Overeenstemming EU-landen over Cyber Resilience Act

De EU-landen hebben op 19 juli in Brussel overeenstemming bereikt over een onderhandelingsmandaat voor de Cyber Resilience Act (CRA). Nederland heeft zich actief ingezet voor deze wet, omdat het een belangrijk onderdeel is van de aanpak van het kabinet om digitale producten en diensten veiliger te maken voor iedereen. 

De CRA  zorgt ervoor dat digitale producten aan strenge cybersecurityeisen moeten voldoen voordat ze in Europa op de markt komen. Zowel consumenten als zakelijke gebruikers moeten ervan op aan kunnen dat digitale producten veilig zijn, van de babyfoon op de kinderkamer tot de software op kantoor. De CRA legt de plicht bij fabrikanten om veilige producten te garanderen.

Belangrijkste punten CRA

• Er komen alleen digitale producten op de markt die voldoen aan de strengste beveiligingseisen.
• Fabrikanten worden verplicht gedurende de hele levensduur van de producten gratis veiligheidsupdates te leveren en digitale kwetsbaarheden en incidenten te melden.
• Niet-commerciële open source software is vrijgesteld.
• Fabrikanten krijgen voldoende tijd om de regels te implementeren.

Actieve inzet Nederland

Mede door de inzet van Nederland is het oorspronkelijke wetsvoorstel verbeterd. Het ontwerpwetsvoorstel van de Europese Commissie verplichtte fabrikanten maximaal 5 jaar om veiligheidsupdates te geven voor hun producten. Het onderhandelingsmandaat dat nu op tafel ligt, vraagt om ondersteuning voor de gehele levensduur van een product.

Ook kleine bedrijven worden geholpen bij de naleving van de CRA. Het onderhandelingsmandaat voorziet in vereenvoudigde formats voor technische documentatie, trainingen en bewustwordingsinitiatieven.

Definitieve wettekst

Dit najaar onderhandelt Spanje als voorzitter van de Raad van de EU namens de lidstaten met het Europees Parlement over de definitieve wettekst.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#cyberSecurity #cybersecurity #cyberveiligheid #informatiebeveiliging #informatieveiligheid #nieuwsbrief142023

“Cybergame vaak eyeopener voor bestuurder”

CISO Esther Zijlstra (gemeente Nijmegen) over cybergames bij gemeenten

Gemeenten oefenen steeds vaker met cyberincidenten. VNG Connect ontwikkelde een game voor bestuurders en biedt een train-de-trainer opleiding aan. Esther Zijlstra (CISO gemeente Nijmegen) begeleidde verschillende games in verschillende gemeenten – waaronder haar eigen Nijmegen. Wat zijn haar ervaringen? Wat leert ze er zelf van? En wat zijn haar tips?

Hoe helpt een game om te gaan met cyberincidenten?

“Het is een leuke manier om met cybersecurity aan de slag te gaan. Het gaat om het ervaren van een crisis. Op papier kun je een mooi proces hebben in de verwachting dat het werkt. Maar in de praktijk blijkt dat je lang niet alles weet en keuzes moet maken op basis van onvolledige informatie. De eerste vraag is vaak: ‘Zijn we gehacked?’ Dat weet je vaak helemaal niet, en toch gebeuren er rare dingen… Daar leren mensen veel van.”

Wat is jouw rol als spelleider?

“Ik begeleid het spel zodat alles goed loopt. Zodat deelnemers keuzes kunnen maken en actie ondernemen. Ik zorg dat mensen niet te veel door elkaar heen gaan praten en dat duidelijk wordt wat ze wel en niet willen doen. Ik bewaak dat maar één actie tegelijkertijd gedaan wordt. In de praktijk kan ook niet alles tegelijkertijd, in het spel dus ook niet. Natuurlijk maak ik er ook een mooi verhaal van.”

Je volgde een train-de-trainer-opleiding van een halve dag bij VNG Connect. Wat hield die in?

“Je speelt het spel eerst zelf. Daarna krijg je informatie over de bedoeling en de context van zo’n oefening. Je krijgt het draaiboek met het scenario en mogelijke keuzes. Ook leer je welke impact bepaalde keuzes in het spel hebben.”

Wat levert het begeleiden van een game jou als begeleider op?

”Ik vind het heel interessant om de discussies te volgen. Om te zien hoe de mensen met elkaar overleggen. Hoe dat verschilt tussen organisaties. Het is leerzaam om te horen hoe andere gemeenten dit soort problemen oplossen. En wat hun ervaringen zijn. Doordat ik de game geef bij meerdere gemeentes, breid ik ook nog eens mijn netwerk uit.”

Helpt zo’n game om informatieveiligheid op de bestuurlijke agenda te krijgen?

“Als mensen de game gespeeld hebben, is het vaak een eyeopener. Maar in hoeverre het beklijft, hangt samen met de affiniteit die bestuurders hebben. Het kan een zetje zijn om de deur iets verder open te krijgen naar de tafels waar de besluiten worden genomen.”

