Weerbaarheid tegen cyberdreiging wordt prioriteit in veiligheidsstrategie NL

De Nederlandse overheid heeft een nieuwe nationale veiligheidsstrategie opgesteld. Beveiliging tegen 'cyberdreigingen' is daarin tussen 2023 en 2029 een van de prioriteiten. Het kabinet noemt onder andere Log4j als voorbeeld van een gevaar voor de maatschappij.

Ministers Yeşilgöz-Zegerius en Hoekstra van Justitie en Veiligheid en van Buitenlandse Zaken hebben het rapport aangeboden aan de Tweede Kamer. De Nationale Veiligheidsstrategie wordt iedere vijf jaar opgesteld. In het document kijkt de overheid samen met overheidsinstellingen zoals de NCTV of het NCSC naar de grootste dreigingen voor de Nederlandse staat. Ook worden er oplossingen beschreven voor die problemen. In de strategie voor de komende vijf jaar wordt een belangrijk deel gewijd aan digitale veiligheid van het koninkrijk.

De overheid ziet met name gevaren in de verwevenheid van technologische ontwikkelingen in alle onderdelen van de maatschappij. Daarmee kan een specifieke dreiging grote gevolgen hebben op veel andere gebieden. Ook waarschuwt de overheid ervoor dat cyberdreigingen op veel verschillende plekken gevaar kunnen opleveren. In de veiligheidsstrategie wordt bijvoorbeeld een ziekenhuis genoemd dat geen operaties kan uitvoeren of een bank die niet meer bereikbaar is.

In de strategie worden verschillende praktische voorbeelden genoemd van eerdere cyberaanvallen die gevaren hebben opgeleverd. Zo wordt onder andere de ransomware NotPetya genoemd, samen met Log4j, een kwetsbaarheid in een veelgebruikte Java-library die overigens weinig praktische schade heeft veroorzaakt. Ook staat in de veiligheidsstrategie een aanval beschreven op het drinkwaterbedrijf van Sint-Maarten, die door een ransomwareaanval niet meer bij financiële klantgegevens kon. Daardoor was 'de continuïteit in gevaar gekomen'.

De veiligheidsstrategie noemt specifiek het Caribisch gebied. Daar loopt het cybersecuritybeleid achter. Er zijn bij veel cruciale infrastructuurdiensten bijvoorbeeld geen goede back-ups of noodplannen. Dat heeft mogelijk 'grote cascade-effecten', mocht er iets gebeuren.

Veel van de waarschuwingen in de strategie zijn niet nieuw. In rapporten en waarschuwingen van de overheid en instanties zoals de NCTV wordt al jaren gewaarschuwd voor 'digitale ontwrichting'. In de nieuwe veiligheidsstrategie erkent de overheid dat ook: "Ondanks eerdere inspanningen om de weerbaarheid te verhogen, is er een scheefgroei tussen de toenemende en snel ontwikkelende dreiging en de opbouw van de weerbaarheid."

Als oplossing worden verschillende prioriteiten opgenoemd. In de eerste plaats moeten organisaties inzetten op 'bewuste' risicobeheersing en -detectie, herstel- en responsvermogen. Daarnaast pleit de strategie voor meer Europese samenwerking en moeten er 'minder strategische afhankelijkheden' komen op digitaal gebied. Daarnaast wil de overheid de cybersecurityarbeidsmarkt stimuleren en meer inzetten op beter onderwijs rondom digitale vaardigheden.

Reacties (46)

mrbullet 4 april 2023 08:04

Ik lees zeer concrete voorbeelden van dreigingen zoals Log4j.
Maar de remedies zijn te algemeen, wat moet een gemiddelde IT verantwoordelijke hiermee?

Verwijderd @mrbullet • 4 april 2023 08:06

Goeie vraag. Operationele details in een strategie zetten is alleen minder handig, dus die vraag kunnen samen beantwoorden. Wat is voor jou een "'bewust' risico- beheersing en detectie-, herstel- en responsvermogen"?

eheijnen @mrbullet • 4 april 2023 08:30

Het lijkt eerder een actie te zijn om security bij verantwoordelijken hoger op de actielijst te krijgen en een actief onderdeel te maken van het beleid. Schijnbaar loopt dit nog steeds achter dan wel wordt het als "stiefkind" gezien.

De tekst geeft me het idee dat er binnen de overheid geen goede controle is op het toepassen van standaarden en eenduidig security-beleid.

MiesvanderLippe @mrbullet • 4 april 2023 09:10

Er zijn redelijk concrete richtlijnen voor het inrichten van veelgebruikte systemen. Dit soort standaarden kan de overheid verplichten aan de organisaties die het overziet (zoals gemeentes en kritieke sectoren). Daarnaast kun je controle hierop verplichten.

Voorbeeldje: https://www.cisecurity.org/cis-benchmarks

SunnieNL

@mrbullet • 4 april 2023 09:41

Ze zijn misschien wel algemeen, maar zijn een onderdeel van basis cyber hygiëne.
En daar schort het gewoon nu al aan. Laten we dat eerst maar eens op de rit gaan krijgen. Snel patchen (in principe binnen 14 dagen), zo min mogelijk rechten aan gebruikers geven, JIT just enough rights voor beheerders, beperkte set applicaties toestaan, identity management.

NIS2 gaat hier in helpen door bestuurders hoofdelijk aansprakelijk te maken voor de goede basis, waardoor er waarschijnlijk een budget verschuiving gaat komen. Cybersecurity wordt nu nog te vaak gezien als lastig en als sluitpost terwijl het een vast onderdeel zou moeten zijn van alle processen.

Dit rapport lijkt een voorbode op de NIS2 implementatie in de wetgevingen.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 16:25]

Bschnitz @mrbullet • 4 april 2023 08:16

NIS2.

Orangelights23 @Bschnitz • 4 april 2023 08:20

NIS2 is een richtlijn en nog geen wet in Nederland. Daarnaast is dat strategisch en reageer jij op een operationele taak.

neonite @Orangelights23 • 4 april 2023 08:24

Welja, vanaf eind volgend jaar moet het zijn verankerd in de wetgeving.

Orangelights23 @neonite • 4 april 2023 08:37

Klopt, nu zijn het richtlijnen die vertaals moeten worden naar lokale wetgeving (landelijk niveau). In Nederland zal er een Wbni 2 komen, hoogstwaarschijnlijk.

xbeam @Orangelights23 • 4 april 2023 12:02

Nee het is sinds dit januari dit jaar wet, alleen wordt er nog niet gehandhaafd
https://eur-lex.europa.eu...=CELEX:32022L2555&from=NL

van 14 december 2022

betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)

De NL overheid heeft deze richtlijn netjes binnen 20dagen geïmplementeerd
https://wetten.overheid.nl/BWBR0041515/2021-08-01
Alleen geeft bedrijven en instellingen en zichzelf 2 jaar de tijd om deze wet te implementeren

Op 27 december 2022 is de definitieve versie van de NIS2-richtlijn in het Publicatieblad van de EU gepubliceerd. 20 dagen na deze bekendmaking is de richtlijn in werking getreden. De lidstaten hebben daarna nog 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving.

[Reactie gewijzigd door xbeam op 22 juli 2024 16:25]

Orangelights23 @xbeam • 4 april 2023 12:52

Klopt helaas niet helemaal. Ik heb afgelopen maanden met het NCSC en DTC gezeten vanuit 1 van mijn projecten en NIS2 is alleen als richtlijn gepubliceerd door de EU. Zoals je zelf ook schrijft hebben landen 21 maanden te tijd om lokale wetgeving te bedenken en in te voeren. Later dit jaar start een consultatie van de overheid waarop bedrijven en particulieren kunnen reageren, dus er is helemaal nog geen wet op dit moment zoals jij het stelt.

Zie onder andere NCSC, waar heel duidelijk staat het helemaal nog niet duidelijk is wat de wet is (en wat zij mij ook hebben gemeld afgelopen maanden): https://www.ncsc.nl/over-...kenen-voor-uw-organisatie

SunnieNL

@Orangelights23 • 4 april 2023 14:09

Klopt, wetgeving in Nederland wordt pas verwacht in juli volgend jaar. Op dit moment is er een richtlijn en worden de eerste gesprekken gevoerd hoe dat in een wetgeving moet worden gegoten. De consultatie wordt deze zomer verwacht.

Wat wel zo is, is dat zo gauw de wetgeving er door komt, bedrijven er klaar voor moeten zijn omdat ze compliant moeten zijn als de wetgeving in gaat. Bedrijven moeten dus nu al actie ondernemen om aan de richtlijn te gaan voldoen, zodat ze er in juli-oktober 2024 klaar voor zijn. Voor de bedrijven die al moeten voldoen aan NIS is dat niet zo lastig, maar die groep wordt onder NIS2 bijna 10x zo groot (van 300-500 bedrijven naar 3000-6000 bedrijven).

De wet waar @xbeam naar toe refereert is de WBNI op basis van NIS (en niet de update van NIS2).
Tijdlijnen zijn te vinden op: https://www.ncsc.nl/over-...-naar-nationale-wetgeving

[Reactie gewijzigd door SunnieNL op 22 juli 2024 16:25]

OruBLMsFrl @SunnieNL • 4 april 2023 17:34

"Bedrijven moeten dus nu al actie ondernemen om aan de richtlijn te gaan voldoen, zodat ze er in juli-oktober 2024 klaar voor zijn."
Dit is natuurlijk verstandig en wenselijk, maar een bedrijf moet niets totdat het wet is. Anders moet de overheid nu al een wet aannemen waarin staat dat bedrijven per 1 januari 2024 klaar zijn voor enkel het meldplicht onderdeel van NIS2. Al het andere is goodwill, je bent verplicht om de wet te kennen, maar niet om alle vooraankondigingen van mogelijke wetgeving te kennen. Er moet nog een consultatie plaatsvinden, politieke onderhandelingen, je weet daarom niet eens of je er wel 100% zeker onder komt te vallen als bedrijf.

Die NL wet krijgt straks dus bovenop al het andere in die tijdslijn ook nog een wettelijke periode tot juridische handhaving in NL praktisch haalbaar wordt. Het NCSC moet natuurlijk vanuit hun maatschappelijke rol de urgentie hiervan aangeven, Tegelijk veel bedrijven zullen weinig tot niets investeren in nog onzekere wetgeving waar nog een consultatie overheen gaat.

Alles staat of valt met eenduidig beleid, want hoe meer politiek getouwtrek en NL toevoegingen op de NIS2 EU omvang, hoe meer men de kat uit de boom zal willen kijken om te zorgen dat uitgaven en voorbereidingen wel goed aansluiten op het uiteindelijke geheel. Anders gaat men voorlopig gewoon op papier de GDPR/AVG privacy functionaris aanwijzen om ook de NIS2 meldingen te doen, en is het stukje meldingsplicht communicatie minimaal formeel al afgedekt.

Triblade_8472 @xbeam • 4 april 2023 21:21

Noem er wel meteen bij dat maar een (vrij klein) deel van de Nederlandse bedrijven onder de NIS2 regelgeving vallen.

Zie ook: link

nst6ldr @Orangelights23 • 4 april 2023 09:47

Die operationele taak gaat niet vervuld worden zonder FTE's en budget voor licenties en hardware. Nagenoeg alle organisaties die slachtoffer worden van cybercriminaliteit hebben informatiebeveiliging niet of amper begroot omdat ze het als subtaak van beheer zien.

Orangelights23 @nst6ldr • 4 april 2023 10:18

Ik heb het over wet en regelgeving, niet over de operationele invulling hiervan. Uiteraard heb je daar mensen voor nodig, dus ik snap je punt niet helemaal.

Daarnaast heb ik jaren als security adviseur gewerkt, ben nu CISO voor een internationaal bedrijf en ben mentor voor een paar CISO's. Als ik 1 ding geleerd heb afgelopen jaren, is het dat slachtoffer worden van een cyberaanval geen kwestie is van informatiebeveiliging niet serieus nemen. Dit gaat van de financiële sector tot aan kleine mkb'ers. Dus nee, wat je stelt is per definitie niet waar. Het is niet meer een kwestie OF je slachtoffer wordt, maar wanneer. Ik kan je zo in contact brengen met organisaties die te maken hebben gehad met grote cyberaanvallen en datalekken terwijl ze tonnen of miljoenen uitgeven aan cyberbeveiliging, ISO27001 en SOC2 type 2 rapportages hebben.

nst6ldr @Orangelights23 • 4 april 2023 12:38

Ik heb het over wet en regelgeving, niet over de operationele invulling hiervan. Uiteraard heb je daar mensen voor nodig, dus ik snap je punt niet helemaal.

