AIVD geeft bedrijven tips voor beveiliging van netwerken

De AIVD heeft een lijst met tips uitgebracht waarmee bedrijven hun ict-infrastructuur zelf beter kunnen beveiligingen. Die 'cybersecurityaanpak' helpt bedrijven informatie en processen beveiligen, risico-inschattingen maken en beveiligingsmiddelen kiezen.

De informatie is afkomstig van het Nationaal Bureau voor Verbindingsbeveiliging of NBV. Dat is een onderdeel van de Algemene Inlichtingen- en Veiligheidsdienst. De NBV helpt bedrijven en instanties om hun netwerken beter te beveiligen met kennis die door de AIVD wordt opgedaan. De dienst heeft de Cybersecurityaanpak Verdedigbaar Netwerk uitgebracht. In de gids staan praktische tips voor bedrijven en beveiligers die draaien rondom vier pijlers: contextanalyse, weerstand, detectie en schadebeperking.

De gids schrijft voor hoe bedrijven eerst kunnen analyseren hoe hun netwerk is opgebouwd en waar mogelijke kwetsbaarheden zitten. Daarna gaan de tips over op het weerbaarder maken daarvan, met bijvoorbeeld netwerksegmentatie en toegangscontroles. Vervolgens komt de detectie van incidenten aan bod via endpoint- of network-based-detectie en door werknemers voor te lichten. Tot slot zijn er regels voor incident response en voor recoveryplannen.

De AIVD helpt bedrijven niet actief met beveiliging, maar werkt samen met andere instanties zoals het Nationaal Cyber Security Centrum om bedrijven te waarschuwen voor mogelijke incidenten. De laatste jaren is er vanuit dergelijke overheidsinstanties meer aandacht voor de beveiliging van externe bedrijven, ook als die niet vallen onder de zogeheten vitale infrastructuur.

AIVD 2

Reacties (46)

MMaI 6 oktober 2021 08:52

Prima initiatief maar de inhoud van de flyer is beiden te vaag om te gebruiken als evaluatie of handleiding en gebruikt te veel jargon om bruikbaar te zijn voor beginners. Verder vraag ik me af waarom de AIVD nergens refereert aan bestaande raamwerken voor beveiliging zodat de tips een stuk eenvoudiger gebruikt kunnen worden voor werkelijke implementatie.

Nu blijft het een beetje bewustwording zonder vertaling naar de praktijk.

mphilipp @MMaI • 6 oktober 2021 08:57

gebruikt te veel jargon om bruikbaar te zijn voor beginners

Beginners? Het is bedoeld voor bedrijfsnetwerken, niet voor thuis. Je kunt het misschien op een bepaalde manier toepassen op je netwerkje thuis, maar dat is niet de doelgroep.

ocrammarco @mphilipp • 6 oktober 2021 09:07

Veel MKB bedrijven kan je gewoon beginners noemen op dit vlak hoor en het is wel zo fijn als zij het ook begrijpen.

mphilipp @ocrammarco • 6 oktober 2021 09:14

Dan denk ik dat ze beter een deskundige kunnen inhuren. Als je een beginner wil gaan uitleggen hoe netwerk security werkt, moet je ze eerst een cursus geven. Dat gaat niet in een flyer passen. Want dat is het ook gewoon. Het is geen complete handleiding; er staan gewoon wat kernbegrippen in waarmee je aan de gang moet. En als je ondersteuning nodig hebt, kun je contact met hen opnemen.

ocrammarco @mphilipp • 6 oktober 2021 09:18

Ik heb voor meerdere MKB bedrijven gewerkt maar ook veel grotere. Mijn expertise is zeker geen IT maar weet er wel wat van. Het ding is dat het MKB gewoon niet weet waar ze moeten beginnen. Hoe toets je dat je een goede deskundige hebt? En die deskundige is vaak een advies en dan heb je nog niet concreets maar kost in verhouding veel geld. Ze willen best geloven dat dit het waard is maar veel weten gewoon simpel weg niet waar ze moeten beginnen.

Cergorach

Beveiliging en antivirus

@ocrammarco • 6 oktober 2021 11:57

Ze willen best geloven dat dit het waard is maar veel weten gewoon simpel weg niet waar ze moeten beginnen.

