Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire
De overheid let sinds de Diginotar-affaire beter op de beveiliging van overheidssites en -diensten. Dat concludeert de Rijksauditdienst na een onderzoek naar de zaak. Voorafgaand aan de hack heeft de overheid wel steken laten vallen bij de audits.
De overheid reageerde snel en adequaat op de hack, zo concludeert de Rijksauditdienst volgens Nu.nl. De Rijksauditdienst meent dat de overheid veel goed deed in de affaire. "Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen. Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging."
Vóór de affaire heeft de overheid wel steken laten vallen, volgens het overheidsorgaan. Zo werd te veel vertrouwd op de beperkte audits, waarbij geen afwijkingen werden gevonden, terwijl de auditors wel afwijkingen hadden moeten vinden. De overheid heeft echter lessen getrokken uit de affaire, zegt de Rijksauditdienst. "De wijze van denken en omgaan met risico’s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen."
De conclusie gaat in tegen de mening van de Nationaal Coördinator Terrorismebestrijding, die eerder het optreden van de overheid 'niet adequaat' noemde. "Het was lastig om alle certificaten te vinden. Daarom is het belangrijk om je eigen systemen te kennen en niet al je expertise te outsourcen."
Het inmiddels failliet verklaarde DigiNotar kwam in de problemen nadat een Iraanse hacker valse ssl-certificaten had gemaakt. Toen later bleek dat de certificaten van de Nederlandse overheid niet langer te vertrouwen waren, besloot de overheid het vertrouwen in DigiNotar op te zeggen en een andere certificaatautoriteit te kiezen.
Reacties (17)
Toch raar dat dat als goed aangegeven wordt, terwijl je zou verwachten dat patches zo snel mogelijk gedaan moeten worden, om beveiligingslekken tegen te gaan. Natuurlijk had dit nadelige gevolgen kunnen hebben in dit geval, maar niet patchen laat het ook weer toe om gevaarlijke zaken toe te laten. Beetje raar imho.werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen
Door deze patch in Nederland een week uit te stellen konden niet alleen de burgers en bedrijven hun certificaten aanpassen maar nog veel belangrijker, ook (nagenoeg) alle overheidsdiensten.
De overheid heeft hier wel meteen haar krediet verbrand dat ze bij Microsoft en de andere browsermakers had. De overheid had de browsermakers verzekerd dat de beveiliging van PKIoverheid wel snor zat. Wat men er niet bij vertelde is dat de overheid zich baseerde op verklaringen van DigiNotar zelf.werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen
In het vervolg kan de overheid niet meer rekenen op coulance van de browsermakers.
Ik hoop dat ze een model integrale ketenbeveiling hebben ontwikkeld.
Ook bij het ontwikkelen van oplossingen wordt nog te weinig aandacht aan beveiling gedacht. Mocht je hier meer over willen lezen zoek dan op TOGAF - SABSA integration.
Achteraf is alles makkelijk. Ik voorspel dat we dit jaar nog meerdere flaters van de overheid qua IT security mogen aanschouwen. Als ze die toekomstige flaters vandaag auditen komt daar ook niets uit. Mogelijk zegt dit dus eigenlijk iets over de auditors zelf, het zegt zeker iets over hun opdrachtgevers.
Link naar wat de Rijksauditdienst eigenlijk doet: http://www.rad.nl/167/Organisatie/
Het blijft een feit dat als je elke organisatie in Nederland volledig op het bestaan, de opzet en de werking van de interne beheersingsmaatregelen m.b.t. de informatiebeveiliging controleert, heb je enkele duizenden EDP-teams nodig. Ik neem aan dat de belastingbetaler dit niet op prijs zou stellen.
[Reactie gewijzigd door _Thanatos_ op vrijdag 16 maart 2012 16:21]
Dat is ook precies de reden dat je niet gewoon achterover kunt leunen en wachten op de schademeldingen, want die hoeven helemaal niet te komen. Er is dan wel schade, maar die is niet rechtstreeks te herleiden naar de certificaten. Nog afgezien van het feit dat je alleen al vanwege het risico op schade niet stil kan blijven zitten.
Ik koop morgen een nieuw voordeurslot. Kost ¤500, maar daarmee weet ik in ieder geval niet zeker of er minder ingebroken wordt! Toppie!
dit hoor je zo vaak maar toch blijven ze fouten maken...
Problemen "voor zijn" een heel ander verhaal.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