Heb je tips voor collega’s die ook een game willen verzorgen?

“Zorg dat een game een context heeft; dat het niet zomaar uit de lucht komt vallen en daarna verdwijnt. Plan de game bijvoorbeeld tijdens een campagne, zoals Alert Online. En dat je ook een concreet onderwerp of maatregel hebt, dat je daarna kunt inbrengen, bijvoorbeeld het wachtwoordenbeleid. Refereer dan steeds naar de ervaringen tijdens de game. Dan blijft het op het netvlies.”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#bewustwording #cyberincident #cyberoefening #informatieveiligheid #nieuwsbrief162020 #oefenen

🔒 Hoe bevorder je informatieveilig gedrag in de (huisartsen)zorg?

Samen met Sietske Rozie en Ilse Moes duik ik in dit cruciale onderwerp tijdens ons webinar! 💻🎙️ – ook te beluisteren als podcast. #Informatieveiligheid #ZorgICT #Webinar #Podcast

https://www.informatieveiliggedragzorg.nl/inspiratie/informatieveilig_gedrag_in_de_huisartsenpraktijk/

iPoort

iPoort is een community waar vertegenwoordigers uit de politiek, overheid, bedrijfsleven, maatschappelijke organisaties en wetenschap met elkaar in debat gaan om de impact van digitalisering op de maatschappij te bespreken. Met deze debatten wil iPoort kennis aanreiken aan zowel politiek als de overheid voor het ontwikkelen van beleid en aanbevelingen doen voor concrete oplossingen en samenwerking van de betrokken organisaties.

iPoort organiseert elk kwartaal een debat bij perscentrum Nieuwspoort waar een van de volgende thema’s behandeld worden: digitale weerbaarheid, infrastructuur, accountability, onderwijs en duurzame ontwikkelingsdoelen. Centraal staan vragen: wat zijn de ethische, juridische en sociale aspecten van digitalisering?

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#AIArtificiëleIntelligentie_ #Algoritme #algoritmen #algoritmes #cybersecurity #data #digitaleIdentiteit #digitalisering #duurzaamheid #ethiek #informatiebeveiliging #informatiehuishouding #informatieveiligheid #infrastructuur #KunstmatigeIntelligentie #onderwijs #Privacy #weerbaarheid

Melissa helpt voorkomen ransomware-aanvallen Cactus

Samenwerkingsverband Melissa identificeerde Nederlandse slachtoffers van de ransomewaregroep Cactus. Zij analyseerde de werkwijze van Cactus en deelde deze informatie. Zo heeft deze samenwerking bijna 3000 potentiële slachtoffers in binnen- en buitenland helpen voorkomen. 

Project Melissa is een samenwerking tussen het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven.

Dezelfde werkwijze

Samenwerkingsverband Melissa deelt ransomwarestatistieken met elkaar. Hieruit bleek dat minimaal 10 Nederlandse organisaties te maken hebben gehad met een ransomwareaanval van Cactus. Dit is een ransomwaregroep die sinds eind 2023 wereldwijd verschillende aanvallen heeft uitgevoerd.

Uit een analyse van de gegevens bleek dat alle organisaties op dezelfde manier waren aangevallen. Een Qlik Sense-server was niet voorzien van de laatste softwareversie. Dit verschafte Cactus toegang tot de IT-omgeving van de slachtoffers.

Delen van informatie

Na een scan van kwetsbare servers zijn de resultaten door het Digital Trust Center (DTC) gedeeld met Nederlandse organisaties. Zo konden zij tegenmaatregelen nemen om deze kwetsbaarheid te verhelpen. Een update van de software van de Qlik Sense-server maakt het onmogelijk voor Cactus om binnen te dringen. Zo kan een ransomeware-aanval worden voorkomen.

De informatie is ook gedeeld met verschillende buitenlandse organisatie en politiediensten.

Wereldwijd zijn er 3100 kwetsbare Qlik Sense-servers te benaderen via het internet. Hiervan zijn er al 122 slachtoffer van ransomware-aanvallen, waarvan ook verschillende in Nederland.

Samenwerking belangrijk

Organisaties hebben ieder stukjes van een puzzel. Het delen van informatie is belangrijk om cyberdreigingen te verminderen.

Het samenwerkingsverband Melissa is in 2021 gestart. Partijen delen informatie met elkaar op structurele wijze. Dit heeft geleid tot succesvolle operaties als Deadbolt, Genesis Market, Qakbot en Lockbit.

Meer informatie

Samenwerkingsverband Melissa vindt diverse Nederlandse slachtoffers van ransomwaregroepering Cactus   (nieuwsbericht Digital Trust Center)

#cyberSecurity #cybercrime #cyberincident #cybersecurity #cyberveiligheid #informatiebeveiliging #informatieveiligheid #Melissa #ransomware