Opstelten: FTP-software moet gebruiker waarschuwen
Aanbieders van software voor FTP-servers moeten gebruikers waarschuwen voor de potentiële gevaren die met het gebruik samenhangen, zo vindt minister Opstelten van Veiligheid en Justitie. Opstelten reageert op Kamervragen van VVD-Kamerleden Van Oosten en Dijkhoff over onbeveiligde FTP-servers.
Tijdens een uitzending van het Radio 1-programma Reporter werd gemeld dat er 21.000 onbeveiligde FTP-servers in Nederland zijn. In sommige gevallen bleken de FTP-servers gevoelige en persoonlijke informatie te bevatten, zoals wachtwoorden, scans van rijbewijzen en paspoorten, salarisadministratie en andere privégegevens.
Verantwoordelijkheid
Opstelten laat weten dat informatiebeveiliging primair een eigen verantwoordelijkheid van burgers, bedrijven en overheden is. "Daarbij mag een zekere mate van basis-cyberhygiëne verwacht worden, bijvoorbeeld bij het omgaan met persoonlijke gegevens op het internet." Hij is het echter eens met het standpunt van hoogleraar Cyber Security Bart Jacobs dat aanbieders van software voor FTP-servers gebruikers over de risico's moeten informeren.
Volgens de minister sluit een waarschuwing voor gebruikers aan op de tweede Nationale Cyber Security Strategie (NCSS-2) die vorig jaar oktober werd gepresenteerd en waar ook de rol van het bedrijfsleven als leverancier wordt beschreven. Opstelten merkt op dat de Cyber Security Raad bij het opstellen van de NCSS-2 heeft vastgesteld dat er een nadrukkelijke interactie moet zijn tussen de aanbieders van producten en diensten en de gebruikers ervan.
"Zeker als het gaat om de veiligheidsaspecten zoals het gebruik van sterke wachtwoorden of het hanteren van specifieke veiligheidsinstellingen op apparatuur. In de NCSS-2 is daarbij dan ook aangegeven dat leveranciers een specifieke verantwoordelijkheid (zorgplicht) richting hun klanten hebben en dat security en privacy by design meer dan nu standaard ontwerpbeginselen dienen te zijn", stelt Opstelten.
Meldingen
De minister laat verder weten dat er bij het Nationaal Cyber Security Centrum geen meldingen van de Rijksoverheid en vitale sectoren zijn binnengekomen van partijen die getroffen zijn door misbruik van gegevens naar aanleiding van het gebruik van slecht beveiligde of onbeveiligde FTP-servers.
Man man man, complete digibeten die vragen stellen aan een mede-complete digibeet.
Alle servers/cloud opslag waar gevoelige of persoonlijke informatie op staat moeten afdoende naar huidige standaarden beveiligd zijn. Dit is de verantwoordelijkheid van de beheerder/eigenaar van deze server.
Als blijkt dat de beveiliging niet afdoende is dan is de beheerder/eigenaar verantwoordelijk en zou altijd een minimale boete moeten krijgen, verplicht zijn de beveiliging op te schroeven EN de betrokken potentiele slachtoffers moeten waarschuwen.
In de VS bieden betrokken partijene, na alle creditcard schandalen, standaard identifeit beschermings programmas kostenloos aan. Dit zou in NL (of EU) ook de standaard moeten worden.
Opstelen kan beter ervoor zorgen dat het BSN nummer niet op de hoofdpagina van het paspoort staat.
Daarvan mogen ze de eigenaren ook wel waarschuwen! Die dingen hebben vaak helemaal GEEN usernaam en wachtwoord,
je kunt de documenten zomaar ophalen!
En je hoeft niet eens de naam te weten, als je gewoon de servernaam invoert dan krijg je vaak zonder meer een pagina
vol met al dan niet persoonlijke informatie, foto's e.d. te zien.
Als ik Opstelten was dan zou ik daar maar gauw eens werk van maken.
Omdat al het verkeer onbeveiligd over het internet gaat.
Snap ik ook niet. Volgens mij moeten er b.v. bij PostIt briefjes ook een bijsluiter komen dat je er geen wachtwoorden op moet schrijven en dan naast de server opplakken.
En zo en ik nog wel tig open deuren.
Man man man, complete digibeten die vragen stellen aan een mede-complete digibeet.
Voor de gemiddelde digibeet heeft zo'n uitspraak waarde..
Goedkoop populair gedoe, doorzichtig en lachwekkend voor iemand met meer kennis van zaken. Welkom bij de VVD-politiek ...
DE oplossing voor 50% van alle problemen.
In 't geval van onbeveiligde servers is RUTC ook erg handig,, is misschien ook ideetje voor al die figuren in Den Haag die denken iets over IT te weten (Replace User To Continu).
Man man man, complete digibeten die vragen stellen aan een mede-complete digibeet.
Ik durf zelfs te stellen dat een abonnement op een krant oid nemen meer invloed heeft op het bestuur in Nederland dan stemmen...
OT:
Alsof FTP (of HTTP) bedoeld is voor niet-openbare bestanden. Iets met een klok en een klepel als je het mij vraagt.
Het begint bij al die mensen die niet gek zijn om bij de markt iets te kopen! kopen! kopen! dat de buurman ook heeft...
weet je war een disclaimer bij moet? bij potloden. Dat je die niet in je oogbal moet prikken. En bij magnetrons, dat die slecht zijn voor je kat, als de magnetron er vanaf 4 hoog op valt.
Als je een ftp server installeert, dan weet je wat je doet, en als je de baas van een systeembeheer bent, dan hoor je te weten wat deze doet, en welk security protocol gebruikt wordt, en of daarop ook geaudit wordt.
Dit toont de stupiditeit van de overheid weer eens aan... Beetje hetzelfde als de roerganger van het de parlementaire enquete naar ICT; die geen flauw idee heeft wat een IP adres is...
IT aan overheidsorganisaties uitleggen, is in de dagelijkse praktijk als uitleggen hoe de licht schakelaar werkt aan iemand die nog nooit van electriciteit gehoord heeft..
dat de US overheid lekker daarin kan graaien is geen probleem.
Dit toont de stupiditeit van de overheid weer eens aan... Beetje hetzelfde als de roerganger van het de parlementaire enquete naar ICT; die geen flauw idee heeft wat een IP adres is...
IT aan overheidsorganisaties uitleggen, is in de dagelijkse praktijk als uitleggen hoe de licht schakelaar werkt aan iemand die nog nooit van electriciteit gehoord heeft..
Ik snap echt niet waarom zo een hoog geplaatst persoon zich om zo kleine futiliteiten druk maakt, er zijn volgens mij prangendere zaken dan een open staande FTP server.
per enveloppe maar in een kluisje met nummerslot te versturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
