Informatiebeveiligingsdienst wil gemeenten actief gaan scannen op kwetsbaarheden

De Informatiebeveiligingsdienst of IBD is met een pilot begonnen waarbij het Nederlandse gemeenten actief scant op kwetsbaarheden. Die pilot was in december al in voorbereiding en is toen versneld ingezet bij de log4j-kwetsbaarheid. In het komende jaar wordt die verder uitgebreid.

Dat schrijft de dienst, die gemeenten beschermt en adviseert op cybersecuritygebied, in een evaluatie over hoe het met Log4Shell omging. De IBD schrijft daarin dat het in 2022 werkt aan een pilot 'om de informatievoorziening van gemeenten actief te scannen op de aanwezigheid van kwetsbaarheden en risicovolle configuraties'. "In december 2021 was deze pilot in voorbereiding en deed zich de kans voor om te scannen op de log4j-kwetsbaarheid", schrijft de dienst. Log4j is een bug in een populaire Java-library die wijdverspreid en makkelijk uit te buiten was. De bug werd ook Log4Shell genoemd.

De IBD wil dat gemeenten voor de waarschuwingen uitgebreidere lijsten aanleveren met gebruikte hard- en software. Nu maakte de dienst nog gebruik van dreigingsinformatie die het kreeg van 'partners'. Hoewel de dienst niet schrijft wie dat zijn, lijkt het aannemelijk dat het daarbij gaat om het Nationaal Cyber Security Centrum dat dreigingsinformatie over overheidsinstellingen aanlevert. De IBD ontving onder meer IP-adressen van kwetsbare systemen en 'filterde dat op gemeentelijke adressen'. "Hoe nauwkeuriger en actueler de gemeente de gegevens aanlevert, hoe beter de IBD haar rol kan invullen", schrijft de dienst.

De IBD zegt dat het in ieder geval tijdens de crisissituatie om toestemming vroeg aan gemeenten om scans uit te voeren. Die moesten in sommige gevallen op hun beurt weer toestemming aan leveranciers vragen. De gemeenten gaven toen in de meeste gevallen aan daaraan mee te willen werken. "De IBD kijkt samen met gemeenten of en hoe het mandaat om te scannen kan worden ingericht."

Reacties (39)

illusion101 10 februari 2022 08:22

Lijkt me heel goed. Gemeenten als Rotterdam zullen alles wel prima voor mekaar hebben, maar een gemeente met xx inwoners waar 2 personen de hele ICT draaien kan wel een steuntje gebruiken.

Je trekt in ieder geval het niveau van hardening omhoog en het kan inzicht geven in wat voor werk er nu misschien niet, maar wel zou moeten gedaan worden.

Elefant @illusion101 • 10 februari 2022 10:42

Kwaliteit moet gemaakt worden, niet gecontroleerd.
Met veiligheid is, het niet anders.

In onze neoliberale samenleving wordt door de politiek opzettelijk het paard achter de wagen gespannen in plaats ervoor. het grote commerciele belang trekt de kar: Het idee is: Je moet onoplosbare problemen scheppen, zodat je daar weer duurzame winstgevende producten en diensten op kan enten. We willen toch duurzaam?

Zo investeren wij niet in volksgezondheid maar klachtenbestrijding, daarvoor laten we bedrijven grootschalig ongezonde stress en werkdruk scheppen, voedingsfabrikanten het voedsel grootschalig volstoppen met gezondheidsondermijnende stoffen, de chemische industrie een miljoen nieuwe ongeteste scheikundige verbindingen in het milieu brengen, laten we kinderen al van jonge leeftijd levenslang verslaafd maken aan geestelijke en lichamelijk stimuli, laten we de moeders werken in plaats van jonge kinderen verzorgen.

