Kroes: bedrijven doen te weinig aan ict-beveiliging
Bedrijven investeren te weinig in ict-beveiliging, omdat ze daartoe niet genoeg geprikkeld worden. Dat zegt Europees Commissaris Neelie Kroes. Ze overweegt daarom om bedrijven in bepaalde sectoren te dwingen om maatregelen te nemen.
Eurocommisaris Kroes hekelde tijdens een toespraak in Chicago het kennelijke gebrek aan bereidheid van bedrijven om te investeren in digitale beveiliging. Daarbij haalde ze cijfers van Eurostat aan, waaruit blijkt dat slechts een kwart van de EU-bedrijven beleid heeft voor het omgaan met ict-beveiliging. In de ict-sector gaat het om een hoger percentage, ruim de helft van de bedrijven, maar volgens Kroes is dat nog steeds te weinig.
Daarom overweegt de Eurocommissaris om investeren in ict-beveiliging minder vrijblijvend te maken. De sectoren waaraan Kroes zou overwegen een 'beveiligingsverplichting' op te leggen, zijn bijvoorbeeld leveranciers van internetdiensten, de financiële sector, energiesector, gezondsheidszorg en vervoer. Die moeten dan maatregelen nemen om risico's in te dammen. Daarnaast zouden ze worden verplicht om bij grotere incidenten de overheid te informeren. Op dit moment is die Europese 'meldplicht' er alleen voor internetproviders en telecomproviders, hoewel Nederland al een bredere meldplicht heeft.
Kroes is daarnaast van plan om de overheden van de EU-lidstaten te verplichten hun ict-beveiliging op orde te hebben. "We kunnen geen zwakke schakels in de Europese Unie hebben", zei de Eurocommissaris. Zij is van plan om binnenkort een Europese strategie voor digitale beveiliging te presenteren. Ze hekelde daarnaast de beperkte bereidheid van bedrijven om informatie te delen over ict-dreigingen. Vorig jaar zei Kroes al dat EU-lidstaten te weinig aan ict-beveiliging doen.
Reacties (32)
Volgens mij doet de EU (en NL) over het algemeen veel te weinig aan ICT in de maatschappij.
En als ze wat doen is dat vaak te laat of slaat het de plank mis.
En als ze wat doen is dat vaak te laat of slaat het de plank mis.
Yep. Gewoon beetje ICT les op de basisschool zou een oplossing zijn.
ICT en zijn onveiligheden maken inderdaad geen deel uit van het collectieve bewustzijn. Hierbij gaat het er wat mij betreft niet om dat mensen het naadje van de kous moeten weten van de beveiligingssoftware en voorkomende bedreigingen. Al stellen ze alleen maar de vraag welke veiligheidsrisico's aan huidige en nieuwe IT verbonden zijn.
Veel mensen die deel uitmaken van het management van onze ondernemingen hebben minder benul van IT technologie en veiligheid. Deze groep neemt wel de beslissingen over kansrijke neuwe technologie en heeft tegelijkertijd al geen focus meer voor de bestaande technologie. Het zou me niets verbazen als in beide gevallen de vragen over veiligheid niet gesteld raken. Wat wel kan is dat een verantwoordelijke IT afdeling de veiligheidsdiscussie zelf aanzwengelt, of gewoon maatregelen implementeert zonder er teveel woorden aan vuil te maken.
Het zonder discussie maatregelingen implementeren kan op korte termijn zijn doel dienen, maar is voor de lange termijn niet verstandig, omdat hiermee het bewustzijn bij het management niet wordt aangekweekt. Eindeloze discussies over benodigde budgetten zijn dan het gevolg.
Maar ook IT afdelingen die manhaftig veiligheid aankaarten bij hun management moeten rekening houden met weinig response. Een directie of MT moet vaak woekeren met zijn investeringskapitaal om zijn bedrijfsdoelen te bereiken. Veiligheid op zich is in hun ogen geen bedrijfsdoel, zeker bij bedrijven die IT niet als hun core business hebben. Een mooi voorbeeld vind ik het enthousiaste omarmen van betalen via mobiele telefoons door de Rabobank. Zeker als je dit in het licht stelt van de toenemende fraude in internetbankieren (NVB Nederlandes Vereniging van Banken). Zou die spreuk van John Cleese: "Macht leidt tot infantiliteit" dan toch kloppen?
Veel mensen die deel uitmaken van het management van onze ondernemingen hebben minder benul van IT technologie en veiligheid. Deze groep neemt wel de beslissingen over kansrijke neuwe technologie en heeft tegelijkertijd al geen focus meer voor de bestaande technologie. Het zou me niets verbazen als in beide gevallen de vragen over veiligheid niet gesteld raken. Wat wel kan is dat een verantwoordelijke IT afdeling de veiligheidsdiscussie zelf aanzwengelt, of gewoon maatregelen implementeert zonder er teveel woorden aan vuil te maken.
Het zonder discussie maatregelingen implementeren kan op korte termijn zijn doel dienen, maar is voor de lange termijn niet verstandig, omdat hiermee het bewustzijn bij het management niet wordt aangekweekt. Eindeloze discussies over benodigde budgetten zijn dan het gevolg.
Maar ook IT afdelingen die manhaftig veiligheid aankaarten bij hun management moeten rekening houden met weinig response. Een directie of MT moet vaak woekeren met zijn investeringskapitaal om zijn bedrijfsdoelen te bereiken. Veiligheid op zich is in hun ogen geen bedrijfsdoel, zeker bij bedrijven die IT niet als hun core business hebben. Een mooi voorbeeld vind ik het enthousiaste omarmen van betalen via mobiele telefoons door de Rabobank. Zeker als je dit in het licht stelt van de toenemende fraude in internetbankieren (NVB Nederlandes Vereniging van Banken). Zou die spreuk van John Cleese: "Macht leidt tot infantiliteit" dan toch kloppen?
Helemaal mee eens. Veilig werken met computers hoor gewoon onderwezen te worden.
Bijvoorbeeld geen wachtwoorden meer op post-it's maar genereren met een wachtwoordmanager.
Zelfs veel mede ICT-professionals doen dit (nog) niet...
Bijvoorbeeld geen wachtwoorden meer op post-it's maar genereren met een wachtwoordmanager.
Zelfs veel mede ICT-professionals doen dit (nog) niet...
[Reactie gewijzigd door hakken314 op woensdag 7 november 2012 09:37]
Die opvoedkundige rol ligt, zeker voor wat betreft het bedrijfsleven, bij de IT afdelingen. Het is ook niet helemaal eerlijk van mij om MT en Directie te "beschuldigen" van onkunde terwijl IT'ers ook de hand in eigen boezem moeten steken.
IT afdelingen zijn vanuit historie uitvoerend georiënteerd (Begin van een IT afdeling: "We hebben een beheerder nodig"). Om meer invloed op het beleid te krijgen zullen ITérs misschien wat meer initiatief voor discussie moeten nemen.
Directies voorrekenen wat precies de financiële consequenties van onveiligheid kunnen zijn wil vaak wel helpen beweging te krijgen in deze projecten zonder direct winstoogmerk. Maar de directie zal je daar zelf niet om vragen.
Edit: typo's
IT afdelingen zijn vanuit historie uitvoerend georiënteerd (Begin van een IT afdeling: "We hebben een beheerder nodig"). Om meer invloed op het beleid te krijgen zullen ITérs misschien wat meer initiatief voor discussie moeten nemen.
Directies voorrekenen wat precies de financiële consequenties van onveiligheid kunnen zijn wil vaak wel helpen beweging te krijgen in deze projecten zonder direct winstoogmerk. Maar de directie zal je daar zelf niet om vragen.
Edit: typo's
[Reactie gewijzigd door teacup op woensdag 7 november 2012 21:39]
Inmiddels heeft kroes ook de eerste partijen naar voren geschoven welke volgens haar de problemen oplossen.
Gezien de problemen het afgelopen jaar bij bedrijven vwb beveiliging. Komt Kroes daar wel weer snel achterInmiddels heeft kroes ook de eerste partijen naar voren geschoven welke volgens haar de problemen oplossen.
Maw ze loopt een beetje achter de feiten aan.
http://www.cbs.nl/nl-NL/m...rtikelen/2011-3293-wm.htm
Ik ben blij dat er (eindelijk) gereageerd wordt, en dan ook nog eens door een hooggeplaatste politica. De problemen van de laatste tijd zijn dus gesignaleerd en er wordt serieus over nagedacht.
Goed bezig. Hulde aan mevrouw Kroes hiervoor.
Goed bezig. Hulde aan mevrouw Kroes hiervoor.
Aangezien de consument steeds vaker verplicht wordt om diensten digitaal af te nemen of deel uit te maken van een datebase lijkt het me niet meer dan normaal om de bedrijven/ dienstverleners te verplichten de beveiliging optimaal te maken.
Edit: typo
Edit: typo
[Reactie gewijzigd door FttH op dinsdag 6 november 2012 15:49]
LOL. Het eerste wat door mijn hoofd gaat is hoe moet mijn beleid omgaan met Oracle die een lek pas over 4 maanden oid gaat dichten en een Symantec die vrolijk zegt, nah v11 patchen we niet. Zit nog wel ~1,5 jaar in support ofzo, maar boeien, upgrade maar.
Niet iedereen heeft zo'n nagenoeg onuitputtelijke bron van geld als de overheid om maar geld uit te blijven geven, veelal veroorzaakt door leveranciers die er schijt aan hebben.
Om nog maar niet te spreken over ellende van bedrijven die omvallen door patent kwesties waardoor je dus op vrij korte termijn over moet stappen op andere software. Wellicht niet zo'n probleem als het software is van een paar tientjes per werkplek, maar er is genoeg software van duizenden euro's per werkplek.
Niet iedereen heeft zo'n nagenoeg onuitputtelijke bron van geld als de overheid om maar geld uit te blijven geven, veelal veroorzaakt door leveranciers die er schijt aan hebben.
Om nog maar niet te spreken over ellende van bedrijven die omvallen door patent kwesties waardoor je dus op vrij korte termijn over moet stappen op andere software. Wellicht niet zo'n probleem als het software is van een paar tientjes per werkplek, maar er is genoeg software van duizenden euro's per werkplek.
Klinkt als een reden om te beginnen met migrerenHet eerste wat door mijn hoofd gaat is hoe moet mijn beleid omgaan met Oracle die een lek pas over 4 maanden oid gaat dichten
Dat is makkelijker gezegd dan gedaan, freaky heeft het hier denk ik over Java updates. Specifiek over de Java addon voor browsers, die praktisch bijna nooit meer nodig is.
Custom applicaties van Java naar een ander platform migreren doe je niet even..
En als men massaal naar .net of wat dan ook overstapt zal dat platform weer zeer interessant voor hackers worden.
Custom applicaties van Java naar een ander platform migreren doe je niet even..
En als men massaal naar .net of wat dan ook overstapt zal dat platform weer zeer interessant voor hackers worden.
Nee, het is niet makkelijk. Het is wel beter om het snel te doen ipv te wachten, dan wordt het allemaal veel moeilijker.
En wat bedoel je, die nooit meer nodig zijn? Al eens geprobeerd om meerdere bestanden tegelijkertijd te uploaden met IE6? Bepaalde onderdelen blijf je het helaas nodig hebben.
Dat wil natuurlijk niet zeggen dat we alles er maar op laten moeten draaien.
En wat bedoel je, die nooit meer nodig zijn? Al eens geprobeerd om meerdere bestanden tegelijkertijd te uploaden met IE6? Bepaalde onderdelen blijf je het helaas nodig hebben.
Dat wil natuurlijk niet zeggen dat we alles er maar op laten moeten draaien.
IE6?!?! Dat is een browser uit 2001, 11 jaar oud!
We zitten inmiddels op 10.
Over oude, onveilige, en niet meer onderhouden software gesproken.
Uberhaubt nog aan IE6-compatibiliteit denken is al fout bezig zijn..
We zitten inmiddels op 10.
Over oude, onveilige, en niet meer onderhouden software gesproken.
Uberhaubt nog aan IE6-compatibiliteit denken is al fout bezig zijn..
Als je nu meerdere bestanden in 1 keer wilt uploaden, naar bijvoorbeeld Amazon S3 moet dit ook via een Java applet-dingetje (last time I checked) ook gewoon in Chrome, dus ja IE6 is outdated, maar een java-plugin heb je soms nog steeds nodig..
Onder andere ja, maar het komt in de praktijk veelvuldig voor dat je een afhankelijkheid hebt van iets wat slecht of niet onderhouden wordt.
Heb klanten die nog NT4 draaien. Bijv. om freesmachines aan te sturen. Ze vragen voor de upgrade van de software zo'n 100.000 euro. Gehele machine met software komt op zo'n 1,2M. Mensen wachten dus gewoon tot de machine versleten is en vervangen wordt, ze kunnen aardig wat uren aan IT en ellende uitgeven voor 100.000 euro (er zijn zo'n 8 van die machines overigens, 8 ton dus om alles bij te werken...).
Nou is dat enigszins een slecht voorbeeld (alhoewel NT4 ongetwijfeld ook zo lek als een mandje is om nog maar niet te spreken over geen ondersteuning van virusscanners) gezien het niet direct security related is.
Heb klanten die nog NT4 draaien. Bijv. om freesmachines aan te sturen. Ze vragen voor de upgrade van de software zo'n 100.000 euro. Gehele machine met software komt op zo'n 1,2M. Mensen wachten dus gewoon tot de machine versleten is en vervangen wordt, ze kunnen aardig wat uren aan IT en ellende uitgeven voor 100.000 euro (er zijn zo'n 8 van die machines overigens, 8 ton dus om alles bij te werken...).
Nou is dat enigszins een slecht voorbeeld (alhoewel NT4 ongetwijfeld ook zo lek als een mandje is om nog maar niet te spreken over geen ondersteuning van virusscanners) gezien het niet direct security related is.
En die hoef je toch niet aan het internet te hangen? Laat ze lekker stand alone, of in een eigen netwerk zitten en je hoeft nergens bang voor te zijn.
zo zie je maar, ik heb bij ons op het bedrijf veels te vaak pc's met ukash of andere virussen. Die beveiliging slaat tegenwoordig nergens meer op bij bedrijven. nou zijn veel virussen moeilijk tegen te houden maar dan nog, wij als ICT'ers moeten het maar weer oplossen. trouwens wel weer goed voor de werkgelegenheid
[Reactie gewijzigd door vosjeNL op dinsdag 6 november 2012 15:54]
Volgens het motto wie niet horen wil zal voelen, en het lijkt erop dat dat inderdaad nodig is. Bedrijven snappen blijkbaar niet dat beveiliging op ICT gebied steeds belangrijker wordt. Jammer genoeg is de mens altijd de zwakste schakel, dus misschien is het verstandig dat Kroes ook overheden opneemt in haar lijstje met sectoren, om te voorkomen dat mensen als Henk Bleker nog meer geheime documenten openbaar op websites plaatsen...
Laatste keer dat ik een test zag (wel even geleden overigens) deed de beste virusscanner zo'n 97% stoppen.
3% van de virussen niet stoppen is nog steeds veel te veel niet. Menselijke schakel mag dan wel zwak zijn, maar de digitale beveiliging laat ook bijzonder veel te wensen over. Meeste van die software is gerustheid/veiligheid alla een dooie mus.
3% van de virussen niet stoppen is nog steeds veel te veel niet. Menselijke schakel mag dan wel zwak zijn, maar de digitale beveiliging laat ook bijzonder veel te wensen over. Meeste van die software is gerustheid/veiligheid alla een dooie mus.
Wat betreft virusscanners kun je best gelijk hebben, maar digitale beveiliging bestaat niet alleen uit het daadwerkelijk digitaal beveiligen van data, social engineering hoort daar ook bij en wordt vaak zelfs zwaar onderschat. Een bedrijf dat social engineering niet meeneemt in een digitaal beveiligingsplan heeft een plan met een enorm gat erin. Mensen geven veel te makkelijk informatie weg. Als specifieke informatie naar buiten gaat, heb je opeens veel minder aan die virusscanners en firewalls die alles zo goed achter slot en grendel houden.
Ik denk dat menig ICT'er dit kan be-amen, en ook wel zeker een veiliger bedrijfsnetwerk wil hebben. Wat ik persoonlijk echter vaak tegenkom is dat het hoger management daar anders over denkt.
Tsja, digital beveiliging binnen bedrijven is inderdaad vaker een kwestie van mensen dan van software/hardware. Als je bijvoorbeeld de server in de serverruimte gebruikt om even je mail te checken, of je neemt allerlei data mee via usb sticks, maakt het niet heel veel meer uit hoe goed je software/hardware is.
Daarnaast hebben grote bedrijven vaak contracten met allerlei bedrijven zoals Symantec die de onveiligheid van jouw software naar hun software verplaatst.
Als laatste heb je kleine bedrijven. Die schrikken vaak zo van de hoge prijzen van de verschillende softwarepakketten dat ze van oude versies gebruik blijven maken. Het typen van een brief in Office 2000 gaat nmlk op vrijwel dezelfde manier als Office 2013. Het scheelt alleen geld, veel geld.
Als je geen ICT bedrijf bent en je hebt geen enorm budget om in digitale beveiliging te steken, blijf je bij het oeroude principe if it ain't broke, don't try to fix it.
Daarnaast hebben grote bedrijven vaak contracten met allerlei bedrijven zoals Symantec die de onveiligheid van jouw software naar hun software verplaatst.
Als laatste heb je kleine bedrijven. Die schrikken vaak zo van de hoge prijzen van de verschillende softwarepakketten dat ze van oude versies gebruik blijven maken. Het typen van een brief in Office 2000 gaat nmlk op vrijwel dezelfde manier als Office 2013. Het scheelt alleen geld, veel geld.
Als je geen ICT bedrijf bent en je hebt geen enorm budget om in digitale beveiliging te steken, blijf je bij het oeroude principe if it ain't broke, don't try to fix it.
Had gisteren nog een klant die een website wilde laten bouwen. Die man is (o.a.) beheerder van een bedrijfsnetwerk, en jawel, vond het in eerste instantie niet nodig dat wachtwoorden versleuteld werden opgeslagen.
Onbegrijpelijk, zeker met al dit nieuws.
Onbegrijpelijk, zeker met al dit nieuws.
Mja, vind dat niet zo onbegrijpelijk hoor. In dit voorbeeld wellicht wel gezien het bijzonder makkelijk is, maar als die website iets stoms host, om maar wat te noemen de dieren plaatjes van de AH die ik nog wil ruilen en verder geen persoonsgegevens bevat zou me dat ook letterlijk aan m'n reet roesten. Zeker als het me enkele honderden, zo niet duizenden euro's zou kosten om het te implementeren.
Het is redelijk vanzelfsprekend denk ik dat ik van de website van m'n bank wat anders verlang
.
En o.a. beheerder zegt overigens al meer dan genoeg. Waarschijnlijk weer zo'n accountant die 2 PCM's gelezen heeft en koning is in het land van de blinden. Dat ie de functie/titel heeft wil nog niet zeggen dat ie ook maar enigszins snapt waar ie mee bezig is. Iets wat in IT sowieso wel een heikel punt is. Beetje klikken kan iedereen, zijn er over het algemeen echter maar weinig die ook echt begrijpen wat de gevolgen van een vinkje hier of daar zijn.
Het is redelijk vanzelfsprekend denk ik dat ik van de website van m'n bank wat anders verlang
.En o.a. beheerder zegt overigens al meer dan genoeg. Waarschijnlijk weer zo'n accountant die 2 PCM's gelezen heeft en koning is in het land van de blinden. Dat ie de functie/titel heeft wil nog niet zeggen dat ie ook maar enigszins snapt waar ie mee bezig is. Iets wat in IT sowieso wel een heikel punt is. Beetje klikken kan iedereen, zijn er over het algemeen echter maar weinig die ook echt begrijpen wat de gevolgen van een vinkje hier of daar zijn.
Laatst kwam mijn broertje doodleuk aanzetten met een online toegankelijke lijst van wachtwoord hashes van zijn school die jan en alleman kon in zien. Dan ben je al bijna oerblij dat het in ieder geval versleuteld was... We mogen toch wel beter dan dat verwachten?
[Reactie gewijzigd door Amanoo op dinsdag 6 november 2012 19:08]
Hmm.. waar heb ik dit vorige week eerder gelezen:
http://www.automatisering...s-stellen-teleur%E2%80%99
http://www.automatisering...s-stellen-teleur%E2%80%99
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
