Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers stelen data over JSF bij een Australische onderaannemer

Een medewerker van het Australian Signals Directorate, een inlichtingendienst, heeft gezegd dat hackers in totaal 30GB aan data hebben gestolen over de JSF-straaljager, marinevaartuigen, het P-8-verkenningsvliegtuig, het Hercules-transportvliegtuig en gps-geleide bommen.

De hackers hadden sinds juli 2016 toegang tot het netwerk van een klein Australisch luchtvaartbedrijf, een onderaannemer van het Australische ministerie van Defensie. Het buitmaken van data begon twee weken daarna volgens een manager van het Australian Signals Directorate, Mitchell Clark. Dat heeft hij bekendgemaakt tijdens een presentatie.

De federale Australische overheid zegt niet te weten wie de hackers waren en stelt dat de gestolen informatie geen gevoelige geheime data betreft, maar slechts commercieel gevoelige gegevens. Clarke zei tijdens de presentatie echter dat het om een uitgebreide datadiefstal ging. Welke gegevens er precies zijn buitgemaakt is niet duidelijk, al zei Clarke wel dat er onder de gestolen informatie over de marineschepen onder meer materiaal zat waarmee helemaal kan worden ingezoomd tot op de stoel van de kapitein.

Voor de inbraak bleek een tool genaamd China Chopper te zijn gebruikt. Het kostte de hackers volgens Clark bijzonder weinig moeite om het netwerk binnen te dringen, mede omdat het bedrijf bij bepaalde internetdiensten nog steeds gebruikmaakte van standaardwachtwoorden zoals 'admin' en 'guest'. Het betreft een klein bedrijf dat vijftig mensen in dienst heeft, waarbij het netwerk werd onderhouden door één it'er.

Gegevens over de JSF zijn al vaker doelwit geweest van hackers. Zo braken onbekenden in april 2009 in op computersystemen van het Join Strike Fighter-straaljagerproject, waarbij meerdere terabytes aan gegevens zijn gestolen. Er is gespeculeerd dat China de hierbij buitgemaakte data heeft gebruikt voor de ontwikkeling van de eigen J31-straaljager, die veel op de JSF lijkt. In mei 2013 zouden Chinese hackers via een hack geheime ontwerpen hebben gestolen van meerdere wapensystemen, waaronder de JSF.

Mede omdat de JSF is ontwikkeld door een groot aantal westerse landen, zijn talloze defensiebedrijven bij het programma betrokken, waardoor de gevoelige gegevens bij allerlei verschillende bedrijven op hun netwerken staan.

Bovenaan de JSF; daaronder de Chinese J-31.

Door

Nieuwsredacteur

67 Linkedin Google+

Reacties (67)

Wijzig sortering
Als je kan inloggen met een (standaard) wachtwoord dan is het gewoon inloggen, geen hacken. Ze kunnen dan wel boos zijn, maar dan moet dat wel op henzelf zijn. Hoe ontzettend stom kan je zijn om een wachtwoord niet (meerdere keren per jaar) te wijzigen..
Volgens NIST hoef je je password niet meer te veranderen periodiek. Zie hier: https://www.passwordping....password-guidelines-nist/
Wel belangrijk om een goed en uniek password te kiezen / genereren natuurlijk :)
even verduidelijken: alle instanties raden nog wel aan om regelmatig je wachtwoord te wijzigen. Wat ze niet meer aanraden is VERPLICHT periodiek dit aan te passen, aangezien dat je dan wachtwoordjanuari wachtwoordfebruari, hunter1 hunter2 hunter3, qwerty wertyu ertyui etc. krijgt wat nog altijd makkelijk te raden is eens je 1 van deze versies in je handen hebt
Of erger, wachtwoorden zo randomesque maken, dat men ze gaat opschrijven op post its en tegen het scherm plakt.