[Deze week vertelde een jonge vrouw dat een hele dag voor de kinderen zorgen in Coronatijd ongelooflijk veel stress bezorgt. Gelukkig kon ze deze een paar dagen in de week onderbrengen bij een homopaar met kinderwens. Fantastisch hoe het allemaal bij elkaar komt]

Resultaat: Veel klachten en enorme kosten en lijden, dat vertaalt in miljarden omzetten. Hoera! Overal in de westerse landen kunnen volkeren hun kindertal niet meer op peil houden. Ik lees gisteren in de krant dat zelfs hondenpoep zwaar milieuverontreinigend is geworden. Wat is niet milieuverontreinigend, is een betere vraag aan het worden.

Met de IT-veiligheid is het net zo. De ontwikkeling van de informatie maatschappij is al vele decennia gaande, en de overheden hebben de zaak volledig scheef laten groeien en gewone bedrijven en burgers opgezadeld met een situatie van alsmaar groeiende onveiligheid, die nooit meer rechtgetrokken gaat worden omdat de fundamenten van onze systemen dat niet toestaan, de beslissingen door multinationals zijn genomen, en alles daar vrolijk op verder groeit. Wat we doen is heerlijk vruchteloos en winstgevend: Eindeloos gaatjes stoppen in een roestig vergiet, waar steeds nieuwe gaatjes in vallen. De gewone burger is machteloos geworden door het verraad van zijn eigen overheid dat zich door de grote belangen laat leiden.

Deze situatie geldt voor meer terreinen van de economie, maar niet alle. Er zijn ook uitzonderingen zoals de bouw en autofabricage waar strenge bouwvoorschriften gelden en wel een goede allround veiligheid kan worden gegarandeerd. Daar is een traditie die stamt van voor het neoliberalisme toen het grote geld nog niet de dienst uitmaakte.

Bij dit soort aankondigingen wordt je na verloop van tijd cynisch omdat je weet dat er structureel niets veranderd. Moeten we dan niets doen? Nee we moeten de informatiemaatschappij eens op gezondere benen gaan zetten, en niet de belangen van buitenlandse mogendheden en multinationals. Ja dat is een mammoet-onderneming. Maar ook een grote reis begint met de eerste stap. Gewoon beginnen eigen alternatieven te ontwikkelen.

Dat kost een hoop geld? Ja maar daardoor kan het juist een ook een hoop inkomen opleveren voor nationale bedrijven en is het een goede investering in onze toekomst. De dijken die wij hier gebouwd hebben, hebben ons niet alleen veilig gemaakt, maar ook een hoop winstgevende kennis opgeleverd. Dat eenzijdige kostendenken is het dwaze efficiëntie-streven dat aandeelhouders opleggen voor eigen belang.

De essentie van economie is eigenlijk niet anders dan mensen op een zinvolle, liefst aangename manier aan het werk houden. Daarbij hebben wij al lang een technologisch niveau bereikt waarop wij onze behoeften ruim kunnen dekken als we de welvaartsverdeling niet te scheef laten worden. Het is een kwestie van politieke keuzes, niet economische noodzaak zoals men ons steeds wil doen laten geloven.

We willen inzien dat de internationale handel op vele fronten failliet is, en enorme scheefheid en kwetsbaarheid veroorzaakt heeft. Een halve eeuw geleden hadden wij het helemaal niet nodig om een hoge welvaart te scheppen door 99% zelf voor eigen consumptie te produceren. Dankzij moderne technologie kunnen we dat eerder gemakkelijker.

Ga je dan niet achterlopen? Who cares. Voorlopen is alleen een must als je internationaal moet concurreren. Want in de internationale arena geldt: The Winner takes all. En we kunnen nu al aan zien komen dat wij de winnaar niet gaan blijven. Ik weet dat er bij onze machthebbers een onwankelbaar geloof is in leugens en vals spel, maar dat werkt ook niet eeuwig.

Laten we gewoon eigen veilige nationale systemen bouwen. desnoods van de grond af ontwerpen naar de nieuwste inzichten, allemaal door nationale bedrijven. Zonder internationale handel is compatibiliteit geen voorwaarde, zelfs geen voordeel. Incompatibiliteit schept juist extra bescherming.

