onderzoeksrapport "Cyberweerbaarheid binnen gemeentegrenzen Uitwerking van het Bestuurlijk Convenant Digitale Veiligheid Gemeenten en het Rijk" Kamerbrief d.d. #2025/12/15, rapport is van #2025/08/09 onder verantw MinBZK
Downloaded Zotero: CYBERWEERBAARHEID BINNEN GEMEENTEGRENZEN in Zotero
Daarin staat uitgewerkt welke acties er vanuit het Rijk en de gemeenten op dit moment al lopen. Ook staat erin beschreven wat de inzet is voor de komende tijd.
Rapport geeft actielijst bestaande interventies. Doornemen
digitale veiligheid in 4 aandachtsgebieden voor gemeenten: de interne digitale veiligheid; ontwrichting binnen gemeentegrenzen als gevolg van een cyberincident; cybercrime en gedigitaliseerde criminaliteit; online aangejaagde openbare-ordeverstoringen.
Vraagstukken gegroepeerd in deze 4 clusters. Waar zou hybride aanval tbv staatsactor vallen? Cluster 1?
digitale incidenten zich anders ontwikkelen dan fysieke incidenten. Het gaat sneller, grensoverschrijdend en is minder zichtbaar.
duh. Cyberincidenten zijn haast per def internationaal, moet je actief op alert. Je kunt niet wachten tot gevolgen zichtbaar zijn. Dreiging ontwikkelt zich veel sneller dan zichtbaarheid
schetst een beeld van de uitdagingen voor gemeenten op gebied van digitale veiligheid. En laat zien hoe verantwoordelijkheden en rollen binnen gemeenten zijn verdeeld.
focus op cybersec, en hoe rollen en responsibilities verdeeld zijn
Dit rapport is samen met een brief aan de Tweede Kamer aangeboden
Naar TK gestuurd
onderzoeksrapport gemeenten 'cyberlandschap'
Sandgrain website. unique ID for chips, verified in a secured cloud enviro. Focus on IoT devices.
erst bij elektriciteitsnetwerken, zoals netbeheerder Tennet. Transformatorhuisjes worden aangestuurd via internetverbindingen en die zijn kwetsbaar
First area of application is Dutch electricity network. Ask S.K.?
Er zijn andere manieren om hardware een eigen nummer te geven, zoals de PUF (physical unclonable function) in een chipontwerp. PUF-codes worden niet ingeëtst, maar zijn gebaseerd op een statistisch sommetje in het chipontwerp.
It is not PUF, which is on chip, and sensitive to environmental factors, as well as taking space on the wafer.
Unieke chips helpen de schade te beperken. Het toevoegen van zo’n nummer hoeft niet veel te kosten: dat kan in een later stadium van de chipproductie met goedkope apparatuur.
the ID is added after the hightech productionphase making it affordable.
De controle van de identificatie vindt plaats op een streng beveiligde server en daarbij worden geen sleutels uitgewisseld, zoals bij gangbare beveiliging. Niemand in de hele productieketen kent de sleutel, ook voor SandGrain is het een geheim. Zelfs al zouden criminelen het systeem weten te omzeilen – wat volgens de SandGrainers niet kan – dan hebben ze toegang tot maar één apparaat. Dat maakt het veel ingewikkelder om een volledig netwerk te saboteren.
Sandgrain is key less and zero-K. ID is done through a (central?) server though.
Circumventing it gains access to just one device, not all devices that use the same chip.
Het principe is simpel: een chip met een uniek nummer bewaakt de toegang tot de achterliggende elektronica. Alleen als dat nummer wordt herkend, krijgt de gebruiker toegang tot het systee
The ID serves as a gatekeeper for access to the system it is used in.
Een nieuw Nederlands initiatief werkt aan chips met een uniek nummer, die als een slot op de deur dienen voor elektronica in cruciale infrastructuur.
SandGrain (Eindhovense spinoff, Joeri Voets en Sander Koopmans) provides every chip with a unique ID.
open source dependencies as supply chain risk and attack surface, vs how, here Obsidian mitigates against them: - reimplement small functions directly in your own code - fork modules and maintain as own code base - large libraries include version locked files - strongly limit the 3rd party packages that ship in your code to others
For those lockfiled dependencies have a process for updates (and for onboarding a new one), and don't quickly update what already works. Use time as a buffer: issues with 3rd party stuff will surface over time.
Conclusie jaarrapport: kijk naar digi en cybersec op bestuursniveau. Raakt aan [[Bestuurlijke zaken data centraler 20201029094001]]
99% of businesses that fall below the enterprise poverty line.
This SME focused cybersecurity company called Huntress in their position offer mention an 'enterprise poverty line' for cybersecurity. In the Mastodon message announcing it they call it 'the cybersecurity poverty line'. Meaning a Coasean floor [[Vloer en plafond van organiseren 20080307115436]] I assume?