Doe alsof je een belangrijke potentiele klant bent, kom bij het bedrijf binnen en ... je bent binnen.
Hacken is ook dan alleen inloggen, hacken is niks anders dan gegevens invoeren in een systeem en misbruik hiervan maken, of je dit nou met een standaard wachtwoord doet of met een SHA code's die je met speciale tools krijgt.

maar mensen zijn gewoon lui om een wachtwoord te verzinnen om het jaar want anders vergeten ze het weer. net als een wachtwoord op een papiertje schrijven.
de definitie v hacken is nog altijd "het onrechtmatig toegang verlenen tot computersystemen". de manier waarop maakt niet uit.

[Reactie gewijzigd door preske op 12 oktober 2017 21:51]

*zucht* En ondertussen al die bedrijven maar hun ICT afdelingen inkrimpen en uitbesteden want "ja da's goedkoper". En jaar op jaar liggen er steeds meer gegevens overal op straat .... Dat krijg je met die dinosaurussen als CEO's die niet snappen hoe hard nodig een goede beveiliging is, want die denken dat ICT lollig is, maar verder niet echt nuttig. En toch gaan ze doodleuk op dezelfde wijze verder jaar op jaar op jaar. Want goedkoop is belangerijker dan veilig ... Wanneer gaat het belletje nou eens rinkelen -_-
En hoe is je relaas relevant op dit bericht? Heb je indicaties die aangeven dat bij dit bedrijf het ICT budget omlaag is geschroefd, en dat daarbij veiligheidsmaatregelen zijn komen te vervallen?

Het is naïef om te denken dat een fors percentage van je budget naar ICT gooien gaat helpen om de beveiliging op te schroeven. Dat vereist een andere bedrijfsmentaliteit, niet slechts meer geld.

Het is dus ook wel wat makkelijk om bij elk security incident op Tweakers.net weer de CEO's massaal de schuld te geven.

[Reactie gewijzigd door Tozz op 12 oktober 2017 13:10]

als je het artikel leest zie je dat er 1 ICT'er werkt in een bedrijf van 50+ werknemers.

Lijkt me wel een rondje besparen daar....

is ook een onderaanneming van de Australische staat, dus uitbesteding aan de goedkoopste waarschijnlijk (zoals elke overheidsdienst doet)

.denk wel dat de revelantie er is en was...
Sterker nog 1 ICter in een bedrijf wat (ongeacht grootte) gevoelige data heeft van een vliegtuig zoals de JSF. Is toch te zot voor worden?
Ik weet niet of er een gouden ratio is tussen regulier personeel en IT'ers. Denk het niet, zal nogal afhangen hoeveel rommel ze zelf hebben. Als deze partij vooral SaaS gebruikt, mail in de cloud en weet ik veel wat dan hebben ze wellicht amper zelf apparatuur en is 1 man mogelijk meer dan genoeg.

Ik blijft erbij dat het een mentaliteitskwestie is. Zoals ook in het artikel te lezen is oa. een default user/pass niet aangepast. Je kunt nog tientallen mensen aannemen, maar als de mentaliteit of het bedrijfsbeleid ontbreekt om zulke basale dingen te wijzigen, dan maakt de hoeveelheid geld die je ergens tegenaan gooit niet uit.
LOL, ik werk op een bedrijf van 30+ mensen (architectenbureau), en weet je hoeveel IT'ers wij voltijds in dienst hebben?

NUL.

We hebben 1 dag per week iemand die langskomt van een externe IT firma. En voorts zijn die mensen bereikbaar via mail en telefoon qua helpdesk. En ja, wij leunen wel hevig op onze workstations en technologie voor onze dagelijkse productie CAD, rendering, Adobe CS, etc., we draaien heus niet enkel Microsoft Office.

Het is totaal niet realistisch qua budget voor doorsnee bedrijven van 50 mensen en minder (de KMO zeg maar) om zomaar meerdere IT'ers voltijds in dienst te nemen. Werknemers zijn enorm duur, zeker in Europa.

