Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 28, views: 12.168 •

Bedrijven zijn onvoldoende voorbereid op digitale dreigingen. Dat zegt Wil van Gemert, de directeur cyber-security bij de Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid, in een interview met Tweakers. Medewerkers weten niet hoe ze met incidenten moeten omgaan.

"Vooral in het bedrijfsleven is onvoldoende sprake van integraal beleid", zegt directeur Van Gemert. "Als er wat gebeurt, weten mensen ook vaak niet hoe ze ermee moeten omgaan." Wel is de situatie volgens hem aan het verbeteren. Volgens Van Gemert hebben de Rijksoverheid en de vitale infrastructuur een voorsprong op het bedrijfsleven. "Ook omdat dat misschien niet de eerste focus van het bedrijfsleven is", zegt hij.

Volgens Van Gemert moet ook het risico op spionage niet worden onderschat. "Ik denk dat bedrijven heel lang dachten: spionage, dat is iets uit de Koude Oorlog, maar de realiteit is heel anders." Spionage vanuit andere landen is volgens hem een reële dreiging. "Ik denk dat het onze taak is om samen met de AIVD ervoor te zorgen dat we een goed beeld hebben van dreigingen."

Van Gemert denkt wel dat het bewustzijn van digitale beveiliging bij consumenten en het bedrijfsleven toeneemt. Hij vraagt zich daarnaast af: "Is het normaal dat ik een computer kan kopen waar geen beveiliging op zit?" Hij vergelijkt de situatie met die van auto's, waarin gordels en airbags verplicht zijn. "Uit ervaring hebben we geleerd dat we daar eisen aan moeten stellen." Hij denkt dat dit over een jaar of tien, vijftien ook voor computers wettelijk is geregeld.

Verder steunt Van Gemert het voornemen van minister Ivo Opstelten van Veiligheid en Justitie om de politie het recht te geven om 'terug te hacken'. De digitale wereld kent volgens hem 'geen grenzen'. "Ik vind dat de overheid een taak heeft om dreigingen weg te nemen. Dat kan betekenen dat je zo'n stap zet." Wel moeten er dan voldoende waarborgen zijn. Zo is voorgesteld om 'terughacken' alleen toe te staan na toestemming van de rechter.

Het interview van Tweakers met Wil van Gemert.

Reacties (28)

Ik heb niet zoveel vertrouwen in dat cyber security ...

- windows is lek;
- internet is lek;
- ze pakken het probleem niet bij de bron aan;
- AIVD grijpt alleen in als het om belangrijke spelers gaat, die hoor je niet als het om consumenten, zzp-ers, mkb/kleine bedrijven gaat;

Verder is het probleem dat sommige bedrijven je zo beveiligen dat je beperkt wordt in je bevoegdheden, terwijl je werk vaak veel effectiever is als je toegang hebt tot het internet.

Virusscanner ... zijn niks anders dan lapmiddelen waar het veelal al te laat is.
En als een bedrijf echt gehackt wordt ... dan zorgen de crackers er wel voor je het nauwelijks door hebt.

Als het allemaal zo effectief zou zijn daar dan vraag ik me af waarom pinautomaten nog steeds niet veilig zijn en pasjes nog steeds zo easy doordringbaar zijn.
Ik heb niet zoveel vertrouwen in dat cyber security ...

- windows is lek;
Ik weet het niet hoor, maar als je een recente Windows versie hebt (7, 8, 2008, 2012) dan is er met security niet zo heel veel mis. Kijk bijvoorbeeld naar IIS, vroeger (versie 4/5) om de haverklap hacks en problemen. Nu bij versie 7 vrijwel geen grote security bugs.

Kijk naar de trojans en virussen de laatste tijd. Steeds vaker worden er lekken in Java en Flash gebruikt omdat de campagne van Microsoft om de veiligheid te verbeteren steeds meer vruchten af werpt.
- internet is lek;
?
Het schommelt nog aan alle kanten ik zie nog steeds her en der problemen optreden of aftakelende computers, virussen.

