Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Overheidsinstanties VS moeten digitale risico's gaan inschatten na decreet Trump

Door , 60 reacties, submitter: Mathijs1

De Amerikaanse president Donald Trump wil de digitale veiligheid van overheidsinstanties verbeteren door overheidsorganisaties te verplichten gebruik te maken van een framework van standaarden. Het decreet kan rekenen op steun van experts.

Door het decreet moeten onder meer overheidsorganisaties maar ook energienetwerken in de toekomst beter beveiligd zijn tegen digitale aanvallen, claimt Trump in het decreet. Trump legt veel nadruk op een framework van de National Institute of Standards and Technology voor het inschatten van risico's.

Het beleid in het decreet is een voortzetting van het beleid van de vorige president Barack Obama, die al met bedrijven overlegde over het vrijwillig implementeren van het framework. Met de nieuwe regels gaan overheden nu zelf de risico's ook op die manier inschatten, schrijft persbureau Reuters.

Voordat Trump het decreet tekende, heeft zijn regering overlegd met experts op het gebied van digitale veiligheid, iets wat ervoor zorgde dat de Amerikaanse president later zijn handtekening zette dan eerst de bedoeling was.

Reacties (60)

Wijzig sortering
Ben geen fan van Trump, maar vind het wel goed dat dit gebeurt. Mijn ervaring is dat organisaties veel te weinig zicht hebben op de beveiliging van hun informatievoorziening; welke informatie ze uberhaupt in huis hebben en welke risico's daarmee gemoeid gaan. Dat zouden ze hier wat mij betreft best verplicht kunnen stellen. Waarom wel verplicht jaarlijkse de financiele cijfers opgeven, maar niks hoeven zeggen over de beveiliging van gevoelige (persoons)gegevens. Net zo belangrijk als je het mij vraagt. Informatie = geld!

Tip: Een leuke handige (en gratis!) tool gericht op Nederland voor het in kaart brengen van risico is https://www.ravib.nl/.
Ehmm, zoals je in het artikel kunt lezen is het uit de koker van (de regering van) Obama gekomen. Trump streekt echter de eer op.

Voor de PR van Trump komt dit goed uit want "experts" vinden dit decreet ok. Geen reden voor Trump dus om, in tegenstelling tot wat hij dusver heeft gedaan, de wetten van zijn voorganger terug te draaien.
Obama volgde alleen de gangbare (trage) manier van besturen op overheidsniveau. Trump regeert (naar mijn mening te vaak) per decreet. Duidelijk een president met een achtergrond in de veel snellere zakenwereld.
Regeren per decreet geeft vaak een hoop overlast. Niet alle nieuwe wetten zijn ook daadwerkelijk rechtsgeldig en worden dan weer door de rechtelijke macht buitenwerking gezet. Via de parlementaire gang heb je dat risico niet.
In het geval van deze wet is al een hoop voorwerk gedaan en ik verwacht niet dat men hiertegen naar de rechter zal stappen. Ben geen voorstander van Trump, maar dit lijkt me een goede regeling.
Obama regeerde vaak ook per decreet. Hij moest wel want het congres wilde zijn voorstellen vaak niet goedkeuren en "polderen" was zijn sterkste kant niet (niet dat Trump daar zo goed in lijkt te zijn trouwens).
De Republikeinen (en Trump) waren fel tegen de decreten die Obama uitsprak, maar nu is Trump met z'n korte, net over de 100 dagen al koning decreet. Het grote nadeel van een decreet zit 'm al in de naam, het past niet in een democratie waar nu eenmaal het parlement over wetten stemt en een president zelf in de VS geen alleenheerser is die per decreet regeert.
Dat een wet niet rechtsgeldig is, heeft niks met een decreet te maken, alhoewel een wet die door de verschillende lagen van bestuur is gegaan natuurlijk wel meer kans heeft om goed gecheckt te zijn.

Een decreet wordt in de VS daarom vaak gezien als een intentieverklaring maar ook als een zwaktebod omdat de president blijkbaar niet de ondersteuning heeft om een 'normale' wet ondertekend te krijgen. Bij Obama kwam dit doordat de Republikeinen de Senaat en het Huis in bezit hadden en vrijwel alles tegenhielden. Bij Trump lijkt het te komen door de chaos die heerst.