Ik ben wel akkoord dat een bedrijf dat gevoelige defensieinformatie heeft zijn beveiliging op orde moet hebben, en daar zoveel IT'ers moet voor aannemen als nodig. Stelt de (Australische) overheid die deze contracten toewijst aan dit bedrijf geen eisen wat betreft beveiliging, encryptie, etc. van gevoelige militaire informatie??
1: Heb op een ICT afdeling gewerkt. Heb dit regelmatig zien gebeuren. Outsourcen is nog een "hobby" van ze omdat het goedkoper is. Echter wat denk je wat beter werkt voor beveiliging? Een bedrijf die jouw systeem komt fixen zodra ze tijd hebben (ivm met andere opdrachten) en jouw systeem niet door en door kennen of een interne ICTclub dat wel zou kennen?
2: Bedrijven hebben als doelstelling winst. En ICT is het achtergestelde kindje. Kijk maar naar de legio bedrijven die nog windows XP ergens hebben draaien want "het is goedkoper dan een helemaal nieuw stukje software te implementeren". Wat denk je dat daar het resultaat van is? Oh ja vergrote kans op data lekken ...
3: Volg je het nieuws wel een beetje? laatste tijd bijna IEDERE week data lekken. Hek bij de belasting dienst zijn ze wezen kijken en mijn god wat een ramp was het daar wat betreft beveiliging. En hoe kwan dat? Oh ja uitbesteden aan bijv Accenture en binnen het bedrijf maar de boel snoeien. Wie denk je dat dit bedenkt? HR? ICT zelf? De gewone persoon in de lijn? Nope top management. Period. Keer op keer op keer. En het hoeft geen resultaat te zijn van een recente snoei in het budget maar kan dus 1 van een paar jaar geleden zijn. Maar worden de budgeten vergroot nu constant datalekken van allerlei in het nieuws staan? Nope. En wie denk je dat dit uiteindelijk beslist? Oh ja ...

Hoe is dit relevant op dit bericht? Het gaat over weer een data lek? Of lees ik dat nou verkeerd. -_-
Het idee dat outsourcen kansloos is qua security is vooral kansloos. Dat is namelijk niet het geval.

Het is veel zinvoller dat een partij die verder niets met ICT van doen heeft (bv. een ziekenhuis), waarbij het upper management ook meer affiniteit zal hebben met hoe je een patiënt beter maakt dan wat goed beleid is mbt. firewalls, dergelijke werkzaamheden uitbesteed aan een partij waarbij upper management wel weet wat ze aan het doen zijn op dat vlak. Schoenmaker blijf bij je leest. Het is niet voor niets dat de trend om te outsourcen niet zozeer voortkomt uit kostenoverweging, maar uit de visie dat je je moet focussen op je core business en de randzaken wellicht beter over kunt laten aan anderen die op dat vlak weer goed zijn.

Het is ook wat simpel gesteld dat er een datalek is bij een partij en dat dat dan de schuld is van de partij die het beheer doet. Als Accenture in jouw voorbeeld niet als opdracht heeft om de beveiliging op orde te brengen, dan ligt het niet aan Accenture dat de boel gehacked is. Of als ze die opdracht wel hebben gehad, maar een of andere server stond niet in het overzicht dat is verstrekt aan Accenture, en die server had nog een default user/pass, dan kun je dat moeilijk aan Accenture toewijzen.

Juist bij het outsourcen van dergelijke zaken kunnen redelijk eenvoudig stricte requirements en verantwoordelijkheden opgesteld worden waar de partij die het beheer doet zich aan moet houden, met forse boete clausules als die niet worden gehaald. Dat is een stuk lastiger wanneer je een eigen ICT afdeling hebt die wellicht onvoldoende sturing krijgt vanuit management of gewoon onvoldoende capabel is. Dan kun je die manager ontslaan, maar meer kun je niet. Kortom, je kunt je schade niet verhalen.

Bovendien is outsourcen meestal niet goedkoper, maar juist duurder. Er zitten immers nog meer lagen tussen de belanghebbende en de uiteindelijke werknemer het werk uitvoert. Dat is wellicht een tikkeltje anders wanneer je personeel hebt zitten in een of ander lagelonenland, maar dat gaat meestal vooral om support- en ontwikkelwerk.

