Nederland loopt nog steeds veel kans op digitale ontwrichting

Nederland loopt nog steeds veel risico op digitale ontwrichting van de maatschappij. Belangrijke bedrijven en vitale infrastructuren zijn kwetsbaar voor grote schadelijke aanvallen zoals met ransomware, zelfs als die binnenkomen via eenvoudige en te voorkomen methodes.

De dreiging voor Nederland komt grotendeels vanuit twee kampen; 'statelijke actoren' zoals aan landen gelieerde hackersgroepen die uit zijn op sabotage en spionage, en steeds geavanceerdere cybercrime. "De AIVD en MIVD beschouwen de mogelijke digitale verstoring en sabotage van de vitale infrastructuur als een van de grootste cyberdreigingen voor Nederland en zijn bondgenoten", schrijft de Nationaal Coördinator Terrorismebestrijding en Veiligheid in zijn jaarlijkse Cybersecuritybeeld. In dat jaarlijkse rapport beschrijft de NCTV de grootste digitale bedreigingen voor Nederland.

Veel van de zaken die de NCTV in het rapport beschrijft zijn hetzelfde als het rapport van vorig jaar. Net als toen schrijft de NCTV ook nu over de risico's van 'ketenafhankelijkheid' waar het bijvoorbeeld gaat om supply-chain-aanvallen, al noemt de toezichthouder ook de 112-storing van vorig jaar als voorbeeld van de afhankelijkheid van grote netwerken en de schade die kan ontstaan door een storing of aanval daarop. In een ander voorbeeld toont de NCTV hoe hackers infiltreren via updatesoftware. Actoren gaan meer op zoek naar de zwakke schakel in ketens waar het beoogde doelwit van afhankelijk is.

Sabotage is volgens de NCTV en de inlichtingendiensten een groot risico. Nog steeds zien de instanties dat sommige staten zich 'innestelen in ict-systemen van vitale infrastructuur', met het doel daar mogelijk op een later moment op toe te slaan.

Ook schrijft de NCTV dat Nederland nog steeds een aantrekkelijk doelwit voor spionage is. De Nederlandse economie is 'hoogontwikkeld, innovatief en internationaal georiënteerd'. "Spionageactiviteiten zijn gericht op het verbeteren van de eigen economische ontwikkeling of om kennis te bemachtigen door landen die te maken hebben met sancties", staat in het rapport.

Een ander groot probleem is cybercrime. Dat neemt steeds professionelere vormen aan en gaat daarom op steeds geavanceerdere wijze. Doordat bedrijven het losgeld blijven betalen blijft die vorm van criminaliteit actueel.

Makkelijk te voorkomen

Volgens de NCTV zijn veel digitale aanvallen in Nederland te voorkomen, maar is de digitale weerbaarheid desondanks niet op orde. Een van de problemen is dat de risico's structureel worden onderschat. Daarbij speelt ironisch genoeg mee dat er nog geen grote ontwrichtende incidenten zijn geweest, concludeert de NCTV. "Het ontbreken van echt ontwrichtende gebeurtenissen maakt het lastig om verstoring te agenderen, laat staan om de urgentie daarvan te onderstrepen en breed geaccepteerd te krijgen."

Phishing is een ander probleem. Voor organisaties is het 'complex' om zich daartegen te wapenen. Wel zijn bewustzijncampagnes volgens de NCTV actief. De NCTV raadt ook het verplichten van fysieke securitysleutels aan als mogelijke oplossing. Ook hebben organisaties moeite met het updaten van hun systemen. Veel systemen worden soms maanden of zelfs jaren niet gepatcht, ondanks dat dat wel kan en mogelijk is. "Een combinatie van basismaatregelen, zoals segmentatie van het netwerk, en goede monitoring en detectie kan de impact van een aanval reduceren."

Uiteindelijk blijkt dat het voor de meeste vitale infrastructuur alsnog te moeilijk is. Dat komt omdat systemen en processen onderling teveel van elkaar afhankelijk zijn en verweven met elkaar zijn. Het rapport raadt aan om in te zetten op meer technische en organisatorische maatregelen, en dat er via voorlichtingscampagnes en wetgeving manieren moeten komen om het gedrag van gebruikers en systeembeheerders bij te sturen.