Een goede reden voor een decreet zijn natuurlijk noodmaatregelen. Iets wat Trump heeft geprobeerd met de inreisverboden. Helaas voor hem bleken die tot nu toe onconstitutioneel.
Ik kan me ook best voorstellen dat Trump zich hier best druk over heeft gemaakt om het er doorheen te krijgen. Zeker omdat hij een decreet heeft uitgesproken, wat tot nu toe ook dingen waren die hij belangrijk vond.
Trump begrijpt niet eens wat net neutrality is, dus ik denk niet dat hij hier enorm veel van heeft begrepen om eerlijk te zijn.
Ik weet het niet hoor. Misschien snapt hij de technische details niet, maar ik denk dat hij wel begrijpt dat als bedrijven dit niet doen, ze grote risico's nemen. Hij blijft een zakenman.
Trump is geen zakenman. De betere term is "con artist". We hebben er hier een compleet topic over, met bronnen, verwijzingen en achtergronden. De moeite waard.
Geef eens wat concreets ipv een topic met 170 pagina's?
Is moeite doen teveel gevraagd? Het spijt me oprecht, maar het heeft geen nut om mensen uit hun echokamers te krijgen door ze te bombarderen met informatie - zeker niet in onze "moderne" tijd. Inzicht vereist eigen investering.

Dat kun je niet leuk vinden, maar het is de menselijke realiteit. Kost wat moeite, maar je hebt er wel wat aan.
Wat moeite? Een topicstart waar niets relevants instaat over dit onderwerp en dan even 170 pagina's moeten doorspitten op iets wat jij mogelijk bedoeld? Lijkt me niet realistisch.

Als je je punt wilt maken, kom dan met iets concreets ipv alleen te brullen dat het een con artist is!
Tja, als een klein beetje moeite al te veel is. Haak bijvoorbeeld achter in het topic aan, genoeg mensen voor wat interactie, prima participatie voor discussie, heldere uitwisseling voor inzichten en startpunten daarvoor.
Virtuozzo
@Navi • 12 mei 2017 17:06

Blind voor wat de ander bedoeld.. en dan over Trump roeptoeteren

[Reactie gewijzigd door RobLemmens op 15 mei 2017 10:22]

Absoluut niet blind - voor reaguren moet je ergens anders zijn. Sommige inzichten zijn noodzakelijk om uit de echokamer te komen, kunnen echter enkel zelf verworven worden. Daar zijn hier uitstekende topics voor.
Ik verwijs graag naar de nieuwste Last Week Tonight, waar het weer om net neutrality gaat. Het filmpje is rond een kwartiertje dus das denk wel de moeite waard. https://youtu.be/92vuuZt7wak
Ehmm, zoals je in het artikel kunt lezen is het uit de koker van (de regering van) Obama gekomen. Trump streekt echter de eer op.
Mag ik de eindeloze ironie waarderen dat, nu het Trump na vier maanden eindelijk lukt om iets nuttigs te doen, deze maatregel simpelweg voortbouwt op iets waar Obama mee begonnen is?

Fox zal ongetwijfeld hoog van de toren gaan blazen hoe geniaal ie is, maar dat doen ze zelfs als ie zegt dat twee plus twee vijf is, dus dat is niet echt relevant. Daarnaast zijn er echter meer dan genoeg andere partijen (kort door de bocht: al het "fake news") die heel goed in staat zijn om die PR keihard onderuit te schoppen en iedereen die wil luisteren te vertellen wat er echt aan de hand is: een simpel inkoppertje.
Wij werken nu een 2 tal jaren met het NIST CSF en het is een stuk beter te doen dan ik eerst had verwacht. Wat met name lekker werkt is dat het CSF dynamisch in te kleden en te beheersen is. Je kiest je gewenste Tier niveau voor je organisatie en daarna hoever je zelf bent ten opzichte van dat niveau. De delta is je huidige status of 'gab' ...Het enige wat vast staat zijn de categorieën.

nu nog de belachelijke wetgeving terugdraaien die data laat verkopen van amerikaanse ISP's.. en we komen ergens.
Dank voor de link! En inderdaad, ook ik vind wat van Trump en vind er hetzelfde van. Hij zal wellicht ook wel wat goed en positief nieuws kunnen gebruiken ondertussen, maar dit klinkt wel OK als idee. Zo vraag ik me ook af hoeveel bedrijven in NL echt melden als er iets misgegaan is op data-vlak, zoals verplicht is momenteel. Ik kan me niet aan de indruk onttrekken dat een manager eerst een inschatting doet hoe groot het risico is dat er iets boven tafel komt als de mond wordt gehouden. Niet netjes, maar imagoschade is ook wat. Maar dat terzijde.
nou ja, er is nu een meldplicht voor bedrijven, je hebt 3 dagen om het te melden anders krijg je een boete.
Moet het wel eerst op een andere manier bekend worden....
(Er lijken nog steeds organisaties te bestaan die denken dat het voorbeeld van de struisvogel goed te volgen is).
Betekent dit dat je dus libraries moet gebruiken goedgekeurd door de overheid? Lijkt mij een makkelijke opening voor de NSA om mee te lobbyen voor backdoors.

Anderzijds wel een goed idee betreft dat er 1 standaard komt. Er is zoveel om rekening mee te houden voor exploits, dat als we allen op 1 standaard richten en dat continu verbeteren, voorzie ik beter beveiligde applicaties.

Zou wel fijn zijn als het een open source standaard is.
Betekent dit dat je dus libraries moet gebruiken goedgekeurd door de overheid?
Er staat een framework en gezien het plaatje zou ik verwachten dat het hier om een management framework gaat, dus geen ICT framework en zeker geen libraries.
Het gaat om richtlijnen voor het inrichten van security, niet om een security applicatie.

En wat betreft 1 richtlijn. Dat is wat (practisch) iedere afgelopen richtlijn ook probeerde te doen:
https://xkcd.com/927/
NIST CSF kent geen libraries maar is een "risk" framework gebouwd naar 78 categorieën. Het is veel meer een logisch framework dan technisch van aard.

Voor de categorieën moet je denken als "heeft u de backup ingeregeld" of "gij zult encryptie gebruiken" en zaken over controls ..

daarnaast is het dynamisch van opzet; iedereen bepaald zelf wat hij gebruikt, hoe hij het gebruikt en waaraan zijn onderneming moet voldoen. Als voorbeeld zijn er verschillende TIER niveau's. Hoewel er in het framework weldegelijk een omschrijiving staat wil dit helemaal niet zeggen dat dit voor elke onderneming mogelijk is OF dat het een niveau is waarna gestreefd wordt. Als dit dynamisch wordt ingezet (en kan worden verklaard, cough internal audit, cough) houd je een delta over en dit zijn de stappen die voor die categorie 'gezet' moeten worden

Wat wel aan te raden is (zo doen wij het) is dat we één keer per periode (bijv een jaar) kijken of de gewenste TIER's nog steeds conform business plannen zijn. Als dit niet zo is stellen we ze bij.. en anders gaan we rustig verder.
Denk jij, dat een Amerikaanse overheids instantie NSA toegang zou weigeren?
NSA heeft daar geen back-doors maar front-entrances om binnen te komen.
Klinkt mij toch best logisch dat ook overheden kijken naar digitale risico's, net als veel bedrijven.
Wat ik wel vreemd vind is dat dit geïmplementeerd "moet" worden middels presidentieel decreet..
Het beveiligen van overheidsinstanties is inderdaad vaak een logisch iets. Toch is het niet zomaar gegeven dat dit volgens degelijke richtlijnen gaat, of uberhaupt. Met dit decreet zal het vastgelegd worden hoe en tot welk niveau de instanties en hun 'assets' zullen moeten gaan beschermen. Dit zou uiteindelijk moeten leiden tot verbeterde algehele veiligheid op digitaal gebied.

In hoeverre dit 'moet' met een decreet niet aan de orde. Er zijn vast andere methodes om dit te verplichten en/of te implementeren, maar dit werkt.
Ja, he kunt het doen via het congres door simpelweg een bill voor te stellen. Het nadeel van een decreet is dat een volgende president het eenvoudig kan terugdraaien. Een voordeel is dat een decreet veel sneller en met minder obstakels te implementeren is.
Mij lijkt het een Sarbanes-Oxley (SOX) voor overheidsinstanties. Veel werk om alles conform te maken het eerste jaar maar je plukt nadien wel de vruchten van de structuur die het meebrengt.
Ik zal wel wat missen, maar waarom moet alles maar aan het internet worden geknoopt? Waarom worden bedrijfsnetwerken niet fijn losgemaakt van dat internet? Waar is het goed voor? Vaak is het geen noodzakelijk iets, maar wordt de connectie gemaakt 'omdat het kan'. En wat is er mis met VPN's die OOK losstaan van het internet? Waarom moet tot aan energiemaatschappijen, pompen en gemalen toch maar aan dat internet? Het enige wat ik kan bedenken, omdat zo'n lijntje 30 euro kost en een VPN verbinding los van dat internet om de één of andere reden hoger in prijs liggen ...

Dat is gelijk al een veel lastigere drempel ... 8)7

[Reactie gewijzigd door Houtenklaas op 12 mei 2017 08:07]

Ehmm, een VPN hangt per definitie aan een publiek netwerk. Het is immers een Virtual Private Network.
Daarnaast, dat hele bedrijfsnetwerken aan internet hangen is dan ook weer niet zo vreemd. Ik zou mijn werk echt niet kunnen doen zonder internet als informatiebron en naslagwerk. Dat neemt inderdaad niet weg dat je je in sommige gevallen best mag afvragen of bepaalde systemen wel aan internet moeten hangen.
Nee, dat is niet zo. Ik werk bij een tent waar VPN's worden geleverd die echt volledig loshangen van publieke systemen. En die kan je dan ook niet kapot DDossen en zo. Theoretisch zou alleen de ene klant pogingen kunnen doen om bij de andere te komen, maar daar helpt MPLS en een bewezen hardened configuratie weer tegen.

En je geeft zelf denk ik de reden, je kan niet meer zonder internet als informatiebron. Maar de keerzijde is dat dit 'gemak' ervoor zorgt dat productiesystemen als een soort "collateral damage" ook maar aan het internet hangen. En ik denk - de goeden daargelaten - dat er een berg systeembeheerders zijn die allang blij zijn dat hun netwerk werkt, maar geen idee hebben over security, wat een proxy al kan doen, dat het één echt samenkan met het ander. Maar ja, daar heb je ineens diepgaande kennis nodig. En die is duur/schaars. En dan gaat het inderdaad ineens over "money money money" ...
Bedoel je niet dat ze in een eigen mpls cloud draaien? Lijkt me erg stug dar je een VPN op levert zonder WAN connectie... Waarvoor is de VPN dan ook nodig 😐
Om volledig "los" te zijn van welk ander netwerk dan ook, om 100% garantie te hebben dat iemand vanaf het internet nooit bij dat VPN kan komen. Iedereen kan vast wel wat bedrijven verzinnen die daar wel wat centen voor over hebben. En uiteraard is het natuurlijk een "WAN", alleen een 100% gegarandeerd privé WAN ... De MPLS cloud is gedeeld, daarom "VPN", maar nog steeds los van de buitenwereld die "internet" heet.

[Reactie gewijzigd door Houtenklaas op 12 mei 2017 08:40]

Waarom zou de implementatie van MPLS niet buggy kunnen zijn? Het is niet een netwerk over fysiek aparte kabels toch? Misschien schat jij het risico van de MPLS heel laag, dat zou kunnen.
Zekerheid is in de deze branche 'key'. Claims over veiligheid zonder aantoonbaarheid zijn waardeloos. Dus nee, die MPLS implementatie is 100% zeker niet buggy.
en hoe garandeer jij dat (lees met welke bronnen) een externe cracker niet via het netwerk van de een en een slecht geconfigureerd intern netwerk bij de ander alsnog toegang heeft tot jullie cloud om daar vervolgens shit te gaan verpesten. waar komt jouw '100%' garantie vandaan, is het een read only network voor jullie klanten?
Daar zorgt MPLS voor. Een klant die zelf zijn VPN aan internet knoopt - dat kunnen ze en dat kan ook buiten ons om - maakt zijn eigen VPN vulnerable voor attacks. Door het toepassen van MPLS in ons netwerk blijft dat ook binnen dat VPN. En aangezien dat ons werk is, zorgen wij er met meerdere externe security partijen dat we die 100% garantie ook kunnen geven. Dat is ons bestaansrecht. En daar laat ik het bij.
Er zijn toch aantoonbare trucs om een MPLS netwerk plat te leggen. Denk aan route leaking, table overflow etc. Sws zou ik nooit binnen de ict een 100% kans op iets geven, ik neem aan de MPLS aanbieder ook niet. Dat soort uitspraken brengen meer problemen dan voordelen met zich mee.
De grap is natuurlijk dat MPLS ervoor zorgt dat verkeerstromen überhaupt niet mengen. En daar kan je wel degelijk iets van vinden qua security.
Dus nee, die MPLS implementatie is 100% zeker niet buggy.
De enige manier om dat te kunnen garanderen is met een formeel, wiskundig bewijs waarin de correctheid van elke regel code bewezen is. Bij mijn beste weten wordt dit alleen in academische kringen gedaan, niet in het bedrijfsleven.

Een ander probleem is dat je weliswaar aan kunt tonen dat je implementatie overeenkomt met de specificatie, maar dat je niet kunt bewijzen dat je specificatie foutloos is.

En tot slot, bij het ontwikkelen van software gaan we er eigenlijk automatisch vanuit dat de hardware foutloos is, maar dat is natuurlijk ook niet zomaar het geval. Als je ergens in je infrastructuur Intel CPUs gebruikt dan loop het het risico op die AMT-bug/backdoor van vorige week en als je om welke reden dan ook "interessant genoeg" bent, dan wordt je hardware tijdens de levering onderschept door de NSA en voorzien van custom backdoors.

Ik denk niet dat er een manier is om een "100%" garantie hard te kunnen maken.
Lijkt me erg stug dar je een VPN op levert zonder WAN connectie...
Er zijn genoeg WANs die niet aan het internet hangen,.
Ik zie niet direct waar gemeld word dat dit framework enkel voor systemen geld die rechtstreeks aan het internet hangen.
Ook bij het gebruik van VPN's ben je vatbaar voor digitale aanvallen. (Rechtstreeks het aanvallen van de VPN zelf, of onrechtstreeks via computers van medewerkers, social engineering, hack-aparaten, virussen, ...)
True, maar dat is wel de eerste en makkelijkste vorm. Met vooraf gemanipuleerde USB sticks die worden "verloren" voor de poort van een interessant bedrijf kan je ook al gave dingen doen, maar die zijn wel een heel stuk lastiger. En als je echt dingen wilt weten van een bedrijf, is fysiek inbreken ook nog een optie. Maar digitaal via het internet is wel zo safe vanuit de luie stoel. Ik vraag me nog altijd af hoe dat STUX stukje software die kernenergie-trommels te pakken heeft genomen, die zullen toch ook niet direct aan het internet gehangen hebben, zoals je al aangeeft.
Over stuxnet zijn een aantal documentaires gemaakt daarbij raad ik je zero days:http://www.imdb.com/title/tt5446858/ echt aan. Waar het dus eigenlijk op neer komt zoals jij het aangeeft zijn vaak vooraf gemanipuleerde USB sticks voldoende of via werknemers. Ookal zijn het airgapped netwerken die dus niet aan het grote internet hangen.
Ik raad je het boek Countdown to Zero Day aan van Kim Zetter. Gaat redelijk diep in de materie hoe Stuxnet te werk is gegaan en waarom deze wapen (want dat is het) is ontwikkeld door de VS en Israel.

https://www.bol.com/nl/p/...ero-day/9200000038746142/

[Reactie gewijzigd door magnifor op 12 mei 2017 10:06]

Money money money...
Als het aan het internet hangt kan 1 persoon meerdere locaties managen, hoef je niet overal fysiek langs, kun je dus met minder personeel draaien etc etc
Die eerste ken ik, dat bevestigt precies wat ik bedoel. Waarom moet alles maar aan het internet geknoopt worden? Een smart fridge? Hou toch op. Ik heb daar zelf een gezond wantrouwen tegen. Wat ook in dat Youtube filmpje langskomt, verpakkingen met RFID geven een vergaande inkijk in jouw gedrag. Totaal onnodig.
En het bizarre is dat ik he-le-maal gek ben van sensor technologie. Maar dan wel dat het bij de gebruiker blijft, maar tegenwoordig moet letterlijk alles in de cloud, tot aan de thermostaat in de kamer. Belachelijk en totaal onnodig. Ik zit er al jaren aan te denken zelf iets in die richting te gaan ontwikkelen waar de vrijheid net zo groot is, maar prettig gesloten voor de buitenwereld. Maar ja, nu de stap nog echt doen ook...
Als je NIST leest, dan moet het verhaal stinken!!. nadat voor 100% is bewezen, dat NIST, na 9/11 alleen maar gemanipuleerde data aanleverde na het onderzoek.
citation needed

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*