Top management de vinger toewijzen is natuurlijk heel makkelijk, want die zijn inderdaad eindverantwoordelijk. Dus altijd als er ergens iets mis gaat is uiteindelijk top management verantwoordelijk, altijd ongeacht wie er nou daadwerkelijk schuld heeft. Zie ook voormalig minister Hennis, die is opgestapt voor een kwestie waar zij persoonlijk natuurlijk niets aan kan doen, maar wel verantwoordelijk voor is.

Verder is het "winstargument" ook volledig onzin. Kijk naar een bedrijf als Equifax. Gehacked tot op het bot. Denk je dat die nog winst hebben? Hun bedrijf is qua waarde volledig onderuit gezakt, delen van management zijn opgestapt, klanten lopen weg, etc, etc. Security is dus belangrijk voor het behoud van company value. Een slechte naam helpt je niet bij het behalen van je winstdoelstellingen. Het is dus ook naïef om te denken dat een grote organisatie ICT alleen als kostenpost ziet. We leven niet meer in de jaren 90. Management van een grote organisatie ziet echt wel in dat security en I(C)T belangrijk is voor het behalen en behouden van winst maar ook bedrijfscontinuïteit.

Het XP argument slaat ook kant noch wal. Geen enkel bedrijf werkt graag met verouderde software. Ook bedrijven niet die nu nog op Windows XP draaien. Maar er kunnen situaties zijn waarin ook na zorgvuldige afweging het gebruik van XP een betere keus is dan het alternatief. Het kostenaspect kan daarbij inderdaad een keuze zijn, maar dat hoeft niet. Het kan ook een risico zijn voor de continuïteit van bedrijfsvoering of simpelweg de onmacht bij upgraden. Wellicht is er bv. een zeer specifieke applicatie in gebruik, bijvoorbeeld voor aansturing van machines, waarbij de fabrikant failliet is maar de machines nog niet afgeschreven zijn terwijl de kosten voor veranging wel enorm is (misschien wel bedrijfskritisch duur). Ja, wellicht zou je dan een volgende keer moeten nadenken over broncode in escrow, maar er kunnen nu situaties ontstaan die het gevolg zijn van wellicht onverstandige keuzes (of onwetendheid) uit het verleden, die je nu wel moet oplossen.

Ook voorbeelden als een (om maar weer een ziekenhuis aan te halen) CT-scanner die wellicht op XP draait vervangen door een recent exemplaar, waarbij alle gebruikers van het apparaat op een 3-weekse cursus moeten kan wellicht reden zijn om de vervanging uit te stellen omdat er momenteel al een fors tekort aan personeel is en je die mensen dus simpelweg niet kunt missen. Wederom, dan kan bedrijfscontinuïteit de reden zijn waarom je toch blijft draaien op een oud systeem.

Resumerend: Alle argumenten die hier telkens door iedereen worden gegeven: ICT geen budget, ICT ondergeschoven kindje, elk data lek is het gevolg van gebrek aan geld en outsourcen, etc, etc is gewoon onzin als je de feiten niet kent.

Last but not least is het ook gevaarlijk om te stellen dat een interne ICT tak alle ins en outs kent van een organisatie op ICT gebied. Als om wat voor reden dan ook personeelsverloop hoog is binnen een organisatie kan het ook bij een eigen ICT afdeling prima zo zijn dat niemand eigenlijk nog een idee heeft wat er allemaal is en hoe het werkt.
En wie stelt die requirements op? Ohja datzelfde falende management, of laat je dat ook aan een externe partij? Probleem zit hem al in de positie van IT binnen een organisatie. Stel maar eens een realistische organogram op van een gemiddelde toko, waar zitten ze dan? Niet daar waar je ze verwacht, ondersteunend aan de directie, maar als afdeling binnen een bedrijf. Daar gaat het al mis
De fysieke beveiliging van bv. een bank (of noem een willekeurig ander high profile pand) zit ook niet aan tafel bij de directie.

