Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Digitale weerbaarheid van Nederland lijdt onder ontbrekende basismaatregelen'

In het jaarlijkse rapport van de Nationaal CoŲrdinator Terrorismebestrijding en Veiligheid, genaamd Cybersecuritybeeld Nederland, bekritiseert de organisatie het ontbreken van basismaatregelen die de 'digitale weerbaarheid' van Nederlandse organisaties kunnen verhogen.

In het nieuwe rapport haalt de NCTV voorbeelden aan als NotPetya en BadRabbit om zijn standpunt te illustreren. Daarbij maakten de aanvallers gebruik van bekende kwetsbaarheden. De organisatie schrijft: "De beveiligingsupdates hiervoor waren al maanden beschikbaar, maar klaarblijkelijk niet toegepast. In
andere gevallen waren kwetsbaarheden (nog) niet bekend, maar zouden basismaatregelen wel een barriŤre hebben gevormd of de gevolgen hebben verkleind."

Daarmee doelt de NCTV op praktijken als netwerksegmentatie en het tijdig uitvoeren van updates. In het geval van WannaCry bijvoorbeeld waren er al geruime tijd patches van Microsoft beschikbaar voor het lek waarvan de Eternalblue-exploit gebruikmaakte. De NCTV voegt daaraan toe dat ook configuratiefouten tot beveiligingsincidenten kunnen leiden, zoals het per ongeluk openstellen van een server. Ook wijst de organisatie op memcached servers die werden misbruikt voor ddos-aanvallen.

Uit de genoemde incidenten maakt de NCTV op dat organisaties het vaak nalaten om basale maatregelen te treffen. Het zou echter niet mogelijk zijn om een 'specifieke inschatting' te geven van de weerbaarheid, omdat onduidelijk is welke maatregelen organisaties precies treffen. De organisatie wijst ook op 'toenemende complexiteit' als reden voor lage weerbaarheid. "Het gebruik van diverse dienstenleveranciers en clouddiensten zorgt voor nieuwe afhankelijkheden en een vergroting van het aanvalsoppervlak", aldus de NCTV.

In het rapport borduurt de NCTV voort op deze afhankelijkheid en stelt de organisatie dat deze ook risico's met zich meebrengt als een leverancier wordt ingezet om een aanval uit te voeren, oftewel een supply chain-aanval. Dit was bijvoorbeeld het geval bij NotPetya, dat werd verspreid via een update van boekhoudsoftware van een OekraÔens bedrijf. De maatschappelijke gevolgen van dit soort aanvallen zouden groot zijn.

Het rapport trekt nog verschillende andere conclusies. Zo vormen staten nog steeds de grootste 'digitale dreiging' voor Nederland, zoals ook in het rapport van 2017 werd geconcludeerd. Verder wordt onder meer gewezen op de groeiende populariteit van cryptojacking, het probleem van onveilige, op internet aangesloten apparaten en de stijging van het aantal ddos-aanvallen.

De 'dreigingsmatrix' volgens de NCTV

Door Sander van Voorst

Nieuwsredacteur

13-06-2018 • 14:43

56 Linkedin Google+

Reacties (56)

Wijzig sortering
Geweldig, eindelijk aandacht voor IT en terrorisme.
Ik vond het moeilijk te begrijpen dat we in het kader van terrorisme miljarden uitgeven aan tanks, straaljagers en andere fysieke maatregelen terwijl we digitaal enorm kwetsbaar zijn.

Voordat een terrorist uit Afghanistan of Jemen hier is moet er een hoop gebeuren. De prijs van het vliegticket houdt de meesten al tegen. Voor je je eigen leven opoffert moet er sowieso al een flinke drempel genomen worden.
Zet daar tegenover iemand die vanuit de kelder van z'n moeder via een laptop even hier de stroom uitschakelt en de sluizen open zet. De kosten zijn nagenoeg 0 en het persoonlijke risico is minimaal.
Als ik een terrorist was dan zou ik het wel weten...

Onze enige "redding" is dat IT nog best lastig is en meeste terroristen niet de juiste opleiding hebben gehad om digitale aanvallen uit te voeren, maar dat "voordeel" wordt ieder jaar kleiner.
Aandacht ja, er wat mee doen is een heel ander verhaal. Overigens hebben wij het als samenleving mensen met foute bedoelingen nog nooit zo makkelijk gemaakt. Documenten bijgesloten bij aanbestedingen van infrastructuur, datacenters, bruggen en sluizen inclusief wie de opdracht heeft gewonnen zijn echt een schat van informatie, contactpersonen, type plc's etc. Misbruik van security by proxy (dus onder druk zetten inkoper, techneuten etc.) is dan slechts kinderspel want iedereen heeft drukpunten die gebruikt kunnen worden goedschiks of kwaadschiks.