Natuurlijk zal het deels aan de gebruiker liggen, maar die kan je niet iets kwalijk nemen als het niet hun vak gebied is.

Het probleem is dat je het alleen nog op orde kan krijgen als alle dingen per stap worden uitgewerkt van de grond af aan. Software/Hardware/Netwerk/Internet/protocollen.

En dan het oude uitfaseren zodat er plek komt voor het nieuwe.
Nu is het alsmaar aanmodderen waarvan we al bij voorbaat weten dat het niet veilig genoeg is.
"Internet is lek" ... volgens mij doelt BoringDay op achterhaalde / onveilige protocollen als SMTP, SNMP, DNS, FTP, Telnet, etc. Zijn wel 'veiligere' alternatieven voor, maar het uitfaseren van de oude protocollen gaat erg moeizaam omdat 'de hele wereld moet migreren'.

En laten we a.u.b. niet naar Ivo Opstelten luisteren, die man wordt niet gehinderd door enige kennis van zaken, maar praat alleen z'n brood-broeders (de lobbyisten, soms zelfs uit het buitenland (lees: Amerika) na.

Veilig internet begint juist met behoud van privacy, want anders vervang je prive-terrorisme alleen maar door overheids-terrorisme en dat is nog moeilijker te bestrijden.

En de opmerking van Van Gemert over verplichte veiligheidsmaatregelen voor computers is wel een goede intentie, maar in de praktijk ligt het wat anders. Een autogordel is een veel simpeler produkt dan b.v. AV of een firewall. Wordt het dan verplicht alle electronica (waar leg je de grens: videorecorder, scheerapparaat, wasmachine, horloge, smartphone, tablet, auto-navi ?) met AV uit te leveren ? En wordt het strafbaar / verzekeringstechnisch verwijtbaar om geen AV te draaien ? Moeten die AVs eerst nog gecertificeerd worden, etc ?

Nee, niet een erg realistisch scenario op korte termijn; AVs worden al ruim 25 jaar wijd verspreid gebruikt, maar het blijft een soort pad-stelling, dus waarom zou dat nu wel binnen 10 jaar veranderen ?
Ik weet het niet hoor, maar als je een recente Windows versie hebt (7, 8, 2008, 2012) dan is er met security niet zo heel veel mis.
Dat zeggen de Windows-fans bij elke nieuwe Windowsversie of SP. Maar ´t blijft allemaal gatenkaas.
Nu bij versie 7 vrijwel geen grote security bugs.
Er is slechts ÚÚn security bug nodig om je hele hebben en houden op je PC openbaar te krijgen of te vernielen. ´Vrijwel´ geen grote security bugs is dus allesbehalve voldoende.
De problemen bij Windows doen zich voor door o.a:
-Verkeerde defaults, zoals dat je geen extensies ziet.
-Windows kijkt soms naar de inhoud van een bestand i.p.v. naar de extensie. Waardoor de extensie (als zijnde beveiliging) alsnog nutteloos is geworden.
-Functionality boven security.
-Nieuwe zaken invoeren zonder dat 't al veilig is.
-Oude zaken ondersteunen die niet meer veilig zijn.
-Hidden zaken die niet hidden (laat staan readonly) horen te zijn, zoals je index.dat bestandjes.
-Te weinig modulariteit.
-Standaard veel services draaien.
-Svchost niet kunnen afsluiten maar toch derden gebruik van dat bestand kunnen laten maken.
-Dynamic folders: je tikt bijv. de map 'opstarten' in en gaat fysiek naar de map 'start up'. Door dat soort onzinnigheden wordt 't een grote puinhoop en totaal ondoorzichtig op je PC. Iets waar malware dankbaar gebruik van kan maken.
-Een default wachtwoord bij administrator die leeg is.
-Closed source waardoor je niet _kan_ controleren of een bepaald onderdeel van Windows veilig is of niet.
wettelijk geregeld dat een computer MET antivirus en dergelijke verkocht wordt....
hoe ziet hij dit dan gebeuren of gecontroleerd worden?