Daar gaat zo een folder niets bij helpen. Een interne of een externe inhuren is een kunst ansich en er zijn zat goede en slechte ITers die juist wel dat gevoel van vertrouwen kunnen scheppen bij mensen wiens expertise gebied dit niet is. Aan de andere kant zijn er ook weer zat goede ITers die dit gevoel absoluut niet kunnen scheppen, zelfs niet bij mensen wiens expertise gebied dit wel is. Goed zijn in je vak is niet alles, communicatie is zeer belangrijk in alle lagen van de IT.

Deze folder heeft erg veel 'bling' en heel weinig inhoud imho. Als hier dingen instaan (behalve de gebruikte termen) die nieuw zijn voor een ITer, dan moet er sterk worden nagedacht of die ITer zich wel moet bezighouden met security en netwerk(stystemen)...

Dit voelt meer aan als een gewaarwordingscampagne voor eigenaren, directeuren en hoger gelegen managers om het gesprek aan te gaan met hun interne of externe ITers. Of juist andersom dat die interne of externe ITers aan de hand van zo een folder van de staat het gesprek aangaan met die eigenaren, directeuren en hoger gelegen managers om hier juist budget voor te krijgen. Zeker bij de kleinere MKBs is hier gewoon geen budget voor...

MMaI @mphilipp • 6 oktober 2021 09:23

Mogelijk dat je het niveau van de niet-IT leidinggevende in MKB en kleinere bedrijven hier overschat. Dit zijn de beginners waar ik aan refereer, de niet-IT-ers die nu voor één van de eerste keren lezen over beveiliging.

mphilipp @MMaI • 6 oktober 2021 09:36

Ik overschat zeker het nivo van de gemiddelde manager niet. Maar nogmaals: dit is voor netwerk professionals bedoeld. En bovendien is het een flyer, geen cursus. Als je dit in Jip en Janneke taal gaat uitleggen, haken de deskundigen weer af. Zo is het nooit goed.
Als een manager dit ziet, moet ie op het idee komen zijn deskundigen in te schakelen of deskundigen in te huren. Zo ingewikkeld lijkt mij dat niet. Je moet niet alles ophangen aan de mensen met de minste kennis.

janbaarda @mphilipp • 6 oktober 2021 11:44

Mee eens, een netwerkdeskundige zal niet veel leren uit een algemene flyer met 4 punten in populair half Engels als assume breach en gemaakte Nederlandse woorden als statelijke aanvaller (staatshacker?).

Waarom niet alles in het Nederlands of, om mijn part, in het Engels? Dit lijkt meer een verhaaltje van een duur betaalde consultant (let wel, geen adviseur, dat klinkt te goedkoop) die ook niet precies weet waar het over gaat.

Verwijderd @janbaarda • 6 oktober 2021 12:16

Gezien de discussie lijkt mij, dat dit document volledig de plank misslaat. Een manager (zonder kennis) zal hier niet veel van kunnen maken en een technische medewerker kan natuurlijk niet zoveel met deze vage terminologie.

Methode voor risicoanalyse
Je organisatie gebruikt een beproefde, objectieve en reproduceerbare methode voor risicoanalyse, die past bij de eigen cultuur en infrastructuur.

Echt, wat moet je hier nu mee.. Je krijgt al een existentiële crisis als je dit leest.. Beproefde? Door wie? Objectieve? Moet ik anderen hier naar laten kijken? reproduceerbare methode? Welke methode heb je het over? Wat is mijn cultuur? Hoe past een analyse in een cultuur? Waarom moet een risico analyse passen op een cultuur? Suggereert men hier dat de analyse aangepast moet worden op een cultuur? Moet ik dingen dan niet of wel doen of rapporteren?

Ik spring nog liever van een brug dan nog meer van deze onzin te lezen. Respect voor de externe consultancy partij die deze boel heeft uitgewerkt, wat een prestatie.. $_/-\o_$

renevanh @Verwijderd • 6 oktober 2021 12:53

Gezien de discussie lijkt mij, dat dit document volledig de plank misslaat.

Of de mensen die hier deze discussie starten de doelgroep niet zijn, dat kan ook...