Maar een dagje rondlopen tijdens het verhuis van een ziekenhuis levert ook een aardig lijstje gebruikersnamen, wachtwoorden, insuline- & morfinepomp code's op welke je weer kan doorverkopen voor een leuk zakcentje. Uit mijn hoofd een oud onderzoek bleek dat iets meer dan 60% van de security zaken/diefstal etc. van binnenuit kwam. Tel daarbij dubbele loyaliteit op en je krijgt zaken zoals bij de Dienst beveiligen waar werknemers gewoon informatie doorspelen aan criminelen. De mens is feilbaar en wij gaan er met zijn alle vanuit dat onze medemens en collega's betrouwbaar zijn, de realiteit is dat het erg slecht gesteld is met die betrouwbaarheid, bewust of onbewust en zelfs de overheid heeft dat zelfs niet eens op orde laat staan dat dit verwacht kan worden van de burger. IT security is enorm complex, als je beseft dat voor zoiets simpels als autorijden een compleet controle netwerk aan handhaving is echter voor gebruik van ICT middelen hoef je slechts vingervaardigheid te bezitten.

Onze samenleving zal drastisch moeten veranderen wil de huidige techniek ons niet de nek omdraaien, je ziet het al met fake news waarbij zelfs de politiek hier een hand in heeft, de op handen zijnde verplichte invoering en gebruik van IPv6 in de EU (welke qua techniek terug te herleiden is tot specifieke apparaten), de gemaks zucht van de mens (werkt dropbox niet voor bestandsuitwisseling dan pakken we een andere provider), makkelijker wachtwoorden en wachtwoord technieken,sabotage technieken zoals USB tasers, phishing wat steeds meer een professioneler niveau behaalt en de uitgifte van cruciale informatie over ICT systemen.

Ik studeer deels af op dit onderwerp en schrijf er ook een (fictief) boek over, variŽrend van VRI's die zich in de cloud bevinden tot en met etnische zuivering aan de hand van het EPD. Want het EPD an sich kan goed beveiligd zijn, een aantal artsen onder "druk" zetten om informatie/inlog gegevens af te staan is echt kinderspel. FYI in het epd worden zaken als afkomst en etniciteit gewoon bijgehouden i.v.m. bepaalde medicatie, behandeling mannelijke vrouwelijke zorgverleners en verhoogde gezondheidsrisico's voor bepaalde groepen.

Ik ben denk roepende in een storm om te zeggen dat niet alleen de systemen anders ingericht en beveiligd moeten worden echter dat wij als mensheid ook eens moeten gaan data minderen. Er bestaat echt zoiets als TMI.
Petje af voor deze reactie en de opvolger daarop!

Dagelijks krijg ik met scenario's te maken die jij hier right-to-the-point omschrijft. De techniek kan nog zo goed en veilig zijn, de zwakke schakel is en blijft de mens. Dat gecombineerd met een enorm complex onderwerp als IT security - is een ramp die gaat gebeuren. Dossiers die even via Dropbox worden uitgewisseld omdat het centrale, veilige communicatiesysteem even op z'n gat ligt of voor dat moment te complex werkt. Een kopie ID die door het UWV via de mail verstuurd wordt naar een opdrachtnemer. Artsen die een patient bespreken, inclusief vertrouwelijke informatie via WhatsApp en FB Messenger "want dat werkt lekker snel en effectief".

Ik denk persoonlijk dat een deel van deze zorgwekkende ontwikkelingen geworteld zijn in de drang naar "meer, sneller, efficienter". Deadlines die standaard op gisteren gezet worden, in plaats van realistisch - over drie maanden. Gare tech die met de verkeerde motieven en doelen ingezet is (overheid en identificatie in de blockchain, anyone)? Totaal gebrek aan communicatie en documentatie (mongodbs met tbs aan informatie, up for the grabs). En meer. Veel meer. Veel te veel meer.

Misschien - en wellicht droom ik dan te veel - is een deel te ondervangen door een complete U-draai te maken, geen bizarre verwachtingen/eisen aan elkaar te stellen, geen 80/90-urige werkweken maken. Die rust/zen die daaruit voortvloeit, zou zomaar eens kunnen zorgen dat een werkweek van 32 uur net zo efficient is als een huidige van 80/90 uur.

