Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Netwerken KLM en Shell waren kwetsbaar door ongepatcht vpn-lek'

De interne netwerken van verscheidene grote bedrijven lijken geruime tijd toegankelijk te zijn geweest voor kwaadwillenden door een lek in de vpn-software van Pulse Secure. Er is een update beschikbaar die het lek verhelpt, maar die was niet geïnstalleerd.

Dat meldt De Volkskrant zaterdag op basis van vertrouwelijke gesprekken en een melding van een it-expert bij het Nationaal Cyber Security Center. Nog altijd zouden er 140 systemen open staan, maar het is niet duidelijk om welke bedrijven en organisaties het precies gaat. Wel is De Volkskrant erachter gekomen dat bedrijven zoals KLM, Shell en Luchtverkeersleiding Nederland kwetsbaar waren en kwaadwillenden via misbruik van de vpn binnen konden komen op de interne netwerken.

Het lek is al in maart ontdekt door Taiwanese beveiligingsonderzoekers en toen ook aan vpn-ontwikkelaar Pulse Secure gemeld. Die dichtte het lek in april. Desondanks heeft een groot aantal bedrijven en organisaties de patch niet doorgevoerd, waaronder dus KLM en Shell. Beide bedrijven hebben nog niet gereageerd op de berichtgeving, en geen vragen beantwoord over waarom de update niet is geïnstalleerd.

Of er interne bestanden zijn gestolen bij deze bedrijven door kwaadwillenden, is niet bekend. Wel gaan er geluiden dat onder meer Chinese staatshackers het lek proberen uit te buiten. Het Nationaal Cyber Security Center schatte het risico op misbruik in april nog in op 'laag'. Maar omdat de Taiwanese beveiligingsonderzoekers in augustus demonstreerden hoe het lek misbruikt kon worden, werd alsnog het risico aangepast naar 'hoog'.

Desondanks zou dus nog een groot aantal bedrijven geen gehoor hebben gegeven aan de waarschuwing. Dat weet De Volkskrant na melding van Matthijs Koot, die melding deed bij het Nationaal Cyber Security Center na zelf te maken te hebben gekregen met een hackpoging, waarna hij op onderzoek uit ging. Alhoewel Koot niet wil zeggen bij welke bedrijven hij de kwetsbaarheid heeft gevonden, zou het onder meer gaan om de Rijksoverheid, verscheidene beursgenoteerde bedrijven, en ook bedrijven die te maken hebben met de nationale veiligheid. Koot zelf zegt: ‘Dit is een van de ernstigste situaties die ik in mijn carrière ben ­tegengekomen.’

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

28-09-2019 • 10:36

143 Linkedin

Submitter: ralphm

Reacties (143)

Wijzig sortering
Ik lees hier nogal negatieve reacties, omdat er een systeem niet gepatched is. Ik kan deze reacties in eerste instantie begrijpen, maar het ligt helaas iets genuanceerder dan dit. Het ligt soms aan de systeembeheerders, maar dat is veelal niet het geval. Ik wil dit niet kortzichtig noemen, omdat ik begrijp dat vele hier geen functie in de IT hebben en dus ook niet goed op de hoogte zijn wat er zich allemaal in de achtergrond afspeelt maar:

1. Een patch doorvoeren is niet net zoals een consumenten PC, waar dit automatisch gebeurd. Dit gebeurd veelal handmatig en automatisch patchen zet je vaak niet aan, omdat het dingen kan breken en je controle wilt hebben, want een productie systeem dat niet werkt door een bug in een kritische patch is altijd erger dan een productie systeem die toevallig niet de laatste kritische patch heeft. Zo heb ik al meerdere malen een Microsoft Windows Server CSV cluster op z'n gat zien gaan door de "laatste kritische security patch", iets waar je niet echt vrolijk van wordt. Dan maar zonder patch en een maand wachten.

2. Voordat je een patch uitvoert wil je dit testen om te controleren of het niets kritisch in je IT infrastructuur breekt en dit wil je ook enige tijd testen in productie (soort van beta locatie waar de schade beperkt blijft als het misgaat). Ik heb zoal eens "nood patches" voor een firewall gezien, die ervoor zorgde dat het VPN proces crashte als er > dan 10 personen simultaan op SSL-VPN inlogde. Toch redelijk kritisch als je continu 100+ mensen hebt die op afstand werken.

3a. Vaak willen bedrijven (bij KLM zal dit vermoedelijk uiteraard wel redundant zijn) 0 downtime en mag je de IT infrastructuur nooit overdag afsluiten, alleen 's avonds (en soms alleen 's avonds laat of in het weekend), maar invensteren in een redundante oplossing valt absoluut niet over te praten, waardoor het Maintenance Windows erg beperkt wordt.

3b. Er is een tekort aan IT personeel, het is erg moeilijk om er aan te komen en er is ook vaak nog eens een inwerk periode van minimaal enkele maanden voordat iemand zich helemaal bekend is met alle procedures en omgevingen. Daarnaast kan IT personeel ook niet 24x7 werken en overdag moeten ze er vaak zijn voor de problemen die zich gedurende de dag voordoen te verhelpen en 's avonds nog eens onderhoud, omdat het systeem niet uit mag. In een bepaalde mate moet dit kunnen natuurlijk, maar we zijn ook mensen en geen machines. Ik heb zelf dan een aantal mensen uit de IT zien stappen door stress en werkdruk en zelfs gehoord van mensen die medische klachten kregen en in het ziekenhuis beland zijn, door de enorme werkdruk.

4. Sommige bedrijven willen niet / weigeren zelfs naar nieuwere versies over te stappen (kijk naar Microsoft Windows 10 en alle problemen die daarmee komen als voorbeeld; zeker in specifieke branches). Dit is natuurlijk een beveiligingsrisico en je kunt een bedrijf alleen adviseren, maar niet forceren.

5. Vaak wordt er alleen gedacht dat een firewall of een client een risico is, maar je hebt ook overige software of drivers op clients, fysieke servers met een Linux achtige distributie, Microsoft Hyper-V of VMware die je moet patchen, de guest operating systems, de management software (vCenter bijv.) met security holes, de management software (HP iLO, Dell iDRAC of IBM / LENOVO IMM interface), de firmware updates met nieuwe CPU microcode voor processor security vulnerabilities, de software op een server zelf, de firewall, de VPN software op de firewall en ga zo maar door...en daarnaast moet alles ook nog eens blijven werken en getest worden...

In kleine bedrijven zorgt bovenstaand ervoor dat patches gemiddeld 4 - 6 weken achterlopen. Bij grote bedrijven waar er ook nog eens bureaucratie is en meerdere managementlagen zijn die beslissingen moeten nemen kan dit makkelijk enkele maanden tot een half jaar zijn.

Hetgeen is als je goed wilt doen en dan buiten het boekje en regels om toch gaat patchen en het misgaat, dan wordt je erop aangekeken en is het jou schuld en soms ook nog eens verantwoordelijkheid. atch je niet, dan is het overigens vaak ook niet goed en wordt je erop aangekeken en dan moet het vaak last minute gebeuren. Daarom informeren per e-mail (zwart op wit met ontvangstbevestiging) en meerdere malen versturen, wordt er dan geen reactie gegeven is het altijd aantoonbaar dat je meerdere malen gewaarschuwd hebt
Heel verbazingwekkend is het niet helaas... Zulke zaken komen vaak onderaan de backlog omdat het niet gelijk een toegevoegde waarde heeft voor de business. En daarnaast zijn er vaak legacy systemen die moeilijk gaan doen in test en qa als het eindelijk wordt opgepakt.
Tot je in de Telegraaf (of andere krant) staat, dan staan er opeens allemaal mensen naast buro je die heel belangrijk zijn. Daar waar je voorheen meer dan een jaar periodiek op dit voorval wees en geen minuut tijd kreeg om het te fiksen en heb je opeens tijd en budget om alles op te lossen. The sky is the limit! :)
'Onderaan de backlog omdat het geen toegevoegde waarde heeft voor de business', je gaat me toch niet vertellen dat de business bepaalt wat er gebeuren moet? Wensen ok, maar lijkt mij dat de mening ICT'ers belangrijk is in dit geval.. Of zit ik er helemaal naast?

Kan me overigens goed voorstellen dat zoiets er tussendoor kan schiet. Zeker in een grote organisatie, wie denkt er aan en wie is verantwoordelijk.
Ik denk dat je er best nog naast zit. Ben geen ITer, slechts hobbyist/gebruiker met enige kennis van IT, maar verbaas me regelmatig over hoe weinig gebruikers en managers verstand hebben van IT.

En hoe slecht ITers de noodzaak van hun werk kunnen uitleggen aan gebruikers en managers :+
Het grote probleem van de IT is het gigantische tekort aan mensen. Dit tekort is in de praktijk nog veel erger dan het lijkt. Er zijn op dit moment in de server/netwerkbeheer-tak detacheerders met werknemers die zogenaamd weten hoe het werkt, maar in de werkelijkheid nemen ze letterlijk IEDEREEN aan, sturen ze op een cursus, halen een certificaatje met een vragendump en worden verkocht als "skilled". En de klanten van die detacheerders weten zelf vaak ook niet precies hoe het werkt, dus worden die mensen nog verkocht ook. Zo nijpend is het tekort dus. Als je dus al een beetje wat weet, of je doet alsof, heb je morgen al werk. Kun je nagaan dat je als "medior" al veel te snel heel goed bent als dat je collega's zijn.
Met bijvoorbeeld SCCM heb je een patch in no time uitgerold. Het is gewoon een combinatie van laksheid, onwil, applicatiebeheerders en gebruikers met grote mond en beheerders die bang zijn om de schuld te krijgen als een patch iets doet omvallen.

Ik leg meestal de volgende keuze voor:
1. Ik verantwoordelijk dat applicatie X even 2 dagen niet werkt?
2. Jij als tegenstander van patch verantwoordelijk voor 50.000 open deuren en de schade hieruit voortkomend.

En daar achter aan:
O ja, en bevestig even per mail dat je deze patch niet wil uitvoeren.... omdat.... en dat ik je gewezen hebt op de risico's.

[Reactie gewijzigd door Wim-Bart op 28 september 2019 18:37]

Ja!
Als je de verantwoordelijkheden krijgt dan ook bijbehorend beslissingsbevoegdheid graag.
Top als je het zo doet!
Succes met je vpn hardware patchen met sccm :)
Daarnaast weet je niet waar de vpn voor dient in deze bedrijven. Misschien dat deze niet zomaar uit de lucht kan en dat er bezuinigt is op de apparatuur waardoor er geen test hardware is.

Op beveiligingsgebied wordt sowieso op kosten geknibbeld omdat het heel lastig is te berekenen wat een probleem kan kosten bij uitbuiting. Daar komt nog een kansberekenng bovenop. Je vragen zijn dan ook verkeerd. Je moet vragen hoeveel de beveiliging je waard is, zo hoog mogelijk in de boom. Als een applicatie even 2 dagen niet werkt kost dat misschien miljoenen. Als zij de kans op problemen bij beveiliging vervolgens een kostprijs geven van tonnen, krijgt dat patchen geen voorrang.
SCCM is een tool, er zijn meer tools mogelijk natuurlijk. Maar ik denk dat je wat meer out of context moet lezen. Ik zeg namelijk niet expliciet dat SCCM hiervoor gebruikt wordt. We gebruiken ook bijvoorbeeld HP tooling voor firmware deployment en nog een aantal tools, allemaal voor de job.

Maar om je een indruk te geven. De change stond om 8:05 in het systeem, de change was om 8:15 goedgekeurd. Mailing er uit naar alle medewerkers, 9:00 patching en 9:30 alles weer online. Eventuele client heb ik niks van gemerkt maar dat zal wel via SCCM gedaan zijn, maar dat is een andere afdeling.

En ja, 6000+ medewerkers hier in NL.

[Reactie gewijzigd door Wim-Bart op 29 september 2019 16:04]

De change stond om 8:05 in het systeem, de change was om 8:15.
Dan kan je net zo goed updates meteen sturen, want het wordt dus niet getest.
Spoed changes kan je vaak ook niet testen. Zeker niet op een appliance. Maar je mag ook wel een beetjw vertrouwen in de fabrikant hebben.
Je hebt idd een punt met een tekort aan it'rs!

Maar houd er ook rekening mee dat bedrijven ict'ers een opdracht geven en er geen rekening mee houden dat het soms langer kan duuren dan dat de managers zouden willen.
Bedrijven vragen vaak het bijna onmogelijke van ict'ers, maar als er wat fout gaat dan is het altijd de schuld van de ict'ers en niet van de leiding gevende die niet de tijd nam om naar het advies van de ict'ers te luisteren.

En er zijn zeker nog meer problemen, maar dit 'lek' hadden ze kunnen verwachten, ook moet je rekening houden met het feit dat hackers steeds nieuwe manieren bedenken en dat sneller doen dan de 'goede' ict'ers het kunnen fixen.

Er is geen veilig computer systeem, behalve een compleet offline systeem, maar daar heb je vrij weinig aan.
Het probleem is dat veel iter’s van nature wat introverter zijn dan de vaak extraverte manager van andere afdelingen.

Daardoor ontstaat er vaak veel ruis in de communicatie niet omdat ze niet willen of elkaar niet aardig vinden maar omdat hersenen compleet andere manieren van denken en benaderen hebben. Waardoor ze elkaar gewoon simpel weg niet begrijpen en goed aanvoelen.

Ik zie vaak dat iters denken dat sales Altijd het onmogelijke vragen en niet snapt dat het tijd kost en dat ze toch duidelijk aangeeft dat je geen tijd hebt en dat wat ze vragen veel tijd kost.

Terwijl sales na dat zelfde gesprek denken ow fijn top gasten ondanks ze druk zijn gaan er tijd voor vrij maken. Terwijl dat niet hoefde.

Intro en extraverte is een beetje als thuis man en vrouw ze praten de zelfde taal en kunnen prima overleggen waardoor het lijkt dat ze het eens zijn. Maar als aan slag gaan dingen gaan doen wat waarna ze tegen elkaar zeggen dat bedoelde ik niet. Waarbij een zegt ik was toch duidelijk en ander zegt ow als je dat bedoelde moet je duidelijker zijn.

Het is gewoon het verschil van persoonlijkheid dat deze 2 types Waarbij de een vaak het gevoel heeft dat alles van de ander vaak belangrijker is en sneller moet dan van de anderen Terwijl vaak niet zo is en anders om hebben bijv vaak het idee de ander altijd zo ingewikkeld doet.

Daarom zie vaak dat er functies gecreëerd worden die als vertaal bureau functioneren tussen bijv sales marketing en IT en Devolepment.
Mhhh ja klopt wat je zegt,
Eigenlijk zou er dan een tussen persoon moeten zijn die dus aan de mangement kan uitleggen wat het probleem is, dus iemand die van IT dingen afweet maar wel Extravert zijn :)
Het gaat hier om grote bedrijven, daar lopen neem ik een niet een stel hobbyisten.

Ik las net artikelm in AD hierover en het Nationaal Cyber Security Center heeft de bedrijven gewaarschuwd maar kan schijnbaar niet meer dan alleen waarschuwen.
Onze politiek heeft het steeds meer over veiligheid , nationale belangen. Het lijkt me dat het dan tijd wordt dat een overheid gewoon zaken moet kunnen afdwingen als het om strategische belangen gaat.

Eigenlijk is het een lachertje. Rutte klopt zich op de borst omdat Nederland heeft meegeholpen aan een hack in Rusland. Aan de andere kant weet de overheid van een probleem en doet niets dan een waarschuwing geven. Lijkt me toch eenvoudig dat die bedrijven gewoon bezoek krijgen, om hun zaakjes op order te stellen. Het gaat hier niet om de bakker om de hoek.
Ik heb vanuit mijn werk regelmatig te maken met gebruikers van deze grote bedrijven. Gebruikers en managers zijn daar echt niet anders.

De overheid kan ingrijpen wanneer het landsbelang in het geding komt. Is dat hier aantoonbaar het geval? Of zijn het slechts de intellectuele en/of economische belangen van een commerciële partij?

[Reactie gewijzigd door DFKT op 28 september 2019 11:48]

Ik lees toch echt:
zou het onder meer gaan om de Rijksoverheid, verscheidene beursgenoteerde bedrijven, en ook bedrijven die te maken hebben met de nationale veiligheid
Dat noem ik wel landsbelang. Dat je met dezelfde zweepslag ook economische en intellectuele belangen kunt raken is dan toch alleen maar mooi meegenomen? Ook daar heeft op de lange termijn namelijk iedere Nederlander baat bij.

[Reactie gewijzigd door Somoghi op 28 september 2019 12:00]

Het landsbelang komt in zekere zin in gevaar omdat de overheid tegenwoordig KLM-aandelen bezit.
Is de werking van KLM een landsbelang? Die van de lvlvn wel ;)
Wat is dat? Lvlvn? :?
Oh, de Lvln..., een 'v' minder
Thanks.

Dat schrijf je toevallig wel heel anders: "Lucht Verkeersleiding Nederland" / LVNL.

[Reactie gewijzigd door HoeZoWie op 29 september 2019 11:17]

Niet kunnen rekenen. SLA afspreken dat systeem 95% beschikbaar moet zijn en dan niet door hebben dat dat 1 dag per maand uitval is.
Ik denk dat je er best nog naast zit. Ben geen ITer, slechts hobbyist/gebruiker met enige kennis van IT, maar verbaas me regelmatig over hoe weinig gebruikers en managers verstand hebben van IT.
Het is ook niet de taak van de gebruikers en managers om daar veel van te weten.

Ik weet van het merendeel van de werkzaamheden in mijn bedrijven niet hoe ze werken, van sales, via marketing tot warenhuis, alle software daar gebruikt is mij geheel vreemd (terwijl ik toch een 35 jarige IT achtergrond heb). De kennis moet aanwezig zijn bij de managers van de IT afdelingen en in mijn ervaring zit het daarmee een stuk betere dat de gemiddelde (student?) tweaker denkt dat het is. Van gebruikers verwachten dat ze beseffen dat hun VPN verbinding niet up to date is lijkt me een ijdele hoop. Ik ken ze in elk geval niet.

Dat er dingen fout gaan, ook grote dingen? Tja, dat gebeurt en dat is kwalijk en moet snel aangepakt worden. Maar er zijn veel sites die nieuws leveren over IT problemen en niet veel over problemen in voedselproductie (ook gevaarlijk nietwaar?) en tweakers focussen op IT en denken daarom dat het binnen bedrijven met de IT slechter gesteld is dan bij andere afdelingen. Dat is eenvoudig niet aantoonbaar. Een kwestie van perceptie.
Mijn ervaring is dat er een groot verschil is tussen "de IT'ers zijn van mening dat het een ernstig lek is" en "mensen die beslissingen nemen begrijpen de ernst". In mijn werk besteed ik vaak veel tijd aan dit gat te overbruggen. Gevolg is dat dit soort zaken sneller opgepakt worden maar het is soms lastig want het duidelijk maken aan de beslissers heeft niet veel meer met IT te maken maar meer met politiek.

Daar komt nog eens bij dat het ook al snel veel werk kan zijn, zoals anderen hier de metafoor van het containerschip gebruiken. Vaak is de investering (aantal benodigde uren om zoiets door te voeren) ook lastiger in te schatten om je niet helemaal kan overzien wat er om zal vallen.
Noodzaak en ernst en de Bussiness. Laatst nog een leuk voorbeeld:

Een schijnbaar reguliere change:
Change om wat routeringen aan te passen omdat alles nu op 1 poot draait. Change is ongeveer 4 uur werk en 4,5 indien rollback, waarbij er 0 tijd downtime is. Even in gedachten houden, de core switches/routers zijn meer dan 10 jaar oud, UPS'en eveneens (accupacks < 3 jaar).

Besluit vanuit de Business:
Business besluit om change niet uit te voeren omdat er twee weken na de change einde fiscale jaar is. En risico te groot wordt geacht op een probleem.

Wat er plaats vond:
Jaarafsluiting begint, en tijdens dag 3 brand er een UPS door welke even een aantal netwerk componenten mee neemt. Uitgerekend, je kan het al bedenken, net die ene coreswitch waar alles over heen loopt, gevolg week lang halve, tot hele dagen down om de boel te repareren en alsnog om te bouwen.

Wat is er hier niet goed gegaan?
De business had gelijk, het risico was veel te groot, dat blijkt uit het hele verhaal, wat als de switch tijdens de configuratie was kapot gegaan, of fout was geconfigureerd. De Business had dus een goede afweging gemaakt. Maar had de Business ook de juiste informatie om de afweging te maken. Wisten ze dat alles via 1 pad liep waarbij uitval van een component op 1 van 3 locaties een dergelijke storing kon veroorzaken? In combinatie met de leeftijd van de hardware (er waren immers al 3 UPS'en uitgevallen in 1 maand, van het zelfde type)? Nee, dat waren ze niet.

Wat kan men dus leren?
Als IT'ers moeten we dus in duidelijke bewoording aangeven wat de risico's zijn, wat de gevolgen van deze risico's zijn en alle feiten benoemen. En niet overdrijven, maar in duidelijke bewoording. We moeten dat ook vertalen in gewone mensen taal waarmee bijvoorbeeld een persoon welke (begrijpelijk) geen verstand heeft van routers, switches, ups'en, shares, routering et cetera toch snapt waar hij een besluit over neemt. Hiermee kan men dan een ook een betere afweging maken tussen de risico's.

[Reactie gewijzigd door Wim-Bart op 28 september 2019 19:10]

Zeker mee eens. Mijn vriendin zegt ook altijd als je met collega’s over telefoon praat tijdens een storing lijkt het het wel een spannende spionage films met al die codewoorden en nummer reeksen.

En daar heeft ze gelijk in. Het is in de materie al vrij abstract en daardoor is het voor klanten en gebruikers al lastig genoeg om te begrijpen wat bijv een router doet laat staan begrijpen wat er gebeurt. Of wat bijv vlan’s zijn want hoe kan je nu meerdere kabels in 1 kabel stoppen.

Verder is er naast die abstractie geen andere beroepsgroep is waar met zoveel afkorting word gesproken als de onze en waarbij ook nog eens verschillende aanduiding zijn voor het zelfde afhankelijk van waar je mee bezig en tegen wie je praat.

Daardoor is het voor buitenstaanders Echt als of ze naar een andere taal zitten luisteren.

En als ze dan bijv vragen wat betekend DNS dan geven vaak goedbedoeld netjes “Domain Name System” als antwoord. Wat het voor een buitenstaander alleen maar ingewikkelder maakt. Want je weet al wat de volgende vraag wordt: wat is een domain? Enz..

Laatste ook een terecht vraag van mijn vriendin die thuis mee las met de chat omdat iets meer van die james bond codes wil begrijpen

Waarom schrijf je naar de klant vlan12 en naar je collega eth0.12 en spreek je en noem je het beide vlan en waarom noem eth soms een poort de ene keer weer vlan. Waarop ik haar vroeg van wat bedoel je, Dan pas besef je hoe automatisch alles gaat en hoe verwarrend het is voor buitenstaanders.

[Reactie gewijzigd door xbeam op 29 september 2019 01:06]

Ben het helemaal met je eens, je brengt het mooi onder woorden.
Dat laatste kan ik me heel goed voorstellen, het overzien van de impact van een wijziging en hoeveel tijd het gaat duren kan een lastige zijn. Tijd blijft een moeilijke factor, als je het weet is het zo gedaan maar als je het antwoord nog niet weet is de tijd onzeker. Leg het maar eens uit.
ik snap van veel iters niet dat ze hun verantwoordelijkheid niet nemen.

Als beheerder ben je verantwoordelijk voor het goed functioneren en de veiligheid van de onderdelen die je beheert. Waarbij jij de expert bent binnen je organisatie.

En als een app waar jij verantwoordelijk voor bent de veiligheid van je netwerk/bedrijfs/ gebruikers in gevaar brengt. Ben jij daar verantwoordelijk voor. Als door wat voor rede ook jij door door die app de veiligheid van je gebruikers en bedrijfsgegevens niet meer kan meer garanderen. Dan moet je gewoon je verantwoordelijkheid nemen en ingrijpen door de oorzaak van de onveilige situatie isoleren of verwijderen uit je omgeving.

De oorzaak dat bijv, de directie de noodzaak van een patch of het gevaar van een lek niet inzien komt omdat jij als als aangewezen expert en verantwoordelijke voor die veiligheid zelf het lek zelf niet serieus neemt, door het te laten bestaan.

Een voorbeeld:
Je bent auto monteur en beheert een wagen/bussen park.
Wat doe je als er een bus binnen komt met een haperend stuur mechanische. En je kan het niet repareren omdat je onderdelen niet hebt. Dan houd Je die bus de volgende dag binnen. Die laat je niet weg op gaan omdat. Want je als verantwoordelijke niet op geweten wil hebben dat er een ongeluk gebeurd. Doordat jij als expert die bus binnen houd is dat voor de directie een signaal dat het echte serieus is krijg je direct budget voor een nieuw stuurmechanisme.
Zolang jij die bus de weg op laat gaan is dat voor de directie een signaal dat niet echt belangrijk want als het echt gevaarlijk is zou jij als expert de bus de weg niet op gaan.”De monteur zou nooit de levens van de passagiers op het spel zetten”. Is de gedachte.
Dus zolang die bus blijft rijden heeft het voor de directie geen haast.
ook al komt de monteur elke dag vragen wanneer ze dat stuurmechanisme nu eens gaat bestellen.

Dus neem gewoon je verantwoording en dicht dat lek. Krijg je geen geld voor een programma/sever update/patch. Verwijder je het programma of server uit je omgeving en krijg je dan steeds geen budget dan is het programma of de server dus niet belangrijk en noodzakelijk,

En als dat lek jouw al dat gezeik Niet waard is. Want je krijg zeker gezeik wanneer je de naar een paar keer waarschuwen software/server blokkeert/verwijderd. Dan zeg je dus eigenlijk; zo erg is het ook weer niet en het heeft geen haast.

En als ze dreigen dat Je alles weer moet aansluiten omdat ze je anders ontstaan, Dan weet je ook ook gelijk dat ze jouw als professional niet serieus nemen en heb daar niets te zoeken.

Die auto monteur van dat bus bedrijf blijft verantwoordelijk voor de veiligheid van de bussen. Ook als zijn directie die bus toch gewoon de weg stuurt. Iedereen vindt het normaal dat die monteur opstapt Want niemand wil verantwoordelijk gehouden worden voor ongelukken terwijl je niet de bevoegdheid krijgt om kunnen ingrijpen om ongelukken te voorkomen

[Reactie gewijzigd door xbeam op 29 september 2019 10:54]

@FredFlitsPaal Helemaal mee eens, mijn ervaring is dat een vaak onbekwame manager niet de noodzaak kan en wil begrijpen, wegens het kosten plaatje en vooral het niet kunnen inschatten of ze jou serieus moeten nemen. Toen ik zelf manager werd bleek ook vaak dat het management team wilde horen hoeveel het gaat kosten en wil dan ook exact weten hoeveel risico er is op een mogelijke inbraak.
Uiteraard is dat koffiedik kijken want je kan nooit exact aangeven hoe groot het risico echt is.
Vaak word een lek niet ontdekt, nee ook niet altijd door hackers.
Het werd opvallend vaak een macht spelletje dat belangrijke zaken niet konden worden bereikt omdat enkele van heren dachten dat het teveel tijd en geld zou kosten, en dus hun poot stijf hielden.
Zoals altijd heeft dan die kleine meerderheid dan wel weer de macht om je weg te stemmen.
Ongeacht of je het verhaal goed brengt of niet, dit simpelweg omdat de meeste top managers gewoon niet genoeg snappen hoe groot de risico's echt kunnen zijn.
Maar goed voor dat soort managers is het natuurlijk simpel als het dan toch fout gaat, wijst hun vinger jou kant op want jij hebt hen niet goed op de hoogte gebracht.....
Helaas wordt er, vooral bij grotere bedrijven, niet veel geluisterd naar IT'ers binnen het bedrijf. Voor vrijwel alles moet toestemming gegeven worden en moet het worden ingepland, en vaak is de eerste lijn boven de IT'er niet een technisch bekwaam persoon. Die zit er dan niet de meerwaarde van in en dan wordt het vaak inderdaad onderaan de backlog gezet.

Zo heeft een manager mij ooit gevraagd een "remember me" checkbox in te bouwen. Volgens zijn specificatie (die al goedgekeurd was door meerdere mensen) moest het wachtwoord plaintext opgeslagen worden in een cookie zodat login dan automatisch kon gebeuren. En vervolgens moest je als gebruiker dan uitloggen, en opnieuw inloggen met de checkbox uit om die remember-me ongedaan te maken. Gelukkig heb ik de manager kunnen overtuigen door het te escaleren, maar dat wordt lang niet altijd geaccepteerd

edit: en dit was bij een grote kabelaar zo'n 8 jaar geleden.

[Reactie gewijzigd door Wraldpyk op 28 september 2019 11:04]

Herkenbaar. Ik was wat flauw met mijn reactie want kon het antwoord wel raden. Het is mijn ervaring ook (en van vrienden/bekenden in technische ICT functie) dat er inderdaad zelden geluisterd wordt naar technisch uitvoerende ICTers. Geloof niet dat er gevraagd wordt, wat vinden jullie (jij) ervan en dat ook nog in de beslissing meenemen. Waarbij ik niet wil zeggen dat de ICT'er alle wijsheid in pacht heeft maar het zijn wel de mensen die er dichtst op zitten. Het zit inmiddels ook ingebakken in al die procesbegeleidingsmethodes (scrum, lean etc) waarbij procesbegeleiders en de 'business' leidend zijn gemaakt. Zouden dus naar mijn mening de ICTers moeten zijn. Wensen ok, afwegingen elders. Misschien dat me daarom ook is gaan tegenstaan, die soort Poolse Landdag ICT. Met inderdaad nog politiek op de koop toe. Kan alle lol in de techniek ontnemen.

[Reactie gewijzigd door wimdebok op 28 september 2019 11:53]

Op de 1 of andere manier ben je als IT'er wel nog steeds verantwoordelijk als er iets mis gaat met een systeem dat je niet mag updaten van je manager :') Kan je 100 keer hebben geroepen wat er gaat gebeuren als er nu geen actie wordt ondernomen, als het dan daadwerkelijk gebeurt kijken ze jou alsnog aan.

Je zal toch een zekere autonomie moeten hebben als het gaat om kritieke security updates. Neem nu dat vervelende Exim lek laatst, dacht je dat ik ga wachten op allerlei reacties van hotemetoten voordat ik in DirectAdmin op 'update' mag klikken terwijl iedere seconde langer wachten meer risico betekent dat die hele server gehackt wordt? Gelukkig snappen ze dat bij mij, het zal vooral bij grote bedrijven met allemaal managementlagen een probleem zijn, waar iedereen een plasje erover wil doen.

[Reactie gewijzigd door Sfynx op 28 september 2019 12:53]

Op de 1 of andere manier ben je als IT'er wel nog steeds verantwoordelijk als er iets mis gaat met een systeem dat je niet mag updaten van je manager :') Kan je 100 keer hebben geroepen wat er gaat gebeuren als er nu geen actie wordt ondernomen, als het dan daadwerkelijk gebeurt kijken ze jou alsnog aan.
Daar hebben ze email voor uitgevonden ;)
Ik mail al mijn ideeën en opmerkingen naar de verantwoordelijken.
Wat ze er mee doen, doen ze er mee ... ik heb mijn zegje gedaan 'in person' en gedocumenteerd.
Dat is wel heel makkelijk.

Ik denk dat veel ICTers beter moeten leren om het gewoon niet te doen als ze iets niet verantwoord vinden.

Als je werkgever of klant tegen jouw zegt dat je om sneller bij de klant locatie te zijn alle verkeerslichten moet negeren of dat je met drank op moet gaan rijden. Dan is het heel toch heel normaal dat je vraagt of hij wel goedwijs is en vindt iedereen het heel logisch dat je zoiets niet doet.

Nee, is ook een antwoord en ook nog eens heel makkelijke antwoord richting dat niet technische management.

Voorbeeld:
Sorry dat kan niet. Jullie/je weet/weten dat je me nu vraagt om door een rood verkeerslicht te rijden. Als jij zonder te kijken met dat rode verkeerslicht toch de kruising wil oversteken? veel plezier hier heb je een laptop.

Maar ga niet mailen dat je het er niet mee eens bent of dat iets een risico is. En dan toch mee meewerken om dat tooltje of die database dan toch onbeveiligd te bouwen ben je gewoon een sukkel en maak je heel bewust de afweging het risico te nemen waardoor je e-mail met de risico’s totaal nutteloos is want die niet technische manager/directie denkt nou ze erg of risico vol is het niet want anders weiger je wel om het te doen. En als het dan fout gaat krijg jij de icter daar inderdaad terecht de schuld van. want je hebt het door rood verkeerslichten rijden gefaciliteerd met een ongeluk tot gevolg.

Dan Kan je wel zeggen; ik heb je gewaarschuwd kijk maar in je mail. Maar je werkgever zal (en terecht) zeggen jij hebt Het de door de app bewust onveilig te maken of door te doen heb je de afweging gemaakt dat het risico aanvaardbaar was. Ik heb er geen verstand van, dus vertrouw op jouw.

Wat bij de echte bemoeials en niet technische drammende managers en klanten goed werkt is de opmerking;
Wie is hier nu de snackbar jij of ik. Door het vorm van grapjes weg te zetten wordt het altijd heel goed begrepen. En als je dan een pannenkoek treft die dan reageert met; wie is hier nu de baas/ klant, jij of ik. En die persoon meent dat dan ook echt. Kan die opmerking beantwoorden met de rode verkeerslicht verwijzing.

[Reactie gewijzigd door xbeam op 28 september 2019 23:38]

Maar ga niet mailen dat je het er niet mee eens bent of dat iets een risico is. En dan toch mee meewerken om dat tooltje of die database dan toch onbeveiligd te bouwen ben je gewoon een sukkel en maak je heel bewust de afweging het risico te nemen waardoor je e-mail met de risico’s totaal nutteloos is want die niet technische manager/directie denkt nou ze erg of risico vol is het niet want anders weiger je wel om het te doen.
Je gaat er hier wel snel van uit dat er geen gevolgen voor je zijn als je weigert iets te doen wat de baas je opdraagt, dat nee zeggen echt een keuze is. Dat is het natuurlijk niet als ze het als werkweigering opvatten, dan sta je vrij snel op straat. Bij die "ik ben je baas, dus je doet wat ik zeg" types is onder duidelijk gedocumenteerd protest een bevel alsnog opvolgen dan wellicht de verstandigste keuze, dan is het namelijk wel degelijk duidelijk dat het niet jouw afweging is geweest.
Ik zie het iets anders, wanneer goed onderbouwd kan je altijd nee zeggen. Maar dat moet dat niet doen. Je moet geen keuze maken en gewoon alles netjes in het proces gieten. Dus je vraagt of ze willen aangeven wat ze willen, daarna maak je netjes een change in het systeem aan, je maakt de change op orde door aan te geven wat je doet, wat de risico's zijn et cetera. Daarna kan het CAB aangeven wat er gedaan moet worden.

Het kan namelijk nooit zo zijn dat een IT manager of teamlead zelfstandig bepaald wat voor changes er uitgevoerd moeten worden.

En wanneer je bang bent voor represailles, dan moet je direct andere werkgever zoeken. Want in zo een omging ben je altijd de pineut en zal je altijd maar als dat sukkeltje van IT rondlopen.
Je hebt een technische baan waarbinnen jij je vak uitoefent. Een Onderdeel van je vak is toch juist Het beschermen van gegevens en de veiligheid van gebruikers.

Jouw vakkennis en kunde is toch waarvoor ze jou inhuren? als ze dat zelf hadden of kunnen gaan jou niet een hoop geld betalen om dat voor ze te doen. Dat maakt jouw binnen jouw bedrijf een expert op jouw gebied en daarom houden ze je daarvoor Waarschijnlijk ook verantwoordelijk als er binnen jouw expertise iets fout gaat.

En jouw expertise is niet het bewust in gevaar brengen van je if omgeving of het bewust onveilig situaties creëren of te laten voortbestaan omdat het voor sommige collega’s wel makkelijk is.

Dus wanneer ze jou iets vragen te doen wat binnen vakgebied not don is of in conflict is met je verantwoordelijkheden. Is er geen werkgever die het bij een rechter aangetoond krijgt als werk weigering. Net zo dat waneer je baas zegt dat je door een rood verkeerslicht moet rijden weigeren geen werkweigering. Maar een overtreding.

Plus ik zou zelf per direct opstappen wanneer ik verantwoordelijk word gehouden als er bijv database met klant gegevens gehackt wordt. En die zelfde mensen die mij er verantwoordelijk voor houden luisteren niet naar mij dwingen mij dingen te doen waardoor de kans dat database gehackt wordt heel groot wordt. Als je er geen eind zeggenschap over iets hebt moet ook de verantwoording niet willen dragen.

[Reactie gewijzigd door xbeam op 28 september 2019 23:41]

Ik ken grote bedrijven waar juist deze autonomie een groot probleem werd en meermaals voor grote verstoringen zorgde met alle gevolgen van dien. Een ieder die daar nu nog autonomie denkt te hebben en met een niet geauthoriseerde change een verstoring veroorzaakt (of ontdekt wordt) staat letterlijk op straat. Uiteraard zijn er dan wel processen voor dit soort situaties maar autonomie is niet per definitie een goede oplossing imho.
Kortom, proces en ITIL lijken altijd vervelend. Maar niks mooiers dan een proces te hebben waarbij het proces de engineer beschermd tegen "foute" mensen in een organisatie. Anderen wijze mensen hebben zich namelijk over de change gebogen en hadden de risicos moeten inzien.

Mijn gouden regel is. Niks zonder service request/incident met change tot uitvoering. Zelfs mensen toevoegen/verwijderen in een groep gaat niet zonder (standaard) change in het systeem.
'Onderaan de backlog omdat het geen toegevoegde waarde heeft voor de business', je gaat me toch niet vertellen dat de business bepaalt wat er gebeuren moet? Wensen ok, maar lijkt mij dat de mening ICT'ers belangrijk is in dit geval.. Of zit ik er helemaal naast?
Dit is precies de reden waarom de Chief Information Security Officer (CISO) niet binnen de IT organisatie opgehangen moet zijn, maar echt op board room level. Hier kan de CISO voldoende gewicht geven aan dit soort zaken en is het niet de “altijd lastige IT die dwars ligt”. Dit helpt overigens de CIO ook meteen.
Dat vind de CIO en de CISO maar als de CEO dat niet wil gebeurt het toch niet. Of het gebeurt wel en er wordt niet naar geluisterd. In de boardroom van een gemiddeld bedrijf werken dezelfde braadworsten als het niveau eronder alleen zijn de pakken meestal duurder.
De CEO hoort het in ieder geval als de CISO in de board room zit. Anders is het er al lang uitgefilterd voordat het de CEO bereikt.
Ja, de woorden worden gehoord, maar of het ook tot iets leidt is nog maar de vraag. In mijn ervaring pas als de organisatie eerst een keer goed nat gegaan is.
Dat gebeurd wel zeker, business wil geen downtime, geen blue/green deployments inplace... tja dan ga je nat en loop je zo 150 windows updates achter. I've seen it...
je gaat me toch niet vertellen dat de business bepaalt wat er gebeuren moet? Wensen ok, maar lijkt mij dat de mening ICT'ers belangrijk is in dit geval.. Of zit ik er helemaal naast?
Sorry, maar enige andere situatie dan dat de 'business bepaald' is terug gaan naar het oude 'ITers zijn God en doen wat ze willen',

De IT adviseert, de business beslist.

Mijn ervaring is echter dat de IT niet goed adviseert en/of dat niet goed weet te communiceren en het vervolgens niet goed weet te documenteren. "We hebben geen tijd/capaciteit voor XYZ door dit beperkte budget!" is vaak het beste wat nog naar voren komt (if that), wat over het algemeen ontbreekt is "Dit zijn de gevolgen van het niet doen van XYZ:". En vervolgens dergelijke beslissingen ergens veilig documenteren zodat als dit fout gaat en ze komen bij IT verhaal halen, dat je naar je documentatie kan grijpen en wie dat exact heeft besloten, zelfs 5-10 jaar later.
Uiteindelijk bepaalt "de baas"/management toch waar resources als tijd en geld voor beschikbaar zijn... zeker bij grote organisaties waar meerdere lagen non-technisch management mogelijk invloed hebben op die eindbeslissing.

Daarbij is het niet altijd even makkelijk om iets wat voor een technische groep overduidelijk kritisch is ook als kritisch aangemerkt te krijgen bij de andere lagen, ik vrees dat ook op dat vlak er problemen kunnen ontstaan.

Simpel voorbeeld uit een heel andere hoek, doch groot bedrijf:
Als je op locatie bent voor migratie en naar management duidelijk communiceert dat laptops waarbij minstens xGB aan documenten overgezet moet worden, men rekening moet houden met een tijdsduur van X er mensen alsnog doodleuk aan het einde van zo'n avond binnen komen wandelen met de verwachting 2X in de helft van de tijd te kunnen doen en vooral zéér boos kunnen worden als je niet direct weet uit te leggen waarom dat zo is (óndanks dat dit dus zelfs al in een brief uitgelegd is geweest).
Het is pas echt geweldig als je dan eentje van zo'n oude garde heeft die besluit op dat moment de apparaten maar los te rukken van de netwerkkabel en met twee niet-werkende machines staat...

TLDR; het zal je verbazen hoe mensen die niet op een gelijke voet met je staan (enkel hierarchisch) er een sport van kunnen maken inherent niet naar jou te willen luisteren; je MOET je motiveren op een manier die zij zullen accepteren.
ICT is bij gigantisch veel bedrijven gewoon triest en slecht geregeld
ook Ik lig regelmatig overhoop met de ICT afdeling omdat ze hun Sh(*)#)*#$t niet op orde hebben.
nee ik ben geen eindgebruiker of ICTer maar elektrisch engineer maar steeds meer Tech wordt met UTP kabel verbonden en moet moet deze mannen vaak uitleggen waar het probleem zit.

En wanneer ze dan updates uit rollen ligt het halve bedrijf plat omdat de computers niet meer opstarten. routers een update geven en alles ligt plat , of na de update hebben proces machines popups die de eindgebruikers niet zelf weg kunnen drukken of een email server chrash en de backup server werkte al 3 maanden niet en we zijn 3 maanden Email kwijt. na veel gehamer hebben we eindelijk een Fire wall die scheiding maakt tussen proces en kantoor. en dan wiillen ze proces computers die 0,0 updates gehad hebben na installatie met alle Zero day leaks er nog in aan het 4g netwerk hangen en die met een VPN laten verbinden met de interne servers van het bedrijf.
Mijn god en dit is het tip je van de ijsberg ... die 7 man zou ik liever de zak geven en het geheel outsourcen aan een nederlands bedrijf dat wel verstand heeft van waar ze mee bezig zijn.
Als het een aparte IT afdeling is die als cost-center wordt gedraaid, dan moet ieder dubbeltje worden verantwoord en 6x omgedraaid.

Een Business afdeling dat z'n eigen IT doet met goeie ITers is meestal een betere oplossing dan een specialistirche IT afdeling die met handen en voeten gebonden zijn.
Ik kan je uit ervaring vertellen dat ICT in een aantal multinationals bepaald hoe er met computers omgegaan worden en soms de bedrijfsvoering daarmee behoorlijk verhinderen. Binnen deze bedrijven wordt er behoorlijk geklaagd over de ict.
Dit zijn dan ook geen zaken die op een backlog horen te staan. Dit is een defect. Niet eens een bug, gewoon een defect. En met defecten doe je maar 1 ding: Oplossen!

Er zijn twee soorten werk. Werk wat nú moet gebeuren en werk wat niet nú moet gebeuren. Werk wat nú moet gebeuren schrijf je niet op. Niet in een ticket systeem, niet in een backlog. Dat doe je gewoon nú.
Werk wat nú moet gebeuren schrijf je niet op. Niet in een ticket systeem
Tuurlijk wel, het lijkt me logisch dat ook de uren voor dat werk bijgehouden moeten worden, en eventueel gefactureerd moeten worden, je moet ergens kunnen opvragen wat je gedaan hebt in een bepaalde periode.

Alleen dat kan je inderdaad best achteraf invoeren als het gevaar geweken is.
Financiele registratie is heel wat anders dan probleem registratie. Dat is dan ook absoluut de enige reden waarom je ook maar iets zou loggen. En zelfs dan zou ik heel sterk adviseren om dat niet te doen.

Alles wat je noemt is een beveiliging tegen een gebrek aan vertrouwen. Een veel betere oplossing is zorgen dat je elkaar vertrouwd. Dan hoef je dit alles niet te registreren en kun je die tijd dus gewoon steken in zinnige zaken.

Het interesseert me helemaal niet waar je aan werkt als ik het vertrouwen heb dat jij weet wat het belangrijkste is om te doen en dat je dat ook doet. Dan is er geen urenregistratie meer nodig en hoeft er helemaal niet opgevraagd te worden wat je in een bepaalde periode gedaan hebt.
Ik vermoed dat een bedrijf als KLM ook een toezichthouder heeft, die graag wil zien of de boel op tijd gepatcht is.
Je kan toch veej beter goed aantoonbaar maken dat je bij bent, dan dat je een werksysteem hebt waarin staat dat je bil zou moeten zijn.

Zo veel audits die zouden moeten aantonen of iets goed is of niet gaan nooit verder dan de controle of men denkt dat het werk gedaan is. IPV dat er een systeem is dat kan aantonen dat er geen clients/servers meez zijn die verouderde software draaien en dat de omgeving lekke systemen automatisch weert van het netwerk.
Juist, dat doet me ook vermoeden dat zoiets over het hoofd gezien is. Of ze wisten niet van de bug of zelfs dat er nog ergens een VPN draaide.
Er zijn ook bedrijven waar ze maar 1 ding doen met mensen die zo werken: Ontslaan!
Werk wat moet gebeuren en niet in een systeem staat bestaat niet. Dat is namelijk hobbyisme en dat hoort niet thuis in een professionele organisatie. Meeste frustratie op de werkvloer komt door half werkende systemen die door dit soort IT'ers wordt opgeleverd. Halfbakken, instabiel en niet gedocumenteerd waardoor oplossen van storingen een probleem is.
En vergeet niet wat voor logge instanties bedrijven als Shell zijn.
Beetje het idee van een container schip bijsturen. Dat duurt even.

[Reactie gewijzigd door arbraxas op 28 september 2019 11:28]

Toch raar, toen de patch uit kwam werd deze bij andere organisaties de zelfde dag nog wereldwijd gepatched. Bij ons worden high-criticals met spoed change binnen 24 uur uitgerold en dan praat je toch over meer dan 50K devices wereldwijd. Beleid is dan ook Security first,.

[Reactie gewijzigd door Wim-Bart op 28 september 2019 18:31]

De hele situatie begint best wel onhoudbaar te worden.
- Goede IT is verschrikkelijk duur, zeg maar rustig dat het onbetaalbaar is om alles goed te doen.
- Er is een enorme spanning tussen stabiliteit en veiligheid. Niet alleen omdat er eigenlijk geen tijd is om patches goed te testen, maar ook omdat haastig ontwikkelde patches soms nieuwe problemen introduceren die later zelf ook weer moeten worden gepatched.
- Organisaties zijn afhankelijk van systemen die ze eigenlijk niet kunnen betalen, waardoor de beschikbare middelen worden ingezet om de bestaande systemen draaiend te houden, niet om verbeteringen aan te brengen.
- De kwaliteit en veiligheid van software is van buitenaf bijna niet te bepalen, en al helemaal niet voor leken. Bij de beoordeling van software kijken de meesten alleen maar naar features.

Al met al geloof ik niet dat er een organisatie in de wereld is die 100% bij is in het patchen van z'n software en geen enkele onveilige of verouderde applicatie draait.
- Goede IT hoeft helemaal niet duur te zijn, zolang je maar de dingen die gebruikt onder controle hebt. Als je geen controle hebt wordt het duur.
- Een goede IT organisatie weet welke patches er worden gereleased en hebben daar hun processen op ingericht.
- Systemen die ze niet kunnen betalen?? Die mag je uitleggen.
- Een goede IT organisatie weet wat er kan en wat de voorwaarden zijn als er een nieuw pakket moet worden geïntroduceerd. Als dat niet zo is, is er iets mis met de organisatie.

Alles staat en valt met controle en de bijbehorende processen en procedures.
- Goede IT hoeft helemaal niet duur te zijn, zolang je maar de dingen die gebruikt onder controle hebt. Als je geen controle hebt wordt het duur.
In theorie heb je gelijk, maar in praktijk hebben de meeste mensen nauwelijks controle over de systemen die ze gebruiken. Een moderne organisatie heeft heel wat software nodig, en kan onmogelijk al die software zelf testen, auditten en van gespecialiseerde beheerders voorzien. Echt heel veel keuze hebben de meeste organisaties niet.
Neem als voorbeeld al die kleine webshops die er zijn op internet. Die hebben echte niet allemaal een eigen systeembeheerder en security expert in dienst, die huren gewoon een of ander kant en klaar pakket en vertrouwen er op dat het goede software is. Als ze zelf IT'ers in dienst zouden moeten nemen dan kunnen ze de tent wel sluiten want die salarissen wegen niet op tegen de inkomsten van zo'n bedrijfje.
- Een goede IT organisatie weet welke patches er worden gereleased en hebben daar hun processen op ingericht.
In theorie heb je weer gelijk, maar in praktijk werkt het anders. De meeste organisaties zijn geen IT-organisatie, en zeker geen goede IT-organisatie. Iemand zal moeten bijhouden welke patches er uit komen en wat daar de gevolgen van zijn.

Op mijn Linux-desktop zijn momenteel 2161 packages geinstalleerd. Het is volkomen onmogelijk dat ik zelf iedere dag tweeduizend stuks software ga inspecteren op patches. Ik vertrouw op mijn distributie om dat voor mij te regelen, maar ik weet zelf dus niet wat er aan komt en wanneer. Misschien zou ik een paar professionele systeembeheerders moeten inhuren, maar dat kan ik niet betalen van mijn salaris. Stoppen met computers gebruiken is ook geen optie. Wat moet ik dan nog doen, anders dan de gok nemen en er het beste van hopen?

Professioneel volg ik een aantal van die paketten wel op de voet, maar meer dan een handvol softwareprojecten kun je niet intensief volgen, dat kost te veel tijd.

Zelfs als je precies weet welke patches welke patches er uit komen, dan zal je nog steeds tijd nodig hebben om ze te testen. Dan moet je ook nog maar hopen dat je tests succesvol zijn. Af en toe zal je een patch moeten afkeuren, maar dan blijft je beveiligingsprobleem wel in stand.
- Systemen die ze niet kunnen betalen?? Die mag je uitleggen.
Veel organisaties snappen nog niet echte dat systemen moeten worden onderhouden en dat het onderhoud op termijn meestal meer kost dan de aanschafprijs. Ik heb al te vaak gezien dat een of andere club een website laat maken en daar het hele budget aan uit geeft. Een jaar later zit de website vol gaten en problemen omdat er geen budget was voor maandelijks onderhoud. Als iemand dan een keer probeert te patchen blijkt dat een of andere module of plugin niet meer compatible is en moet worden aangepast. Er is echter geen geld om een programmeur in te huren om dat te doen. Dus laten ze de oude brakke versie maar online staan.
- Een goede IT organisatie weet wat er kan en wat de voorwaarden zijn als er een nieuw pakket moet worden geïntroduceerd. Als dat niet zo is, is er iets mis met de organisatie.
Net als bij punt twee is mijn antwoord dat de meeste organisaties geen goede IT organisaties zijn. Dat er iets mis is met die organisaties is een beetje te makkelijk gesteld. Het is alsof je stelt dat een goede organisatie milieubewust is en geen CO2 of stikstof uitstoot. Dat is een nobel streven, maar in praktijk haast onhaalbaar. Voor zover het technisch al mogelijk is, is het zo duur dat bedrijven zichzelf daarmee uit de markt prijzen.

[Reactie gewijzigd door CAPSLOCK2000 op 28 september 2019 13:16]

En als je een goeie IT organisatie nebt, heb je nog te dealen met Shadow-IT. En mensen die op eigen devices werken. Met de bootloader bug in de iPone, zouden we eigenlijk al deze devices moeten weren, onze medewerkers aansporen ze te vernietigen enzo. Maar ja....

Ik gok dat vele mensen hun oude iPhones aan hun kinderen en ouders geven, ze gewoon toelaten op het thuisnetwerk waar ook de laptop van de zaak op kan, dat die oude iPad toch gebruikt wordt om op de bank snel de email te checken enzo.

Laten we het maar niet hebben over lekke IoT devices, babyfoons, xbox'en (ook 360's) met cortana op always-on etc die we in ons leven toelaten en die ik ook in menig boardroom aantref voor de team avondjes met pizza.

Nee, als we er echt allemaal om zouden geven... En met het tempo waarmee we ons leven verder digitaliseren wordt het niet makkelijker om bij te houden allemaal.
- Goede IT hoeft helemaal niet duur te zijn, zolang je maar de dingen die gebruikt onder controle hebt. Als je geen controle hebt wordt het duur.
Kom je bij me werken? Moet je wel beloven dat alles onder controle blijft hoor want ander word het duur. Ohhh wacht.... het onder controle houden is nu juist het basis probleem van alle grote IT organisaties.
Dit soort spanningen in tijd en middelen zijn niet nieuw en de security bugs die massaal aangevallen worden zijn dat ook niet. Zou het niet eerder zijn dat het dus of al onhoudbaar was uit bijvoorbeeld desinteresse, of dat we nu erg makkelijk uit angst overtrokken reageren vanuit de luie stoel?

Er is geen zicht op de keuzes en motivaties die bedrijven make, we zien alleen het resultaat zonder dat er iets mis lijkt te zijn gegaan, we kijken niet naar wat allemaal geen problemen oplevert en toch zijn weten we het nu massaal beter dan die bedrijven dat ze het fout zouden hebben gedaan en waarom dat zou zijn.

Het enige wat we echt weten is dat er na enige weken niet overal patches waren toegepast en diverse personen en organisaties er een mening over hebben om diverse redenen zonder het echt te hebben over risico afwegingen en motivaties van de eigenaren van de systemen zelf.

Ik denk dat het probleem hier vooral onzekerheid is. We weten wel wat er mis kan gaan maar niemand kan echt zeggen wat goed of fout is. En toch hebben we een mening en is er verontwaardiging en opgef. Erg knap.

[Reactie gewijzigd door kodak op 28 september 2019 16:54]

"Nog altijd zouden er 140 systemen open staan, maar het is niet duidelijk om welke bedrijven en organisaties het precies gaat. ". Ze weten dat het om 140 systemen gaat maar het NCSC kan geen IPtje matchen ofzo ?!
Maar de journalist wil niet zeggen om welke bedrijven het precies gaat (dus wel weet om welke organisaties het gaat?).
Een IP is vaak geen eigendom van de eindgebruiker en veel gebruikers plakken niet hun naam op een service. Hoe verwacht je dan dat IP-matchen de eigenaar van het systeem met het gat gaat aantonen?
Een IP is vaak geen eigendom van de eindgebruiker en veel gebruikers plakken niet hun naam op een service. Hoe verwacht je dan dat IP-matchen de eigenaar van het systeem met het gat gaat aantonen?
Grote ( oude reuzen ) hebben echter wél die IPreeksen in bezit
https://db-ip.com/all/171.21.105
is bij voorbeeld eigendom van KLM

Hier nog een openbaar lijstje : https://nl.wikipedia.org/...oegekende_IPv4_/8-blokken
De vraag is niet van wie het wel opgezocht kan worden maar van wie niet als een ip adres niet naar de eindgebruiker wijst.
De vraag is niet van wie het wel opgezocht kan worden maar van wie niet als een ip adres niet naar de eindgebruiker wijst.
Die moet je dan uitleggen ...
Het is toch logisch dat het NCSC de getroffen machines niet bekend maakt aan het grote publiek ?

Ik snap dat niet, die 'behoefte' om één op één naam en rugnummers te "moeten" krijgen
Je bent geïnformeerd als buitenstaander, verder heb je er helemaal niets mee te maken.
Net als telefoonnummers (per ongeluk) in beeld ( online of TV ) er zijn altijd mafklappers die het toch proberen te bellen.

Ik mag aannemen dat de rapporten naar de betrokkenen gegaan zijn, en de samenvatting naar de pers
Er kunnen meerdere redenen zijn waarom het onduidelijk is wie de eigenaren zijn. Ik geef alleen aan waardoor dat zo kan zijn. Het lijkt me sterk dat onderzoekers, beveiligingsbedrijven en de overheid het wel kunnen weten als er onduidelijkheid is. Geen van de genoemde betrokkenen heeft juridisch mogelijkheid om volledige inzicht te hebben. Daar is ook al sinds vorige eeuw discussie om of dat opgelost moet worden en wie in de tussentijd verantwoordelijkheid heeft, als die er juridisch ook niet is.
Ja want de overheid kan geen verzoek doen bij de dienstverlener ? Laat me niet lachen
Op grond van welke wet? Als er geen opsporingsbevoegdheid is kan een overheidsorganisatie niet zomaar gegevens over bedrijven of burgers gaan opvragen of eisen bij de eigenaar van een IP.
Op grond van welke wet? Als er geen opsporingsbevoegdheid is kan een overheidsorganisatie niet zomaar gegevens over bedrijven of burgers gaan opvragen of eisen bij de eigenaar van een IP.
In Nederland zijn sowieso alle ipadressen bekend met de eindgebruiker.
Ieder IPadres wordt opgeslagen, en is opvraagbaar via CIOT
nieuws: Nederlandse opsporingsdiensten vroegen in 2017 vaker gegevens op bij ...
En daar staat ook dat het voor opsporingsdiensten is. Zijn de verantwoordelijke partijen opsporingsdiensten?
Is de NCSC een opsporingsdienst ?

Ik mag aannemen dat het bedrijf de betreffende IPadressen wel gedocumenteerd heeft natuurlijk.

[Reactie gewijzigd door FreshMaker op 28 september 2019 16:52]

Volgens de wet niet. En blijkbaar ook geen toezichthouder.
Lees gewoon het (bijzonder goede artikel) even en je weet het antwoord. Je weet ook meteen een stuk meer dan Tweaker je kan vertellen. Tweakers kan natuurlijk ook niet al het journalistieke werk van de VK jatten he?
wat is trouwens de toegevoegde informatie van dit "bijzonder goede artikel" tov het VK artikel (dat trouwens bijna identiek 5 uren eerder dan tweakers publiceerde ?! ;)
Ik betwijfel of de onderzoekers en de krant met zekerheid kunnen zeggen wie de eigenaren van die 140 systemen zijn of zelfs maar contact met ze hebben kunnen opnemen. Anders had er wel gestaan dat ze dat hadden gedaan. Het is niet alsof eindgebruikers standaard een bordje aan hun services hangen met hun naam en contactgegevens erop. Om veiligheidsredenen de namen niet noemen wil ook nog niet zeggen dat ze alle namen weten. Ze noemen ze alleen niet op en geven er een reden voor.
De vraag hier is natuurlijk ook voor wie dat niet duidelijk is. Is dat voor de krant niet duidelijk of is het voor de NCSC niet duidelijk. Ik denk voor de eerste. De NCSC gaat natuurlijk niet bedrijven bij de naam noemen. Dan worden ze direct een doel.
Waarom denk je dat het voor de overheid wel duidelijk zou zijn?

Een ip is immers niet direct gebonden aan een eindgebruiker, er is geen publiek register dat inzicht geeft welk persoon of organisatie op welk moment een ip-adres in gebruik heeft en er is geen wetgeving dat de overheid die gegevens zomaar mag opvragen om te verwerken of kan op eisen als de eigenaar van een ip de gegevens niet geeft.
De rijksoverheid kent in ieder geval alle eigen IP-Adressen.

en daarnaast https://www.whois.com/whois/

daar kom je heel ver mee.

[Reactie gewijzigd door dabronsg op 28 september 2019 22:04]

Het lijkt me niet dat als een security bug zo gevaarlijk is het een prettig uitgangspunt is dat je ergens heel ver mee kan komen. De vraag is eerder wat ver genoeg is als het af hangt van de huidige wetgeving waarin nog heel veel vrijblijvend is voor eigenaren en de overheid.
Ik begrijp prima dat het leuk is om grote bedrijven en overheden te bashen.... Maar realiseert men niet hoeveel impact zo'n patch/update kan hebben.

Daarnaast wachten de grote bedrijven of een update/patch stabiel is.

En dan heb ik het nog niet eens over update windows(24/7 in bedrijf) /test cycli /updates van duizende werkplekken etc.
We hebben het hier over VPN software. Als je dat 's nachts om 02:00 patched is er geen haan die er naar kraait.
Er is geen excuus ter wereld die deze belachelijk lakse houding kan goedpraten.
Als je dat 's nachts om 02:00 patched is er geen haan die er naar kraait.
Het gaat hier om KLM en Shell... Bedrijven die 24/7/365 draaien, downtime is hier wat anders dan bij je doorsnee kantoor toko. Een uurtje downtime kan miljoenen schade betekenen... Dat praat het niet goed, want gehacked worden kan ook miljoenen schade veroorzaken.

En vergeet niet dat elk reguliere patch die al 100en keren zonder issues is uitgevoerd, toch voor enorm veel issues kan zorgen. Dat kan uiteenlopen van hardware dat eindelijk de geest geeft na een reboot, tot iemand die jaren geleden vergeten is de documentatie bij te werken (als die er al is).

@ShellGhost Ik ken Pulse Secure niet, maar ze hebben wel redundancy opties zodat de appliances in een cluster draaien. Echter zijn er redundant oplossingen die alleen maar werken als alles dezelfde versie draait, waardoor het stuk voor stuk patchen van hardware niet werkt zonder twee verschillende clusters op te zetten, wat weer vergaande gevolgen heeft voor de rest van de infra. Nogmaals, ik ken Pulse Secure niet, dus geen idee of dat zo is. Het is niet de eerste keer dat een redundant omgeving geheel op zijn gat gaat door een wijziging in 1 systeem, ongeacht of de toko prutsers zijn of niet.

@Micahve Je heb helemaal gelijk! In mijn hoofd zat ook gewoon KLM, een paar jaar met deze gasten gewerkt op Schiphol 's nachts...

[Reactie gewijzigd door Cergorach op 28 september 2019 19:38]

Het gaat om KLM en Shell niet KPN:)

Wss een typ foutje aan uw kant:)

@Cergorach
Kan gebeuren heb ik ook wel eens.
Trouwens wel cool dat je op Schiphol gewerkt hebt, wat deden jullie daar dan vooral?

[Reactie gewijzigd door Micahve op 28 september 2019 19:58]

Het gaat om een VPN oplossing. Als ze die niet redundant hebben draaien zijn het zeer grote prutsers.
Ik ga er niet vanuit dat het prutsers zijn, dus dat er meerdere VPN appliances draaien.
Die kan je makkelijk per appliance updaten.

Er is geen excuus dat er een gapend gat is wat misbruikt kan worden.
In Maart is de waarschuwing de deur uit gedaan, in April de patch. Het is bijna Oktober.
Redundant draaien heeft niets te maken met een patch kunnen accepteren waar je als verantwoordelijke niet van weet of die stabiel genoeg is voor je continue dienstverlening.
Als je redundant draait kan je snel overschakelen mocht er toch iets vreemds gebeuren.
Dus het heeft wel degelijk invloed voor 24/7 dienstverlening. Deze zal namelijk niet in gevaar komen.
Overschakelen op wat? Terug naar een systeem met kwetsbare software? Of leef je in de illusie dat bedrijven bijvoorbeeld verschillende systemen van concurerende netwerkappliances naast elkaar draaien?
Sorry, maar ik stop met reageren op jou. Blijkbaar begrijp je het begrip redundant draaien niet.
De ideale sutuatie van redundantie is in de praktijk kostbaar. Bedrijven maken daarin ook afwegingen wat meer waard is tegen welke risico's. Zoals je eerder al zelf aangaf: wat is je meer waard, kies maar gaat ook op voor bedrijven. Die keuzes kosten tijd en geld en zijn zelden ideaal. Dan is versimplificeren naar moeten ze maar redundant zijn niet realistisch.
Euhm ... jawel. Sommige bedrijven werken 24/7. Maar dan heb je meestal ook meerdere VPN entry points en vertel je je gebruikers op voorhand dat je die werken gaat uitvoeren en dat ze dan beter kunnen verbinden via een ander entry point.
Zoals je zelf al aangeeft, een bedrijf zo groot als KLM heeft meerdere vpn appliances die je een voor een kan updaten.
Er is geen excuus dat ze een gapend gat hebben waar misbruik van gemaakt kan worden.
En wat is dan het excuus als de patch door de haast voor onderbreking van continue dienstverlening zorgt? Of de integriteit van de data aantast etc?

Beveiliging is niet patchen omdat er een update is maar afweging van risico's. En beschikbaarheid etc is daarin niet weg te cijferen omdat er een andere dreiging bekend is geworden. Het zijn afwegingen.
Als je redundant draait kan je snel overschakelen mocht er toch iets vreemds gebeuren.
Dus het heeft wel degelijk invloed voor 24/7 dienstverlening. Deze zal namelijk niet in gevaar komen.
En wat heb je liever? In het ergste geval een kleine interruptie of een boete van 10% van je jaarinkomen als bedrijf zijnde?
Kies maar.
Ik ga er vanuit dat kpn ook alle systemen redundant uitvoert, toch lag 24 juni bijna het hele netwerk plat oa bij 112.
Dat systemen redundant zijn wil niet zeggen dat het altijd goed gaat...

Sommige redundante systemen kunnen ook alleen maar klappen opvangen als ze gelijk zijn. Als jij ergens een software deel met updaten waarmee de communicatie van de server naar het redundante deel verloopt heb je al een spof op het endpoint omdat de nieuwe software mogelijk niet met de oude hardware kan communiceren.
Ga je dan die server ook redundant uitvoeren? Zo ja, voor welke servers ga je dat doen en hoe groot wordt vervolgens de zooi om om te schakelen naar al die secundaire systemen... kost dat minuten of uren?

Soms is de boete incasseren goedkoper dan de kosten van een interruptie of het redundant uitvoeren van alle componenten.
Het is niet omdat het bij ons zo geregeld is, dat het bij KPN ook zo geregeld is. Ik kan niet binnenkijken bij KLM en bepalen waarom zij een patch nog niet hebben uitgerold. Dat kan alleen KLM. En zonder die kennis valt er onmogelijk te oordelen.
Ik begrijp prima dat het leuk is om grote bedrijven en overheden te bashen.... Maar realiseert men niet hoeveel impact zo'n patch/update kan hebben
Realiseer je hoeveel impact een datalek kan hebben?
Bij ons (verzekeringsbedrijf) nemen ze de verantwoording wel en dichten ze zo'n lek. Dit hoeft echt geen maanden open te staan omdat er legacy systemen in een netwerk draaien.
Windows updates en 24/7 in bedrijf? Ik zie het probleem niet. Gewoon je zaken op orde hebben.
En dan krijg je ineens zo een issue zoals wij recent hadden. Ineens een hele regio die gedeprovisioned werd van zijn mobiele email app omdat er iets mis ging met het upgraden van een server. En dan was er geen enkel legacy systeem bij betrokken.
Ik begrijp prima dat het leuk is om grote bedrijven en overheden te bashen.... Maar realiseert men niet hoeveel impact zo'n patch/update kan hebben.
De IT manager die mij dat verteld als mijn VPN verbinding lek is kan meteen zijn kantoor leegruimen. Hoeveel meer prioriteit wil je hebben?
Met een Zero Trust netwerk zou het niet veel uitmaken. Een VPN geeft je dan alleen de mogelijkheid om computers te bereiken die geen routable IP hebben, maar je heb niet impliciet toegang.
Tja, je hebt misschien gelijk als je de VPN verbindingen en het Zero Trust netwerk actief monitored en direct kan (en mag!) ingrijpen. De praktijk is vaak anders.
Het is erg naief om zo te denken als je niet eens security patches op network edges kunt bijhouden. Welke line of defense kan je dan nog veilig noemen?
Aan de andere kant is het ook niet altijd van niet willen maar soms ook van niet kunnen. Wij waren recent begonnen met het bijwerken van de software op onze firewalls naar de meest recente aanbevolen versie van de fabrikant. Na enkele dagen hebben we ineens internet probleem en na heel wat zoekwerk blijkt die nieuwe versie ineens een geheugenlek te hebben. We hebben gedurende enkele weken regelmatig de firewalls gereboot om het geheugengebruik onder controle te houden en toen de leverancier terug kwam met "we weten ook niet waarom dit gebeurd" hebben we maar de oude versie terug gezet. Op dit moment wachten wij nog altijd op nieuws van wanneer we nu eindelijk terug kunnen upgraden.

Aan de andere kant mag je verdedigingslinie ook niet steunen op slechts 1 product maar heb je een hele keten aan maatregelen nodig.
Zoals eerder terecht is opgemerkt was het niet patchen een defect aan een verdedigingslaag, net als jullie geheugenlek.

Daarom mag je inderdaad nooit leunen op één maatregel. Ook dien je zorgen voor backupvoorzieningen zodat je te allen tijde meerdere verdedigingslagen operationeel kan houden.
Snap wel waarom het soms zolang duurt.
Maat van me werkt bij Shell en vertelde eens over een database project waar de higherups een idee van hadden.
Pas toen ze na veel waarschuwen en hard nee zeggen het lieten zien wat er mis kon gaan (bepaalde account die teveel rechten meenam van iets) en dit lieten zien. icm met de bijbehorende getallen (Shell doet niet aan getallen onder miljoen als het om geld gaat). Toen pas zagen ze dat het een slecht idee was.

Dit heeft meerdere vergaderingen nodig gehad met ITers op erg hoog niveau die het er gewoon niet in kregen bij de andere dat het niet handig was.

Door dit soort verhalen en meerdere andere ergernissen die ik wel eens hoor.
Complete projecten die worden gesidelined doordat iemand anders iets moet en zal hebben.
Nee snap t wel hoor.
Dit heeft meerdere vergaderingen nodig gehad met ITers op erg hoog niveau die het er gewoon niet in kregen bij de andere dat het niet handig was.
Ligt dat aan de ITers of aan de higherups? Ik heb beide situaties meegemaakt, ITers met 'beperkte' communicatie vaardigheden en absoluut geen inleving in het 'politieke' landschap waarin ze zich begaven. En natuurlijk 'higherups' die het niet (willen) begrijpen... De ervaring is echter dat er tegenwoordig nog steeds meer ITers zijn die communicatie vaardigheden en inlevingsvermogen missen dan dat er 'higherups' zijn die het niet (willen) begrijpen.

Deel van het issue is natuurlijk vaak ook de management lagen tussen de ITer en de uiteindelijke beslisser. Vandaar dat je vaak zoveel vergaderingen nodig heb, elke keer wordt er een hogere management laag bij betrokken omdat veel management lagen wat hun verteld wordt niet goed kunnen overbrengen...
IT'ers moeten zich ook totaal niet bezighouden met politieke randzaken. Die moeten op basis van data logische keuzes maken en hun taken volbrengen. De IT-afdelingen zijn juist meestal de meest gestroomlijnde binnen een bedrijf. Logisch, want vaak zitten daar de slimmere jongens uit de klas. Communicatie is een middel, geen doel en vergaderen is vaak een heel inefficiënt middel en helemaal als er de verkeerde mensen bijzitten. Zoveel vergaderingen bij management spreken dan ook boekdelen. Het wordt al helemaal erg als er dan eens een IT'er wordt bijgehaald, want het probleem is meestal niet dat ze niet kunnen communiceren, maar dat de rest van het bedrijf er totaal niks van begrijpt. Binnen notime ben je dan weer terug bij de Jip & Janneke vergelijkingen. Dat een systeem een soort van huis is met een fundering en dat beveiliging zoiets is als open of kapotte deur. Maar dan moet je wel weer uitleggen dat er gegevens van duizenden mensen achter de deur zitten, anders denken ze dat het nog wel kan wachten, want thuis hebben ze een kapotte schuurdeur.

De grootste fout die bedrijven kunnen maken is dat ze IT als elke andere afdeling willen zien, terwijl het stuk voor stuk specialisten zijn. Het is net als dat het management van een ziekenhuis waarschijnlijk niet teveel zich moeten bemoeien met de inhoudelijke werkzaamheden van een hersenchirurg, terwijl dat bij zusters misschien wat anders kan. Management moet zich bezighouden met welk klantproject bijvoorbeeld de prioriteit krijgt. Technische patches? Daar hoort de verantwoordelijkheid gewoon voor bij de IT te liggen. Die moeten toch altijd gedaan worden, dus als daar allemaal logge managementschijven zonder kennis van zaken tussen gaan zitten, dan ben je gewoon een gat aan het creëren en is het aftellen totdat het fout gaat.

Waar het hier fout is gegaan? Ik vermoed wederom niet bij IT. Het lek werd ruim vier maanden lang als een 'laag' risico geschat(met daarbij natuurlijk een lage prio) en is een maand geleden dus ineens naar 'hoog' geknald, wat op zichzelf al opzienbarend is. Want volgens mij had het sowieso dan nooit laag moeten zijn, maar midden.

Generaliseer ik een beetje over de IT? Tuurlijk, systeembeheer is niet hetzelfde als programmeren, maar vaak zit het er toch aardig vol met de meest analytische mensen die dag in dag uit problemen op een logische manier moeten oplossen. Zij zien het dan ook meteen als management onlogische beslissingen neemt. Bij andere afdelingen kunnen ze daar vaak nog mee wegkomen, maar bij IT is het enorm zichtbaar en dat is vaak waar wrijving ontstaat. Je denkt toch niet we agile werken omdat we zelf zo graag willen? Dat is omdat veel managers meer meewaaien met de waan van de dag dan dat ze grote plannen uitstippelen.
Met een gebrek aan inlevingsvermogen heeft het weinig te maken. Die zou je net zo makkelijk om kunnen draaien.
"Wel gaan er geluiden dat onder meer Chinese staatshackers het lek proberen uit te buiten."?

En weer flikken ze het. Iedere keer een "gerucht" er in werken. Waarom niet melden dat Amerikaanse staatshackers er misschien wel gebruik van maken, of Russische? Of Nederlandse.

Kom maar met de minnetjes
De informatie die bij de genoemde bedrijven te halen is, is voor landen zoals de USA van minimale waarde. Wel zijn deze bedrijven interessant voor landen die ontwrichtende aanvallen willen uitvoeren op de Nederlandse infrastructuur. Dan kom je automatisch uit bij landen zoals Rusland en China. Tel daar bij op dat China een digitaal leger heeft van meer dan 10.000 personen dan snap je dat de uitspraken niet geheel uit de lucht gegrepen zijn.
Nope, de VS zou nooit zijn bondgenoten bespioneren. Geloof je dat nu echt? De VS heeft net een heel verleden van zowel industriële spionage als politieke spionage op heel veel Europese bedrijven en leiders. Waarom zouden ze dan geen interesse hebben in KLM of Shell? Zeker die laatste lijkt mij enorm interessant voor een land als de VS om te weten wat de plannen van Shell zijn op langere termijn.
Het is reeds bewezen dat de USA bevriende landen bespioneert (o.a. Belgacom hack), maar uit het lijstje KLM, Shell, Luchtverkeersleiding Nederland zal alleen Shell interessant zijn op het vlak van bedrijfsspionage. De overige bedrijven zijn vooral interessant als je Nederland wilt ontwrichten.

Overigens sluit het een het ander niet uit. Het kan zijn dat zowel China, Rusland, Nood-Korea als de USA (en anderen) gepoogd hebben dit lek uit te buiten. Ze hebben er in ieder geval de capaciteit voor.
Informatie uit luchtverkeersleiding is van groot commercieel belang voor heel veel landen. Als je weet hoe krap de slots zijn kan je je eigen luchthavens beter gebruiken en als je weet hoe die slots volgend jaar gehanteerd worden heb je als overstapluchthaven goud in handen, je kan dan direct op de zwakke punten werken. Bijvoorbeeld Dubai heeft dat een aantal jaren gedaan, met groot succes, ze hebben 10% marktaandeel van Schiphol weten over te nemen. Rusland is keihard bezig van Moscow ook een overstapluchthaven te maken (gaat niet lukken) en iedereen in de luchtvaart weet dat ze daarvoor niet veel morele belemmeringen hebben.

Hetzelfde voor KLM. Die werken in een extreem competitieve markt waarin strategische informatie zeer veel geld waard is. Er zijn zelfs in Nederland alleen al honderden mensen die (geheel legaal) dat soort informatie verzamelen en publiceren.
KLM kan wel degelijk interessant zijn: wat is hun langetermijnstrategie voor de vervanging van hun vliegtuigen? En hoe kunnen we Boeing daarbij een duwtje in de rug geven?
Ik heb net ook het item op NU.nl gelezen, en daar wordt niet gesproken over Chinese staatshackers.In de Volkskrant wordt het ook een stuk voorzichtiger gesteld.

Daar komt heter meer op neer dat ALLE hackers vaar dit soort dingen zoeken. Uit de Volkskrant: " De inlichtingendienst AIVD zegt dat het ‘voorstelbaar’ is dat de kwetsbaarheid door ‘statelijke actoren’ wordt misbruikt." Direct er voor word geschreven dat hackers over het algemeen naar dit soort dingen zoeken, en dat wordt er algemeen gesteld dat een Chinese groep APT5, die zoekt naar telecom en techbedrijven.

Is hier een zaterdaghulp bezig geweest?
Dus jij denkt dat een land als de VS zich weg houd van industriële spionage? En hoeveel mensen werken er bij de NSA en dergelijke? Ook staatshackers, die zich niet te groot voelen voor het onderuit halen van andere landen. Wat ze ook al meerdere keren hebben gedaan.
Je kunt verwachten dat er bij bevriende landen er een groter moreel kompas is dan bij meer vijandige landen. De USA zal het echt niet in zijn hoofd halen om de luchtverkeersleiding Nederland uit de lucht halen, om maar eens iets te noemen. Het is dan ook logisch dat de beschikbare capaciteit niet niet op deze bedrijven zal worden toegepast.
Dus je zou van de VS als bondgenoot niet verwachten dat ze een bevriend staatshoofd afluisteren? Omdat ze een beter moreel kompas zouden hebben?

Dan heeft de VS dus geen moreel kompas, ze luisteren iedereen af. Noem het een groep hackers. Dan kan iedereen het zijn.In de meer originele artikelen staat dus wordt dus NIET gesuggereerd dat er een China connectie is.
Maar waarom roepen we China en niet gewoon staatshakkers zodat je zowel China als de VS benoemdt? We moeten er geen doekjes om winden. Ze doen het allemaal. Als men altijd maar China en Rusland noemt zonder er op te wijzen dat de VS en het VK het ook doen dan ben je niet meer bezig met het benoemen van feiten maar wel met propaganda. Want Rusland en China zijn slecht en daar moeten we op wijzen. De VS en het VK zijn bondgenoten en moeten we beschermen. Ondanks dat ze allen hetzelfde doen.
Dat is helaas wel een beetje de trend. 'maar zij ook' lijkt een antwoord te zijn voor veel tweakers die niet veel vertrouwen hebben in de Amerikaanse rechtsstaat waar de veiligheidsdiensten sinds Snowden behoorlijk ingeperkt zijn. Ze zijn ettelijke malen op de vingers getikt.

Waarom die zelfde mensen dan soms meer vertrouwen lijken te hebben in dictatoriale landen ZONDER volksvertegenwoordiging, vrije pers, klokkenluiders die blijven leven etc is verbazingwekkend.
De Amerikanen zijn onze bondgenoten. De Russen lijken zich vooral op de aartsvijand Amerika te richten.
En in Europa ze zijn hier ook actief laatst werden ze nog betrapt in NL zie https://www.nu.nl/binnenl...-wapenwaakhond-opcw-.html

En natuurlijk de gifmoorden in de UK. Iedereen die de USA slechteriken vind mag dat. Maar er zijn nog veel ergere slechteriken.
Dit soort zaken geeft aan dat de grens tussen de IT en de rest steeds groter worden. IT snapt dec gevolgen van dit niet repareren maar de rest snapt niet waar de gevolgen kunnen zijn van het niet doen dus doen we het maar niet. Gat in de markt, IT vertalen naar gewone mensen. Oh wacht....
Ik lees een aantal grote namen die lek zouden zijn, echter vraag ik mij af in hoeverre die lijst echt klopt.

Met een van de genoemde bedrijven heb ik zijdelings wat te maken, en ik zou toch zweren dat hun een andere VPN oplossing gebruiken voor alle medewerkers dan deze "lekke oplossing", en hun IT beleid kennende geloof ik ook niet dat deze gateways ergens als uitzondering eventjes toegevoegd staan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True