Eerste hulp bij cyberincidenten? Update het meldproces!

0

Een nepmail van de bank, online shoppen op een malafide website, een naaktfoto die op het internet belandt, bitcoins moeten betalen om toegang tot een computer terug te krijgen, of niet kunnen internetbankieren door een DDoS aanval. Cyberincidenten treffen onze samenleving steeds vaker.[1] De impact van deze cyberincidenten kan groot zijn. Zelfs zó groot dat iemand besluit een einde aan het leven te maken. In 2017 pleegde de 15-jarige scholier Onur zelfmoord, na het ontdekken van naaktfoto’s op sociale media.[2]

Hoewel de gevolgen ernstig kunnen zijn, blijft het aantal meldingen van cyberincidenten beperkt. Het Centraal Bureau voor de Statistiek (CBS) concludeerde in september 2017 dat driekwart van de cyberdelicten niet wordt gemeld.[3] Dit terwijl er naar schatting ruim 2,5 miljoen cyberdelicten werden gepleegd en melden belangrijk is een compleet beeld van cyberincidenten (online diefstal, verstoringen, configuratiefouten, et cetera) te krijgen om trends te kunnen signaleren, te kunnen anticiperen op ontwikkelingen en om te prioriteren in wat er moet worden aangepakt. Volgens de Cyber Security Raad (CSR) moeten het meld- en aangifteproces plus de opvolging ervan dan ook worden verbeterd door het proces eenvoudiger te maken.[4] Maar hoe ziet het huidige proces er precies uit? Waar is nog ruimte voor verbetering? En wat betekent dit voor de Landelijke Meldkamer Samenwerking? De door TNO uitgevoerde korte verkenning “Melden Cyberincidenten” pakt deze vragen op.

De korte verkenning leert dat het meldproces voor cyberincidenten nu nog is ingericht vanuit een klassiek veiligheidsoogpunt. Voor vitale aanbieders met een directe link naar de nationale veiligheid is er een centraal meldpunt ingericht. Vanuit veiligheidsoogpunt is dit begrijpelijk. Vitale processen zijn essentieel voor onze samenleving. Uitval of verstoring van deze processen leidt tot ernstige maatschappelijke ontwrichting of vormt een bedreiging voor de nationale veiligheid. De overheid werkt via het Nationaal Cyber Security Centrum (NCSC) dan ook samen met de vitale aanbieders, inlichtingendiensten, en hulpverleners om crisisbeheersing goed te regelen.[5] Maar voor andere partijen als bedrijven en burgers, die vooral persoonlijke schade ondervinden, is er geen centraal meldpunt. En dat is een gemiste kans, want een dergelijk centraal en landelijk meldpunt is wel nodig.

In de eerste plaats zijn incidenten in de cyberwereld niet los te zien van de fysieke wereld. Toegegeven, cyberincidenten bij bedrijven of burgers hebben veelal geen directe gevolgen voor de nationale veiligheid. Ook hebben dergelijke incidenten niet altijd gevolgen voor de fysieke veiligheid. Daarom is de noodzaak van het melden bij deze doelgroepen anders dan bij vitale aanbieders of klassiek 1-1-2 gebruik. Maar er kunnen wel degelijk fysieke gevolgen voortkomen uit een cyberincident. Cyberincidenten hebben zelfs steeds vaker fysieke impact op personen, bedrijven, overheid of de openbare orde en, zoals de zaak van de 15-jarige Onur aantoont, kunnen incidenten verregaande schade veroorzaken waarbij zelfs mensenlevens in gevaar komen.[6]

Ten tweede is er voor burgers nu geen centrale partij die helpt dreigingen zoveel mogelijk te mitigeren, waardoor deze groep relatief kwetsbaar is. Zeker, er zijn veel meldpunten beschikbaar, verdeeld over diverse type incidenten. Zo kan men voor spam terecht bij de website spamklacht (onderdeel van de Autoriteit Consument & Markt), voor kinderporno bij het Meldpunt Kinderporno, voor grooming, sexting, sextortion, voor online seksueel misbruik bij helpwanted.nl, voor identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de rijksoverheid en voor phishing (bankfraude) bij de eigen bank, internetprovider of politie. Maar de veelvoud aan meldpunten maakt het voor burgers lastig om snel het juiste meldpunt te vinden.