Combineer dat met voorlichting/educatie, technische beveiliging en juridische/wettelijke afdichting - dan hebben we een mooi fundament om op verder te gaan.
Dank voor de complimenten en als laatste voorbeeld dat zelfs de overheid niet het goede voorbeeld geeft:

Ik track soms politiekorpsen (of een deel) via social media en 112 nieuwssites, ik krijg zo na een aantal weken een goed beeld van de korps bezetting, hoeveel auto's/manschappen er beschikbaar zijn op een willekeurig tijdstip en niet onbelangrijk welke personen er werken. 112 nieuwssites geven met regelmaat foto's vrij van agenten en zelfs arrestatie teamleden zonder blur. Dus met stukje reverse engineering, social media zoektochten (facebook, linkedIn etc.) weet je al snel wie, wie is wat men doet, wie de familieleden zijn etc. Als je dan dieper graaft dan zoek je uit wie schulden heeft, wie niet lekker ligt binnen het korps, onvrede met collega's (Dat van die onvrede is echt bizar, goede tijden/slechte tijden zijn amateurs met de soaps die daar afspelen) en voila voor je het weet heb je de volledige namen van agenten die verdachte waren in een beruchte doodslag zaak inclusief waar ze wonen, familieleden etc.

Op je dooie gemakkie is dat 4 a 5 weken werk. Ik vertoef regelmatig ook in een vrij beruchte wijk en daar passen ze deze technieken regelmatig toe en als ze ergens een misdrijf/inbraak willen plegen laten ze bende/familieleden aan de andere kant van het politie verzorgingsgebied een auto in de fik steken of zorgen ze voor een (scooter) achtervolging. Alle beschikbare eenheden zijn dan zo afgeleid dat een inbraak/diefstal gewoon niet meer opvalt. En de mede bendeleden worden opgeofferd om ze te "vormen". Bedenk dan welke schade deze mensen aan kunnen richten als ze online gaan?

Even voor de record, ik ben geen crimineel en verdien niet mijn brood hiermee, sterker nog ik ben officieel dakloos weliswaar met internettoegang (dat is op zich al veelzeggend). Echter ik bedenk en test beveiligingsstrategieŽn als ik mij verveel, of ik vind dingen uit, dat ligt beetje aan hoe mijn pet staat. Waar ik door de jaren heen wel ben achter gekomen is als je brutaal genoeg bent, dat de wereld ineens een heel stuk kwetsbaarder blijkt te zijn en de meeste mensen een stuk dommer zijn dan dat je voor mogelijk had gehouden en vooral gewoontes zijn bijzonder makkelijk uit te buiten. Terreur is niet onze vijand, dat zijn wij zelf.

Edit: Spelfout

[Reactie gewijzigd door Silverdutchman op 13 juni 2018 22:27]

Ted, je bent vrij!? :P

Zonder dollen - je hebt gelijk. Maar niemand wil het horen. Het is allemaal te interresant, leuk en verslavend. Om het nog maar niet over het grote geld te hebben.
Ik moest echt even hardop lachen, ondanks alles heb ik mijn humor nog niet verloren mijn dank daarvoor. :)

Maar om eerlijk te zijn digitaal zakkenrollen is best lucratief en de pakkans is een stuk kleiner dan in het echt. Al is dat pettycash vergeleken met de grotere vormen van misbruik. Terrorisme is leuk voor de managers in rapporten echter ik denk met een gedreven en kundig persoon (of meer) kan je makkelijk een belastingdienst heist voor elkaar krijgen. De apparatuur die daar staat is vaak nog ouder dan de mensen die er werken (geen grap) dus een kwetsbaarheid of ingang vinden is peanuts, tel daarbij het enorme verloop en ICT puinhoop bij op, het openlijk dragen van de ID's (vingervlug heb je ze zo te pakken als mensen in grote getale om 17:00 naar huis en worden pas na 2 dagen als vermist gemeld als je ze op dinsdagmiddag snaait i.v.m pappa/mamma dag op woensdag;). En zelfs al zou je een paar miljoen weten te bemachtigen dan is het nog peanuts vergeleken met de verdienmodellen voor persoonlijke data van Google en Facebook. Ik kan je vertellen dat amper 1% van die databases genoeg op de zwarte markt oplevert om vervroegd met pensioen te gaan.

