Ontwikkeling ICT Respons Board Ontwikkeling van een concept voor de versterking van de bestrijding van grootschalige ICT-verstoringen Douwe Leguit – Govcert.nl @ICT~Office - 7 april 2010 Ontwikkeling ICT Respons Board Danken voor aanwezigheid en inzet

Strategie en ontwikkelingen Over Govcert.nl Strategie en ontwikkelingen Concept ICT Respons Board Over Govcert Producten en Diensten Strategie en ontwikkelingen ICT-respons Board Eerste Resultaten ICT Respons Board

Government Computer Emergency Response Team Nederland GOV C E R T .NL Government Computer Emergency Response Team Nederland Onderdeel van

Just as a reminder, of how people like Julian look at CERTs Just as a reminder, of how people like Julian look at CERTs. It’s a panic button ;-) Which is up to a certain level true. And to give you a small impression….

Missie Govcert.nl Het verhogen van het niveau van informatiebeveiliging binnen de Nederlandse samenleving door samenwerking, kennisdeling en de afhandeling van ICT-gerelateerde incidenten en grootschalige calamiteiten.

Huidige organisatorische ophanging

Govcert organigram

Dienstverlening van GOVCERT.NL Kennisdeling Preventie Monitoring Response Dienstverlening van GOVCERT.NL

Risicomanagement Tijdige waarschuwing Goede voorbereiding Adequate reactie

Doelgroepen Publieke sector (overheid) Organisaties met een publieke taak Burger en MKB

(inter)nationale partners Deelnemers & publiek Preventie Monitoring Waarschuwingen (“advisories”) Adviezen Waarschuwingsdienst.nl Security scans Sensornetwerk Early warnings Karakteristieken van aanvallen Statistieken (inter)nationale partners Informatie- knooppunten Kennisuitwisseling Respons Kennisbijeenkomsten/symposium White papers & best practices Kennisbank, netwerken Samenwerking binnen overheid Ondersteuning bij incidenten 7x24 uur waakdienst ISP’s

Govcert Vandaag Govcert Vandaag Jaarlijks meer dan… 130 incidenten 600 adviezen en 100 alerts 15 kennisproducten 7x24x365 bereikbaar voor incidenten 45000 unieke virussen gevangen Actieve waakdienst 365 dagen van 9-21 uur Trendrapport Symposium Erkende rol in (inter)nationaal netwerk

Kennisdeling

Waarschuwingsdienst.nl Website Alerts (e-mail & sms) www. Waarschuwingsdienst.nl Alerts (e-mail & sms) Maandelijkse nieuwsbrief

Nationaal The Dutch security landscape can be a bit confusing for outsiders. There are so many parties involved and their focus is not always that clear.

Internationaal Response: Policy and prevention: EGC ENISA FIRST NATO TF-CSIRT AusCert CERT/CC US-CERT APCERT Team Cymru Policy and prevention: ENISA EU – EPCIP OECD NATO ITU OVSE IWWN International cooperation is essential. The pace of the developments, the scope of the working field and the complexity and interdependency asks for cooperation. Not only on incident response, but also on prevention, preparation and monitoring. I have tried to make a short list of parties we cooperate with. It is a short list, so it is not mentioned to be complete. What I would like to stress, are the current structures that are already at hand. Although they may not always be aligned in a proper manner, when we are dealing with cyber crime of cyber security. For instance the EGC, the European Government CERTs, which shares operational incident information and creates appropriate response to large incidents. Contacts tends to be on an Ad Hoc basis, but well, lets face it, that is most of our daily work being an incident response team. We can enhance our international response by creating more structure and facilitating the current initiatives. Another lead I would like to share, is the work ENISA, the European Network Information Sec Agency has been done on est certs. They made a manual for setting ip a cert..

Strategie en ontwikkelingen Strategie en ontwikkelingen Over Govcert.nl Strategie en ontwikkelingen Strategie en ontwikkelingen Concept ICT Respons Board Over Govcert Producten en Diensten Strategie en ontwikkelingen ICT-respons Board Eerste Resultaten ICT Respons Board

Meerjarenstrategie Govcert Nationale positie; groter bereik & effectiviteit Formeel borgen (inter)nationale samenwerking Versterken organisatorische en personele basis Samen Meer Bereik(en) voor een veilige en stabiele informatiesamenleving

Organisatieverandering Bundeling krachten GOVCERT.NL, NICC & NAVI Platformtaak (intermediair) CERT-taak Gericht op partijen met een vitaal belang

Actuele projecten ICT Response Board Oefeningen ICT verstoringen (Cyber Storm III) Nationaal Trendrapport Cybercrime

Strategie en ontwikkelingen Over Govcert.nl Strategie en ontwikkelingen Concept ICT Respons Board Over Govcert Producten en Diensten Strategie en ontwikkelingen ICT-respons Board Eerste Resultaten ICT Respons Board

filmpje

Nationale Veiligheid - ICT Programma Nationale veiligheid Thema ICT verstoring Weerbaarheid Respons Energie Capaciteitsadvies Elektriciteit en Telecom/ICT (CAET) Projectgroep ICT verstoringen Respons Respons ICT Werkconferentie ICT verstoringen Scenario’s ICT-verstoring Beleids-draaiboek ICT Respons Board Oefenen Nationale Crisis organisatie IRB GOVCERT IRB Capgemini

Noodzaak voor samenwerking Realistische keuzes en afwegingen Lacune tussen operationeel en strategisch niveau Gerichte aanpak bij grootschalige ICT-verstoringen Borging van communicatiestructuren technische mogelijkheden maatschappelijke doelen belangen mandaat

