Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Digitale weerbaarheid van Nederland lijdt onder ontbrekende basismaatregelen'

In het jaarlijkse rapport van de Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid, genaamd Cybersecuritybeeld Nederland, bekritiseert de organisatie het ontbreken van basismaatregelen die de 'digitale weerbaarheid' van Nederlandse organisaties kunnen verhogen.

In het nieuwe rapport haalt de NCTV voorbeelden aan als NotPetya en BadRabbit om zijn standpunt te illustreren. Daarbij maakten de aanvallers gebruik van bekende kwetsbaarheden. De organisatie schrijft: "De beveiligingsupdates hiervoor waren al maanden beschikbaar, maar klaarblijkelijk niet toegepast. In
andere gevallen waren kwetsbaarheden (nog) niet bekend, maar zouden basismaatregelen wel een barriŔre hebben gevormd of de gevolgen hebben verkleind."

Daarmee doelt de NCTV op praktijken als netwerksegmentatie en het tijdig uitvoeren van updates. In het geval van WannaCry bijvoorbeeld waren er al geruime tijd patches van Microsoft beschikbaar voor het lek waarvan de Eternalblue-exploit gebruikmaakte. De NCTV voegt daaraan toe dat ook configuratiefouten tot beveiligingsincidenten kunnen leiden, zoals het per ongeluk openstellen van een server. Ook wijst de organisatie op memcached servers die werden misbruikt voor ddos-aanvallen.

Uit de genoemde incidenten maakt de NCTV op dat organisaties het vaak nalaten om basale maatregelen te treffen. Het zou echter niet mogelijk zijn om een 'specifieke inschatting' te geven van de weerbaarheid, omdat onduidelijk is welke maatregelen organisaties precies treffen. De organisatie wijst ook op 'toenemende complexiteit' als reden voor lage weerbaarheid. "Het gebruik van diverse dienstenleveranciers en clouddiensten zorgt voor nieuwe afhankelijkheden en een vergroting van het aanvalsoppervlak", aldus de NCTV.

In het rapport borduurt de NCTV voort op deze afhankelijkheid en stelt de organisatie dat deze ook risico's met zich meebrengt als een leverancier wordt ingezet om een aanval uit te voeren, oftewel een supply chain-aanval. Dit was bijvoorbeeld het geval bij NotPetya, dat werd verspreid via een update van boekhoudsoftware van een Oekra´ens bedrijf. De maatschappelijke gevolgen van dit soort aanvallen zouden groot zijn.

Het rapport trekt nog verschillende andere conclusies. Zo vormen staten nog steeds de grootste 'digitale dreiging' voor Nederland, zoals ook in het rapport van 2017 werd geconcludeerd. Verder wordt onder meer gewezen op de groeiende populariteit van cryptojacking, het probleem van onveilige, op internet aangesloten apparaten en de stijging van het aantal ddos-aanvallen.

De 'dreigingsmatrix' volgens de NCTV

Door Sander van Voorst

Nieuwsredacteur

13-06-2018 • 14:43

56 Linkedin Google+

Reacties (56)

Wijzig sortering
Ted, je bent vrij!? :P

Zonder dollen - je hebt gelijk. Maar niemand wil het horen. Het is allemaal te interresant, leuk en verslavend. Om het nog maar niet over het grote geld te hebben.
Ik denk dat het enkele tienduizenden dollars kost om een goede hacker op te leiden die in staat zou zijn om hier de stroom uit te schakelen en/of de sluizen open te zetten.
Denk alleen al aan het lesmateriaal, vertalingen van het lesmateriaal, de hardware voor een klein clustertje, internetverbindingen die niet platgebombardeerd mogen worden en SCADA-hardware en kennis is ook niet bepaald goedkoop.

Het zou mij niets verbazen dat een terrorist een vliegticket geven en een smokkelnetwerk voor AK47's op de langere termijn doeltreffender en meer dan een factor 100 goedkoper is.
Het internet is de boosdoener. Dat heeft ons enorm kwetsbaar gemaakt. Alles en nog wat wordt op internet aangesloten terwijl de software vaak zo lek is als een mandje.

Daarnaast zijn er bijkomstige omstandigheden zoals de C programmeertaal, welke computers eenvoudig te hacken maakt. Ondanks de vele programma's die vandaag de dag in Java, C# en Python geschreven worden zijn, word de meeste software nog steeds in C / C++ geschreven.

[Reactie gewijzigd door ArtGod op 13 juni 2018 15:52]

Maar als jij enige ervaring hebt met software schrijven dan weet je dat ontoereikende budgetten en haast een onderdeel van het leven zijn van een ontwikkelaar. Je moet het dus moeilijk maken voor een ontwikkelaar om fouten te maken en dat doe je door de computertaal zo te maken dat fouten maken moeilijk is. Dat is het geval bij Java en C# en helemaal bij Rust.

Rust is overigens vergelijkbaar met C, het is een systeem programmeertaal , alleen is deze inherent veilig. Java en C# zijn beide applicatietalen.

[Reactie gewijzigd door ArtGod op 13 juni 2018 20:45]

Ik ben zelf software ontwikkelaar dus ik weet heel goed hoe het in elkaar steekt. ;)
Voor veel kritische systemen zijn C# en Java simpelweg niet geschikt, Rust zou idd een goede taal zijn maar het is nog erg nieuw en er is bijvoorbeeld nog geen fatsoenlijke IDE. (Afgezien van editors met plugins etc.)
Daarnaast komt het verhaal van bestaande code bases om de hoek kijken en dan is het bijna altijd C/C++ in deze situaties.

Daarnaast heb ik zoveel prutsers gezien, vooral in C/C++, dat de kwaliteit van de code gewoon om te janken is. Uiteraard een gevolg van de complexiteit van C/C++, maar dat is iets anders! ;)

[Reactie gewijzigd door Vale vista op 13 juni 2018 23:15]

Omschrijf 'kritische systemen'. Java en C# zijn 'general purpose' talen waarmee je bijna alles (behalve besturingssystemen) zou moeten kunnen bouwen.

Volgens mij wordt C / C++ voor applicaties gebruikt terwijl het eigenlijk een systeem programmering taal is, wat je alleen voor besturingssystemen en device drivers zou moeten gebruiken.
Miljarden aan tanks? Het conventionele leger is inmiddels totaal uitgekleed. Net als de politie trouwens. Sinds de start van het nieuwe millennium is Den Haag vooral bezig zichzelf uit te faseren, dus dat er (ook) van staatswege veel te weinig gebeurt qua cyber security verbaast me niets.
Klopt, maar wat er nu uitgegeven wordt is ook al een fractie van wat we ooit deden, kortom: ik zie de gebrekkige bereidheid om als overheid te investeren in cyber security geheel in lijn met de rest van het beleid - het is m.i. dus niet slechts cyber security wat onderschat wordt, maar eigenlijk staat alles wat we ooit als overheidstaak zagen ter discussie bij de heersende politiek.
waarom zou een terrorist uberhaupt die op zelfmoord poging is het internet op?
Die heeft de digitale media niet nodig dan.
Voordat een terrorist uit Afghanistan of Jemen hier is moet er een hoop gebeuren.
Maar dat is het probleem helemaal niet. Vrijwel alle terroristen zijn hier geboren en getogen. Daarnaast zijn terroristen uit Afghanistan of Jemen daar veel harder nodig: daar worden dagelijks bijna meer mensen opgeblazen dan hier bij alle moslimaanvallen bij elkaar....
Als het buiten de overheid staat, wie gaat het betalen?
De overheid. Het staat buiten de overheid om besluiten te nemen, zodat het niet afhankelijk is van de overheid en diens laksheid en/of onkundigheid. Zoals ik al zei in mijn laatste zin, vergelijk het met de nederlandse bank en hoe die buiten de overheid om de economie bewaakt.
Cyberveiligheid zou een instantie moeten worden dat buiten de overheid staat en zelf regels en criteria op moet kunnen stellen waaraan overheden en bedrijven aan zouden moeten voldoen.
Hoe zie je dat in vredesnaam voor je? Dat ik jou ga vertellen wat je wel en niet mag doen omdat ik toevallig in zo'n organisatie ga werken? En wie controleert zo'n organisatie?
Op eenzelfde soort manier zoals de nederlandse bank de economie bewaakt, los van de overheid kan die ingrijpen in de economie en misschien is een cyberveiligheidinstantie in zo'n soort contructie ook wel wenselijk zodat het niet afhankelijk is van de overheid en diens laksheid en onkundigheid.
Wie zo'n instantie controleert weet ik niet, ik sta open voor input. :)
Beweer je dat er voor wanacry, notpetya, memcache er geen updates en configuraties mogelijk waren?

De voorbeelden gaan er om dat als updates en configuratie wel mogelijk zijn bedrijven alsnog niets doen.

Ik ben benieuwd welke voorbeelden jij kan geven om jou uitspraak te onderbouwen dat het aan de leveranciers ligt.
Ziekenhuizen die Windows XP draaien omdat anders de MRI machines niet werken.

En zo zijn er nog wel tal van voorbeelden.
Dat soort apparaten horen op een gescheiden netwerk geplaatst te zijn. Wat ook valt onder minimale beveiliging om toe te passen.
Dat is geen gewone XP versie.
De volledige uitleg van de basale maatregelen staan beschreven in deze folder van de AIVD/MIVD:

https://www.aivd.nl/publi...risicos-van-cyberspionage
Wanneer had je dat er dan niet in gezien? Als er helemaal geen opmerkingen over slechte beveiliging werden gemaakt?

Dit soort rapporten zijn bedoeld om de politiek en de bedrijven die van belang ziin voor de economie te waarschuwen. Welke maatregelen er dan volgen hangt van de toekomst af. Een van de maatregelen kan zijn dat er minimale eisen komen, er toezicht komt of dat bedrijven niet meer hoeven te rekenen op statssteun als ze het voor iedereen verprutsen.
Dat de directie het vaak te duur vindt komt omdat IT-ers niet goed kunnen communiceren met andere delen van het bedrijf. Een goede IT-manager vertaalt het technische verhaal naar benefits voor het bedrijf. Als je alleen maar aankomt met argumenten dat iets nieuw en gaaf is gaat natuurlijk niemand investeren. Zou jij ook niet doen als je een bedrijf moet leiden. Als je kunt aantonen dat bijvoorbeeld een upgrade kosten bespaart of voorkomt dat kosten gaan stijgen dan staat een directie daar echt wel voor open.
maar we hebben niet over iets nieuws of gaaf. We hebben het over concrete zaken. Veiligheid en bescherming. Vergelijk het maar met BackUp's van systemen, hoe vaak zijn die er en goed getest?

Zonder gordels rijden of met een lekke band heeft gevolgen bij een incident, of creŰert een incident.

Je haalt aan "Goede IT manager", weinig te vinden hoor. Ik moest voor PO bij twee bedrijven, wat mensen doorlichten, veel blah blah en hier gewerkt en daar gewerkt, maar gaf geen garantie voor kwaliteit. En toch vaak zijn er emoties erbij betrokken i.p.v rationale.

[Reactie gewijzigd door Lord Anubis op 13 juni 2018 19:16]

Het beeld van de overheid wordt vooral gevormd doordat bijna alles openbaar is. Je zou bedrijven de kost moeten geven die nog op oude meuk werken.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True