaan de pilot verlengen tot en met 1 maart om nog een aantal onderzoeksvragen beantwoord te krijgen. Zo willen we kijken naar andere manieren om bedrijfsgegevens bij te houden. Bijvoorbeeld via een technische toepassing waarbij bedrijven een DNS-token op hun domeinen installeren. Daarnaast moedigen we het gebruik van security.txt aan, waarmee bedrijven hun IT-contactgegevens delen."

De pilot met onze waarschuwingsdienst heeft interessante resultaten opgeleverd en mag in die zin als geslaagd bestempeld worden.

Meer weten over de DTC Notificatiedienst?

Wat is een notificatie? Welke bedrijven kunnen pro-actief benaderd worden? Wanneer waarschuwt het DTC individuele bedrijven?