We kunnen ook op de huidige toer verder gaan. Zodra de AI-oorlogsvoering van de grond komt, zal geen enkel blik ambtenaren nog helpen veiligheid te scheppen. Oorlogsvoering zal niet alleen goedkoop worden, steeds sneller evolueren, het zal door de mens worden overgedragen op systemen die hij zelf niet meer beheerst. En de criminaliteit zal voorop lopen hierin. Om criminelen in bedwang te houden moeten we een werkelijk dystopische nachtmerrie bouwen, die vanzelf in enorm machtsmisbruik zal ontaarden.

Wat het veel erger maakt is dat onze politici in het verlengde van hun internationale belangen nu ook grote oorlogen riskeren. Daarin zal AI-oorlogsvoering de nucleaire oorlogsvoering zeker vooraf gaan. En waarom? Omdat onze machthebbers niet in staat zijn om de soevereiniteit van andere volkeren te respecteren en hun politiek van eindeloze expansie op te geven.

Daar kan toch niets goed uit komen?
Dat kan je toch allemaal aan zien komen?
Waarom is regeren niet meer vooruitzien?
Is de old-boys-club dan geen kweekvijver van grote denkers?

Volgens Professor John Mearsheimer is het intellect van de 21ste eeuwse westerse leiders op een bedroevend laag peil aangeland en leven ze in blijmoedige maar onaantastbare simplistische voorstellingen. Zijn waarschuwingen in 2015 zijn volledig in de wind geslagen (Net als die van Kissinger). Zie "Why is Ukraine the West's Fault? Featuring John Mearsheimer". Zijn toenmalige overtuiging dat Rusland onze kant zou willen kiezen tegenover China, is niet meer geldig. Onze machthebbers hebben de Russen volledig overtuigd dat wij hun grootste vijand zijn in een staaltje briljante Europese diplomatie!

Misschien moeten we dan maar een Europese Digitale Veiligheid ontwikkelen (Ik gooi vast "EDV" op als buzz-woord). We smijten er duizend extra EU-ambtenaren tegen aan, die het gevaar gaan bestrijden met meters dikke aanbevelingsrapporten. Dan moet het toch lukken. We geven kleine bedrijven zware boetes voor het overtreden van de Europese veiligheidsnormen. Want hier in de EU geldt:

Iedereen weet toch dat je een probleem bij de staart moet pakken.

[Reactie gewijzigd door Elefant op 22 juli 2024 23:21]

Tintel @Elefant • 10 februari 2022 13:47

$_/-\o_$
(dikke plus - beschrijving probleem + suggestie voor verandering)

Yabada @illusion101 • 10 februari 2022 09:48

Ik was als IT detacheerder werkzaam bij Den Haag en Rotterdam. En jouw aanname dat zij het beter hebben geregeld is de grootste onzin. Ik was o.a. betrokken bij een inventarisatie van hun IT systemen, om in kaart te brengen hoe hun IT landschap eruit zag. Juist om een goede inschatting te kunnen maken hoe hun IT beveiliging er voor staat.

Laat ik het zo zeggen, de onkunde (gebrek aan basis IT kennis), onverschilligheid (geen idee wat ze gebruiken en ook niet de intentie hebben om het uit te zoeken) en eilanden politiek (afdeling hoofden die hun kennis niet willen bundelen, ondanks dat ze dezelfde software en IT leverancier gebruiken) waren meer regel dan uitzondering. Om maar te zwijgen over hun 'overvolle' agenda's waarbij afspraken keer op keer worden herpland of geannuleerd en natuurlijk op het allerlaatste moment.

Na twee jaren heb ik en twee naaste collega's, de lease-wagens, bedrijf laptops en ontslag brieven ingeleverd, aangezien mijn toenmalige werkgever alleen gespecialiseerd was in het leveren van diensten aan de gemeente. Toen wij weg gingen was het hun IT lanschap al een stinkende moeras en het is er niet beter op geworden als ik mijn oude collega's weer eens spreek.