Verwijderd @renevanh • 6 oktober 2021 15:12

Maar wie is die doelgroep dan? Ik dacht, interessant direct doorlezen...

renevanh @Verwijderd • 6 oktober 2021 18:16

Geen idee, heb het niet gelezen. Ik ben in ieder geval niet de doelgroep, dat weet ik wel

Maar het feit dat mensen in discussie gaan betekend niet per definitie dat het document de plank mis slaat

Verwijderd @renevanh • 6 oktober 2021 18:19

Misschien is dit wel de bedoeling van het hele document: Engagement!

dutch_camel @Verwijderd • 6 oktober 2021 22:05

Hier wel. Maar binnen het MKB?

In letterlijk de eerste zin van het document beginnen over ‘Statelijke actoren’.
Daar zal een hele hoop lezers al afhaken. Zij kunnen het niet eens plaatsen.
Als voorbeeld: waarom zou snackbarketen X te maken krijgen met Statelijke actoren?

Voor de doelgroep zou ik eerder concrete bedreigingen in de eerste paragraaf benoemen: Ransomeware, Phishing, etc. Daar leest men over, daar hoort men over. En ja, soms zal daar vast wel een statelijke actor achter zitten.
Het beeld dat alleen grote bedrijven aangevallen worden, is al lang achterhaald. Letterlijk ieder individu, of klein bedrijf, is ondertussen een target.

Yggdrasil

@mphilipp • 6 oktober 2021 09:53

MKB's hebben regelmatig één of twee IT-ers in huis die het beheer doen en van alle markten thuis moeten zijn met relatief beperkte budgetten en training. Juist die mensen hebben baat bij duidelijke en uitvoerbare adviezen.

ocrammarco @MMaI • 6 oktober 2021 08:55

Inderdaad een gemiddeld MKB bedrijf die geen IT'er in dienst heeft maar extern bedrijf kan moeilijk toetsen aan de hand van dit boekje of het externe bedrijf en daarmee zijzelf de zaakjes op orde heeft. Het zou goed zijn als ze een handreiking maken voor al die bedrijven die wel willen maar geen kader hebben om het IT bedrijf te bevragen / toetsen.

Nyarlathotep @ocrammarco • 6 oktober 2021 11:38

Voor een gedegen beveiliging van jouw bedrijfsnetwerk heb je gewoon iemand nodig die weet waar hij of zij mee bezig is.
Als je die expertise niet in huis hebt, moet je iemand aannemen of inhuren. Die kan jouw netwerk onder de loep nemen en stappen ondernemen. Als je dit zelf gaat doen en een inhuur a.d.h.v. de input van een leek jouw netwerk dicht laat timmeren gaat het ook fout.
Dus linksom of rechtsom: Je hebt ervaren personeel nodig om je netwerk te beveiligen.

t link @Nyarlathotep • 6 oktober 2021 11:59

Hoe weet je of je een goed iemand inhuurt als je er zelf de balle verstand van hebt?

demianmonteverd @t link • 6 oktober 2021 12:19

Referenties zouden kunnen helpen. Je kunt ook assesments gebruiken en/of certificaten checken. Voor netwerken is er daarvoor zeker het nodige op de markt.

t link @demianmonteverd • 6 oktober 2021 21:23

ja maar hoe weet je daaar dan weer van of het de goede is? dat verplaatst het probleem gewoon.

demianmonteverd @t link • 7 oktober 2021 09:35

Dat weet je nooit, maar sociale bewijslast is zo'n beetje de grondslag voor veel handelen van mensen onderling. En we maken er fouten mee, daar staan boeken vol mee natuurlijk.

Over het algemeen zijn we voor de meeste gangbare situaties er het beste uit gekomen. En in dit soort gevallen kan het prima werken.

En als je referreert aan de certificaten en assesments, daar zul je je als eigenaar en verantwoordelijke voor je bedrijf dan maar in moeten verdiepen. Niet alles is op te lossen immers. Ben je toevallig eigenaar van een bedrijf?

t link @demianmonteverd • 7 oktober 2021 12:23

Nee ik ben geen eigenaar van een bedrijf. maar waarom zou ieder bedrijf zich daar in moeten verdiepen afzonderlijk, dat is toch enorm inefficient? dan gaat iedereen opnieuw het wiel zitten uitvinden.

demianmonteverd @t link • 7 oktober 2021 14:21

Dit soort problemen zijn inderdaad erg vervelend. Sowieso, de meeste eigenaren hebben dergelijke problemen de hele dag door, welke auto moet ik nemen als ik zakelijk wil rijden, als ik deze partij ga gebruiken voor mijn persooneelsverzekeringen, is dat dan wel de juiste keuze. Welke accountant moet ik gaan gebruiken of doorgaan met de huidige? Welke software, in de cloud of niet? Wel uitbreiden bij sales of juist inzetten op marketing. Welke schoonmaker zou dan goed werk kunnen leveren voor een goede prijs of moet ik juist voor een pand gaan inclusief schoonmaker.

Inefficient, zeker eens.

t link @demianmonteverd • 7 oktober 2021 16:42

zeker mee eens dat hoort ook gewoon bij ondernemersschap, maar hier gaat het om erg complexe bescherming tegen criminaliteit. netzoals dat we het keurmerk veilig wonen van de politie hebben, zou ik hier meer in willen zien.

[Reactie gewijzigd door t link op 22 juli 2024 17:36]

demianmonteverd @t link • 7 oktober 2021 16:47

Zeer mee eens, zou geweldig zijn een (goed!) keurmerk te hebben. Ik pleit hier zelf net als jij hieronder voor.

FrostyPeet 6 oktober 2021 09:15

Als ik het goed begrijp heeft "de gemiddelde MKB-er" meer last van spammende energieverkopers en een disfunctionele KvK. Die geven folders uit hoe nuttig ze zijn.

Zolang de aanvallers uit de bekende landen rustig hun gang kunnen gaan, lijkt een brochure met goed bedoelde bekende kreten, redelijk mager.

Ik denk dat je als MKB-er je heel gelukkig mag prijzen als je een paar jaar ongeschonden in de ICT wereld overleefd. Ik vraag me wel eens af of nou echt alles aan internet gekoppeld moet worden onder het motto van efficientie.

Risce @FrostyPeet • 6 oktober 2021 10:34

Ik kan je vertellen dat serieuze Security Officers bij Nederlandse bedrijven heel goed weten waar de dreiging vandaan komt, voor wat betreft dat staatsactoren zijn.

Koppelen 'aan het internet' is natuurlijk relatief, het gaat dan met name om het goed scheiden van je gegevens, zoals aangegeven in punt 4 van deze AIVD aanpak 'schadebeperking'.

Iblies @Risce • 6 oktober 2021 11:26

staatsactoren

Daar sla je de plank mis maar dan ook heel hard mis,
je hebt een aantal bedrijven die hoog op het lijstje staan van bepaalde landen,
maar het gros van de aanvallen komt of uit het binnenland of van bepaalde landen die snel geld willen en hebben verder geen politieke doelen..

Doordat de focus zo ligt op x-aantal landen wordt het gevaar uit andere hoek steeds groter en hoofdzakelijk uit z-amerika hebben ze gemerkt dat het een redelijk schone misdaad is.
Alleen wanneer dat niet tijdig wordt afgeremd krijg je uit die hoek wederom een hele slag experts die wereldwijd voor de hoogste bieder zal werken.

Risce @Iblies • 6 oktober 2021 13:22

Wat is nu precies je punt?

Eonfge 6 oktober 2021 08:39

Het is natuurlijk makkelijk roepen dat de AIVD net zo goed een bedreiging is voor ons burgers als criminelen (niet ongegrond overigens), maar een goed geleide Inlichtingendienst is nog steeds wel belangrijk. Dat ze nu dus met een flyer uitkomen over beveiliging zie ik dus nog wel als een netto-positief.

Ook leuk, ik zit de lijst van goedgekeurde opslagbeveiliging door te gaan, maar deze komen dan weer niet overeen met een eerdere lijst van gepubliceerde oplossingen. Gevalletje linker-en-rechterhand die niets van elkaar weten?

Oke, deze en enkele eerdere publicaties van de AIVD door gegaan, en deze nieuwe publicatie is redelijk hoog over... Het tweede document dat ik linkte (voor het beveiligen van intellectueel eigendom), is veel concreter en zal management waarschijnlijk eerder motiveren tot actie. Deze nieuwe publicatie wordt gewoon aan de bijlage-map toegevoegd wanneer je een ISO 27001 traject opstart.

[Reactie gewijzigd door Eonfge op 22 juli 2024 17:36]

Maurits van Baerle @Eonfge • 6 oktober 2021 10:00

Sowieso is de AIVD een uitstekende partij om dit soort adviezen te geven. Zij zullen een bak kennis hebben over aanvallen die in de praktijk plaats vinden maar waar ze niet al te veel details over kunnen loslaten. De aard van het werk vereist nou eenmaal dat ze niet over alles transparant kunnen zijn omdat de vijand (wie dat dan op dat moment ook is) meeleest.

Als ze een deel van die praktijkkennis kunnen inzetten om die aanvallen minder schadelijk te maken voor de slachtoffers dan is daar niets mis mee.

Terrestrial @Maurits van Baerle • 6 oktober 2021 11:12

Nee de AIVD is niet perse de juiste partij om dit te doen, er is een andere partij die adviezen geeft en security threats bij houdt. (CERT) of het National Cyber Security Centre.

Overigens heb ik het gelezen en in theorie klopt het verhaal wel alleen hebben ze te veel dure woordjes gebruikt. Het zal niet direct voor iedereen begrijpelijk zijn. Een actor is bij hun een bedreiging of kwaadaardig persoon, bij de gemiddelde Nederlander iemand die in films/series speelt. Ook staan er technieken in die voor het MKB weinig nut hebben maar voor grote universiteiten wel van belang kunnen zien.

En dit zijn maar adviezen maar er moet een basis model komen waar je als bedrijf ten minste aan moet voldoen m.b.t cybersecurity. En uiteraard moet de IT wereld hier dan ook een rol bij spelen en niet dat 5 bedrijven het op 5 verschillende manieren doen.

demianmonteverd @Terrestrial • 6 oktober 2021 12:24

Er zijn wel een aantal standaarden die je gewoon kunt volgen. Als je bijv. creditcard gegevens wilt opslaan, heb je complete standaarden die gewoon al klaar op de plank liggen waar je aan moet voldoen. Even los dat sommige stukken daarin een beetje ouderwets zijn, is er wel op te toetsen door audit-partijen.

Misschien kan het NCSC die standaarden gewoon voor een groot deel overnemen en publiceren. Deze flyer gaat natuurlijk over iets anders, maar een standaard met best practises zou aardig zijn. Er zijn ook bijv. verzekeraars op de markt op het gebied van beveiliging en de risico's voor bedrijven, die zouden denk ik graag meehelpen hier iets bruikbaars voor op te zetten waartegen audits gedaan kunnen worden.

janbaarda @Maurits van Baerle • 6 oktober 2021 11:35

Uiteraard weet de AIVD veel over de in de brochure aangegeven statelijke aanvallers, ze zijn er zelf een van (natuurlijk naar bedrijven in andere landen).

Bij de tips over infrastructuur mis ik diversificatie, waarbij netwerkleveranciers uit concurrerende landen worden gebruikt. Bijvoorbeeld: netwerkaansluiting (laag 1) uit land1 en daaropvolgende router voor laag 2 uit land 2, enz. afhankelijk van je netwerk. Op die manier voorkom je dat de (niet gevonden) achterdeur van een land overal toegang toe geeft.

Maurits van Baerle @janbaarda • 6 oktober 2021 12:10

Het lijkt me erg stug dat de AIVD zich bezig houdt met aanvallen over de grens. Dat is een taak van de MIVD en die twee zullen elkaar niet voor de voeten lopen. Overigens lijkt het me ook stug dat de MIVD zich bezighoudt met het aanvallen van bedrijven, tenzij het staatsbedrijven zijn of leveranciers aan een leger. De MIVD heeft wel wat beters te doen dan inbreken in een buitenlandse scheepswerf om bedrijfsspionage uit te voeren en die informatie door te spelen aan Nederlandse scheepsbouwers. Dat soort zaken zie je vooral in landen waar de grens tussen overheid en bedrijfsleven veel minder helder is dan in Nederland.

Je punt over diversificatie is natuurlijk een sterke. Die zou inderdaad in het standaardadvies moeten zitten.

Wouterie @Eonfge • 6 oktober 2021 08:47

Ben ik wel met je eens. Die beste mensen willen echter nog wel eens vergeten voor wie ze aan het werk zijn, dus de voorwaarden waaronder ze mogen opereren en toezicht zijn zeker nodig. Power corrupts...

87Vortex87 6 oktober 2021 09:43

Goede ontwikkeling, maar lang niet genoeg. De AIVD zou volledig geautomatiseerd, steekproefsgewijs, moeten proberen binnen te dringen bij Nederlandse bedrijven en hen op de hoogte stellen van de resultaten en adviseren hoe beter te beveiligen, op maat dus.

Categoriseer de bedrijven op het belang dat ze vertegenwoordigen voor de maatschappij en bepaal op basis daarvan hoe vaak de AIVD de beveiliging test. Ook zou de test zelf zwaarder kunnen zijn al naar gelang het belang dat een bedrijf waterdicht is.
Test af en toe de website van de visboer op de hoek, en vaak de banken en overheden en bedrijven die een kritiek onderdeel vormen van de infrastructuur, zoals KPN (niet dat KPN zijn zaken niet op orde heeft, maar KPN is een voorbeeld van een belangrijk bedrijf).

Waarom? Er is simpelweg te weinig kennis en talent in Nederland om alle bedrijven goed te beveiligen. Er is al jaren een tekort aan ICT-ers in alle specialisaties, en zero days en datalekken aan de orde van de dag. Combineer dat met het gegeven dat buitenlandse diensten actief en continue proberen binnen te dringen bij kennis-instellingen en andere belangrijke organisaties, en je komt tot de conclusie dat de AIVD veel pro-actiever moet worden.

Natuurlijk zijn er ook private beveiligingsbedrijven die dit doen, maar niet alle bedrijven geven er voldoende prioriteit aan.

[Reactie gewijzigd door 87Vortex87 op 22 juli 2024 17:36]

Maurits van Baerle @87Vortex87 • 6 oktober 2021 10:10

Dat is op technisch vlak helemaal geen gek idee maar ik denk dat het in de praktijk onwenselijk is. Hoe zou jij het vinden als je eigen nationale veiligheidsdienst elke nacht aan de voordeur van je server komt rammelen om te kijken of ze binnen kunnen komen? Ik denk dat het een enorm gevoel van onbehagen, onveiligheid en wantrouwen creëert dat misschien wel schadelijker is dan wat je wil voorkomen.

Wat ik me wel kan voorstellen is dat een overheidspartij (een CERT?) een portal bouwt waar bedrijven hun eigen systemen op verzoek kunnen laten scannen. Dan komt het initiatief van het bedrijf zelf (eventueel gestimuleerd door een campagne). Tegelijkertijd kan die portal een verzameling praktische tests loslaten gebaseerd op kennis van de AIVD, MIVD, de Nationaal Coördinator Terrorismebestrijding en Veiligheid, de politie, EuroPol, CERTs uit de rest van Europa, private cybersecurity bedrijven etc. etc. Al die clubs kunnen hun praktische tests aandragen zonder dat ze geheime kennis of verdenkingen hoeven te openbaren de hebben geleid tot die aanbevelingen.

Het enige wat je dan even moet regelen is een methode om te zorgen dat mensen met die scan alleen hun eigen systemen kunnen testen en niet die van anderen. En daar bestaan met DNS records of ID-bestandjes op de server al prima manieren voor.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 17:36]

demianmonteverd @Maurits van Baerle • 6 oktober 2021 12:27

Er zijn al marktpartijen die dit goed doen, een echte goede standaard neerzetten of liever omarmen (er zijn er al een paar immers), daar zouden we meer aan hebben.

dutch_camel @87Vortex87 • 6 oktober 2021 21:43

Leuk idee, maar dit valt onder offensief. En alleen Defensie mag offensieve middelen gebruiken.
Uiteraard is een pentest iets anders, omdat een bedrijf daar zelf omgevraagd zal hebben.

Het is een goed stapje, maar wel wat mager. Zon beetje elke overheidsdient die iets met IB te maken heeft, is onderbezet, nauwelijks budget, en daarbij worden ze ook niet geholpen door onze absurd strenge wetgeving, waardoor bijvoorbeeld preventieve acties nauwelijks een optie zijn.
En dat terwijl Nederland best hoog aangeschreven staat qua (infosec) kennis.

moonlander 6 oktober 2021 13:08

Even offtopic: dan download je het bestand en dan is de naam: Verdedigbaar+Netwerk,+hoe+doe+je+dat.pdf
Ik snap niks van zulke instanties die de bestandsnamen niet goed op orde kunnen krijgen. Waarom zou je er een comma in doen? Misschien beter om het hele verhaal als bestandsnaam te gebruiken, dan hoef je ook geen pdf te openen.

Vorige week de belasting aanslagen gedownload van de afgelopen 3 jaar.
"definitieve aanslag Zorgverzekeringswet 2020" - kreeg als bestandsnaam: Aanslag_25-07-2021_00.00u.pdf
"definitieve aanslag inkomstenbelasting 2020" - kreeg als bestandsnaam: Aanslag_25-07-2021_00.00u.pdf
De zelfde naam, wat weer irritant is want dan krijgt hij automatisch (1) erbij in de naam. Je kunt het de gebruiker ook lastig maken, en dat doen ze naar mijn idee.
Waarom is het dan niet zoiets als: "definitieve-aanslag-inkomstenbelasting-2020.pdf" Makkelijker te lezen, hoef je zelf geen naam meer te geven etc..

Nu ontopic, leuk die richtlijnen maar misschien moeten ze eens bedrijven toetsen of ze er echt over nagedacht hebben? Eigenlijk net zoiets als RI&E, wat verplicht is voor elk bedrijf.

gpglang 6 oktober 2021 09:13

Het bewust maken van mensen (en ondernemers specifiek) is het alle belangrijkste op dit moment. Daar is niet (direct) in-depth informatie nodig. Een ondernemer mag ook niet blind varen op zijn eigen IT omgeving, moet diepe(-re) vragen stellen en desnoods een checklist van internet halen en zijn eigen IT afdeling opdragen te tonen of en hoe het werkt en wat de resultaten zijn.
Vorige week weer (indirect nu) een breach mogen meemaken waar twee interne IT'rs echt hun beste deden om servers en 100 (veelal mobiele) collega's in de lucht / aan het werk te houden. Geen tijd (geld) van boven af op eigen verzoek, maar van bovenaf werden ook nooit vragen gesteld of en hoe iets werkt tav security.
Nu zitten ze aan giga kosten a. om alles van scratch op te bouwen door een derde partij (die veul monies kosten!) en b. hopen met onderhandelingen iets van die 2 met zes nullen af te krijgen.
Wat ik wil zeggen: hoe meer van deze oppervlakkige flyers des te beter. Wij IT'rs weten het wel (als het goed is), het is de ondernemer/-ing die echt bewust moeten worden.

MMaI @gpglang • 6 oktober 2021 09:20

Een checklist zou al een goede aanvulling zijn voor deze flyer, zodat een gemiddelde leidinggevende daarmee laagdrempelig kan evalueren of/waarom ze geld moeten steken in beveiliging.

Anders @gpglang • 6 oktober 2021 09:28

Eens. Het is nu nog te vaak dat de IT-afdeling de directie moet zien te overtuigen van het belang van veiligheid. Je wilt naar een situatie waar de directie juist veiligheid eist van de IT-afdeling. Dan komen ook de benodigde middelen (geld, mankracht etc) makkelijker los.

Verwijderd 6 oktober 2021 18:31

In sommige landen is de overheid wel méér prominent aanwezig bij grote bedrijven. Daar werken ze actief mee aan het blootleggen van zwakke plekken. Ik kom weleens "anomalies" tegen die duiden op security scans en uit bepaalde landen krijg ik dan weleens terugkoppeling dat er geaudit en inderdaad gescand wordt door een overheidsdienst. Daar gaan ze dus iets verder dan een checklistje.

Op dit item kan niet meer gereageerd worden.

AIVD geeft bedrijven tips voor beveiliging van netwerken

Lees meer

Reacties (46)

Sorteer op:

Weergave: