NIS / Wbnis (cyber-security)

wikipedia.org:
Directive on Security of Network and Information Systems (the NIS Directive)
https://en.wikipedia.org/wiki/Cyber-security_regulation#NIS_Directive

NIS Directive in the European Union:
  1. Frequent assessment of detection and closing of security holes;
  2. Who comes in and do you have visibility?
  3. An effective response to incidents.

https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016L1148
https://nl.wikipedia.org/wiki/NIB-richtlijn

In Dutch in The Netherlands:

Wbnis wet:
  1. Regelmatige beoordeling van het opsporen en dichten van beveiligingsgaten;
  2. Wie komen er allemaal binnen en hebt u daar zicht op?
  3. Een doeltreffende reactie op incidenten.

Over reikwijdte voor kleine organisaties:
https://www.itgovernance.eu/nl-nl/nis-directive-nl

Wgmc: gold van 01-05-2018 t/m 08-11-2018:
Wet gegevensverwerking en meldplicht cybersecurity
Wbnis: geldt vanaf 09-11-2018:
Wet beveiliging netwerk- en informatiesystemen

Consultatie m.b.t. EU-richtlijn voor Rijksoverheid:
https://www.internetconsultatie.nl/cybersecuritywet/details

Publicatie in Staatsblad:
https://www.eerstekamer.nl/behandeling/20181108/publicatie_wet/document3/f=/vkt94dz0rkza.pdf

Aanspreekpunt Wbnis van Rijksoverheid: Nationaal Cyber Security Centrum (NCSC) https://www.ncsc.nl/

1. Aanzet tot analyse van een hostingprovider:

Het aantal klanten van hostingprovider Transip B.V. dat de AVG (privacy) en de Wbnis (cyber-security) interpreteert, is klein. Het aantal stemmen van klanten om een aanpassing te doen, is hiermee niet doorslaggevend. De ernst van een probleem moet ook de doorslag kunnen geven. Het bedieningspaneel van TransIP voldoet mijns inziens niet aan zogenaamde visibility van gebruik.

  1. Ideeën zijn, denk ik, gediend met de categorie Visibility / Bedieningspaneel. De directe gedachtewisseling tussen klanten en developers motiveert de partijen. De mensen van Support kunnen niet-routinematige meldingen minder goed analyseren;
  2. De categorie ‘Algemeen’ is een doolhof voor Support. Effectiever werken ‘Datacentra’, ‘Naamservers’ en vooral ‘Bedieningspaneel’ met subcategorieën: “Two factor authentication” (2FA), Extra gebruikers, Autorisatie van gebruikers, Domeingeschiedenis, DNS-geschiedenis, DNS-versleuteling. Herziening was gepland op middellange termijn;
  3. De domeingeschiedenis vraagt naar mijn mening om de details van de gebruiker van dat moment. Is een actie van eventuele hack wel te zien?
  4. “Two factor authentication” met behulp van SMS met extra gebruikers vraagt om gedegen ontwerp. Planning van een opleveringsdatum is nu nog niet mogelijk;
  5. De download/print-out knop op accountniveau toont de instellingen en de berichten/tickets. Dit vind ik een zeer positief punt.

Voor webdomeinen bestaan kaders met de EU-vereisten inzake Whois, en de ICANN richtlijnen, om gegevens verantwoord te onderhouden. Anonimisering van de verantwoordelijke persoon lijkt mij een heilloze weg. Hierbij lijkt mij de naam van de eigenaar meer van belang dan het straatadres.

2. Aanzet tot analyse van een overheid:

Website instellingen van onder meer de Gemeente Zutphen, kwamen op 16-10-2018 in landelijk nieuws. Na een aanbod voor hulp op 18-10-2018 aan het technische contactadres in Whois, wees de Gemeente Zutphen op 22-10-2018 wel naar Green Valley B.V.. Mijn e-mail op 02-11-2018 aan Support van Green Valley B.V. werd niet beantwoord.

Uiteenlopende tekortkomingen zijn inmiddels verholpen, zoals ongeldige instellingen voor DANE en SPF. Anderhalve maand later is de redirect van http://zutphen.nl/ naar https://zutphen.nl/ echter niet in orde. En de eigen naam van een ICT-beheerder is onnodig zichtbaar.

Verder laat Chrome met F12 een server error 500 in rood zien en een verwijzing met http binnen de website in geel (daarmee is de site ook niet helemaal secure). Firefox waarschuwt. Edge toont waarschuwingen, mogelijk false alarms, voor Content Security Policy (CSP).

3. Aanzet tot analyse van een testtool:

De state-of-the-art test op https://internet.nl/ maakt met de term “Mailserver (MX)” duidelijk dat deze test m.b.t. mailservers beperkt tot inkomende mail. De webserver zelf als uitgaande mailserver heeft gewoonlijk te weinig reputatie opgebouwd om e-mail overal door een spamfilter te krijgen.

Een duidelijke test als https://mecsa.jrc.ec.europa.eu/ van de Europese Commissie, benoemt en valideert voor MX en uitgaand (outbound) e-mailverkeer afzonderlijk. Internet.nl laat overigens op GitHub zien dat ‘two-way’ in beta is.

Uitgaand e-mailverkeer verschuift al langere tijd naar mailservices met hoge e-mail aantallen. Spamfiltering voor inkomende e-mail verschuift naar afzonderlijke MX mailservers. Hoe een spamfilter presteert, is niet eenvoudig te testen. Kies bijvoorbeeld https://freedom.nl/, het alternatief dat wordt ontwikkeld voor https://xs4all.nl, zodat u de maximale spamscore voor e-mail kunt wijzigen.