RGAT @Yabada • 10 februari 2022 10:10

Ik denk eerder dat het alsnog bij de kleinere gemeente erger is, dus niet zozeer dat de grote gemeente het beter doet, maar de kleine NOG erger (kan zijn/is).
Mijn ervaringen zijn o.a. netwerkbeheerders die een CIDR notatie (192.168.1.0/24 bijvoorbeeld) niet begrepen of wat het OSI model is, een systeembeheerder die in 2019 vond dat Windows Server 2003 (non R2) nog prima mee kon voor een public MSSQL database en een hele afdeling die geen probleem zag in een inlogportal welke op basis van een GET variabel een of meerdere Javascripts inlaadt van externe partijen

Ook de constructie van een werkplekbeheerder was niet al te positief, stond te kijken hoe die trots een stuk of 15 stekkerblokken aan elkaar gehangen had in 1 lange sliert, zo had elke computer op de afdeling stroom

Dit is niet exclusief voor gemeenten overigens, ook kleine bedrijven kom je dit regelmatig tegen, het verbaasd me echter hoe weinig verantwoordelijkheid er bij de gemeenten (lijkt) te zijn...

Astie @illusion101 • 10 februari 2022 08:41

Uit ervaring kan ik je vertellen dat dit onzin is. De kleine gemeenten met de ICT nog in huis hebben de zaakjes vaak beter op orde dan de grote gemeenten.
Waarom dit exact is weet ik niet want het is lastig vergelijken.

Godson-2 @Astie • 10 februari 2022 13:13

Ik lees hier dus twee tegenstrijdige berichten in dit forum.

Astie @Godson-2 • 10 februari 2022 16:21

Ja ik ook. Ik werk als ICTer bij een kleine gemeente (25k inwoners). Wij laten elke 4 jaar een onderzoek uitvoeren of we alles nog goed aankunnen met de huidige bezetting en wat er in de toekomst op ons afkomt en of we dat nog aan zullen kunnen.

Tot nu toe komen we hier altijd zeer positief uit en pakken we de verbeterpunten goed op.

We zijn wel kwetsbaar op bezetting en kennis. De beheerders die we nu hebben zitten er bijna allemaal 20+ jaar en hebben het gehele systeem als blauwdruk in hun hoofd. Er staat een hoop op papier maar de gedetailleerde kennis van deze beheerders bestaat in hun hoofd omdat zij alles hebben opgezet.

kipppertje @illusion101 • 10 februari 2022 08:33

Hoe groter de gemeente, hoe groter de troep. Ik weet niet hoe het precies zit bij Rotterdam, maar ik zou er zeker niet vanuit gaan dat het voor elkaar is omdat ze groot zijn.

SunnieNL

@illusion101 • 10 februari 2022 08:34

Als ze daadwerkelijk actief zouden scannen zou ik er nog ja op zeggen.
Maar de gemeenten moeten zelf de data aanleveren. Daar zit nou juist het probleem. Die hebben ze vaak niet en als ze die opleveren, hoe up-to-date is deze dan? Moeten ze dagelijks of wekelijks delta's aanleveren? Moet vast ook in een bepaald format worden aangeleverd wat weer extra werk met zich meebrengt in conversies.
Ik zou liever zien dat ze de gemeenten helpen met het opzetten van een vulnerability scanner die gewoon dagelijks actief is en inzicht geeft.

Rieverst 10 februari 2022 07:50

Ik zou eerst willen weten, wie is de Informatiebeveiligingsdienst en wat moeten en willen ze met deze gegevens......

Schijnbaar wederom een derde partij die aan de gegevens van mij zou kunnen komen.