Personeel dat zich houdt aan de veiligheidseisen (geen pasjes weggeven, geen wachtwoorden op briefjes schrijven, geen deuren open houden voor onbekenden, geen documenten uit het pand meenemen) is een net zo groot probleem maar heeft niets met IT te maken. Moet personeel dan ook aan tafel bij de directie?

Daarnaast is goed werkende en veilige IT net zo belangrijk als een afdeling 'orderverwerking' bij (ik noem maar wat) een webshop. Als er een week geen orders verwerkt worden bij een hut als Bol.com kun je ook de deuren sluiten. Idem voor een afdeling financiele administratie.

Kortom, elk bedrijf heeft meerdere cruciale afdelingen om de zaak operationeel te laten draaien. Moeten die allemaal aan tafel bij de directie?
Really? ok voor beeldje:

https://www.nu.nl/weekend...dje-maar-lost-op.htmlKijk naar de datum. 2016.
https://www.nu.nl/interne...erstellen-datalekken.html
Kijk naar de datum: 2017.

Ga je me nou echt serieus vertellen dat dat "toeval" is?
Dat ze niet eerst de boel op ICT hebben lopen te bezuinigen en dat een jaar later dus blijkt dat de hele boel zo lek als een mandje is?
Je weet wel gemeentes die zo graag de boel outsources and jouw " zogenaamd" competente bedrijven en voor een appel en een ei de boel laten opzetten en daarna er niks/bijna niks mee doen?
Heb je de Zembla documentaire gemist? https://www.npo.nl/zembla/01-02-2017/VARA_101381843
Ook toeval? Ook niet dat terwijl ze de hele hap uit handen hebben gegeven dat het niet op orde is?
Light nog steeds bij de interne ICT dus?

Hoe vaak lezen we niet dat bijvoorbeeld onze oorlogsvloot nog op XP draait omdat een nieuw system " te duur" is? Dus dat is maar een "enkele keer" dat zoiets wordt gedaan omdat het goedkoper is en niet regelmatig?
Of http://www.infosecurityma...etroffen-door-ransomware/
ook een gevalletje "toeval" en "gebeurd niet regelmatig"?

Ben je nou echt zo naief? Het staat constant in de krant. Alleen in 2017 de EERSTE 3 maanden al 3113 datalekken. En dat zijn alleen al de gemelde. Denk je nou echt dat die ALLEMAAL door onvakkundig ICT personeel zijn gekomen? En niet door jaren en jaren van bezuinigingen?

Nauurlijk zijn niet alle ge-outsource-te projecten een probleem. Tuurlijk zijn er wel capabele. Maar als zo'n groot bedrijf als Accenture er basically met de pet naar gooit bij de belastingdienst in naam van vriendjes politiek en kosten besparing, denk je nou echt dat dat dan wereldwijd niet gebeurd op alarmerende schaal? Dat hele persoonsdatabases op straat liggen omdat ze niet de boel gedownsized hebben om geld te besparen? Of hele powergrids in handen komen van hackers omdat de software zo uberbeveiligd is en up to date, maar alle IT'er zijn incompetent, de outsources zijn allemaal geweldig en iedere hacker is een superhacker? Ben je nou echt zo naief dat je denkt dat dit niet of nauwelijks komt omdat men ICT niet serieus neemt en de boel maar kapot bezuinigd?

Wow ... dan leef je volgens mij een beetje in een bubbel ... want als je alle hacks volgt wat nieuwsgeving betreft zie wel erg vaak die "uitzonderingen" -_-
Mijn punt is dat het outsourcen van IT niet slecht is, en dat dat niet per definitie betekent dat je teveel betaald en weinig krijgt. Goed personeel is niet alleen duur, maar ook lastig te vinden. Voor een gemeente is het (om wat te noemen) niet zinvol om een storagespecialist in dienst te nemen, als er maar voor een uur in de week werk voor die gene is. Dan kun je dat beter outsourcen. Het alternatief is dat je een minder capabele werknemer laat werken op apparatuur waarvan hij niet alle ins en outs kent.

Ik ken als IT-er helaas meer on-vakkundig personeel dan vakkundig personeel. Dat hoeft niet perse aan die mensen zelf te liggen, maar dat mensen bijvoorbeeld taken toegewezen krijgen waar ze simpelweg geen ervaring mee hebben. Dat gebeurt vaak in kleine organisaties waar een klein team steeds meer apparatuur in beheer krijgt. Apparatuur waar ze mogelijk 0,0 ervaring mee hebben.

Wat jij stelt is dat elk datalek het gevolg is van bezuinigingen en gebrek aan inzicht bij directies en de behoefte om te outsourcen. Ik stel slechts dat dat echt een onzin verhaal is. Ik stel dat ondernemingen anno 2017 echt wel realiseren dat IT een belangrijk onderdeel is en dat beveiliging daar een onderdeel van is.

Echter, geen enkel bedrijf heeft een onbeperkt budget. Dus ja, er zullen soms keuzes gemaakt moeten worden tussen verbetering van beveiliging of het verbeteren van de financiën. Dat kan verkeerd uitpakken, maar dat kun je nooit op voorhand bepalen.

Zelfs al zou je elke euro omzet aan IT beveiliging uitgeven, dan nog is dat geen garantie dat er nooit een hack plaatsvindt.

De realiteit is dat je nou eenmaal keuzes moet maken, niets is 100% veilig en er is geen enkel bedrijf ter wereld dat geen grenzen aan budgetten stelt.

Uiteindelijk kan een datalek het gevolg zijn van een verkeerd vinkje, een vergeten admin account, een niet verwijderde oude versie van een stuk software. Daar kun je nog zoveel beleid voor maken, nog zoveel miljoenen tegenaan gooien, maar er worden nou eenmaal ook gewoon fouten gemaakt. En ja, daar zijn dan allemaal oplossingen voor te bedenken om zoiets een tweede keer te voorkomen. Maar niemand heeft alle kennis in pacht, dus er zal binnen organisaties ook geleerd moeten worden van fouten. Dat kunnen soms pijnlijke en dure fouten zijn.
Sorry maar vind het een beetje goedpraterij wat je nu doet. Ik stel helemaal niet dat het alleen maar daardoor komt. Maar kom opzeg wanneer bedrijven als equifax die miljarden verdienen en wel vette bonussen kunnen uitkeren ga je me echt niet vertellen dat ze niet meer aan betere ICT beveiliging kunnen besteden. En dat is maar 1 voorbeeld. Dat niets 100% veilig is is nogal logisch maar wanneer een paar script kiddies en niet een de creme de la creme van hackers je boel kan hacken ben je als leidinggevende gewoon massief aan het blunderen. period. Kun je het wel proberen om het net als iedere leidinggevende te dumpen op het bordje van de ICT-ers, maar dat is botweg gewoon verantwoordelijkheid afschuiven.

En ik zie in het nieuws voornamelijk alleen maar "hacks" die gedaan worden zonder al te veel moeite omdat het gewoon mismanagement voornamelijk is van de top. En outsourcen van IT hoeft niet slecht te zijn, maar sorry hoor het is ook niet het heilige paardje wat jij ervan maakt. Meer dan genoeg geblunder komt ook daar vandaan.

En als anno 2017 het allemaal zo serieus genomen word, hoe krijgen ze het dan voor elkaar als het nieuws vol staat keer op keer met het zoveelste datalek (nu al jaren) dat ze NOG geen checks hebben gedaan of maatregelen hebben genomen om zelf niet de volgende te zijn?

Voornamelijk mismanagement van de top die denken dat ze alles wel weten en niet naar personeel hoeven te luisteren. Een veel voorkomend euvel bij mensen in leidinggevende posities met papieren.
Kun je wel doen of sat nooit gebeurd maar dat is denk ik dan een gevalletje je kop in het zand steken en schuld afschuiven. En als mensen op de verkeerde plekken zitten, wiens schuld is dat denk je? Oh ja ... degene die hen daar plaatsen. En als er nieuwe software of apparaten komen en er word niet getraind of een gekwalificeerd persoon aangenomen wiens verantwoordelijkheid is dat denk je?

Kan zo nog wel even doorgaan maar groten deels gewoon geblunder bij leidinggevenden.
*zucht* Dat ik mijn ervaring deel betekend niet dat ik "expert" ben. Alleen dat ik iets in een bepaalde situatie vaak heb meegemaakt. Meteen weer zo'n denigrerende opmerking alsof iemands werkervaring automatisch betekend dat ie zit te overdrijven.

En weten externe mensen de desbetreffende programma's? Tuurlijk. Maar weten ze de infra van het bedrijf tot in de details? 100%? Iedere specifiek stukje hardware en custom software? Zoals een interne afdeling dat wel zou weten? Lijkt me echt heel sterk.

En ik lees het niet alleen op tweakers *zucht* TV, Social media, streaming sites, staat er regelmatig wel wat van op. Heus niet alleen tweakers -_-

Nee weet inderdaad niet specifiek hoe de hack gegaan is. Maar weet je wat op valt? De gemiddelde hack word gedaan door meestal een stel hackers die echt niet zo super ervaren zijn. Waarom lukt het ze dan? Verouderde ICTinfrastructuur. Dus voordat je mij probeerd belachelijk te maken ga eens rond kijken naar de datalekken berichten van uhm 2017 en de oorzaken daarvan. Kom je grappig genoeg een bepaald patroon tegen ... maar ja zal wel mijn verbeelding zijn ...
Veel CEO's zien IT inderdaad als een soort papier. Ze hebben het idee dat als je mensen maar voldoende "incentives" geeft ze best met minder toekunnen. Zich verdiepen in het hoe en waarom doen ze verder niet.

Echter, waar ze bij papier op enig moment zelf voor een lege printer staan, is de schade bij IT soms pas na jaren goed zichtbaar.
En niet vergeten ... dan is het de schuld van IT. Niet van meneer CEO die de boel dood heeft lopen bezuinigen. Neee van IT natuurlijk want die hadden beter hun best moeten doen lol
Je kunt 10 miljoen uitgeven aan IT, 20 IT-ers in dienst nemen bij een bedrijf met 50 man, als je default wachtwoorden niet aanpast word je gepwnd.

Dit heeft dus niets te maken met budget, en alles met het toepassen van de meest basale veiligheidsmaatregelen.
In dit geval helemaal mee eens. Maar de kans dat als je 2 IT-ers hebt tegen over 1 dat #2 OOK vergeet/zo dom is wachtwoorden niet aan te passen is al een stuk kleiner.
Dat is een gevaarlijke aanname. Binnen organisaties spelen allerlei ontastbare zaken die een rol kunnen spelen in het semibewust zijn van veiligheidsproblemen.

Dat kan zijn bv. een nieuwe werknemer die wel kennis van zaken heeft, maar dat zijn argumenten niet worden opgepakt door de groep. "we doen het hier op deze manier, en dat werkt prima zo".

Een nieuwe werknemer zal sowieso niet direct z'n nieuwe collegas aanvallen door aan te stippen wat er allemaal mis is, met het risico dat ook die nieuwe werknemer zich bewust dan wel onbewust schikt aan de situatie.

En er kunnen ook hier weer technische redenen aan ten grondslag liggen. Bijvoorbeeld het gebruik van een standaard admin account met als motivatie: "Die machines hangen in een afgesloten omgeving". En een jaar later knupt iemand die omgeving aan het Internet, en daarbij vergeten ze dan dat die machines nog dat standaard admin account heeft.
En ook hier weer: wiens verantwoordelijkheid denk je dat dat voornamelijk is?
Leidinggevenden. Want dat hele zo werkt het prima dus laat maar zo word echt niet beslist door het voetvolk.
Als "we" staatsgeheimen al niet kunnen beveiligen, wat moeten ze dan met data over taloze burgers via een sleepnet.
Kunnen beveiligen? Hier is dus gewoon geen eens iets beveiligd. Admin admin als inlog, dat noem ik geen beveiliging..
Als "we" staatsgeheimen al niet kunnen beveiligen, wat moeten ze dan met data over taloze burgers via een sleepnet.
Laatste alinea artikel:
Mede omdat de JSF is ontwikkeld door een groot aantal westerse landen, zijn talloze defensiebedrijven bij het programma betrokken, waardoor de gevoelige gegevens bij allerlei verschillende bedrijven op hun netwerken staan.
"There is no such thing as a secret know by two people."... Hoewel ik ook tegen de sleepnet-wetgeving ben is dit artikel in principe geen bewijs dat "onze" data niet veilig zou zijn. Als de AIVD alles wat ze bij elkaar verzamelen op één plek opslaan (en die ene plek door competente mensen met een toereikend budget laten beveiligen) dan zou dat best kunnen werken.
</devil's advocate>
"Het kostte de hackers volgens Clark bijzonder weinig moeite om het netwerk binnen te dringen, mede omdat het bedrijf bij bepaalde internetdiensten nog steeds gebruikmaakte van standaardwachtwoorden zoals 'admin' en 'guest'. Het betreft een klein bedrijf dat vijftig mensen in dienst heeft, waarbij het netwerk werd onderhouden door één it'er."

Dat het door één it'er onderhouden is moet geen issue zijn, wat wel een issue is is dat er een it'er rond loopt uit het jaar 0 waar de huidige beveiliging standaards nog niet zijn aangekomen. Wat mij betreft mag een bedrijf direct afscheid nemen van zo iemand.
De hoofdaannemer moet gewoon direct afscheid nemen van de onderaannemer. Het feit dat security niet gecontroleerd wordt en niet als zodanig belangrijk wordt geacht is de onderaannemer als geheel aan te rekenen. Ook 1 it-er is geen it-er. Als een bedrijf dit beleid heeft dan verdiend het niet om actief te zijn.
"Voor de inbraak bleek een tool genaamd China Chopper te zijn gebruikt. Het kostte de hackers volgens Clark bijzonder weinig moeite om het netwerk binnen te dringen, mede omdat het bedrijf bij bepaalde internetdiensten nog steeds gebruikmaakte van standaardwachtwoorden zoals 'admin' en 'guest'. Het betreft een klein bedrijf dat vijftig mensen in dienst heeft, waarbij het netwerk werd onderhouden door één it'er."
Wat een verstand....
Ik ga ervan uit dat er ook clausules in dit soort contracten zijn opgenomen m.b.t. geheimhouding maar ook het schenden of het niet houden aan bepaalde veiligheids niveaus juridische en financiele concequenties heeft.
Als de overheid zich druk maakt om de beveiliging van de staatsgevoelige data is het wel zo handig diezelfde eisen te stellen aan je onderaannemers en hoe hun met databeveiliging omgaan. Beveiliging is zo sterk als de zwakste schakel en die schakel kan ook buiten het eigen netwerk liggen als je gevoelige data aan andere bedrijven geeft.
Bijzonder, dat men zoveel eisen stelt aan partijen die meewerken aan het project, maar niet aan de beveiliging van hun systemen. Het is haast alsof ze het kwijt willen ;)
... standaardwachtwoorden zoals 'admin' en 'guest'.
Man man man, ik neem aan dat naast de hackers (of eerder gewoon 'inloggers') ook de directie en de IT'er van dat bedrijf uitgeleverd gaan worden aan de USA? Want de USA wilt dat altijd zo graag.

Dit bericht is wel een beetje sarcatistisch bedoeld hoor. Maar 1 IT'er op 50 man en dan ook nog een bedrijf dat met nogal gevoelige informatie omgaat is wel een beetje weinig.
De 5.2 miljard euro die NL in de JSF heeft gestoken is nu zo goed als waardeloos. En dat na jarenlang van politiek gekibbel. 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*