Minister wil verplichtingen

Als reactie op het rapport wil minister Grapperhaus van Justitie en Veiligheid aanbieders van vitale infrastructuur verplichten om kwetsbaarheden in hun systemen te verhelpen. Ook de Rijksoverheid krijgt die verantwoordelijkheid, schrijft hij in een brief aan de Tweede Kamer. "Het kabinet werkt aan een ‘pas toe of leg uit-systematiek’", schrijft Grapperhaus. "Dat betekent dat bij ernstige kwetsbaarheden deze organisaties maatregelen moeten nemen, en moeten onderbouwen als ze er voor kiezen dit niet te doen."

Hij verwijst daarbij naar een groot lek in Citrix dat eind vorig jaar bekend werd. Er kwam al snel een patch uit, maar veel instanties waaronder Nederlandse overheidsinstellingen installeerden die niet. "Als er een soortgelijke situatie plaatsvindt is de vrijblijvendheid van het nemen van maatregelen voorbij", schrijft de minister.

Grapperhaus is niet de eerste die zoiets voorstelt. De Wetenschappelijke Raad voor het Regeringsbeleid opperde al een soortgelijk plan, en het Centraal Planbureau raadde dat aan voor de markt voor iot-apparaten. De Cybersecurity Raad volgde dat advies ook op het gebied van industriële controlesystemen. Het is ook niet de eerste keer dat Grapperhaus met een dergelijk plan komt. Hij pleitte eerder al voor een set veiligheidseisen voor alle soorten vitale infrastructuur.

Reacties (38)

dj.verhulst 29 juni 2020 17:45

idd als ze er niet mee te maken hebben en je wil als hoofd ICT een investering doen, een betere firewall die packet inspection doet, of een uitgebreidere virusscanner wil aanschaffen, of wat heilige huisjes om die de veilheid in de weg staan,, kijken ze je aan als of je geld vraag voor een dure visvakantie , als of het jou hobby zou zijn....

denk dat er in branches en bij franchisers een verplicht audit komt die scan en inspections doen of je update beleid wel op orde is, of je firewall wel functioneert, en de juist instellingen toepassingen worden gebruikt denk dat je bedrijven er wel op moet aanspreken , als ik zie wat er allemaal los kwam toen er aan strengere privacy regels voldaan moest worden, klanten die woest waren dat ze een certificaat moesten kopen voor de website en mail , het werkte allemaal prima en dan moesten ze wat investeren .....

Cergorach

Beveiliging en antivirus

@dj.verhulst • 29 juni 2020 18:01

Deel van het ITer zijn is dat je een goede uitleg klaar heb, maar de meeste ITers denken dat dit voor watjes is: "Ik heb het nodig. Klaar!".

Maar netjes een rapportje schrijven met motivatie/consequenties, iets wat niet 20 pagina's is en begrijpbaar voor een niet ITer, is uitermate moeilijk... Kennelijk...

#1 Issue
#2 Wat de opties zijn en wat daar de kosten van zijn.
#3 Wat de consequenties zijn van elke optie. Denk aan wetten, boetes, imago schade, funding schade, lopende deals die in gevaar komen, etc.

Hell, alweer bijna 20 jaar geleden een dergelijk rapportje geschreven over CRT vs. LCD monitoren en energieverbruik, niet alleen van de monitoren, maar ook hoeveel extra de airco moest draaien. Als dat terechtkomt bij de juiste persoon heb je binnen 'no time' LCDs ipv. CRTs. ;-)

Niemand zit te wachten om tonnen uit te geven (of wat dat moge zijn voor een kleiner/groter bedrijf), zeker als niet duidelijk is waarvoor het nodig is.

dj.verhulst @Cergorach • 29 juni 2020 18:09

ik doe dit werk nu 23 jaar, heb echt van alles voorbij zien komen, steen goede analyses goed onderbouwd , duidelijk in jip en janneke taal ,, waarom iets gekocht moet worden of veranderd moet worden.
en dan merk je dat ze liever geld in iets tastbaars steken ,, een multi color multi function of grotere schermen , dan iets wat je niet merkt,, net als back up systemen .

je heb gelijk hoor dat er soms slecht werk word geleverd om iets gedaan te krijgen.

maar ook wel eens gehad dat er tegen mij gezegd werd als we dit gaan doen moet er ergens anders iemand eruit , we gaan budget neutraal werken ,, stuur maar iemand weg van je afdeling en zet maar een extra stagiaire neer als het niet anders kan..... na dat ik van dit bij gekomen was ,, ben ik gaan solliciteren en ben vertrokken . ( later hoor je dat ik al de zoveelste was die na 1 a 2 jaar vertrok om dit soort gedoe )

firedownbelow @dj.verhulst • 29 juni 2020 19:00

De vraag is dan wie de schuldige is!
En niet om snel een zondeblok te vinden. Als er bijvoorbeeld geen investeringen gedaan worden om je te beveiligen tegen nieuwe dreigingen. Vooral als je dan hoort dat de belastingdienst nog met oude systemen werkt.

https://tweakers.net/nieu...gdienst-is-verouderd.html

dj.verhulst @firedownbelow • 29 juni 2020 19:06

rond het millennium ben ik daar geweest,, je weet niet wat je ziet.
en als je dat merkt hoe dingen daar gaat.

lijkt nog wel het meeste op yes minister ....
ze kunnen daar niet omgaan met de wetmatigheden van de itc , willen hun schizofrene denkpatroon door voeren , en dan lopen de meeste projecten spaak, te veel mensen die er zich mee bemoeien die geen donder verstand hebben, een eigen agenda voeren, en dat belangrijker vinden dan algemeen belang.

de gewone mensen valt nog wel mee, maar de top en het hogere middenkader .....
daarom sta ik niet eens echt te kijken hoe het gaat met die toeslagen affaire .
daar moest echt met een onkruidbrander eens die kantoren schoon gebrand worden ....

teacup @firedownbelow • 30 juni 2020 09:45

Wat ook een issue is dat een IT afdeling vaak wordt gezien als een uitvoeringsorgaan, en dat een hoofd IT lang niet altijd deel uitmaakt van het management team.

Gevolg is dat het beleid dat uit de koker van het management team komt meer behoefte gedreven is. Flexibeler en sneller produceren, of diensten met minder inspanning leveren (geweldig, kijk eens wat een simpele smartphone app!).

Hoe is goed beleid van een management team te verwachten als in dat team niet eens voldoende IT benul aanwezig is om een uitvoerende IT afdeling met een goede opdracht aan het werk te zetten? Op zijn best is de opdracht te onnauwkeurig om goed in te kunnen invullen.

Bij veel organisaties is nog onvoldoende het besef binnengekomen dat het IT aspect een strategische factor is in een organisatie en medebepalend is voor de richting waarin een organisatie zich ontwikkeld. Afhankelijk van de aard van de organisatie is die IT factor dominant voor de richting, en dat dan terwijl het management team er eigenlijk geen zinnig woord over kan zeggen.

The Zep Man

Beveiliging en antivirus
Nederland

@Cergorach • 29 juni 2020 18:08

Deel van het ITer zijn is dat je een goede uitleg klaar heb, maar de meeste ITers denken dat dit voor watjes is: "Ik heb het nodig. Klaar!".

Net zo'n anekdote als dat de meeste managers geen tijd hebben om naar een goede uitleg te luisteren, en uiteindelijk alsnog een 'nee' verkopen omdat ze hun 'targets' moeten halen, waarop gebaseerd hun riante bonussen uitgekeerd worden. Verder snappen ze überhaupt niets van IT, en hadden ze net zo goed een administratieve afdeling kunnen leiden met hun beperkte kennis. Het Peterprincipe vol in effect. Wat daar nog bijkomt is dat wanneer het wel fout gaat en er managers worden geruimd ze met goede eer ontslagen worden en daarna ergens anders weer aan de slag gaan op een soortgelijke functie. Immers hebben ze door hun falen 'ervaring', ondanks dat ze niet eens weten waarom ze faalden (uiteraard nadat ze de schuld naar iemand anders proberen te schuiven).

Een vakman krijgt al het gereedschap aangeboden om diens werk te doen en ook veilig te kunnen doen. Voor informatiebeveiliging is dat lastiger. Een dakbedekker die van het dak valt kost direct knaken. Een hack op een netwerk en de schade die daaruit volgt zijn niet zo transparant, en ook slecht aanwijsbaar..

[Reactie gewijzigd door The Zep Man op 24 juli 2024 06:02]

dj.verhulst @The Zep Man • 29 juni 2020 18:14

maar het gebeurt wel,, heb dat wel gezien.
daarom doen ze als of het uit hun eigen zak komt , dat klopt,
moet wel zeggen als een tent zo echt in elkaar zit, tijd om op te stappen

The Zep Man

Beveiliging en antivirus
Nederland

@dj.verhulst • 29 juni 2020 18:16

maar het gebeurt wel,, heb dat wel gezien.

En ik heb het andersom gezien. Leuk he, anekdotes?

Het enige dat je met anekdotes bereikt is polariseren. Ik heb uiteraard ook situaties gezien waarin het wel goed gaat. Dat was bijvoorbeeld een die hard informatiebeveiliger die binnen de eigen organisatie hoger klom en diens eigen afdeling ging leiden. Om dat te doen moet je kennis hebben van onderaf, en bescherming bieden tegen de regen van bovenaf.

moet wel zeggen als een tent zo echt in elkaar zit, tijd om op te stappen

Dat zie je dan ook vaak, dat de echt goede mensen vertrekken en het rot blijft zitten. Dat vindt overigens op alle niveaus plaats.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 06:02]

dj.verhulst @The Zep Man • 29 juni 2020 18:19

het gaat niet overal zo fout, gelukkig maar.

anekdotes werken echt niet louter polariserend , maar ook absurde dingen uitvergroten zodat het duidelijker word, of je op een luchtige manier een boodschap overbrengt die anders lastig is over te brengen.

Some12 @The Zep Man • 30 juni 2020 18:27

En voor die mensen komt er nu wetgeving, wat ze doet verplichten iets aan te pakken.

Dit lijkt mij heerlijk voor IT’ers.

Tintel @Cergorach • 29 juni 2020 18:37

Tikkie kort door de bocht om dan toch het probleem bij de IT-ers neer te leggen lijkt mij.
De motivatie ontbreekt of wordt niet begrepen of is onvoldoende. Maar is het al niet bijzonder dat dit de route is? Dus de vakman vraagt om een nieuw onderdeel en dan wil de manager begrijpen waarom... Terwijl deze vaak de kennis mist. Dus komt de onderbouwing weer bij de IT-er te liggen. Deze dient vervolgens aan te tonen dat het uitvallen van een bepaald onderdeel van de automatisering X euro kost. Laat dat laatste nu juist bij de manager liggen.

Let wel: ik heb ervaring in beide functies en ben van mening dat de meeste managers nutteloos zijn m.b.t. IT-vraagstukken (klinkt cru maar blijkt toch vaak waar).

Jouw voorbeeld m.b.t. vervanging van CRT door LCD is niet een IT-vraagstuk - dat is puur een kostenbesparing door te kijken naar energie verbruik. Dus een zeer slecht voorbeeld in deze context!
Je kan ook de halogeenlampen vervangen door LED - sinds wanneer behoort dat tot de taken van een IT-er om dat aan te vagen / te berekenen?

Het enige wat je voorbeeld aantoont dat de betrokken manager dus een slechte manager was en niet verder keek dan z'n neus lang was. Want een manager is vaak verantwoordelijk voor de kosten.

mvrhrln @Tintel • 29 juni 2020 19:08

Heb ooit bij een tent gewerkt waar ze de (kapotte) lampen (in plafond) wilden laten vervangen door IT'ers (systeembeheer), Want het was ook met elektriciteit

mr_evil08 @mvrhrln • 29 juni 2020 20:54

Wil toch prima, even nieuw lampje inschroeven ik zie het probleem niet.
Horen wij ook vaak overal waar een stekker aan zit, och voor IT.

mvrhrln @mr_evil08 • 29 juni 2020 20:58

En een jaar later vraagt management zich af, waarom ze in hemelsnaam zo'n hoog salaris betalen voor iemand die (ze) alleen maar (zien) lampjes (indraaien)(indraait).

mr_evil08 @mvrhrln • 29 juni 2020 21:00

Ligt er ook aan of je een heel gebouw lampjes gaat indraaien of alleen 1 kantoor een paar lampjes, zou ik gewoon doen hoor, als je daarvoor iemand moet laten komen ben je het ook kwijt.

Niet iedereen verdient 4k loon per maand.

[Reactie gewijzigd door mr_evil08 op 24 juli 2024 06:02]

necessaryevil @mvrhrln • 2 juli 2020 20:45

Tsjah, of dat handig is ligt een beetje aan de schaal van je bedrijf. Ben je een klein bedrijf, dan kan het wel eens handig zijn. Als die IT-er voor die paar kapotte lampjes dan moet gaan bellen dan ben je bijna al langer bezig dan met vervangen. En er is niets mis mee om zulke dingen door je eigen personeel te laten doen op de rustige dagen.

Maar waarschijnlijk gaat dat het punt wat je wilt maken, dat er nog steeds bedrijven zijn die niet weten wat de IT doet.

dj.verhulst @Cergorach • 29 juni 2020 18:13

dat verhaal heb ik ook gehad, dat was makkelijk ,, maar veel dingen zijn niet zo makkelijk op die manier te onderbouwen, als alles goed gaat merk je niet of je met een el cheapo anti virus pakket werkt of een gerenommeerd pakket of een red box firewall , natuurlijk kan je wel wat testen in grafieken gebruik pakt A pakt 80 % en pakket B wel 95 % ,, dat dit een enorm verschil is in ICT land maar voor iemand die in heftrucks handelt die denk ach het prijs verschil je groter dus doen we pakket A ,

Heroic_Nonsense

@Cergorach • 30 juni 2020 07:57

Of je doet het andersom.

Mail met hoge prio naar de betreffende manager; sms-je erachter aan met "ik heb je net een mail gestuurd, lees die meteen even; is belangrijk; ik hang nu met de politie aan de telefoon".

"Hoi manager,

Vannacht om 03:05 uur is er een inbraak geweest op server SoProd-xxxx waarbij ongeveer 24 GB aan data is ontvreemd. Onder andere de salarisadministratie en een bestand met klantdata is onderdeel van die 24 GB. Ik heb een mail ontvangen waarin losgeld wordt geëisd; betalen we niet, dan wordt de data gepubliceerd. Jij wordt met naam genoemd in de mail.

Zo, ben je wakker? Bovenstaande is niet waar, maar had waar kunnen zijn gezien de huidige staat van onze cybersecurity. Daarom vraag ik je al een tijdje om budget vrij te maken voor een noodzakelijke upgrade.

Ben je een beetje van de schrik bekomen? Bel me dan even.

Gr.
Henk van IT. "

GeoBeo @Cergorach • 30 juni 2020 14:13

Deel van het ITer zijn is dat je een goede uitleg klaar heb, maar de meeste ITers denken dat dit voor watjes is: "Ik heb het nodig. Klaar!".

Advocaat van de duivel:
Waarom zou je als bedrijf een (dure) IT'er met veel kennis inhuren als je vervolgens z'n expertise en mening niet vertrouwd?

Je kunt er dan inderdaad voor kiezen om zo'n IT'er dagen lang voor elke investering Word documentjes te laten typen. Of je kunt er voor kiezen hem z'n werk te laten doen en hem te vertrouwen.

Ik zou het wel weten eerlijk gezegd. Ik zou als bedrijfsleider / manager wel wat beters te doen hebben dan (dure) mensen documenten te laten schrijven die iemand binnen het bedrijf (misschien) deels 1x zal doorlezen.

Ik heb te vaak gezien dat bedrijven met miljoenen aan omzet moeilijk doen over investeringen van een paar 1000 EUR. Zo moeilijk, dat het moeilijk doen in manuren letterlijk (veel) meer kost dan de investering zelf. Sommig gezeur is niet goed te praten.

Voorbeelden: wel of niet laten graven voor een glasvezelverbinding (< 10.000 EUR) terwijl het internet decennia lang moeilijk traag is en het bedrijf groeiende is, wel of geen nieuwe VPN server/firewall aanschaffen voor sneller werken tijdens de corona thuiswerk-maanden (< 3000 EUR), wel of geen headsets + webcams aanschaffen tijdens de corona tijd (< 1000 EUR). In alle gevallen werd het advies van de IT expert + meerderheid van medewerkers volledig genegeerd nadat er rapporten over geschreven waren. Het soort bedrijf dat CAD tekenaars > 6 jaar oude (trage onwerkbare) workstations + schermen geeft om "geld te besparen".

Dat is het niveau bij sommige bedrijven waar ik gewerkt heb.

[Reactie gewijzigd door GeoBeo op 24 juli 2024 06:02]

Verwijderd @dj.verhulst • 29 juni 2020 18:34

Ik spreek dagelijks met IT managers en herken dit absoluut niet. Investeringen in IT veiligheid zijn duidelijk toegenomen de laatste tien jaar en zijn nu een respectabel deel van de totale IT investeringen.

Ik daag je uit om met voorbeelden te komen van schade die door het uitblijven van IT investeringen op het gebied van hard- en software is ontstaan. Ik ken ze niet, jij wel? Wat ik wel ken is schade door onjuiste training van gebruikers, verkeerde configuratie van software, ontbrekende updates etc. Allemaal dingen die meer te maken met professionaliteit van een IT afdeling dan met het budget. Als je dit rapport leest zie je ook dat meer budget NIET als oplossing word gezien maar dat er gewoon beter gewerkt moet worden.

Nu is één voorbeeld nutteloos maar verleden jaar heb ik een bedrijf overgenomen en na twee maanden de IT manager ontslagen. Er stond de beste hardware (soms niet eens aangesloten), er was de meest dure software maar zelfs de meest essentiële zaken waren niet op orde. Er was voor 19.000 euro aan backup hardware en software (voor 29 man) maar dagelijkse backups waren niet in orde. Uiteindelijk hebben we voor 50.000 aan hardware verkocht, licenties gestopt en een zeer ervaren IT'er als management aangesteld. Van het geld hebben we mooie nieuwe ultrawide schermen gekocht voor alle medewerkers.

Jorn1986 @Verwijderd • 29 juni 2020 22:20

Allemaal dingen die meer te maken met professionaliteit van een IT afdeling dan met het budget. Als je dit rapport leest zie je ook dat meer budget NIET als oplossing word gezien maar dat er gewoon beter gewerkt moet worden.

Ja maar vergeet 1 ding niet in de ICT: je moet snel kunnen werken en het ook nog vaak in 1x goed zien te doen ook. Het in 1x goed doen heeft weer te maken met ervaring en kennis.
Tijd is geld en daardoor kostbaar voor personeel vanaf hogerop gezien.
Wil je dat er beter gewerkt wordt dan moet je medewerkers veel ervaring laten opdoen en veel kennis laten opdoen om hun werk ook goed te kunnen laten doen.
En daarnaast: ICT is ontzettend breed, er zijn ontzettend veel specialisaties. Het is niet gezegd dat een IT Afdeling overal in kan stralen, er zullen heus wel een hoop blinde vlekken zijn aan kennis/kunde.
En dan nog een factor: hoe zorg je dat medewerkers met nieuwe ontwikkelingen bij blijven? Hoe zorg je dat ze vernieuwingen goed kunnen toepassen zoals ze bedoeld zijn als verbetering?

dj.verhulst @Verwijderd • 29 juni 2020 18:56

bij de grotere bedrijven is dit vaak minder.
maar ga eens naar het MKB, vooral bedrijven die vaak vakwerk doen,, steengoed in dat maar slecht in dingen die bij het voeren van directie taken hoort.

heb klanten gehad die back up niet lieten maken vonden ze gewoon niet nodig, was er een keer een file zoek dan shadow copy's ,want we hebben toch een RAID hdd storage .
of ze kozen de virusscanner puur op prijs en hadden een consumenten versie op de desktop pc's gezet want die waren zo goedkoop, dat sommige dan een netwerkdrive locken als iemand daar bestanden bewerkt , niet handig ,, ze hadden zich aangewend om rond te bellen wie waar in zat .

trainingen geven aan eindgebruikers is prima, maar ga dat eens doen in bepaalde sectoren ,, de geestelijke gezondheids zorg vooral de 40 + medewerkers die willen vaak niet en proberen er jou probleem van te maken.
ja fouten worden overal gemaakt , bij het ene bedrijf meer dan bij het andere

denk als een ict zo slecht functioneert dan word het lastig, wilde en kon die persoon zich niet verbeteren ?

ik heb jaren lang in de buitendienst en detachering gedaan MKB en overheid en grote bedrijven.

mvrhrln @Verwijderd • 29 juni 2020 19:12

Die training/opleiding moet natuurlijk wel met een budget worden betaald dunkt mij ?
Ken genoeg (MKB) bedrijven waarbij extra opleiding/training bijna niet wordt gewaardeerd of men vindt het te duur of er is geen tijd voor.

Zie gebruikers die niet eens met een muis overweg kunnen, en ja deze hebben een administratieve functie, geen kennis van Windows (gebruik) in het algemeen.

[Reactie gewijzigd door mvrhrln op 24 juli 2024 06:02]

The Zep Man

Beveiliging en antivirus
Nederland

@dj.verhulst • 29 juni 2020 18:04

denk dat er in branches en bij franchisers een verplicht audit komt die scan en inspections doen of je update beleid wel op orde is, of je firewall wel functioneert, en de juist instellingen toepassingen worden gebruikt denk dat je bedrijven er wel op moet aanspreken ,

Dan gaan bedrijven voor het absoluut minimale vinkje door zich meer te richten op 'compliance' in plaats van 'beveiliging'. Dat zorgt er ook voor dat organisaties vastroesten.

dj.verhulst @The Zep Man • 29 juni 2020 18:15

dat risico is er,, maar er gebeurt wel wat , en men kan die minimale norm wel op een acceptabel niveau brengen , dan heb je wel minder kans op cyber shit

The Zep Man

Beveiliging en antivirus
Nederland

@dj.verhulst • 29 juni 2020 18:18

dat risico is er,, maar er gebeurt wel wat , en men kan die minimale norm wel op een acceptabel niveau brengen , dan heb je wel minder kans op cyber shit

Dat ligt eraan. Schijnveiligheid (een vinkje) is soms gevaarlijker dan geen veiligheid. Bij geen veiligheid is er de kans dat men dit weet en zich daarnaar gaat gedragen. Met andere woorden, doordat het onveilig is gaan mensen zich juist veilig gedragen. Met schijnveiligheid is dat andersom.

dj.verhulst @The Zep Man • 29 juni 2020 18:20

dan heb je het minimale niveau te laag als je alleen schijn veiligheid creëert

The Zep Man

Beveiliging en antivirus
Nederland

@dj.verhulst • 29 juni 2020 18:54

"Te laag ten opzichte van wat? Wij komen toch (op het tandvlees) de audit door? Dus wij zijn toch veilig?"

dj.verhulst @The Zep Man • 29 juni 2020 18:58

als je als brache, hoofdkantoor , keurmerk door kundige mensen een norm laat opstellen die voldoende is, ben je er. en dan audits doen.

als je niks doet weet je zeker dat er weinig gebeurt

digifiel @The Zep Man • 29 juni 2020 22:41

Dat is op veel plekken nu ook al.
Niet meer investeren dan dat voor de verzekering nodig is.

IndoBoy @dj.verhulst • 30 juni 2020 02:54

Het probleem is dat veel bedrijven IT niet als primair proces zien, omdat het niet hun core business is. Echter, als IT niet goed loopt of plat ligt, dan ligt ook hun core business plat. En dan heb ik het niet alleen over de harde IT ( firewalls, servers, etc.), maar ook de zachte IT (proces inrichting, proces optimalisatie, tijdige en correcte informatie voorzieningen)

necessaryevil @dj.verhulst • 2 juli 2020 20:55

Ik heb nog enige hoop dat zulke dingen toch nog wel gaan verbeteren, onderandere door media en wetgeving. Neem als voorbeeld maar die strengere regelgeving om privacy. Je krijgt in plaats van medelijden dat je gehackt bent een boete, m.i. een goede zaak mits goed uitgevoerd. Ook in de algemene media zie je dat bedrijven met een datalek (enigszins negatief) in het nieuws komen.

DefaultError 29 juni 2020 19:34

Nu het thuiswerken de norm is geworden zijn de risico’s ook groter geworden. ICT kan niet alles thuis een update gegeven laat staan controleren. We zijn afhankelijk van advies zoals krant, fora, internet aanbieders en systeembeheerders.

Wie een nieuw thuis apparaat koopt van koelkast, wasmachine, fiets, auto, camera of telefoon is het belangrijk firmware en het os van updates te voorzien.

Fora checken is best okay om bij te blijven over de stiekeme snufjes van snif en snuitje.

Welk(e) (product), fora, krant maar ook ISP levert de beste en duidelijkste info?

Murc1elag0 29 juni 2020 20:23

Doet mij denken aan het boek: "Het is oorlog maar niemand die het ziet" geschreven door Huib Modderkolk. Waar hij als onderzoeksjournalist jarenlang onderzoek doet naar de digitale wereld. Een echte aanrader! Om niet direct teveel te spoilen,

[Reactie gewijzigd door Murc1elag0 op 24 juli 2024 06:02]

Zyphlan 29 juni 2020 22:18

Phishing is een ander probleem. Voor organisaties is het 'complex' om zich daartegen te wapenen. Wel zijn bewustzijncampagnes volgens de NCTV actief. De NCTV raadt ook het verplichten van fysieke securitysleutels aan als mogelijke oplossing

Ik zie op de markt wel meer en meer interesse in hardware/software keys voor 2fa/MFA ( bijna alle grote multinationals is ermee bezig) en gelukkig zie je de laatste 2 jaar het gaan van : Mag niet te duur zijn -> Het moet werken

Fido is hier wel de oplossing voor want het is niet langer te 'complex' je geeft je medewerker de key en domme phishing gedoe is verleden tijd.

Google has not had any of its 85,000+ employees successfully phished on their work-related accounts since early 2017, when it began requiring all employees to use physical Security Keys in place of passwords and one-time codes, the company told KrebsOnSecurity.

https://krebsonsecurity.c...alized-employee-phishing/

kolonel klapzak 29 juni 2020 18:45

Het lijkt me niet zo verstandig om een aanval op een ander land uit te voeren als je je eigen verdediging niet eens op orde hebt. Dus ik vraag me af of die cyber-aanval van de AIVD op Iran, en daar vervolgens over te gaan opscheppen, nou zo'n goed idee was... nieuws: 'AIVD was met infiltratie cruciaal voor Stuxnet-sabotage Iraans kernp...

Jerie

@kolonel klapzak • 29 juni 2020 19:21

Dit soort zaken weet bijna niemand iets van bij AIVD/MIVD ivm compartmentalisatie. Daarnaast was dit een van de eerste cyberwapens die is ingezet, en was het gebeurt op verzoek van VS. Toen de AIVD (en NSA) nog niets met cybersecurity deed, waren de criminelen al lang en breed bezig.

Op dit item kan niet meer gereageerd worden.

Makkelijk te voorkomen

Minister wil verplichtingen

Lees meer

Reacties (38)

Sorteer op:

Weergave: