Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties

Volgens eurocommissaris Neelie Kroes, belast met de portefeuille Digitale Agenda, moeten de lidstaten van de Europese Unie vaart maken met computerbeveiliging. Kroes vindt dat er bijvoorbeeld regelmatig oefeningen moeten worden gehouden.

Neelie KroesNeelie Kroes zei bij een bijeenkomst in het Hongaarse Balatonfüred dat de lidstaten van de Europese Unie op dit moment te weinig doen om zichzelf te beschermen tegen cybercrime. Het hebben van een cybercrime-strategie is niet genoeg, stelt de eurocommissaris. Er moet nu werk worden gemaakt van ict-beveiliging, zegt zij. Sinds december 2008 heeft Europa een cybercrime-strategie.

De eurocommissaris gaf aan dat de EU-landen een netwerk van Computer Emergency Response Teams moeten opzetten. Het is niet bekend wat Kroes daarmee wil zeggen; alle EU-landen hebben al een of meer CERT's. Duidelijk is wel dat Kroes wil dat de EU-landen gezamenlijk oefeningen gaan uitvoeren om te weten te komen of de ict-beveiliging goed genoeg is. Ze denkt dat de lidstaten nu niet voldoende op ict-dreigingen zijn voorbereid.

Hongarije, de huidige voorzitter van de Europese Unie, hoopt dat de lidstaten van de EU de Europese computerbeveiligingsorganisatie ENISA meer bevoegdheden geven, al is onduidelijk waarop daarmee precies wordt gedoeld.

Gerelateerde content

Alle gerelateerde content (27)
Moderatie-faq Wijzig weergave

Reacties (21)

Ben benieuwd wat ze dan willen oefenen.

Het zal nog niet meevallen om een grootscheepse virus aanval oid te simuleren. Dan zal je toch eerst een exploit oid moeten hebben, of een groot netwerk moeten opzetten waar bewust fouten inzitten (kostbaar). Maar wat is die oefening nog waard als je precies weet wat de aanval is?

[Reactie gewijzigd door J2pc op 18 april 2011 16:03]

Ik vermoed dat het niet alleen om dwaze virusaanvallen gaat. Stel je eens voor wat een aanval van binnenuit doet. Mailservers, databankservers en fileservers liggen bloot voor de aanvaller. Of wat dacht je van het verliezen van laptops of USB-sticks?

Het gaat allemaal een stuk verder dan een up-to-date virusscanner en Windows.
Virusaanvallen zijn niet zo 'dwaas'. Kijk bv eens naar stuxnet wat met een heel duidelijk doel geschreven is.

Wat wil je simuleren aan het verliezen van een laptop of stick?

Als ik denk aan grootschalige ICT 'rampen' oefeningen denk ik eigenlijk niet aan het bereiken van 1 systeem, maar het onderuit halen van ICT infrastructuur (internet) of NUTS bedrijven (gas / water / licht).
Hoe bereiken ze dat? Maar belangrijker, hoe reageer je erop?

Een vliegtuig crash / boot ongeluk etc. zijn vrij tastbaar, en hebben een (redelijk) gelimiteerd aantal oorzaken / scenario's die van tevoren goed uit te denken zijn (rampenplannen)

'ICT Systemen' zijn zo groot en onoverzichtelijk dat de feitelijke aanvals vectoren moeilijk te overzien zijn. Op een per applicatie/systeem niveau gaat het nog wel, maar het is vaak de combinatie van verschillende zwakheden in verschillende systemen die leiden tot de uiteindelijke 'hack'. Door het linken van steeds meer diensten & netwerken groeit het aantal mogelijkheden exponentieel, en is dit nauwelijks meer te bevatten.

Maargoed, we zien nu al dat er verschillende interpretaties zijn van deze mogelijke oefeningen.
Ik ben benieuwd wat mevrouw Kroes hieronder vertstaat.
Ik denk dat de overheid gewoon moet oefenen met het omgaan van situaties waarbij er van uitgegaan wordt dat bepaalde ICT middelen zoals het Internet, pinbetaling of telefoons niet meer beschikbaar zijn. Ik denk namelijk dat dat wel eens een grotere ramp zou kunnen betekenen dan menigeen voor mogelijk houd. Wat gebeurd er als mensen geen brood meer kunnen kopen omdat ze niet voldoende contant geld hebben, kunnen ze dan wel bij de bank terecht of weet die dan ook niet meer hoeveel deze mensen op hun rekening hebben staan omdat die gegevens online staan. Wat gebeurd er als hulpdiensten niet meer telefonisch bereikbaar zijn? Etc, etc.

We zijn enorm welvarend geworden omdat we heel veel geautomatiseerd hebben. We hebben daardoor echter niet meer de capaciteit om alles door te laten doorgaan zoals het nu gaat als de "machines" er mee stoppen. Er zullen dus keuzes gemaakt moeten worden als zoiets gebeurd.
Audit bedrijven kunnen vaak ook nep aanvallen simuleren om bepaalde lekken te ontdekken.
ICT-beveiliging ligt voor een groot deel bij de gebruikers van de data en gegevens, alles dichttimmeren heeft weinig zin als gebruikers zich onbewust zijn van risico's bij het gebruik van vertrouwelijke data. Dit is in mijn ogen belangrijker dan internationale samenwerking.
Ik begrijp ook niet wat al die overheden aan denken te bereiken. Beveiliging ligt inderdaad bij de gebruikers van internet. De overheid kan er niet voor zorgen dat mijn pc beveiligd is tenzij ze denken aan een Great Firewall a la China. De overheid kan alleen wetgeving maken, maar het probleem van criminelen is dat ze zich niet aan wetgeving houden...
Errmmm het is zo veilig als de persoon die achter de scherm zit.... als een agent een usb stick op straat laat liggen of de map met de draaiboek en de sleutels op het dak laat liggen van de auto en wegrijd...

Wat je ook doet of wilt... de veiligheid is zo veilig als de zwakste schakel
Wat moet ik me in vredesnaam voorstellen bij 'oefeningen'?
Gaan ze soms preventief 'phising' sturen binnen organisaties om hun personeel zo te evalueren?
Nou ja, het is in ieder geval goed dat er aandacht aan wordt besteed.
Dat lijkt me een hele goede oefening voor veel mensen.

Of laat eens een nep-helpdesker opbellen en om wachtwoorden vragen.

Als je groter wil gaan dan kun je een aanval simuleren door gewoon een paar servers uit te trekken, en dan kijk je hoe lang het duurt voor het probleem is opgelost en wat er allemaal fout ging.

Een keertje oefenen hoe je moet reageren op een DDOS zou ook geen kwaad kunnen.
Wat moet ik me in vredesnaam voorstellen bij 'oefeningen'?
Gaan ze soms preventief 'phising' sturen binnen organisaties om hun personeel zo te evalueren?
Nou ja, het is in ieder geval goed dat er aandacht aan wordt besteed.
USB stick laten rondslingeren en proberen deze weer terug te vinden _/-\o_
Echt weer overheid. Ene jaar moet alles gecentraliseerd worden en een jaar later moet alles weer gedecentraliseerd worden.

Een beetje een eng idee om te centraliseren met de hele EU.
'EU-landen doen te weinig aan ict-beveiliging'

Maar ondertussen wel lekker alles gaan digitaliseren en in centrale databases knallen. Goed bezig! :+

Is het niet eerst de bedoeling dat we de veiligheid ophogen, standaarden afspreken en dan pas de data gaan vergaren? Of zeg ik nu iets geks? Als we het veilig genoeg willen hebben is dat niet zo moeilijk maar iets dat onkraakbaar/niet te hacken is bestaat niet. Misschien een idee om voor de overheid en/of ziekenhuizen een apart intranet op te zetten dat los staat van het internet zoiets als ze in Iran opperen? Dat lijkt me iig een stap in de juiste richting. Ik ben benieuwd of de oefeningen wel reŽel genoeg zullen blijken. Een leuke zou b.v. zijn het Equens netwerk DDOS-sen omdat dan het hele betalingsverkeer op z'n gat gaat. Wil je een 'real life' testcase? Ik zou zeggen: daag Anonymous eens uit :Y) Die hebben al bewezen dat ze redelijk effectief iets kunnen verstoren.
Nelie Kroes kan zoveel vinden, maar deze machtwellustige politika can Kiss my ... cheeks. Brussel hoort niets te verbergen voor ons, het feit dat onze overheden hoegenaamd '' iets aan de veiligheid zou moeten doen zogenaamd om onze privacy te waarborgen en de euhum staatsveiligheid' is een regelrechte farce. Brussel en Den Haag hebben lak aan onze natuurlijke rechten, in plaats daarvan zijn ze net als onze voormalige feodale heersers uit de 17e en 18e eeuw, bepaalde privileges worden aan bepaalde groepen individuen toegekend en het individu mag het ongelden.

Voor hen die zegt.. "we.." hebben niets te verbergen zeg ik: " ik heb het recht om met rust gelaten te worden en mijn lijf en de vruchten van mijn arbeid zijn van mij en met alle geheimen die daarmee samenhangen, die behoren mij toe en niet een ander het zij ik ze vrijwillig met de ander deel".
Goed idee. De boel is nog te erg apart van elkaar, wat soms onhandig kan zijn
Ver van elkaar kan best wel eens een goede beveiliging wezen. Wordt het Franse Ministerie van Cultuur gehackt dan blijft de Nederlandse Defensie toch buiten schot.

Juist het zonder noodzaak en (zonder inzicht) aan elkaar knoppen van allerlei systemen is een behoorlijk veiligheidsrisico.

Gezamelijke rampoefeningen is leuk voor een leger, maar minder geschikt voor een ICT service van beperkte (lokaal tot nationaal) omvang.
Precies, hoe meer je systemen aan elkaar koppelt (op wat voor manier dan ook), hoe complexer het wordt en hoe makkelijker er via een achterdeurtje in 1 systeem een ander systeem bereikt kan worden. Je kunt veel beter elk systeem een eiland laten zijn, het liefst zonder internet toegang. :P
Waarom zouden ze alles beveiligen ?
Er geldt toch een bewaarplicht , kunnen ze zo achterhalen wie de gegevens heeft opgehaald.
En verder hebben we toch niks te verbergen ?

:+
Ache kan handige Harrie weer aan de gang om weer een nep virus te schrijven en op de server in de E.U te pompen om te kijken of het wel veilig is :X
Zal dat werken zo'n ketting van prikkeldraad?
ik heb er geen last van de ze er te weinig aan doen... tot nog toe dan:P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True