Als je op strategisch niveau niet deze zaken in orde hebt, ga je op operationeel niveau nooit de capaciteit krijgen om de juiste handelingen te doen. Er zijn dan niet de juiste processen, tijd en ook materiële benodigdheden.

Daarnaast heb ik jaren als security adviseur gewerkt, ben nu CISO voor een internationaal bedrijf en ben mentor voor een paar CISO's.

Eigenlijk zet je hiermee een bias neer: een MKB neemt geen security adviseur in dienst. Dat regelt Harry van de helpdesk wel.

Orangelights23 @nst6ldr • 4 april 2023 12:54

Ik snap niet zo goed wat je doel is van je reactie. Ik snap dat strategische doelen alleen ingevuld kunnen worden door onder meer operationele taken.

Daarnaast herken ik me ook niet in je mening dat ik een bias zou schrijven. Ik heb vele security projecten gehad (NIST, CIS, ISO27001) bij het mkb, zelfs bij organisaties van 5 man groot. Security zien als harry van de helpdesk doe ik niet, hoe zie je dat in mijn reactie?

nst6ldr @Orangelights23 • 4 april 2023 13:50

Ik snap niet zo goed wat je doel is van je reactie. Ik snap dat strategische doelen alleen ingevuld kunnen worden door onder meer operationele taken.

Je zegt:

Daarnaast is dat strategisch en reageer jij op een operationele taak.

Daarnaast herken ik me ook niet in je mening dat ik een bias zou schrijven. Ik heb vele security projecten gehad (NIST, CIS, ISO27001) bij het mkb, zelfs bij organisaties van 5 man groot. Security zien als harry van de helpdesk doe ik niet, hoe zie je dat in mijn reactie?

De bias is er omdat je alleen ervaring op kan doen bij bedrijven die jou kunnen betalen.

Orangelights23 @nst6ldr • 4 april 2023 15:55

Want ik heb geen netwerk, geen kennis en geen contact met andere bedrijven en heb alleen maar een beeld van de wereld door de bedrijven die mij betalen?

Nee

Rare redenatie volg je er op na.

[Reactie gewijzigd door Orangelights23 op 22 juli 2024 16:25]

Triblade_8472 @Orangelights23 • 4 april 2023 21:24

Eens!

De vraag is niet alleen wanneer, maar vooral ook hoe (snel) te herstellen. Heel belangrijke vraag.

Ik ben het er wel mee eens dat er veel onkunde is bij bedrijven, zowel management als IT. Hier valt veel te winnen. De tijd tot 'wanneer' kan wel drastisch worden ingekort met de juiste maatregelen. Maar het is zeker waar dat het niet de vraag is of, maar wanneer zoals je schrijft.

blorf @mrbullet • 4 april 2023 09:38

Naar mijn idee ligt de aandacht op het verkeerde punt. Als je computer geneigd is om in een ddos-client te veranderen heeft je OS een zwakte. De remote apache-server die dat exploiteert is een gevolg, niet de oorzaak.

Wouterie @blorf • 4 april 2023 10:50

Nu focus je op één kwetsbaarheid, maar de afgelopen jaren zijn er meerder kwetsbaarheden voorbij gekomen zoals bijvoorbeeld (en niet uitsluitend) IoT apparaten die niet beveiligd zijn en vrolijk meedraaien in een DDoS aanval.
Ik zie dan meer heil in wetgeving die een basis vereist van apparatuur die binnen de EU (of Nederland) verkocht mag worden en een grotere mate van aansprakelijkheid bij een leverancier die kwetsbare producten op de markt brengt.
Daarnaast een wettelijke verplichting voor bedrijven om een solide plan te hebben om de beveiliging op orde te hebben met aantoonbare maatregels zoals een maandelijkse patchronde, om maar eens wat te noemen.
Voor consumenten moet er veel meer voorlichting komen. Maar ja, als mensen nog steeds de pincode afgeven via de telefoon of aan de voordeur, moet je niet al te veel verwachten van de consument.

blorf @Wouterie • 4 april 2023 11:13

Een goed begin zou zijn om makers van gesloten besturingssystemen strafbaar te stellen op het moment dat er een security exploitatie wordt geconstateerd die voorkomen had kunnen worden door geen informatie voor de eindgebruiker te verbergen. Als een IoT-apparaat ddos-requests gaat lopen versturen zonder dat het OS dat opmerkt, is het OS onacceptabel nalatig.

Wouterie @blorf • 4 april 2023 11:27

Zo, dat is nogal een ingewikkelde. Dus de leverancier van een OS is strafbaar als er een kwetsbaarheid wordt gevonden, maar alleen als die voorkomen had kunnen worden door de eindgebruiker te voorzien van bepaalde informatie?
Dat is nogal beperkt. Sowieso zou ik niet de eindgebruiker informeren maar eerder de eigenaar, verantwoordelijke of beheerder. Daarnaast moet een leverancier zorgen voor een goed product en de benodigde informatie om het product veilig te kunnen gebruiken. Net als een auto of magnetron. Een kwetsbaarheid kan gebeuren, laten we wel wezen, maar het is aan de leverancier om daar een passende oplossing voor uit te brengen en het is aan de eigenaar/verantwoordelijke aan de kant van de afnemer om die oplossing te implementeren.
Een out-of-the-box onveilig product zou gewoon niet op de markt mogen komen.

blorf @Wouterie • 4 april 2023 11:56

Die voorkomen had kunnen worden door geen informatie te verbergen.
Voorbeeld: Android die uit eigenbelang inzage in low-level netwerkverkeer blokkeert is een beveiligingsprobleem voor de consument. Een IoT-apparaat zonder bediening onder "admin" permissies maar wel vanuit de fabrikant is een nog veel groter risico.

[Reactie gewijzigd door blorf op 22 juli 2024 16:25]

Wouterie @blorf • 4 april 2023 13:24

Denk je? Wat moet een consument met low-level communicatie? Het is trouwens mogelijk om op Android bij die data te komen, maar het is niet mogelijk zonder Root en het is device afhankelijk. Zie bijvoorbeeld https://forum.xda-develop...pt.2607145/#post-49348821 Maar met root-rechten haal je een veel groter beveiligingsrisico in huis dan wat je nu hebt.
IoT zou vanaf de leverancier en door de beheerder fatsoenlijk ingesteld moeten kunnen worden. Eens. Er zijn zat consumenten die een deurbel met camera aan de praat krijgen en niet verder kijken, dus vanuit de leverancier moet er een mogelijkheid zijn om te patchen. Echter moet de gebruiker ook de mogelijkheid hebben om het apparaat goed in te stellen, anders moet je inzetten op een soort huurconstructie.

blorf @Wouterie • 4 april 2023 13:39

Een exploit die je ongemerkt een laat meedoen aan een ddos-aanval is met een transparante netwerkimplementatie in ieder geval uitgesloten. Dat is veel uitgaand verkeer. Het moet een oorsprong en een bestemming hebben. Je moet alleen geen OS hebben dat de andere kant op kijkt omdat die infiltratie eigenlijk best wel lucratief is mbt andere doeleinden.

readefries

@mrbullet • 4 april 2023 08:36

Een verantwoorde update strategie hanteren (b.v. installeer n-1 updates automatisc, met de mogelijkheid ze te blokkeren), de voorbeelden zijn geen probleem. Het gedrag van de bedrijven wel. Zo probeer ik anderhalve maand bij een bedrijf een 0-day update uit te rol, maar de procedures en processen maken dat erg lastig en tijdrovend.

SunnieNL

@readefries • 4 april 2023 14:16

Die procedures en processen zijn er echter ook om het bedrijf te beschermen.
Wat als iets automatisch installeert, jij te laat was die te blokkeren en je hele bedrijf proces stil komt te liggen met een miljoenen verlies?
Of als die update precies doorlopen wordt als er een kritisch proces draait en het eindproduct zo de prullenbak in kan om opnieuw te beginnen met doorlopen van een maand?

Als je processen wilt versnellen of veranderen, zul je met een risico analyse moeten komen en die aan management moeten voorleggen. Zij zijn degenen die uiteindelijk bepalen of ze het risico van niet installeren van de patch willen nemen of het risico willen nemen die eventueel verbonden zijn aan het wel installeren van de patch.

kodak

Beveiliging en antivirus
Nederland

@mrbullet • 4 april 2023 10:53

Een strategie is er meestal om duidelijk te maken wat de doelen op langere termijn zijn. Een gemiddelde verantwoordelijke zal dus een vertaling moeten (laten) maken naar tactische en operationele opvattingen.

jpsch 4 april 2023 08:56

Koninkrijk wordt minder kwetsbaar als niet alles digitaal gemaakt wordt.

MiesvanderLippe @jpsch • 4 april 2023 09:13

En je hebt geen impact op het klimaat als je dood bent. Zo kun je elk onderwerp wel redeneren naar het niets.

jpsch @MiesvanderLippe • 4 april 2023 10:31

Nee niet niets. Alles wordt zo ingericht dat het zonder elektriciteit en internet niet meer werkt. Simpele dingen als je huis verwarmen, thee zetten of je boodschappen betalen.

Wouterie @jpsch • 4 april 2023 10:57

Niet iedereen heeft een houtkachel en niet elke winkel draait op kaarslicht. Zonder elektriciteit ben je gemiddeld genomen vrij vlot klaar met verwarmen en boodschappen doen.

Verwijderd 4 april 2023 08:35

Hoe zit het dan met de weerbaarheid kwa av’s. Ik kon me herinneren dat de Nederlandse overheid een contract had met kaspersky

ZiSE @Verwijderd • 4 april 2023 09:53

nieuws: Minister houdt Kaspersky-verbod bij Rijksoverheid in stand

Vae Victus 4 april 2023 09:03

Beetje een dooddoener, dat is hetzelfde als "er zijn minder ongelukken op de snelweg als er minder autos rijden"

friemelss 4 april 2023 09:48

Net als de wegen-verkeerswetten

1. Regels over de (snel)wegen. (het internet en de diensten die daarop staan)
2. Regels over de voertuigen. Zijn die veilig gemaakt en naar veiligheid te onderhouden. (eigen apparatuur incl eigen netwerken).
3. Regels over het gebruik/gedrag. Voetgangers hoeven niet zoveel te weten (alleen de basics). Automobilisten moeten examen doen. Vrachtwagenchauffeurs moeten een zwaarder examen doen. Buschauffeurs weer zwaarder. Etc. (Nou dat kan in digitaal ook. de burger hoeft slechts aware te zijn. Bedrijven moeten wat meer weten. IT bedrijven moeten heel veel weten. En natuurlijk iedereen het bijbehorende gedrag).
4. Daarbij handhaving en aansprakelijkheid inregelen.

En als die dingen nu in elkaar vloeien, dan is IT redelijk veilig en kan er ok gehandhaafde worden.

Moeilijk? Nou nee.
Maar het kost wel tijd. De wegen-verkeerswet heeft er ook lang over gedaan. En nu kan ik redelijk veilig van Parijs naar Groningen rijden.
IT regelgeving kan best wel sneller. Niet 100% ongelukvrij, maar redelijk veilig veilig.

Bruin Poeper @friemelss • 4 april 2023 11:29

Net als de wegen-verkeerswetten

1. Regels over de (snel)wegen. (het internet en de diensten die daarop staan)
2. Regels over de voertuigen. Zijn die veilig gemaakt en naar veiligheid te onderhouden. (eigen apparatuur incl eigen netwerken).
3. Regels over het gebruik/gedrag. Voetgangers hoeven niet zoveel te weten (alleen de basics). Automobilisten moeten examen doen. Vrachtwagenchauffeurs moeten een zwaarder examen doen. Buschauffeurs weer zwaarder. Etc. (Nou dat kan in digitaal ook. de burger hoeft slechts aware te zijn. Bedrijven moeten wat meer weten. IT bedrijven moeten heel veel weten. En natuurlijk iedereen het bijbehorende gedrag).
4. Daarbij handhaving en aansprakelijkheid inregelen.

En als die dingen nu in elkaar vloeien, dan is IT redelijk veilig en kan er ok gehandhaafde worden.

Moeilijk? Nou nee.
Maar het kost wel tijd. De wegen-verkeerswet heeft er ook lang over gedaan. En nu kan ik redelijk veilig van Parijs naar Groningen rijden.
IT regelgeving kan best wel sneller. Niet 100% ongelukvrij, maar redelijk veilig veilig.

5. Je vergeet de fietsers. Wat zijn hun regels tov voetgangers?

(Misschien zijn er in IT ook 'voetgangers'. Welke bescherming genieten zij tov die andere ongeregelden, de 'fietsers' ?)

[Reactie gewijzigd door Bruin Poeper op 22 juli 2024 16:25]

Triblade_8472 @friemelss • 4 april 2023 21:05

Als je het met het verkeer wil vergelijken: hackers en virussen zijn net spookrijders of mensen die 150 km/h rijden in de bebouwde kom; (on)bewust anderen in gevaar brengen.

Hiernaast zijn er toch al wetten voor? Dus ik snap niet waar je voor pleit.
Zie ook: Computervredebreuk.

Of de gehele wet als je wil: link.

[Reactie gewijzigd door Triblade_8472 op 22 juli 2024 16:25]

Some12 4 april 2023 09:55

Het internet zelf is gemaakt zo nu en dan op plekken uit te kunnen vallen, maar bijna alle cloud-software niet, laat staan cloud-to-cloud.

Tijd voor “local-first computing?”: https://en.m.wikipedia.or...free_replicated_data_type

bluegoaindian 4 april 2023 12:26

Hoeveel mensen kunnen low level programeren?
dan bedoel mik dus assembler op de porcessor?
Het porobleem is de attack service , als je bouwt op complexe producten die code voor je compileren dan weet je dus niet of er in de code functies worden mee gecompileerd die je oojk op een andere manier als de bedoeling is kan gebruiken,
Het is dus wijs om op sommige plaatsen juist GEEN digitale systemen te hebben.
of systemen met een heel beperke funtionaliteit , zodat het gewoon niets anders kan dan waar t voor is gemaakt.
complexiteit maakt dingen kwetsbaar.

Terry A Davis 4 april 2023 13:55

Valt Social Engineering er nu eindelijk ook onder? Iedereen heeft kunnen zien hoe Rian van R bijvoorbeeld een heel imperium afhandig heeft gemaakt met deze vorm van hacken. Kevin Mitnick's sterkste kracht was zelfs Social Engineering.

Die meneer of mevrouw die plotseling je collega zegt te zijn, maar je bijvoorbeeld voor het eerst ontmoet kan zomaar een hacker zijn die doet alsof.

Triblade_8472 @Terry A Davis • 4 april 2023 20:59

Het rapport is helaas niet meer te vinden op de site van de overheid, maar dat zou er zeker wel onder moeten vallen, gezien dit best vaak nog een belangrijke schakel is. Net als supply chain attacks, waar serieus meer aandacht naartoe moet.

Triblade_8472 4 april 2023 20:51

Tijd om het gebruik van al die duizenden kleine software addities eens onder de roep te nemen. Voegt het echt iets toe en wordt het geüpdatet?

Het aller belangrijkste is kennis (het gebrek aan) en goed personeel. Zowel managers/directie maar zeker ook ITers.

Zolang iedereen blijft geilen op de cloud als een hail Mary, backup-tapes als een groot kwaad bestempelden en een Firewall alleen als kostenpost ziet, of als ITer, hier een any-any rule opzet om geen probleem meer te hebben. Tja.

Dan kan is het een gebed zonder eind.
Ga digitale veiligheid een vak op school maken en als primair onderwerp op alle IT opleidingen. Dan praten we pas verder.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (46)

Sorteer op:

Weergave: