4 juli 2019

Een blik op de beveiligingsadviezen van het NCSC

In Nederland is het NCSC de centrale organisatie op het gebied van cyberveiligheid. Het ministerie van Justitie en Veiligheid heeft het CPB gevraagd kwantitatief onderzoek te doen naar de beveiligingsadviezen van deze organisatie.
No title

Een van de kerntaken van het NCSC is om te reageren op cyberdreigingen en incidenten die invloed kunnen hebben op de Rijksoverheid en vitale processen in Nederland. Een vitaal proces wordt gekenmerkt doordat uitval  ervan grote economische, fysieke of sociaal-maatschappelijke gevolgen kent. Het NCSC brengt onder andere beveiligingsadviezen uit om organisaties te waarschuwen voor bekende kwetsbaarheden om zo uitval te voorkomen. 

Het ministerie van JenV vroeg het CPB om kwantitatieve inzichten in de beveiligingsadviezen. Het verzoek was om in te gaan op:  

  • De ontwikkeling van het aantal adviezen
  • De risico-inschaling van de kwetsbaarheden
  • De vraag of een betrouwbare koppeling gelegd kan worden tussen beveiligingsadviezen en publiek bekende kwetsbaarheden.

Op basis van het  onderzoek concludeert het CPB onder meer dat er in de afgelopen jaren een redelijk grote toename is geweest in het aantal adviezen van het NCSC. Hiervan worden verreweg de meeste als medium-medium en medium-hoog geclassificeerd (waarschijnlijkheid-schade van misbruik). Slechts een beperkt aantal adviezen valt in de hoogste risicocategorie. Voor ongeveer 30 procent van de adviezen bestaan publiek bekende exploits. Een exploit is een programmeercode die erop is gericht om softwarekwetsbaarheden uit te buiten.

Contactpersonen

Lees meer over