Weinig prikkels
Een centraal meldpunt zou dus een verbetering zijn, maar er valt meer te verbeteren blijkt uit de verkenning. Zo toont de verkenning aan dat er weinig handelingsperspectieven worden geboden, zelfs niet als er bij de politie aangifte wordt gedaan. Hierdoor zijn er vermoedelijk weinig prikkels om (nogmaals) te gaan melden. Ook de 1-1-2 meldkamer biedt nog geen eenduidige handelingsperspectieven bij cyberincidenten. Dit terwijl de meldkamer voor burgers een essentiële ‘lifeline’ is, een reddingsboei bij alle acute hulpvragen.[7]

Een centraal (uit maatschappelijk oogpunt ingericht) meldpunt of noodnummer zou dan ook een plek moeten zijn waar burgers terecht kunnen voor zowel informatie over bijvoorbeeld aanwezige kwetsbaarheden en dreigingen, als voor preventieadvies (wat te doen om te voorkomen dat je slachtoffer wordt) en hulpverlening (wat te doen als je tóch slachtoffer wordt).

Het niet-vitale bedrijfsleven bevindt zich overigens in een vergelijkbare situatie als de burgers. Ook hier kennen online incidenten regelmatig fysieke gevolgen. Denk bijvoorbeeld aan verstoring door een DDoS aanval, of een datalek zoals bij de commerciële datingsite Ashley Madison waarbij (e-mail)adressen, telefoonnummers, geboortedata, foto’s en versleutelde wachtwoorden op straat kwamen te liggen. Leden ontvingen daarop ook fysieke bedreigingen en vreesden zelfs voor hun leven.[8]

Net als bij burgers heeft ook deze doelgroep te maken met versnippering in het meldlandschap en een gebrek aan handelingsperspectieven. Men heeft het gevoel dat melden geen zin heeft.[9] Voor concrete hulp zijn bedrijven nu aangewezen op (kostbare) private ICT-dienstverleners. Er is nog geen eenduidige (nood)hulp bij maatschappelijke onrust of schade in de keten als gevolg van een cyberincident. Weliswaar heeft de overheid in 2018 een Digital Trust Center (DTC) opgezet om de cyberweerbaarheid van bedrijven te verbeteren, maar het DTC biedt slechts enkele handelingsperspectieven via een doorverwijspagina, en is op zichzelf geen meldpunt (dus ook geen noodnummer) of CERT.[10][11] Het DTC is momenteel vooral gericht op het beperken van economische schade via informatiedeling, niet op het inrichten van maatschappelijke hulpverlening.

Concluderend zijn er voor vitale aanbieders en niet-vitale bedrijven diverse processen opgezet om de cyberweerbaarheid te verhogen en cybercrises te mitigeren. Voor burgers is dit echter nog niet het geval, waardoor deze groep bijzonder kwetsbaar is. Bij cyberincidenten is er daarnaast geen enkele vorm van hulpverlening beschikbaar: spoed of niet.

Dit alles zorgt ervoor dat bedrijven en burgers weinig worden gestimuleerd om incidenten te melden. Men heeft het gevoel dat dit geen zin heeft. Om het melden van cyberincidenten voor deze groepen te stimuleren en om ervoor te zorgen dat ook in de online wereld burgers en bedrijven geholpen worden bij acute hulpvragen, is een update nodig: een update naar één online meldpunt, een update van de samenwerking tussen meldpunten en vooral een update van de geboden handelingsperspectieven. Alleen zo zal het melden van cyberincidenten meer zin krijgen.

Dit artikel maakt onderdeel uit van het onderzoeksprogramma Het Nieuwe Melden. Dit multidisciplinaire onderzoeksprogramma voert TNO uit in samenwerking met het ministerie van Justitie en Veiligheid, het programma LMS en de verschillende partners in het meldkamerdomein. De publicatie wordt breed verspreid om de opgebouwde kennis ten goede te laten komen aan het gehele meldkamerdomein en ook aan aanpalende domeinen. De publicatie kan tenzij uitdrukkelijk anders aangegeven niet gezien worden als het beleidsstandpunt van betrokken partijen.

[1] VTM Groep, 2018. “Aantal cybersecurity incidenten in 2017 bijna verdubbeld”. Februari 2018. Beschikbaar via: https://www.vtmgroep.nl/nieuws/aantal-cybersecurity-incidenten-in-2017-bijna-verdubbeld

[2] Tweede Kamer, 2017. “Beantwoording Kamervragen over zelfmoord ten gevolge van sexting”. April 2017. Referentie 1167229. Beschikbaar via: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2017/04/10/beantwoording-kamervragen-over-een-zelfmoord-ten-gevolge-van-sexting/beantwoording-kamervragen-over-een-zelfmoord-ten-gevolge-van-sexting.pdf

[3] Centraal Bureau voor de Statistiek (CBS), 2017. Driekwart van de cybercrimedelicten niet gemeld. Datum: 25-09-2017. Beschikbaar via: https://www.cbs.nl/nl-nl/nieuws/2017/39/drie-kwart-cybercrimedelicten-niet-gemeld

[4] Cyber Security Raad (CSR), 2017. Naar een landelijk dekkend stelsel informatieknooppunten – Advies inzake informatie-uitwisseling met betrekking tot cybersecurity en cybercrime. CSR-advies 2017 nr 2. Beschikbaar via: https://www.cybersecurityraad.nl/binaries/CSR-advies%202017%20nr.%202%20-%20Naar%20een%20landelijk%20dekkend%20stelsel%20van%20informatieknooppunten_tcm56-269317.pdf

[5] Nationaal Cyber Security Centrum (NCSC), 2018. “ICT Response Board” ; “Information Sharing and Analysis Centers (ISAC’s)”; en “Weerbare Vitale Infrastructuur”. 2018. Beschikbaar via: https://www.ncsc.nl/samenwerking/ict-response-board.html en https://www.ncsc.nl/samenwerking/isacs.html en https://www.nctv.nl/binaries/18.%20Factsheet%20Vitale%20Infrastructuur_tcm31-32336.pdf

[6] Tweede Kamer, 2017. “Beantwoording Kamervragen over zelfmoord ten gevolge van sexting”. April 2017. Referentie 1167229. Beschikbaar via: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2017/04/10/beantwoording-kamervragen-over-een-zelfmoord-ten-gevolge-van-sexting/beantwoording-kamervragen-over-een-zelfmoord-ten-gevolge-van-sexting.pdf

[7] Gebaseerd op Wet Veiligheidsregio’s, § 6., artikel 35

[8] Vice News, 2015. “How the Ashley Madison Hack Could Threaten People’s Lives”. Beschikbaar via: https://news.vice.com/article/how-the-ashley-madison-hack-could-threaten-peoples-lives

[9] Forum, VNO-NCW, 2016. Forum-onderzoek: nationale politie heeft ondernemers niets opgeleverd. En opiniestuk: Help, ik ben gehackt! Dít kun je dan verwachten van de politie. Beschikbaar via: https://www.vno-ncw.nl/forum/forum-onderzoek-nationale-politie-heeft-ondernemers-niets-opgeleverd. En: https://www.vno-ncw.nl/forum/help-ik-ben-gehackt-d%C3%ADt-kun-je-dan-verwachten-van-de-politie-0

[10] VNO-NCW, 2018. “Factsheet Digital Trust Centre (DTC)”. Maart 2018. Beschikbaar via: https://www.vno-ncw.nl/meer-informatie/factsheet-digital-trust-centre-dtc

[11] CERT staat voor Computer Emergency Response Team, en wordt ook wel CSIRT (Computer Security Incident Response Team) genoemd. Het zijn aparte organisaties of organisatieonderdelen die verantwoordelijk zijn voor het voorkomen, isoleren en mitigeren van computer- en informatiebeveiligingsincidenten in computers of netwerken. Daarmee wordt de beschikbaarheid van informatiestromen en diensten gegarandeerd. In Nederland hebben de vitale aanbieders vaak een eigen CERT/CSIRT. Daarnaast is er een nationale CERT/CSIRT voor de rijksoverheid: NCSC-NL. Zie ook: https://www.cert.nl/

Reageer