OPTA neemt uitgifteproces Diginotar-certificaten onder de loep
Telecomwaakhond OPTA heeft naar aanleiding van het DigiNotar-debacle een spoedonderzoek ingelast naar de manier waarop DigiNotar PKIoverheid-certificaten heeft uitgegeven. De resultaten hiervan worden op korte termijn verwacht.
In Nederland zijn diverse partijen die zogenoemde gekwalificeerde certificaten mogen uitdelen, waaronder DigiNotar. De OPTA is belast met het toezicht op de Nederlandse markt voor deze elektronische handtekeningen. Eerder uitgevoerde onderzoeken gaven echter geen aanleiding tot bezorgdheid over de manier waarop PKIoverheid-certificaten werden uitgegeven.
De OPTA is nu een onderzoek gestart om te kijken op welke manier deze certificaten zijn uitgegeven. Een van de opties is dat DigiNotar niet de juiste procedures of beveiligingsrichtlijnen heeft gevolgd. Dit zou opmerkelijk zijn omdat de Telecomwet voorschrijft dat er minstens één keer per jaar een externe audit moet worden uitgevoerd bij partijen als DigiNotar. Deze audits worden uitgevoerd door PwC of BSI
De laatste audit bij DigiNotar is in november vorig jaar uitgevoerd. Volgens de OPTA gaf de laatste rapportage, die ook aan de telecomwaakhond is gestuurd, geen aanleiding tot een nader onderzoek. De onderzoekers worden vooral geacht te kijken naar processen, systemen en mensen tijdens dergelijke audits.
"We hebben informatie gevorderd bij de betrokken partijen, zoals de auditers en DigiNotar", aldus een zegsvrouw van de OPTA tegenover Tweakers.net. "Hoe kan het dat op basis van die audits alles daar in orde is en dat in de praktijk blijkt dat er bij DigiNotar een heleboel juist niet op orde is? Dit was voor ons aanleiding om informatie te vorderen."
De OPTA zal het door Fox-IT uitgevoerde onderzoek gebruiken voor het eigen onderzoek. De onderzoekers van Fox-IT constateerden onder meer dat er geen antivirussoftware op de onderzochte servers was geïnstalleerd. De servers die werden gebruikt voor het ondertekenen van certificaten zouden zich in hetzelfde Windows-domein hebben bevonden; daardoor was het ontfutselen van één wachtwoord genoeg om alle servers te kraken. De gebruikte wachtwoorden bleken ook veel te simpel. Bovendien waren de servers over het netwerk te benaderen vanaf pc's van medewerkers, terwijl dat niet mag. Er was wel een systeem in werking dat inbraken op het netwerk moest opsporen, maar dit bleek niet effectief.
Update 16.30 - Artikel iets aangepast. OPTA benadrukt dat DigiNotar onderwerp van het onderzoek is en niet de auditers zelf.
Reacties (71)
Ik vraag me af wie het allemaal gaat vergoeden. Wij hebben ook een 10 tal certificaten onmiddelijk moeten vervangen wat toch enkele 1000en euro's kost. Verwacht dat er duidelijkheid komt wie hier garant voor staat.
Wij hebben er meer dan 100... Certificaten en dongels...
Ik denk dat je dat als bedrijf zelf mag betalen, tenzij je het van DigiNotar terug kunt vorderen vanwege wanprestaties... Echter gok ik dat ze daar nu al zo'n 1000 claims te pakken hebben, en als er 1% toegewezen wordt, zijn ze al ongeveer failliet.
Heb je daar geen verzekering voor en een rechtsbijstand in geval van een rechtzaak om deze kosten te verhalen?
Je gaat een overeenkomst aan met een bedrijf, dit bedrijf houdt zich niet aan de betreffende overeenkomst (denk ik, als er in de overeenkomst iets stond waarbij ze zich vrijpleiten voor dergelijke gevallen dan denk ik dat je als bedrijfzijnde slecht hebt gehandeld deze overeenkomst aan te gaan), dus moeten de kosten die je daardoor hebt opgelopen vergoed worden.
Je gaat een overeenkomst aan met een bedrijf, dit bedrijf houdt zich niet aan de betreffende overeenkomst (denk ik, als er in de overeenkomst iets stond waarbij ze zich vrijpleiten voor dergelijke gevallen dan denk ik dat je als bedrijfzijnde slecht hebt gehandeld deze overeenkomst aan te gaan), dus moeten de kosten die je daardoor hebt opgelopen vergoed worden.
Dat soort constructies vind je onder andere in de bouw - en wordt aangeduid met de term 'bankgarantie'.
Stel een opdrachtgever vraagt aan de aannemer om een verbouwing van bv. een kade. Als dat werk te laat wordt opgeleverd, dan lijdt de opdrachtgever schade - personeel dat moet laden en lossen heeft niets te doen, schepen moeten uitwijken enz. De opdrachtgever wil zich dus verzekeren.
Welnu: voor aanvang van het werk geeft de aannemer aan de opdrachtgever een bankgarantie. Mocht het inderdaad misgaan dan heeft de opdrachtgever dus die bankgarantie en hij kan dus altijd het geld krijgen, mocht hij in de tussentijd failliet gaan dan kan de curator daar niet aankomen.
Het spreekt voor zich dat zulke constructies bijzonder kostenverhogend werken.
Stel een opdrachtgever vraagt aan de aannemer om een verbouwing van bv. een kade. Als dat werk te laat wordt opgeleverd, dan lijdt de opdrachtgever schade - personeel dat moet laden en lossen heeft niets te doen, schepen moeten uitwijken enz. De opdrachtgever wil zich dus verzekeren.
Welnu: voor aanvang van het werk geeft de aannemer aan de opdrachtgever een bankgarantie. Mocht het inderdaad misgaan dan heeft de opdrachtgever dus die bankgarantie en hij kan dus altijd het geld krijgen, mocht hij in de tussentijd failliet gaan dan kan de curator daar niet aankomen.
Het spreekt voor zich dat zulke constructies bijzonder kostenverhogend werken.
DigiNotar is de Nederlandse tak van het Amerikaanse concern VASCO. Volgens het kasstroomoverzicht uit de jaarverslag van het jaar 2010 had VASCO aan het eind van 2010 ca. $85,5 miljoen in liquide middelen. Daarnaast maakt het bedrijf de laatste jaren een flinke groei door, zie ook de Consolidated Statement of Cash Flow. (pag. F-7).
Om maar even aan te geven dat het bedrijf redelijk liquide is, en de claims zich voornamelijk zullen beperken tot Nederland.
Of er daadwerkelijk sprake is van wanprestatie, daar zal de rechter zich over moeten buigen. Mijn opvatting is dat een certificate authority haar vertrouwen en geloofwaardig kwijt is na een dergelijke misstap. En een fatsoenlijke advocaat zal dit ook zeker hard kunnen maken voor de rechter, maar de kans op een volledige terugbetaling acht ik vrij klein. Een terugbetaling geschiedt dan naar 'redelijkheid en billijkheid' waarbij men bv. aanspraak zou kunnen maken op een bepaald percentage van de aanschafprijs. Waarbij bv. van belang kan zijn hoe lang men het certificaat al heeft.
Om maar even aan te geven dat het bedrijf redelijk liquide is, en de claims zich voornamelijk zullen beperken tot Nederland.
Of er daadwerkelijk sprake is van wanprestatie, daar zal de rechter zich over moeten buigen. Mijn opvatting is dat een certificate authority haar vertrouwen en geloofwaardig kwijt is na een dergelijke misstap. En een fatsoenlijke advocaat zal dit ook zeker hard kunnen maken voor de rechter, maar de kans op een volledige terugbetaling acht ik vrij klein. Een terugbetaling geschiedt dan naar 'redelijkheid en billijkheid' waarbij men bv. aanspraak zou kunnen maken op een bepaald percentage van de aanschafprijs. Waarbij bv. van belang kan zijn hoe lang men het certificaat al heeft.
[Reactie gewijzigd door -Tom op woensdag 7 september 2011 19:09]
De liquiditeit van VASCO staat los van de liquiditeit van DigiNotar. Tenzijn uitdrukkelijk kan worden bewezen dat VASCO schuldig aan wan beleid door de directie kan VASCO niet aansprakelijk worden gesteld voor DigiNotar. Of te wel, mochten er een hele boel claims komen dan kan VASCO DigiNotar failliet laten verklaren en zelf verder geen kosten te hebben aan schade claims.
Overigens is het bewijzen van wan prestatie zeer moeilijk en komt in Nederland alleen in zeer uitzonderlijke situaties voor. De kans dat dit zo is bij DigiNotar is uiterst klein, kijk bv naar de audits die zijn uitgevoerd e.d.
Overigens is het bewijzen van wan prestatie zeer moeilijk en komt in Nederland alleen in zeer uitzonderlijke situaties voor. De kans dat dit zo is bij DigiNotar is uiterst klein, kijk bv naar de audits die zijn uitgevoerd e.d.
Het bewijzen van wanprestatie (tekortkoming in de nakoming) is helemaal niet moeilijk en komt in Nederland vaak voor. Natuurlijk is dit wanprestatie.
Zoals xavierk al zegt, wanprestatie komt - helaas - maar al te vaak voor. Wanprestatie is een tekortkoming in de nakoming. Hierbij kun je denken aan klant die zijn rekening niet (tijdig) voldoet, een geleverde bank, die naar maatstaven van redelijkheid en billijkheid, totaal niet de kwaliteit levert die men kan verwachten of de huurbaas die weigert een kapotte CV ketel te (laten) herstellen. De wederpartij kan dan het volgende eisen:
- Nakoming van de overeenkomst ex. 6:74 BW
- Schadevergoeding ex. 6:85 e.v. BW
- Ontbinding van de overeenkomst ex. 6:265 e.v. BW
Ga maar eens na hoeveel zaken er aangespannen worden op grond van wanprestatie. De bewijslast zal in deze zaak inderdaad een stuk gecompliceerder liggen in het geval van DigiNotar / VASCO, maar een bedrijf wat, gezien de kennis die ze in huis (zouden moeten) hebben, niet zeer correct gehandeld heeft, kan zeker (deels) aansprakelijk gesteld worden voor de schade, wat zich uit in de 'onbruikbaarheid' van de certificaten van DigiNotar.
- Nakoming van de overeenkomst ex. 6:74 BW
- Schadevergoeding ex. 6:85 e.v. BW
- Ontbinding van de overeenkomst ex. 6:265 e.v. BW
Ga maar eens na hoeveel zaken er aangespannen worden op grond van wanprestatie. De bewijslast zal in deze zaak inderdaad een stuk gecompliceerder liggen in het geval van DigiNotar / VASCO, maar een bedrijf wat, gezien de kennis die ze in huis (zouden moeten) hebben, niet zeer correct gehandeld heeft, kan zeker (deels) aansprakelijk gesteld worden voor de schade, wat zich uit in de 'onbruikbaarheid' van de certificaten van DigiNotar.
Dat zou moeten zijn Diginotar en/of PWC.
Maar ik neem aan de de eerste zo ongeveer failliet is en de tweede zich verschuild achter het feit dat het duidelijk alleen een papieren controle was.
Maar ik neem aan de de eerste zo ongeveer failliet is en de tweede zich verschuild achter het feit dat het duidelijk alleen een papieren controle was.
[Reactie gewijzigd door _root op woensdag 7 september 2011 16:24]
Niet een papieren controle. Maar controles als door WPC controleren of alles wat GOED moet zijn, ook GOED is. Niet of wat er FOUT zou kunnen zien, fout is.
Als er volgens de procedure of bij een certificaat-uitgifte een handtekening hoort, controleert PWC of die handtekening er is. Niet of de persoon die die handtekening heeft gezet, ook daadwerkelijk is wie hij is (want dat staat niet in de procedure)
Als er volgens de procedure of bij een certificaat-uitgifte een handtekening hoort, controleert PWC of die handtekening er is. Niet of de persoon die die handtekening heeft gezet, ook daadwerkelijk is wie hij is (want dat staat niet in de procedure)
[Reactie gewijzigd door tes_shavon op woensdag 7 september 2011 16:10]
Mwah, zo snel gaat het niet failliet, ze zijn net overgenomen door Vasco 
.
.
Ik zie niet helemaal hoe jij bij PWC kan gaan claimen. Jij doet zaken met DigiNotar, en die hebben de boel verprutst. Dus ga je bij DigiNotar claimen. De enige die bij PWC zou kunnen claimen is DigiNotar zélf. Zij betalen PWC immers voor een dienst (externe audits kosten een verbazingwekkende hoop geld) waarvan achteraf het vermoeden bestaat dat die niets waard is.
Merk op dat ik aangeef dat er het vermoeden is dat dit niet goed zit - het is nog maar de vraag of de audits zoals die uitgevoerd zijn, dit überhaupt ooit hadden kunnen oppikken. Daar zijn immers ook gewoon protocollen voor die gevolgd worden, en als er tijdens de audit geen afwijkingen ten opzichte van die protocollen kunnen worden geconstateerd, dan is alles dus - wat de auditor betreft - in orde.
Merk op dat ik aangeef dat er het vermoeden is dat dit niet goed zit - het is nog maar de vraag of de audits zoals die uitgevoerd zijn, dit überhaupt ooit hadden kunnen oppikken. Daar zijn immers ook gewoon protocollen voor die gevolgd worden, en als er tijdens de audit geen afwijkingen ten opzichte van die protocollen kunnen worden geconstateerd, dan is alles dus - wat de auditor betreft - in orde.
Ik weet niet wat die audit van PWC precies allemaal inhoudt, maar ik had in de tijd dat ik het handige buurjongetje was een klant die op een gegeven moment dusdanig veel werknemers kreeg dat er een vragenformulier ingevuld moest worden, ook op het gebied van systeembeheer. Dan werd mij gevraagd "hoe gaan we dit invullen, wat zullen we hier neerzetten". Vervolgens wordt dat formulier ingeleverd, wordt er een rapport gemaakt en that's it. Nooit iemand over de vloer geweest, puur op basis van wat de directie van het bedrijf zelf ingevuld heeft.
Wat dat betreft zijn er een aantal mogelijkheden:
- DigiNotar heeft een papieren audit gehad die ze zelf "naar waarheid" moesten invullen. Uiteraard vul je die niet naar waarheid in want je wilt je bedrijf verkopen aan Vasco.
- DigiNotar heeft PWC betaald om een positief audit-resultaat te laten maken
- PWC heeft helemaal niet naar de techniek gekeken, maar de audit op basis van andere punten gedaan
Ik denk dat in geen van deze gevallen DigiNotar bij PWC kan aankloppen voor een schadeclaim. De enige die kan aankloppen bij PWC zijn de instellingen die een audit vereisen, de rest komt allemaal terecht op de verantwoordelijkheid van DigiNotar.
Wat dat betreft zijn er een aantal mogelijkheden:
- DigiNotar heeft een papieren audit gehad die ze zelf "naar waarheid" moesten invullen. Uiteraard vul je die niet naar waarheid in want je wilt je bedrijf verkopen aan Vasco.
- DigiNotar heeft PWC betaald om een positief audit-resultaat te laten maken
- PWC heeft helemaal niet naar de techniek gekeken, maar de audit op basis van andere punten gedaan
Ik denk dat in geen van deze gevallen DigiNotar bij PWC kan aankloppen voor een schadeclaim. De enige die kan aankloppen bij PWC zijn de instellingen die een audit vereisen, de rest komt allemaal terecht op de verantwoordelijkheid van DigiNotar.
PWC controleer bij een audit alleen de procedures e.d. PWC heeft echter zelf niet bepaald verstand van ICT zaken dus of de techniek achter alles daadwerkelijk klopt en veilig is kunnen ze niet weten. Hun audit is gebasseerd op worden de regels gevolgd en wordt alles juist geregistreerd e.d.
Daarnaast zal je PWC nooit aansprakelijk kunnen stellen voor dergelijke zaken, zelfs niet als blijkt dat ze betaald zijn door DigiNotar om een positief resultaat te geven.
Daarnaast zal je PWC nooit aansprakelijk kunnen stellen voor dergelijke zaken, zelfs niet als blijkt dat ze betaald zijn door DigiNotar om een positief resultaat te geven.
En terecht. Dit was niet de eerste keer dat DigiNotar in de fout schiet. In 2004 hadden ze ook al een akkefietje. Blijkbaar niets van geleerd 
Tja, ook in het geval van de bankencrisis (Lehman Brothers, Bear Stearns, en Enron) is al gebleken dat de auditors enorme steken hebben laten vallen.. Het zou dus interessant zijn als ook PwC eindelijk eens op de vingers werd getikt.
Inderdaad, er zijn al eerder accountants- en auditbedrijven failliet gegaan omdat ze een stempel "GOED" hebben gedrukt op een bedrijf dat later falikant fout bleek te opereren.
Dit gaat PwC in ieder geval goodwill en inkomsten kosten
Dit gaat PwC in ieder geval goodwill en inkomsten kosten
Denk je echt dat PwC hier iets van gaat merken? Dit bedrijf is te groot en met een beetje geluk was het deze ronde niet eens PwC maar BSI die de controle uitvoerde. Als het al blijkt dat PwC hier steken heeft laten vallen dan zullen zij op z'n best een aantal junior en een lastige senior auditor buiten zetten en dan roepen we hebben schoon schip gemaakt dit gaat niet meer gebeuren. En dan is het simpel weg al lang weer over gewaaid.
De enige die hier echt iets van merkt zijn de mensen die voor DigiNotar werkten en niets met de beveiliging te maken hadden die hebben dankzij een paar incompetente luie en domme collega's in middels hun baan verloren en kunnen nu op zoek naar iets anders in deze geweldige booming economie...
Ik zou denk ik toch even een bedankje sturen naar mijn oud collega's omdat ik zo blij ben met de manier waarop ze hun werk deden.
De enige die hier echt iets van merkt zijn de mensen die voor DigiNotar werkten en niets met de beveiliging te maken hadden die hebben dankzij een paar incompetente luie en domme collega's in middels hun baan verloren en kunnen nu op zoek naar iets anders in deze geweldige booming economie...
Ik zou denk ik toch even een bedankje sturen naar mijn oud collega's omdat ik zo blij ben met de manier waarop ze hun werk deden.
- KPMG (audot) heeft nav het Lernout&Hauspie debacle in België toch een pak meer moeite moeten doen om vacatures in te vullen.
- Arthur & Andersen heeft de boeken toch gesloten toen bleek dat ze geholpen hadden bij het vervalsen van de boekhouding bij Enron. De consulting tak heeft nu Accenture (Accent on the future), de audit tak is afgeslankt van 10'000en naar 200 in de VS, die de rechtzaken opvolgen.
Een consultingbedrijf kan je dus zeker mee aansprakelijk stellen en kan daar behoorlijk gehavend uit komen. Dit lijken me behoorlijk slechte punten voor PwC.
- Arthur & Andersen heeft de boeken toch gesloten toen bleek dat ze geholpen hadden bij het vervalsen van de boekhouding bij Enron. De consulting tak heeft nu Accenture (Accent on the future), de audit tak is afgeslankt van 10'000en naar 200 in de VS, die de rechtzaken opvolgen.
Een consultingbedrijf kan je dus zeker mee aansprakelijk stellen en kan daar behoorlijk gehavend uit komen. Dit lijken me behoorlijk slechte punten voor PwC.
Accenture was net voor de Enron affaire al afgesplitst. Andersen is aan het schandaal ten onder gegaan.
Dat kan je pas zeggen als je de scope van de audit weet, als er alleen gekeken werd of de licenties goed aangemaakt werden, klopt de audit.
Precies. Fox-IT heeft een technisch onderzoek gedaan naar de informatiesystemen. Ze hebben niet gekeken naar de procedures e.d. oftewel de papierwinkel. Als een auditor zoals PwC en BSI alleen maar naar de procedures e.d. (de papierwinkel) hebben gekeken is het niet zo gek dat ze de problemen met de informatiesystemen niet hebben weten te vinden. Dan moet je een heel ander soort discussie en onderzoek gaan houden want wie is er dan verantwoordelijk? Is het de OPTA zelf die alleen maar zo'n procedurele audit laat doen of was dit vrijelijk in te vullen omdat het niet gespecificeerd werd door de OPTA? Of hebben PwC/BSI verzaakt door technisch onderzoek achterwege te laten (om wat voor reden dan ook)?
We moeten niet vergeten dat dit PwC en BSI bedrijven zijn die uit de wereld van accountancy, management en administratief komen en juist helemaal niet uit de technische wereld die ICT heet. Bij Fox-IT is het precies andersom. Dat alleen al kan de andere zienswijze en het verschil in onderzoeken verklaren. Vandaar dat je ook beter eerst kunt kijken naar de scope van de audit en wie die scope heeft bedacht.
We moeten niet vergeten dat dit PwC en BSI bedrijven zijn die uit de wereld van accountancy, management en administratief komen en juist helemaal niet uit de technische wereld die ICT heet. Bij Fox-IT is het precies andersom. Dat alleen al kan de andere zienswijze en het verschil in onderzoeken verklaren. Vandaar dat je ook beter eerst kunt kijken naar de scope van de audit en wie die scope heeft bedacht.
Inderdaad, blijkbaar is deze audit wel goed uitgevoerd alleen is de scope niet toereikend.Dat kan je pas zeggen als je de scope van de audit weet, als er alleen gekeken werd of de licenties goed aangemaakt werden, klopt de audit.
Dus wie is er hier nu schuldig, de OPTA of DigiNotar? De OPTA heeft immers ook lopen slapen:
"Volgens de OPTA gaf de laatste rapportage, die ook aan de telecomwaakhond is gestuurd, geen aanleiding tot een nader onderzoek."
Wat mij altijd blijft verbijsteren is dat het bedrijf een paar weken van te voren te horen krijgen dat er een audit komt; en wat de aandachtsgebieden deze keer zullen zijn.
Vaak zat meegemaakt;
Jongens; morgen komt de auditor langs; zorgen jullie dat het er allemaal goed uitziet?
Dan snel met z'n allen even de sh*t opbergen en zo ; even het stempeltje krijgen; en daarna gewoon weer verder kunnen klooien..
Welcome to the REAL world...
Vaak zat meegemaakt;
Jongens; morgen komt de auditor langs; zorgen jullie dat het er allemaal goed uitziet?
Dan snel met z'n allen even de sh*t opbergen en zo ; even het stempeltje krijgen; en daarna gewoon weer verder kunnen klooien..
Welcome to the REAL world...
BSA toch net zo? BSA stuurt brieven dat ze in de regio gaan controleren, alle illegale software wordt van de PCs gehaald (soms zelfs verplaatst naar een U3 stick), om vervolgens een paar weken later de hele zooi weer te installeren.
BSA is makkelijker, die moet je gewoon niet binnenlaten. Lijkt me nogal tijd en geldverspilling als je dat wel doet. Verder als je ze binnenlaat, je bezorgt dat bedrijf een risico (mogelijk licentie niet ok) zonder duidelijke reden.
Wees blij dat het zo gaat. Het zou toch wat zijn als jan en alleman je toko binnenkomt stormen en jij maar even mee hebt te werken anders raak je dat mooie keurmerkje kwijt (en in bepaalde sectoren betekent dat je dan ook je business kwijt bent omdat sommige bedrijven de belachelijke eis stellen dat je een keurmerk of lidmaatschap van een of andere organisatie moet hebben hoe vaag die ook moge zijn). Hier speelt privacy dus ook een belangrijke rol. Daarbij zul je een balans moeten vinden tussen een goede audit en goede privacy van het bedrijf waar je de audit gaat doen.
Er zit ook een praktisch voordeel aan: bedrijf kan mensen terughalen waardoor de mensen die je nodig hebt om je audit uit te voeren ook aanwezig zijn. Handig bij de vakanties, zeker nu scholen e.d. dat steeds meer zelf mogen bepalen. Ik vind dat je dit ook alleen moet zien als een bijkomstigheid, niet als reden om je audit vooraf aan te kondigen omdat je het bedrijf daarmee wel de kans geeft om het een en ander nog op orde te brengen. Hierbij moet je echter ook wel opmerken dat een goede audit hier wel doorheen zal prikken en je bepaalde zaken ook niet binnen een week of 2 (of zelfs een maand) weg kunt moffelen. Het moet ook allemaal uit dingen als dossiers en andere documenten sinds de vorige audit blijken. Daar zit vaak al een jaar of langer tussen en om dat werk nou eventjes in een maand opnieuw te doen...
Er zit ook een praktisch voordeel aan: bedrijf kan mensen terughalen waardoor de mensen die je nodig hebt om je audit uit te voeren ook aanwezig zijn. Handig bij de vakanties, zeker nu scholen e.d. dat steeds meer zelf mogen bepalen. Ik vind dat je dit ook alleen moet zien als een bijkomstigheid, niet als reden om je audit vooraf aan te kondigen omdat je het bedrijf daarmee wel de kans geeft om het een en ander nog op orde te brengen. Hierbij moet je echter ook wel opmerken dat een goede audit hier wel doorheen zal prikken en je bepaalde zaken ook niet binnen een week of 2 (of zelfs een maand) weg kunt moffelen. Het moet ook allemaal uit dingen als dossiers en andere documenten sinds de vorige audit blijken. Daar zit vaak al een jaar of langer tussen en om dat werk nou eventjes in een maand opnieuw te doen...
Geen virusscanners, vind het gewoon te grappig voor woorden.
Als zon bedrijf basis fouten gaat maken is het wel heel erg gesteld.
Als zon bedrijf basis fouten gaat maken is het wel heel erg gesteld.
Zo'n bedrijf zou ook geen virusscanner nodig moeten hebben. Een virusscanner zou sowieso niet geholpen hebben als ze echt zo'n simpel admin wachtwoord gebruikte.
Geen virusscanner is nog te verantwoorden als de boel op Unix ofzo draaide (hoewel je daar ook wilt controleren op ongewenste code), maar inderdaad, de beveiliging hier laat wel gruwelijk te wensen over. Zelfs m'n thuisbakken zijn nog beter beveiligd, en ik ben niet eens een bedrijf, laat staan een met gevoelige gegevens...
Vraag me ook af wat die controle precies inhield, wellicht alleen een gesprekje met een managert, en een kijkje of ze wel echte servers hadden staan... Wat erop draaide is dan al niet eens meer bekeken.
Vraag me ook af wat die controle precies inhield, wellicht alleen een gesprekje met een managert, en een kijkje of ze wel echte servers hadden staan... Wat erop draaide is dan al niet eens meer bekeken.
Hoezo is de afwezigheid van een virusscanner te verantwoorden als er Unix drraait? Er zijn al sinds de jaren tachtig wormen en virussen op Unix. Misschien bedoel je dat Unix systemen per definitie onbelangrijk zijn zodat een virus nooit invloed op de bedrijfsvoering kan hebben? Weinigen zullen het daarmee eens zijn.
Bron?
Ik moet de eerste virussen voor Linux en Unix nog zien
Rootkits en trojans zijn er wel inderdaad.
Ik moet de eerste virussen voor Linux en Unix nog zien
Rootkits en trojans zijn er wel inderdaad.
In 1988 ging internet plat omdat 10% van alle computers was geinfecteerd door...
http://en.wikipedia.org/wiki/Morris_worm
En er waren er meer, in die tijd was het gebruikelijk dat alle Unix sources op de computer stronden - voor eventuele kernel-hercompilaties. Welnu, er was ook een worm/virus dat zich beschermde door die sources aan te passen.
http://en.wikipedia.org/wiki/Morris_worm
En er waren er meer, in die tijd was het gebruikelijk dat alle Unix sources op de computer stronden - voor eventuele kernel-hercompilaties. Welnu, er was ook een worm/virus dat zich beschermde door die sources aan te passen.
Ik begrijp uberhaupt niet waarom het een probleem is dat een bedrijf geen virusscanner gebruikt. Een goede firewall is toch veel belangrijker? Hiermee houdt je al een grote deel van de troep buiten.
Ik vraag me ook af welke emailsysteem ze gebruikten. De meeste grote emailsystemen hebben al een antivirus/antispam ingebouwd.
Ik vraag me ook af welke emailsysteem ze gebruikten. De meeste grote emailsystemen hebben al een antivirus/antispam ingebouwd.
in een CA setting kun je bestanden uploaden, die bestanden wil je kunnen controleren op virussen en andere ellende. Niet dat je dat even goed zal lukken, maar iedere controlle stap is er eentje.Een goede firewall is toch veel belangrijker? Hiermee houdt je al een grote deel van de troep buiten.
Meer lagen van beveiliging is altijd beter, en zoals ik al aangeef: als je een bestand kunt uploaden (noodzakelijk voor het aanvragen van certificaten), ben je al voorbij de firewall.
Veel erger nog vind ik dat ik in het rapportje van Fox-IT zie staan dat de publieke webservers niet up to date zijn en dat daat de recente security patches ontbreken.Geen virusscanners, vind het gewoon te grappig voor woorden
En dat voor een bedrijf warvan de webserver al een keer zijn gedefaced. Die zouden toch beter moeten weten.
Ongepachte webservers zijn toch voor een security firma sowieso onacceptabel.
Het lijkt me dat dat Diginotar zelf is. Die is in dit geval gewoon fout.
Laat Diginotar het maar op de hacker(s) verhalen. (veel succes daarmee)...
Laat Diginotar het maar op de hacker(s) verhalen. (veel succes daarmee)...
Misschien hebben ze daar wel een verzekering voor?
Als een pyromaan mijn huis in brand steekt, kan ik de schade ook verhalen op de pyromaan. Als de pyromaan gevonden wordt, zal ie waarschijnlijk niet genoeg geld hebben om mijn huis terug recht te zetten, mijn verzekering zal toch betalen voor een nieuw huis. Idem dito als ze de pyromaan niet vinden.
In de VS & UK kan je u verzekeren tegen de meest absurde zaken: UFO aanvallen, .... Dus waarom zou je u niet kunnen verzekeren tegen bedrijfsschade of -claims nav hacking? Je kan u ook verzekeren tegen het weer...
Als een pyromaan mijn huis in brand steekt, kan ik de schade ook verhalen op de pyromaan. Als de pyromaan gevonden wordt, zal ie waarschijnlijk niet genoeg geld hebben om mijn huis terug recht te zetten, mijn verzekering zal toch betalen voor een nieuw huis. Idem dito als ze de pyromaan niet vinden.
In de VS & UK kan je u verzekeren tegen de meest absurde zaken: UFO aanvallen, .... Dus waarom zou je u niet kunnen verzekeren tegen bedrijfsschade of -claims nav hacking? Je kan u ook verzekeren tegen het weer...
Tegen dingen die buiten je macht liggen kan je je verzekeren. Tegen je eigen wanprestaties kan je je niet verzekeren...
All-Risk autoverzekering ? 
Niet helemaal waar want iedereen heeft een WA verzekering. Die is juist bedoelt voor je eigen wanprestatie (jij maakt iets stuk van een ander). Bij bedrijven heb je dat soort dingen ook, bijv. bij verlies van data. Mocht je de data van de klant kwijtraken dan kan die de schade bij je verzekeraar claimen. Zoals altijd zitten er haken en ogen aan maar zo werkt het verzekeringswezen nou eenmaal (als ze een kans zien om niet uit te keren door de Mont Blanc te verplaatsen dan zullen ze de Mont Blanc verplaatsen).
Dit is fout op zo veel fronten, dat het bijna een sprookje(nachtmerrie) wel lijkt.
Ik neem aan dat er in dat bedrijf niet 1 systeembeheerder is, maar nog een 2e controllerende admin/medewerker. Daarnaast zou ik in zo'n bedrijf zelf ook audits houden, al is het enkel om zelf vlekkenloos door externe audits te komen.
Tot slot word er nog minstens 1 keer per jaar een externe audit gedaan....en die slapen dan?!
Echt te belachelijk dit.
...en als dit het nu alleen was, maar hoe het is opgezet...als systeembeheerder zou jij je kapot moeten schamen dat je zo'n @home netwerkje in elkaar prutst.
Ik neem aan dat er in dat bedrijf niet 1 systeembeheerder is, maar nog een 2e controllerende admin/medewerker. Daarnaast zou ik in zo'n bedrijf zelf ook audits houden, al is het enkel om zelf vlekkenloos door externe audits te komen.
Tot slot word er nog minstens 1 keer per jaar een externe audit gedaan....en die slapen dan?!
Echt te belachelijk dit.
...en als dit het nu alleen was, maar hoe het is opgezet...als systeembeheerder zou jij je kapot moeten schamen dat je zo'n @home netwerkje in elkaar prutst.
tja, tot het je zelf ineens overkomt.. Tweakers hebben altijd toch zo makkelijk praten en weten altijd alles zoveel beter.. 'de beste stuurlui staan aan wal' en dat is een spreuk die op menig tweaker slaat..
DigiNotar had ook een WiFi access point. Daar wordt al 12 jaar door een groep jongeren uit Beverwijk gebruik van gemaakt:
Bron: http://www.noordhollandsd...en%E2%80%99-bij-Diginotar
Bron: http://www.nu.nl/internet...-al-jaren-kinderspel.htmlDe groep weet al twaalf jaar dat Diginotar eenvoudig te hacken is. De Beverwijkse hackers zaten enkele panden verwijderd van het kantoor van Diginotar en maakten regelmatig gebruik van de wifi-verbinding die openstond.
Bron: http://www.noordhollandsd...en%E2%80%99-bij-Diginotar
[Reactie gewijzigd door tigger op woensdag 7 september 2011 16:01]
Er staat helemaal niet dat ze er al 12 jaar gebruik van maken.
Allemaal leuke verhalen, maar het zegt weinig. Hier draait ook een heel licht beveiligd WiFi netwerk dat makkelijk te kraken is. Speciaal bedoeld voor bezoekers, en volledig gescheiden van het bedrijfsnetwerk. Eenieder die het hackt zou ik uitlachen, het is makkelijker om gewoon ff toegang te vragen
Okay, een systeem is zo veilig als de zwakste schakel en als je wachtwoorden makkelijk zijn dan vraag je er om. Maar het draait allemaal op windows ZONDER antivirus?
Niet dat je het niet op Windows kunt afhandelen die certificaten en ik zeg ook echt niet dit op een ander OS niet had kunnen gebeuren maar voor windows is toch echt het meeste op de markt als het om spy/mal/virus/trojan/etc.ware gaat. En dan ook geen anti-virus.
En ik kan natuurlijk niet spreken over de audit die hier is gedaan. Maar als het gaat zoals bij veel bedrijven dan is het niet meer dan een praatje over de systemen geweest en dat was het dan. Factuurtje PwC zodat je het aan de Opta kunt laten zien en we zijn weer voor een jaartje klaar.
Niet dat je het niet op Windows kunt afhandelen die certificaten en ik zeg ook echt niet dit op een ander OS niet had kunnen gebeuren maar voor windows is toch echt het meeste op de markt als het om spy/mal/virus/trojan/etc.ware gaat. En dan ook geen anti-virus.
En ik kan natuurlijk niet spreken over de audit die hier is gedaan. Maar als het gaat zoals bij veel bedrijven dan is het niet meer dan een praatje over de systemen geweest en dat was het dan. Factuurtje PwC zodat je het aan de Opta kunt laten zien en we zijn weer voor een jaartje klaar.
[Reactie gewijzigd door NoMoreMusic op woensdag 7 september 2011 15:58]
"UPDATE 14.50 uur:
Vasco, het moederbedrijf van Diginotar, ziet het verhaal van de hacker als een 'gerucht'. ,,En op geruchten reageren wij niet.'' Evenmin wil de woordvoerder van het bedrijf kwijt of Diginotar momenteel gebruik maakt van draadloze netwerken, die tamelijk eenvoudig van buitenaf kunnen worden benaderd."
bron
Nou is maar de vraag, wie spreekt de waarheid
Ik vind het wel vaag hoor, wie laat nou 12 jaar lang niet even checken of je WLAN wel of niet veilig is? zo moeilijk is dat toch niet?
edit: "quotes" & dit was een reactie @tigger, woensdag 7 september 2011 15:47
Vasco, het moederbedrijf van Diginotar, ziet het verhaal van de hacker als een 'gerucht'. ,,En op geruchten reageren wij niet.'' Evenmin wil de woordvoerder van het bedrijf kwijt of Diginotar momenteel gebruik maakt van draadloze netwerken, die tamelijk eenvoudig van buitenaf kunnen worden benaderd."
bron
Nou is maar de vraag, wie spreekt de waarheid
Ik vind het wel vaag hoor, wie laat nou 12 jaar lang niet even checken of je WLAN wel of niet veilig is? zo moeilijk is dat toch niet?
edit: "quotes" & dit was een reactie @tigger, woensdag 7 september 2011 15:47
[Reactie gewijzigd door Ayera op woensdag 7 september 2011 16:11]
Het zijn vast allemaal wel slimme mensen die deze controles bedenken. Maar met die papieren schijnzekerheid kom je er eenvoudig niet. En als het dan een keer fout gaat dan wordt het weer ouderwets zwarte pieten.
Want wie valt hier wat te verwijten? De OPTA die opdracht geeft voor auditing en daarbij bepaalde eisen stelt. Het bedrijf dat die auditing uitvoert of Diginotar die steken laat vallen.
De hele keten heeft gewoon gefaald in deze en geldt waarschijnlijk ook voor andere zo niet alle controles. Als je controleert dan moet je verder gaan dan het papierwerk en (technische) expertise inzetten die verstand van zaken heeft. En dan huur je ook white hat hackers in om de boel te testen.
Want wie valt hier wat te verwijten? De OPTA die opdracht geeft voor auditing en daarbij bepaalde eisen stelt. Het bedrijf dat die auditing uitvoert of Diginotar die steken laat vallen.
De hele keten heeft gewoon gefaald in deze en geldt waarschijnlijk ook voor andere zo niet alle controles. Als je controleert dan moet je verder gaan dan het papierwerk en (technische) expertise inzetten die verstand van zaken heeft. En dan huur je ook white hat hackers in om de boel te testen.
Je haalt de woorden uit mijn mond. Dit soort bedrijven hoort elk jaar, of liever nog meer, een intrusion test te laten uitvoeren. Zoner dat de technische staf hiervan op de hoogte is.
Dan heb je al iets meer zekerheid dan een "audit" van PWC
Dan heb je al iets meer zekerheid dan een "audit" van PWC
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