[Reactie gewijzigd door Rieverst op 22 juli 2024 23:21]

johan_L @Rieverst • 10 februari 2022 07:56

De IBD is onderdeel van de VNG (Vereniging Nederlandse Gemeenten) en ondersteunt de gemeenten op het gebied van cybersecurity. Die doen helemaal niets met jouw gegevens.
https://www.informatiebeveiligingsdienst.nl/over-de-ibd/

Strebor

@johan_L • 10 februari 2022 08:24

Het eerste deel van de vraag vind ik best terecht. De IBD heeft een hele generieke naam. Op hun ‘over ons’ pagina gooien ze vrijwel direct met vakjargon termen als CERT / CSIRT:

De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en onderdeel van de Vereniging van Nederlandse Gemeenten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD draagt namens gemeenten bij aan de Baseline Informatiebeveiliging Overheid (BIO) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD.

Geen normaal mens die dat iets zegt. Tot dit artikel had ik nooit van de IBD gehoord. Een kleine introductie en enige achtergrond info in het artikel had op zijn plaats geweest.

In de laatste zin wordt met het woordje kunnen overigens duidelijk dat gemeenten gewoon hun gang kunnen blijven gaan en de diensten en adviezen van de IBD links kunnen laten liggen.

Frame164 @Strebor • 10 februari 2022 08:32

Voor mensen die het moeten weten is CERT/CSIRT een vrij normale afkorting.

bw_van_manen @Frame164 • 10 februari 2022 11:14

Maar zelfs dan is het wel normaal om een afkorting de eerste keer dat je hem gebruikt uit te schrijven.

Daarbij, dit staat op de website van de Informatiebeveiligingsdienst (IBD) zelf. Je kan er toch niet van uit gaan dat de IBD site alleen bezocht wordt door 'mensen die het moeten weten'?

Rieverst @Frame164 • 11 februari 2022 11:19

Ik had inderdaad verder kunnen kijken dan mijn neus lang is... Maar dat iemand CERT/CSIRT op zijn site zet maakt het niet direct vertrouwd.

densoN @Strebor • 10 februari 2022 08:45

Geen normaal mens die dat iets zegt. Tot dit artikel had ik nooit van de IBD gehoord. Een kleine introductie en enige achtergrond info in het artikel had op zijn plaats geweest.

Tweakers is ook geen nieuws platform voor normale mensen

Met een generieke naam als Informatiebeveiligingsdienst en de functie "beschermen en adviseren van gemeenten" zou je denken dat lezers realiseren dat het om een overheidsdienst gaat. Ik snap dus wel dat de auteur hier niet voor heeft gekozen.

Nexz @Rieverst • 10 februari 2022 08:18

Na een enkele zoekopdracht krijg ik te zien dat deze onderdeel is van de VNG. Niks aan de hand, volgende keer zelf iets verder kijken dan je neus lang is voordat je paniek zaait.

Muncher @Nexz • 10 februari 2022 08:37

Dit had in 1 zin in het artikel uitgelegd kunnen worden.

Tha Render_2 10 februari 2022 07:41

Het artikel begon goed tot dit:

De IBD wil dat gemeenten voor de waarschuwingen uitgebreidere lijsten aanleveren met gebruikte hard- en software.

Laat dat nu net het probleem zijn bij veel organisaties, niet enkel gemeenten. De meesten hebben geen waterdichte inventaris van hun omgeving, sommigen hebben zelfs gewoon geen inventaris, en daar ligt al de eerste grote uitdaging, asset management, wat hangt er allemaal aan mijn netwerk? Welke software gebruiken de gebruikers? Heb ik ook controle over hoe gasten hun eigen toestellen aansluiten op mijn netwerk? Kortom, de kwaliteit van die gevraagde uitgebreide lijsten zal bedroevend laag zijn en zeer waarschijnlijk niet compleet. De vraag is ook waarom het nodig is, voor het scannen op vulnerabilities heb je geen inventaris nodig, dat is net het handige aan die aanpak, laat die maar heel het netwerk scannen, dagen aan een stuk, maakt die voor jezelf al een stuk inventaris.

Skywalker27 @Tha Render_2 • 10 februari 2022 07:53

Hmm Bij het scannen hoef je voor de CVE's geen software op te geven die gaat een goeie enterprise tool wel vinden. De meeste configuratie fouten ook wel het zal wel voor het artikel hier naar terug gebracht zijn. Het lijkt me eerder nuttiger dat ze netwerk informatie nodig hebben en rechten om alles goed te kunnen doen en dat ze willen weten of er geen spullen in het netwerk zitten die over hun nek gaan zodra je met nmap e.d. aan de slag gaat.

Mellow Jack @Skywalker27 • 10 februari 2022 08:34

Oeh als je kijkt naar log4j dat vind je het op allemaal plekken. Leuk het scannen, daarmee krijg je een gevoel hoeveel public facing issues je hebt maar om het probleem te mitigeren is het wel handig om een inventarisatie te hebben

Skywalker27 @Mellow Jack • 10 februari 2022 08:38

Dat is het zeker maar de scans vinden het wel, daarnaast hou je in de asset list vaak niet bij of er gebruik wordt gemaakt van LOG4J en ik denk dat menig SOC zich is rot geschrokken toen ze op deze CVE gingen scannen. Maar inderdaad assetmanagement helpt je zeker als je de scan heb gedaan om op te zoeken over wat voor server of device je praat.

kodak

Beveiliging en antivirus

@Skywalker27 • 10 februari 2022 09:20

Scannen heeft niet alleen voordelen. Er zijn ook beperkingen in waarop gescaned kan worden, hoeveel tijd er is, hoe ver men mag gaan voor een resultaat en wat scanhulp wel en niet kan. Het heeft dus geen zin om maar te gaan beweren dat een goede tool het wel kan vinden, het gaat om de manier waarop in de praktijk de resultaten zo goed mogelijk zijn.

Skywalker27 @kodak • 10 februari 2022 09:31

Dat klopt helemaal waar daar sluit ik me 100% bij aan.

johan_L @Tha Render_2 • 10 februari 2022 08:14

De reden voor de inventarislijsten is ook niet het scannen, maar voor het geven van gerichte waarschuwingen zoals ook in het artikel staat. De IDB stuurt o.a. mails als er issues met een hoge CVSS score gevonden zijn, op basis van de aangeleverde inventarislijsten. Uiteindelijk zijn de gemeenten natuurlijk zelf verantwoordelijk voor de security en niet de IBD.

SunnieNL

@johan_L • 10 februari 2022 08:39

Als de gemeenten het vulnerability scannen goed onder de knie zouden hebben, dan is die info van de IBD niet eens nodig. Het probleem is juist dat de gemeenten die asset en/of vulnerability scan niet (compleet) hebben. Ze missen zaken, zaken zijn niet up-to-date en hoe wordt dit up-to-date gehouden? Wil de IBD het in een bepaald format hebben waardoor de gemeeenten ook nog een conversieslag moeten doen van hun data.

Waarom helpt de IBD niet gewoon de gemeenten de juiste scanners te installeren? Als die goed draait, dan krijgt de gemeente die info vanzelf goed binnen en is de hele noodzaak van die inventorisatielijsten er niet.

Frame164 @Tha Render_2 • 10 februari 2022 08:36

Als een gemeente die lijst niet kan aanleveren is dat direct de eerste red flag en kan de IBD daar op acteren. Ik zie dat niet als een probleem, eerder als een mogelijkheid om de vinger direct op de zere plek te leggen (en onderdeel van het programma).

Astie @Tha Render_2 • 10 februari 2022 08:42

Daarvoor is de GEMMA Softwarecatalogus van de VNG in het leven geroepen. Wij gebruiken deze al jaren en daardoor hebben wij een goed beeld van onze software en koppelingen.

MME82 10 februari 2022 09:20

Een aantal jaren terug was er de nodige aandacht dat - aangekondigd - een week lang geprobeerd zou worden overheidswebsites te hacken om op die manier dat thema onder de aandacht te brengen. Kan me niet meer herinneren of daar veel uit naar voren kwam toen, maar lijkt me goed idee als zoiets weer plaats vindt.