Zoals gezegd terrorisme en ideologie zijn leuke manager en rapport sleutelwoorden, het echte gevaar schuilt hem zoals altijd in waar je het makkelijkste het meeste geld kan verdienen. Als je enige kennis van systemen hebt, gezond verstand, weinig tot geen scrupules kan je rijker worden van digitaal stelen dan van drugs, puppy en wapenhandel gecombineerd met beduidend veel minder risico. En als je slim genoeg bent weten de opsporingsdiensten heel goed wie je bent alleen kunnen ze niets bewijzen. Daarnaast was witwassen nog nooit zo makkelijke en goedkoop geweest dan nu met de komst van de cryptocoins. Waar je voorheen tot ruim 20% aan kosten kwijt was en je het verplicht moest uitbesteden kan je het vandaag de dag zelf tegen een fractie van de kosten.

Kortom het grootste gevaar aan informatiemaatschappij is het feit dat je er belachelijk veel geld aan kan verdienen met heel laag risico, en het enorme gemak waarmee alles van privť tot zakelijk gedeeld wordt, tsja ik denk het er mijne van.
Waarom zou een paar 100 euro iemand tegen houden hier naartoe te komen? Dat maakt natuurlijk niks uit.
Voor grote delen van de wereld is het toch echt wel een fors bedrag. Als je er hard voor wil sparen zal het wel lukken, maar de meeste terroristen hebben het niet zo breed want anders waren ze geen terrorist geworden.
Dan heb ik het nog niet over bijkomende kosten als een hotel om in te slapen en een taxi vanaf Schiphol, om maar wat simpele voorbeelden te noemen. Dan sta je hier met lege handen, je ak47 mag niet met het vliegtuig mee. Nu kun je hier wel een mes kopen en daarmee wat mensen aanvallen, maar dat is toch een ander verhaal dan een vijand waar je met tanks en straaljagers op moet jagen.

Voorbereiding en planning maakt ook veel verschil. Je stapt niet in een opwelling in een vliegtuig om hier het paleis op de Dam op te gaan blazen. In een golf van woede een hack of ddos loslaten op een website is een stuk haalbaarder.

[Reactie gewijzigd door CAPSLOCK2000 op 13 juni 2018 15:21]

Dat is voor bijv. de Taliban helemaal geen groot bedrag.
Officially, it’s believed that the Taliban has a yearly budget of around 500 million dollars. In private, however, Western and Afghani intelligence agencies admit that the real Taliban budget is closer to between one billion and two billion dollars, with most opting for the higher number. Intelligence sources at the former International Security Assistance Force (ISAF), since replaced by the Resolute Support Mission (RSM), place the number even higher—at more than two billion. Moreover, it is widely believed that the Taliban has stockpiled cash amounting to several billion additional dollars in preparation of a major campaign to seize control of Afghanistan at some point in the future.
https://www.huffingtonpos...8551536.html?guccounter=1
de Taliban is geen terroristische organisatie(tenzij je Afghaans ben, dan zijn de meningen wat verdeeld) :P

[Reactie gewijzigd door dakka op 13 juni 2018 15:33]

Er sterven jaarlijks honderden of duizenden onschuldige burgers door bom- en schietaanslagen van de Taliban, in Kabul maar ook in andere steden. Dus ik zou zeggen dat de redelijke meningen niet verdeeld zijn.
Dat is ook alleen maar 'politiek geneuzel', omdat er anders allerlei contact en besprekingen onmogelijk worden gemaakt.

Maar speciaal voor jou dan:
IS built up fat reserves of cash as it gained ground in Iraq and Syria. It sold oil from the fields it captured, taxed and robbed the people it ruled and stole perhaps $500m from Iraqi banks, making it the richest terrorist group in history. In 2015 the caliphate’s GDP was estimated to be $6bn.
https://www.economist.com...ollars-in-iraq-and-abroad

Ik wil alleen aangeven dat er in die kringen mťťr dan genoeg geld zit om hordes mensen hierheen te sturen mochten ze dat willen.
Waarom zouden ze daar zelf geld aan uitgeven als ze ze ook op een goedkoop vlot in Lybie de zee op kunnen sturen waarna de een of andere NGO ze gauw gaat ophalen om ze hier aan land te brengen ipv ze terug naar Lybie te brengen.
Dat is voor bijv. de Taliban helemaal geen groot bedrag.
Natuurlijk zijn er mensen en organisaties die het kunnen betalen, maar lang niet iedereen heeft daar toegang tot. Voor je daar gebruik van maakt moet je toch al op een of andere manier contact hebben met zo'n organisatie. Voor een digitale aanval heb je niemands hulp nodig.

Het grote geld in Afghanistan is natuurlijk drugsgeld. De grote drugshandelaren zijn helemaal niet geinterresseerd in internationaal terrorisme, dat trekt maar de verkeerde aandacht, die werken liever in stilte. Ik geloof dus niet dat het geld daar voor het oprapen ligt, zoals het artikel suggereert een beetje suggereert. De kleinere zaken uit het artikel (zoals de kick-backs) klinken als "gewone" corruptie waarbij het meeste geld in de zakken van de tussenpersonen verdwijnt in plaats van dat alles naar de organisatie gaat.

Maar natuurlijk, er zijn er altijd die het wel kunnen betalen. Ik zeg ook niet dat we alle fysieke beveiliging maar moeten stoppen, maar dat de verhouding nu wel erg scheef is. Verdediging moet je aanpassen aan de dreiging en dat lijkt niet voldoende te gebeuren.
Genoeg sponsors in de wereld voor terrorisme.
Ik denk dat het enkele tienduizenden dollars kost om een goede hacker op te leiden die in staat zou zijn om hier de stroom uit te schakelen en/of de sluizen open te zetten.
Denk alleen al aan het lesmateriaal, vertalingen van het lesmateriaal, de hardware voor een klein clustertje, internetverbindingen die niet platgebombardeerd mogen worden en SCADA-hardware en kennis is ook niet bepaald goedkoop.

Het zou mij niets verbazen dat een terrorist een vliegticket geven en een smokkelnetwerk voor AK47's op de langere termijn doeltreffender en meer dan een factor 100 goedkoper is.
Oh, er is genoeg aandacht voor IT en terrorisme tegenwoordig hoor. Terrorisme wordt keer op keer misbruikt als excuus om spionage op de eigen bevolking uit te voeren. Zie sleepwet, databases vol persoonsgegevens en de grote hoeveelheid taps per inwoner in dit land. Wat ik zou willen zien is dat ze zich eens gingen richten op de zaken die er echt toe doen. Systemen weerbaarder maken om inbraken te voorkomen ipv datahooibergen aanleggen in de hoop dat ze achteraf kunnen zien wie het gedaan heeft. Personen en bedrijven bewuster maken van beveiliging en verplichten er iets aan te doen ipv achteraf met het vingertje wijzen en boetes uitdelen wanneer het mis ging.

En vooral: dat de overheid zichzelf eens aan de GDPR gaat houden en stopt met het aanleggen en koppelen van databases vol persoonsgegevens om ze vervolgens te misbruiken voor doeleinden waarvoor ze niet waren aangelegd (zoals een belastingdienst die parkeergegevens door gaat spitten). Maar dat zal wel de reden zijn dat er clausules in staan over "in het algemeen belang" ofzo: om de overheid een vrijbrief te geven om alles te doen en laten, want alles wat de overheid doet valt volgens hun waarschijnlijk onder de uitzonderingen. Met de huidige datahonger van onze eigen overheid heb je meer van hun te vrezen dan van de terroristen die ze als reden aanhalen voor hun eigen massaspionage. En met het toestaan van hacken vanuit de politie heb je meer kans dat onze eigen politie bij je inbreekt dan een terrorist.
Dat moet welhaast een ouwe huzaar zijn... ;)
Het internet is de boosdoener. Dat heeft ons enorm kwetsbaar gemaakt. Alles en nog wat wordt op internet aangesloten terwijl de software vaak zo lek is als een mandje.

Daarnaast zijn er bijkomstige omstandigheden zoals de C programmeertaal, welke computers eenvoudig te hacken maakt. Ondanks de vele programma's die vandaag de dag in Java, C# en Python geschreven worden zijn, word de meeste software nog steeds in C / C++ geschreven.

[Reactie gewijzigd door ArtGod op 13 juni 2018 15:52]

En dan? In C of C++ kun je memoryleaks en buffer overflows maken ja, maar om die van buitenaf te vinden in maatwerksoftware valt nog niet mee. De neiging om alles met brakke webrommel aan de buitenwereld te presenteren is veel gevaarlijker, dat is standaardsoftware waarin gericht naar gaten gezicht kan worden. Evenzo met brakke standaardsoftware voor embedded toepassingen als Siemens, sinds Stuxnet weet iedere hacker dat dat een gatenkaas is.
Wellicht leuk weetje: De targets van Stuxnet, specifieke Siemens PLC's, waren 'airgapped' (kom er maar in, Rian van Rijbroek!) - Stuxnet wist deze te raken door de compiler software op de systemen van de engineers in Natanz te infecteren.

Wat je aangeeft klopt natuurlijk enorm. Alles maar direct aan internet 'exposen' is bad practice (om het even subtiel te zeggen) en is een aanvalsvlak 'an sich'. Netwerkopslag met een lekke interface die Šlles intern als UID 0 draait. Combineer dat met een slecht updatebeleid (fabrikant of gebruiker) et voila.
Daarnaast zijn er bijkomstige omstandigheden zoals de C programmeertaal, welke computers eenvoudig te hacken maakt. Ondanks de vele programma's die vandaag de dag in Java, C# en Python geschreven worden zijn, word de meeste software nog steeds in C / C++ geschreven.
Ik denk dat we vooral moeten investeren in fundamentele verbeteringen zoals het ontwikkelen/invoeren van nieuwe technieken die inherent veilig zijn. Er komt nu veel te veel bij de developer terecht die onmogelijk alles kan weten. We hebben 30 jaar geprobeerd om C-programmeurs te leren om geen buffer-overflows meer toe te staan en het heeft niks uitgemaakt. Met Java werd het probleem in 1 klap zo'n 100 keer kleiner.
Het is maar een voorbeeld, maar helaas een van de weinigen gevallen waarin we een probleem zo effectief hebben kunnen aanpakken (en dan is het nog steeds de wereld niet helemaal uit). Ik hoop dat we meer van dit soort verbeteringen kunnen vinden want anders komt het nooit goed.
Dit heeft niks met de taal te maken, maar meer met de beslissingen/tijdsbesparingen/budgetten van management en het politieke wezen eromheen. Haastig programmeerwerk lijdt tot fouten. Ja, sommige fouten kun je niet of minder eenvoudig maken in een taal als C#, maar dat betekent niet dat alles maar in Java of C# moet, want juist daar is memory management niet zo geweldig. En Python is leuk voor scripts maar de snelheid is niet of nauwelijks toereikend voor grotere serieuze toepassingen zonder bijkomende kosten.
Maar als jij enige ervaring hebt met software schrijven dan weet je dat ontoereikende budgetten en haast een onderdeel van het leven zijn van een ontwikkelaar. Je moet het dus moeilijk maken voor een ontwikkelaar om fouten te maken en dat doe je door de computertaal zo te maken dat fouten maken moeilijk is. Dat is het geval bij Java en C# en helemaal bij Rust.

Rust is overigens vergelijkbaar met C, het is een systeem programmeertaal , alleen is deze inherent veilig. Java en C# zijn beide applicatietalen.

[Reactie gewijzigd door ArtGod op 13 juni 2018 20:45]

Ik ben zelf software ontwikkelaar dus ik weet heel goed hoe het in elkaar steekt. ;)
Voor veel kritische systemen zijn C# en Java simpelweg niet geschikt, Rust zou idd een goede taal zijn maar het is nog erg nieuw en er is bijvoorbeeld nog geen fatsoenlijke IDE. (Afgezien van editors met plugins etc.)
Daarnaast komt het verhaal van bestaande code bases om de hoek kijken en dan is het bijna altijd C/C++ in deze situaties.

Daarnaast heb ik zoveel prutsers gezien, vooral in C/C++, dat de kwaliteit van de code gewoon om te janken is. Uiteraard een gevolg van de complexiteit van C/C++, maar dat is iets anders! ;)

[Reactie gewijzigd door Vale vista op 13 juni 2018 23:15]

Omschrijf 'kritische systemen'. Java en C# zijn 'general purpose' talen waarmee je bijna alles (behalve besturingssystemen) zou moeten kunnen bouwen.

Volgens mij wordt C / C++ voor applicaties gebruikt terwijl het eigenlijk een systeem programmering taal is, wat je alleen voor besturingssystemen en device drivers zou moeten gebruiken.
Miljarden aan tanks? Het conventionele leger is inmiddels totaal uitgekleed. Net als de politie trouwens. Sinds de start van het nieuwe millennium is Den Haag vooral bezig zichzelf uit te faseren, dus dat er (ook) van staatswege veel te weinig gebeurt qua cyber security verbaast me niets.
Miljarden aan tanks? Het conventionele leger is inmiddels totaal uitgekleed.
We geven toch zo'n 10 miljard per jaar uit aan het leger. Ik wil niet in discussie gaan over of dat te veel of te weinig is. Mijn punt is dat er maar een fractie van dat budget beschikbaar is voor digitale veiligheid.
Klopt, maar wat er nu uitgegeven wordt is ook al een fractie van wat we ooit deden, kortom: ik zie de gebrekkige bereidheid om als overheid te investeren in cyber security geheel in lijn met de rest van het beleid - het is m.i. dus niet slechts cyber security wat onderschat wordt, maar eigenlijk staat alles wat we ooit als overheidstaak zagen ter discussie bij de heersende politiek.
waarom zou een terrorist uberhaupt die op zelfmoord poging is het internet op?
Die heeft de digitale media niet nodig dan.
Voordat een terrorist uit Afghanistan of Jemen hier is moet er een hoop gebeuren.
Maar dat is het probleem helemaal niet. Vrijwel alle terroristen zijn hier geboren en getogen. Daarnaast zijn terroristen uit Afghanistan of Jemen daar veel harder nodig: daar worden dagelijks bijna meer mensen opgeblazen dan hier bij alle moslimaanvallen bij elkaar....
Cyberveiligheid zou een instantie moeten worden dat buiten de overheid staat en zelf regels en criteria op moet kunnen stellen waaraan overheden en bedrijven aan zouden moeten voldoen. De overheid zelf snapt er toch niets van en degelijke wetgevingen en regelgeving blijven maar uit terwijl het al 5 jaar geleden ingesteld had moeten worden. De overheid waarschuwt elkeer voor cyberveiligheid en cyberaanvallen, maar is de laks in het nemen van effectieve maatregelen om de kwetsbaarheid te verkleinen, daarom moet er een aparte instantie komen die buiten en los van de overheid staat, maar wel de overheid regels op kan leggen waaraan het zich moeten houden en die het moet implementeren.
Vergelijk het met de nederlandse bank die buiten de overheid om onze economie bewaakt en daardoor veel daadkrachtiger op kan treden.
Als het buiten de overheid staat, wie gaat het betalen?
De overheid. Het staat buiten de overheid om besluiten te nemen, zodat het niet afhankelijk is van de overheid en diens laksheid en/of onkundigheid. Zoals ik al zei in mijn laatste zin, vergelijk het met de nederlandse bank en hoe die buiten de overheid om de economie bewaakt.
Cyberveiligheid zou een instantie moeten worden dat buiten de overheid staat en zelf regels en criteria op moet kunnen stellen waaraan overheden en bedrijven aan zouden moeten voldoen.
Hoe zie je dat in vredesnaam voor je? Dat ik jou ga vertellen wat je wel en niet mag doen omdat ik toevallig in zo'n organisatie ga werken? En wie controleert zo'n organisatie?
Op eenzelfde soort manier zoals de nederlandse bank de economie bewaakt, los van de overheid kan die ingrijpen in de economie en misschien is een cyberveiligheidinstantie in zo'n soort contructie ook wel wenselijk zodat het niet afhankelijk is van de overheid en diens laksheid en onkundigheid.
Wie zo'n instantie controleert weet ik niet, ik sta open voor input. :)
Omdat software, en dan met name closed source software, vaak enorm slecht is qua onderhoud. Wil je updaten? Moet je eerst de leverancier vragen of het mag, anders dan heb je geen support meer op je ERP. Tja, mooie keuze, nu geen veilig basis os die in de toekomst misschien gehacked wordt, of nu direct al geen support meer voor de basisapplicatie waar je bedrijf op draait.

Wil je updaten naar een nieuwer OS? Sorry is nog geen versie voor. Waarom niet? Tja, is commercieel niet meer interessant.

Komt nog bij dat alles el cheapo moet. Leg je voor de sluizen of andere belangrijke infra een tweede netwerk aan dat niet op het Internet zit: "Weet je wel wat dat kost?"

En het is allemaal wel uit te leggen en ook wel begrijpelijk, leveranciers hebben ook niet een eindeloos budget en waarom een tweede netwerk aanleggen als er al een internet bestaat maar ja, dan moet je ook niet lopen zeuren dat dingen omvallen.

En als IT organisatie ben je damned if you do damned if you don't.
Beweer je dat er voor wanacry, notpetya, memcache er geen updates en configuraties mogelijk waren?

De voorbeelden gaan er om dat als updates en configuratie wel mogelijk zijn bedrijven alsnog niets doen.

Ik ben benieuwd welke voorbeelden jij kan geven om jou uitspraak te onderbouwen dat het aan de leveranciers ligt.
Ziekenhuizen die Windows XP draaien omdat anders de MRI machines niet werken.

En zo zijn er nog wel tal van voorbeelden.
Dat soort apparaten horen op een gescheiden netwerk geplaatst te zijn. Wat ook valt onder minimale beveiliging om toe te passen.
Dat is geen gewone XP versie.
Wat me altijd opvalt is dat de Nederlandse security sector het concept 'veiligheid' erg nauw opvat. Vooral rondom het sleepwet debat werd pijnlijk duidelijk dat onder veiligheid vooral 'nationale veiligheid' wordt verstaan. Het belang van de 'psychologische veiligheid' van het individu, die niet goed wordt doorzien en afgewogen.

Onder psychologische veiligheid verstaan we bijvoorbeeld de mate waarin mensen zich veilig voelen om te durven zeggen wat ze denken (meningsuiting), en de mate waarin iemand zijn eigen ideeŽn kan ontwikkelen (privacy). Dingen die essentieel zijn als je je democratie (of een innovatief bedrijf) in stand wil houden.

Als ze daar meer naar zouden kijken zou het rapport bijvoorbeeld ook kunnen noemen:
- De opkomst van reputatie systemen is zorgelijk. Met China als top van de ijsberg. Vraag je bijvoorbeeld af of China's systeem tegen 2030, als ze de grootste economie ter wereld zijn, ook voor het buitenlanders wordt opengesteld. "Wil je zaken met ons doen? Dan moet je een score hebben". Maar ook in de private sector groeit dit als kool.
- Hoe versterk je de kans dat landen als Turkije weer democratisch worden? Door er onder andere voor te zorgen dat vluchtelingen uit Turkije hier in Nederland de psychologische veiligheid vinden om zich kritisch te blijven uiten in het debat daar. Maar die mensen stel je niet gerust als je een sleepwet optuigt waarin je onder andere uitwisseling met allerlei landen regelt.

De Nederlandse veiligheidssector lijkt kortom niet meer in staat tot echt breed en genuanceerd strategisch denken. En dat is misschien nog wel het allergevaarlijkst.

[Reactie gewijzigd door unfold op 13 juni 2018 15:42]

De volledige uitleg van de basale maatregelen staan beschreven in deze folder van de AIVD/MIVD:

https://www.aivd.nl/publi...risicos-van-cyberspionage
Ben ik nu de enige die hier een opzetje in ziet om nog meer controle over internet te krijgen onder het mom van nationale veiligheid?
Wanneer had je dat er dan niet in gezien? Als er helemaal geen opmerkingen over slechte beveiliging werden gemaakt?

Dit soort rapporten zijn bedoeld om de politiek en de bedrijven die van belang ziin voor de economie te waarschuwen. Welke maatregelen er dan volgen hangt van de toekomst af. Een van de maatregelen kan zijn dat er minimale eisen komen, er toezicht komt of dat bedrijven niet meer hoeven te rekenen op statssteun als ze het voor iedereen verprutsen.
De overheid, die zelf het langst van Windows XP gebruik maakt.
Je weet toch het gezegde. De ene overheid is de andere niet.

In bedrijven;
Veel systeem beheerders hebben er geen zin in.
Veel managers hebben er kaas van gegeten en weten het beter want zij hebben een cursus PCPrive van 20 jaar geleden gevolgd.
En de directie vind het te duur.
Plus het personeel mailt er op los met prive zaken en zakelijke zaken via prive en zakelijk mail waarbij van alles op straat komt en te vinden is.

Dus waarom niet het gezegde volgen van "als het kalf verdronken is dempt men de beerput".

[Reactie gewijzigd door Lord Anubis op 13 juni 2018 16:48]

Dat de directie het vaak te duur vindt komt omdat IT-ers niet goed kunnen communiceren met andere delen van het bedrijf. Een goede IT-manager vertaalt het technische verhaal naar benefits voor het bedrijf. Als je alleen maar aankomt met argumenten dat iets nieuw en gaaf is gaat natuurlijk niemand investeren. Zou jij ook niet doen als je een bedrijf moet leiden. Als je kunt aantonen dat bijvoorbeeld een upgrade kosten bespaart of voorkomt dat kosten gaan stijgen dan staat een directie daar echt wel voor open.
maar we hebben niet over iets nieuws of gaaf. We hebben het over concrete zaken. Veiligheid en bescherming. Vergelijk het maar met BackUp's van systemen, hoe vaak zijn die er en goed getest?

Zonder gordels rijden of met een lekke band heeft gevolgen bij een incident, of creŽert een incident.

Je haalt aan "Goede IT manager", weinig te vinden hoor. Ik moest voor PO bij twee bedrijven, wat mensen doorlichten, veel blah blah en hier gewerkt en daar gewerkt, maar gaf geen garantie voor kwaliteit. En toch vaak zijn er emoties erbij betrokken i.p.v rationale.

[Reactie gewijzigd door Lord Anubis op 13 juni 2018 19:16]

Het beeld van de overheid wordt vooral gevormd doordat bijna alles openbaar is. Je zou bedrijven de kost moeten geven die nog op oude meuk werken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True