ICT Respons huidige situatie NCC DCC-EZ O-IRT-O LOCC NCO-t Govcert.nl Andere overheidspartijen THC-KLPD AIVD NCTb Andere private partijen KPN-CERT SurfCert

Concept ICT Respons Board (IRB) Bundeling van expertise (publiek en privaat) om bij een grootschalig ICT-incident of dreiging snel en deskundig te kunnen samenwerken, teneinde efficiënt en effectief te kunnen reageren op (potentiële) ICT-verstoringen

Principes ICT Respons Board Samenwerking van publiek en privaat Gebruikmakend van bestaande structuren, organisaties en overleggen Aansluiting bij vitale sectoren en crisisorganisaties Rijk Flexibel in opzet en structuur Inbreng advies IRB bij crisisorganisaties Rijk geborgd Respons, maar ook voorbereiding daartoe Vroegtijdig informatie verspreiden t.b.v. voorkoming

5 Kerntaken ICT Respons Board Monitoring Triage Advies Respons Coördinatie (nationaal en internationaal)

Flexibele opschaling Waakvlam monitoring triage Eerste mobilisatie advies respons Brede mobilisatie coördinatie respons

Meerwaarde Betere ingangen bij vitale sectoren en crisisorganisaties Betere informatievoorziening & besluitvorming Passende crisismaatregelen & communicatie Gecoördineerde respons op ICT-vlak Vroegtijdige informatie t.b.v. preparatie: voorkomen Betere bescherming van de samenleving tegen en het beperken van de impact van ICT-verstoringen & dreigingen.

Tijdslijn IRB 10 dec 2009: kick-off 8 febr: 1e workshop IRB - verkenning 8 maart: 2e workshop IRB – toetsing April: 3e workshop IRB - validatiesessie Eind april: oplevering eindrapport Daarna: Aanbieding aan 4DG-overleg Tijdslijn aanpassen!

Strategie en ontwikkelingen Over Govcert.nl Strategie en ontwikkelingen Concept ICT Respons Board Over Govcert Producten en Diensten Strategie en ontwikkelingen ICT-respons Board Eerste Resultaten ICT Respons Board

2 Werksessies Programma dag 1 Programma dag 2 Opening door sponsoren Kennisdeling over bestaande structuren Visievorming en contouren ICT Respons Board Uitwerking ICT Respons Board Resumé en openstaande punten Vervolgstappen Opening door sponsoren Brainstorm over type scenario’s Detail uitwerking van de stappen in een houtskool schets Resumé en openstaande punten Vervolgstappen Opzet InnovateNL Samenwerking staat centraal. Niet enkel binnen de ICT Respons Board, maar ook bij het ontwerp ervan. Doelstelling is met elkaar inventariseren van de uitgangspunten en wensen voor een ICT Respons Board.

Houtskoolschets IRB Incident Wachtdienst 1. Meldpunt 2. Wachtdienst Wanneer komt de IRB in actie? Monitoring Bij een dreigings(analyse) of incident. Zowel gevraagde als ongevraagde adviezen. Bij geen crisis: kennisuitwisseling over scenario’s en ontwikkelingen aangaande ICT-dreigingen. Bij crisis: te bepalen door ‘wachtdienst’ waarmee informatie wordt uitgewisseld. IRB komt periodiek bijeen. Omzetten specifieke informatie naar keuzes en handelingsperspectief. Levert advies naar crisisorganisatie Rijk over overheidsacties en naar sector over te nemen operationele acties. Wachtdienst Sectoren/overheid Melding en Alarmering 1. Meldpunt 2. Wachtdienst De experts bestaan uit een brede vertegenwoordiging van privaat en publieke partijen. 3. Experttoets 4. Opschaling Informeren Informeren Criteria voor activering Bij elkaar komen - Beeldvorming - Oordeelsvorming - (Besluitvorming) Mensenlevens in geding Nationaal belang Economisch belang Meer dan Sectoren > 3 Vitale sectoren geraakt Ontwrichting van de maatschappij Omvang binnen een sector = sector neemt initiatief Politieke druk Imago Risicoanalyse BO(B) Advies aan… Advisering Advies Sector Intersectoraal Nationaal Internationaal Respons Coördinatie Opvolging

Boodschap IRB De belangrijkste boodschap van het project IRB is dat we als publieke en private partijen alleen gezamenlijk aan de ICT-veiligheid van Nederland kunnen bijdragen en dat we die samenwerking nu concreet vormgeven in een IRB (co-creatie). Het ontwerp van een IRB is een nuttige versterking op de bestaande (crisis)structuren en betrokken instanties.

Douwe.Leguit@Govcert.nl - www.govcert.nl All in order to prevent this: All in order to prevent this ;-) Thank you very much for your attention. Douwe.Leguit@Govcert.nl - www.govcert.nl

Opmerkingen van andere partijen Hoe “waakvlamfunctie” in rustigere tijden in te vullen? Wanneer en welke incidenten worden aangemeld? Hoe geschiedt de eerste triage en wie doet dat? Wanneer wordt er opgeschaald en met wie? Hoe deelnemers IRB vrij te maken ten tijde van crisis? Hoe kan er gecommuniceerd worden ten tijde van crisis? Op welk moment wordt de verbinding gezocht met de bestaande crisisstructuren? Welk mandaat heeft de respons board t.a.v. coördinatie van IT-maatregelen? Hoe bestaande initiatieven her te gebruiken?