De gordel van merk A zal niet veel beter zijn werk doen dan merk B en er is naar mijn weten maar weinig concurrentie bij de gordelboer :)

echter zitten er bij AV producten enorme gedrochten tussen die hun werk niet doen en zitten er commerciele belangen achter de verschillende pakketten. Wie gaat de overheid voortrekken? Gaat de EU dan ook onze overheid aanklagen omdat zij pakket X verplicht stellen bij verkoop van computers? Hoe zit het met zelf bouw waar je onderdelen van verschillende leveranciers haalt?

nog 15 jaar wachten dan weten we het denk wel :)
De gordel van merk A zal niet veel beter zijn werk doen dan merk B
De specificaties voor gordels zijn dan ook simpel. Breeksterkte minimaal x, Rek maximaal y, Slijtage maximaal z.

Maar virusscanners?
En dan nog, onze overheid is nou niet echt een specialist in digitale media.
Vrijwel iedereen koopt een computer met Windows. Met alle problemen welke Microsoft heeft met de EU vanwege de integratie van Internet Explorer en de Media player in Windows, hoe groot denk je dat de kans is dat Microsoft zijn Microsoft Security Essentials standaard zal bundelen?

Dus Nederland roept dat er standaard meer op de computer moet staan, terwijl de EU al jaren eist dat Windows zo kaal mogelijk is..

Natuurlijk kan men ook de verantwoordelijkheid leggen bij de fabrikant zoals Dell of HP. Maar wordt het niet tijd dat men de verantwoordelijk gewoon legt bij de klant! Bedrijven en consumenten moeten gewoon overtuigd worden van het nut van een goede virusscanner.

Banken hebben een aantal jaren geleden de consument op sleeptouw genomen met de 3x kloppen spotjes om consumenten te waarschuwen voor phissing.

Bedrijven welke een website hebben moeten vanuit de overheid ook verantwoordelijk worden gehouden voor de veiligheid van die websites en boetes krijgen als blijkt dat deze gehackt is omdat men geen adequate maatregelen heeft genomen..

Gehackt worden middels XSS of SQL injecties kan anno 2012 echt niet meer. Ook het gebruik van verouderde software mag de website eigenaar aangerekend worden.

Wordt je gehackt middels een 0-day aanval, dan treft je geen blaam mits de aanval binnen 2 werkdagen na herkenning openbaar wordt gemaakt..

Als je dronken in de auto stapt en vervolgens een ongeluk veroorzaakt kun je ook strafrechtelijk worden aangeklaagd. Waarom kun je dan niet worden aangeklaagd wegens digitale nalatigheid? En als het wel mogelijk is, waarom gebeurt het dan nooit?
Ik vind het een stap in de goede richting. Blijkbaar MS ook want die levert iedere Windows 8 pc al met antivirus en anti malware. Het feit is in ieder geval dat beveiliging een ondergeschoven probleem is en als de overheid daar maatregelen afdwingt (zoals een meldplicht) stem ik voor.

Je moet niet vergeten dat als je de grote jongens (HP/Dell/etc) mee hebt je al 90% van de markt af vangt. En zij gaan echt niet tegen een nationale wet in.
Of we schaffen iemand aan die wel weet waar hij over praat, Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid zegt maar wat.

Ik heb ook nog wel een voorstel misschien moeten we wettelijk regelen dat "domme" mensen geen computer meer mogen gebruiken. en helemaal niet mogen werken bij Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid,.

Misschien kan ik ook wel terecht bij Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid, en een hoop open deuren in trappen.

Jaar of 20 lang misschien wel tot mijn 90ste verjaardag want de sociale zekerheid zal ook wel vereisen dat we een stuk langer moeten door werken (open deur).

Off misschien wil ik wel plaatsnemen in het comitÚ om te bepalen welk virus pakket er nou eigenlijk gekocht moet worden, (open deur volgt) en dan maar hopen dat als het universele pakket dan niet doelwit wordt van hackers want ja je maakt het wel zo gemakkelijk om dan op nederlands grondgebied je slag te slaan als cyber crimineel .

Je kan er uren over doorgaan en zelfs jaren open deuren zat. Helaas voor die man misschien kan ie nog ergens anders misschien terecht :) .
Daarnaast biedt zo'n oplossing slechts schijnveiligheid. Zolang het echte gevaar achter het toetsenbord zit en de grootste bedreigingen van binnenuit komen heeft zo'n oplossing geen zin. Een jaar of drie geleden is de grootste datadiefstal ooit bij Deutsche Telekom gepleegd door een eigen IT medewerker (en nogeens in een ingehuurde consultant). Daar helpt geen technische oplossing tegen natuurlijk.
zou niet aan moeten denken dat ik die anti-virusscanners onder OSX zou moeten draaien.
Zoals symantic, mcaffee ... allemaal rommel zowel onder windows als osx.
Als veiligheid zou ik juist dat NIET erop willen hebben.
Ook niet de slimste, die Van Gemert, om onbeveiligde computers te vergelijken met auto's zonder gordels en airbags.
Die woorden heeft hij helemaal niet gezegd, maar zijn hem in de mond gelegd door de Tweakers.net redacteur die het als voorbeeld noemde.
Luister het zelf nog maar eens goed na in de laatste 30 seconden van het filmpje.
Volgens deze man:
"Ook omdat dat misschien niet de eerste focus van het bedrijfsleven is"
Dit komt misschien omdat hoger management enkel denkt in "virussen" en "malware", maar een reŰle dreiging kan net zo goed de informatie m.b.t. de kern van het bedrijf zijn. Denk alleen al aan de omzetcijfers, het nieuwe project waar door de medewerkers onderling over wordt geschreven of het laatste technische snufje van de R&D afdeling.

Nee, digitale inbraken worden steeds meer gerichte aanvallen en een algemeen beleid binnen een bedrijf kan deze dan makkelijker afweren. Hoe ga ik om met informatie? Welke informatie is alleen bedoeld voor mij, mijn afdeling of mijn directe collega's. Wat weet ik als systeembeheerder over de toegangspunten binnen mijn bedrijf. Waar ligt de grens tussen gebruikersvriendelijk en eenvoudig binnenkomen?

Echter moet niet onderschat worden hoe belangrijk de medewerker hier in is! Met alleen een goed uitgeruste PC red je het niet, als medewerkers zich bewust zijn van de classificatie van informatie en weten hoe ze een social engineer kunnen betrappen (en vooral ook; wat te doen als je er daadwerkelijk 1 beet hebt) kun je wellicht enkele catastrofale aanvallen per jaar al voorkomen.

Overigens zijn mensen uit alle lagen van de samenleving vatbaar voor goede social engineers, dat overkomt echt niet meer alleen (ietwat denigrerend) "miep van de balie".
Social enginering voorkomen is heel eenvoudig.
Gewoon houden aan het protocol en nooit wachtwoorden telefonisch doorgeven.
Wachtwoorden afschermen in de database zodat zelfs de informant dit niet kan doorgeven, hooguit kan resetten. Reset gegevens alleen via post toezenden naar het genoteerde adres, niet naar een adres wat iemand telefonisch doorgeeft.
Adres gegevens alleen wijzigen via wijzigingsformulieren met handtekening welke verplicht geverifieerd moet worden.

Zo moeilijk kan het niet zijn?
Al belt iemand onder de naam koningin ... gewoon niet afwijken van het opgesteld protocol.
Zonder een goed voorbeeld kan je moeilijk verwachten dat het juist gevolgd word.
Ik zie dat de gebruiker van Tweakers.net in het filmpje, waarschijnlijk een redacteur, ook even zijn achtergrond donker heeft gezet.
Bedankt tweakers voor dit artikel! Hier gaat mijn profielwerkstuk over en is zeer handig voor mij :)
Voeg aan je werkstuk dat het bedrijfsleven het aan zichzelf te danken heeft. Moeten ze maar niet alle ict'rs in ruilen voor goedkope lageLoon landen ict'rs. Ik ken een aantal nl jongens die al jaren hobby security Ict hebben. Maar werden bij grote bedrijven die Ict in handen hebben voor de staat zelfs buiten gezet niet omdat ze het niet goed deden maar omdat ze in India en Polen goedkoper waren. Die mensen zijn niet slecht maar niet iedereen heeft daar Ict als passie. Gevolg laatste jaren steeds meer van dit soort geluiden. En gemiddelde volk krijgt maar 50% van het verhaal te horen!!
Ik zag deze man daarnet ook bij Zembla:
Uitzendinggemist - Zembla: Onderwereld online.

Het wordt tijd dat:
A: Nederlandse banken betalingen met een pinpas buiten Europa gaan blokkeren. Een interessant feitje uit de aflevering: onze zuiderburen (de Belgen) hebben het al geblokkeerd, en het aantal skimming-gevallen is gedaald met 95%!
B: Mensen meer bewust gemaakt moeten worden van het bezitten van een goede firewall Ún antivirusscanner met livescanning.
C: Mensen bewust zijn van de gevaren van internet
D: Mensen snappen dat het politie-ransom virus verantwoordelijk is voor een overname van de computer, en niet moeten gaan betalen.
E: Mensen moeten snappen dat hun computer ALTIJD alle Windows-updates en updates moet hebben van firewall en antivirus.
F: en zo kan ik nog wel een tijdje doorgaan....

Terugkomend op de hoofdzakelijke beveiliging van je computer: de firewall en livescanning antivirusscanner: welke is op dit moment dan in geval van internetbankieren het meest veilig? Wie weet een betrouwbare review met veel gebruikelijke Security-pakketten?

[Reactie gewijzigd door Jorn1986 op 23 november 2012 22:17]

A: Nederlandse banken betalingen met een pinpas buiten Europa gaan blokkeren. Een interessant feitje uit de aflevering: onze zuiderburen (de Belgen) hebben het al geblokkeerd, en het aantal skimming-gevallen is gedaald met 95%!

De banken letten echt wel op hoor! mijn mastercard is op dit moment geblokkeerd namelijk. Moet eerst bellen dan krijg ik 15 min tijd om geld op te nemen. Ja zit niet in NL maar in India op dit moment. Dus nieuwe kaart is niet echt eenvoudig zomaar hier te krijgen!

Dan nog buiten NL niet pinnen is leuk als je op de grens woont! Had een nieuwe pas van de Rabobank ga lekker stappen bij onze zuiderburen werkt dat klote ding niet moet je gvd eerst activeren bij je eigen bank!

Nou nee daarom nu gewoon een duitse bank daar hebben ze het stukken beter voor elkaar!

Alleen al het online banking met de random reader voor het scherm zitten aangezien je de code moet inscannen van de site. dan nog een keer je pincode en dan plus nog een keer je eigen wachtwoord. Super veilig dus!!

Ze moeten gewoon de automaten aanpassen dat de kaart er niet meer helemaal ingaat en alleen de CHIP word gelezen en de magneet strip niet meer! Zoals dat buiten Europa al veel gebeurd!

[Reactie gewijzigd door Baseboy op 24 november 2012 06:40]

Ja ben het met je eens: de magneetstrip niet meer kunnen uitlezen en alleen de chip is ook een oplossing: dus half in de gleuf steken.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Smartphones Beheer en beveiliging Google Laptops Apple Sony Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013