De vrijwilligheid om aan testen mee te doen, met name in gemeenteland, is te groot en ondanks de bestaande baselines durf ik mijn hand er niet voor in het vuur te stoppen dat allerlei oude kwetsbaarheden misbruikt kunnen worden in overheidsland.. Dit blijft toch een onderwerp wat politiek pas aandacht krijgt als het misgaat (GGD).

Godson-2 10 februari 2022 11:41

Weet men nu überhaupt wel hoe de meeste hackers binnen komen? Van veel hacks is het volgens mij niet bekend.

Ik vermoed dat de meeste via email attachments of medewerkers die omgekocht zijn om een USB stick ergens in te steken. En natuurlijk bekende lekken die niet gepatched zijn.

matthijsln 10 februari 2022 12:35

Kreeg laatst een rapport van een externe scan die Apache versie in de HTTP Server response header tegen en vulnerability database hield. Bij updates van OS packages zijn (security) fixes wel gebackport maar wordt het versienummer niet opgehoogd. Dus een totaal nutteloos rapport van 60 pagina's gehad, en dan ook nog eens over Apache modules die niet eens geinstalleerd staan, laat staan dat de scanner kan weten of de vulnerability wel exploitable is.

En de klant meteen eisen wanneer het werd opgelost, zonder inhoudelijk te begrijpen wat de beperkingen van zo'n scan zijn...

low-res 10 februari 2022 07:40

Je moet niet alleen scannen. Ook helpen met mitigeren/patchen van het probleem!

Blokker_1999

Beveiliging en antivirus

@low-res • 10 februari 2022 08:05

Je moet weten dat er een probleem is voor het kan opgelost worden.

En als je alleen scant op gekende kwetsbaarheden dan is de documentatie voor mitigatie of patching meestal ook al wel aanwezig maar het blijft de verantwoordelijkheid van de beheerders om het op te lossen.

low-res @Blokker_1999 • 10 februari 2022 08:57

Natuurlijk moet je weten dat er een probleem is voordat je het op kan lossen.
Alleen in de praktijk is het oplossen vaak het lastigste, en niet het vinden van het probleem.

Franky Boy 10 februari 2022 11:12

Ik hoop ook dat ze dan aandacht geven aan waar de producten vandaan komen. Het kan allemaal goed dichtgetimmerd zijn, maar bv. Chinese producenten moeten de boel openzetten voor de Chinese regering als die daar om vraagt. En laten we de NSA ook niet vergeten. Ook zaken die je mee zou moeten nemen vind ik.

codekloppertje 10 februari 2022 12:57

Grootste oorzaak is denk ik de BIO bij de overheid. Een standaard die op iso27001 gebaseerd is maar waarbij de verantwoordelijkheid wordt "gedelegeerd". Dat is een ander woord voor "laat een afdeling zijn eigen vlees keuren" terwijl het geen beveiligingsexperts zijn en dit hen behoorlijk in de vingers kan snijden.

Dat is ook de reden waarom er allemaal Chinese camera's hangen die info naar China pompen (hoezo hangt dat aan het internet???). Niemand is verantwoordelijk voor de data.

Iso 27k1 is daar heel duidelijk is: Bestuurder is verantwoordelijk.

edit: Ter verduidelijking: ik vind dat ze dit al lang zelf hadden moeten oppakken. Maar als niemand zich verantwoordelijk voelt bij de gemeente dan pakt iemand anders het op, kennelijk.

Deze manier van "beveilingszaken" doen is dweilen met de kraan open.

[Reactie gewijzigd door codekloppertje op 22 juli 2024 23:21]

onno oliver 10 februari 2022 19:16

Gaat het informatiebeveiligingsdienst het vrijwilligers werk gebruiken dat basisbeveiliging.nl ook wel bekend als het Faalkaart.nl doet is mijn vraag?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (39)

Sorteer op:

Weergave: