image

Kabinet: softwarefouten blijven achilleshiel ICT

dinsdag 15 september 2015, 16:17 door Redactie, 11 reacties

Kwetsbaarheden in software blijven de achilleshiel in ICT, zo heeft het kabinet vandaag in de Miljoenennota (pdf) laten weten. In de nota is een apart hoofdstuk over cyberveiligheid opgenomen. Daarin wordt gewaarschuwd dat cyberaanvallen in potentie de nationale veiligheid, onze privacy en het functioneren van de overheid bedreigen.

Niet alleen de overheid loopt risico, volgens het kabinet zijn Nederlandse instellingen binnen en buiten de overheid in toenemende mate het doelwit van digitale spionage. Ook hebben buitenlandse inlichtingendiensten de afgelopen jaren geïnvesteerd in digitale capaciteiten. "Daarnaast werken veel staten aan cyberwapens. Digitale aanvallen zijn namelijk een aantrekkelijk alternatief voor conventionele militaire middelen of ouderwets spionagewerk", zo laat de Miljoenennota weten.

Ook waarschuwt het kabinet voor het risico van beveiligingslekken in software. "Jaarlijks moeten duizenden softwareprogramma’s worden geüpdatet om netwerken veilig te houden." Er wordt daarbij gewezen naar een recent incident bij het Duitse parlement en de gevolgen van ransomware in Nederland, zoals verschillende Friese gemeenten waarvan bestanden werden versleuteld.

Cijfers

De Miljoenennota geeft ook enkele cijfers van de digitale dreigingen waarmee de overheid te maken kreeg. Zo blijkt dat overheid en belangrijke organisaties elke maand met gemiddeld vijftig beveiligingsincidenten te maken krijgen en dit bij het Nationaal Cyber Security Centrum (NCSC) melden. Netwerkbeheerders van Defensie ontdekten in 2013 zo’n 22.000 gevallen van malware, ruim 1 miljoen spamgerelateerde e-mailberichten en zij onderschepten maandelijks 1.000 e-mails met een virus.

Op het netwerk van de Belastingdienst waren er gedurende één jaar 3.500 meldingen van virussen. Daarnaast ontvingen de beheerders van dit netwerk ruim 19.000 meldingen dat kwaadaardige software buiten de deur was gehouden. Om de 'digitale wereld' veiliger te maken is er volgens het kabinet nationale en internationale samenwerking nodig. " Waar nodig moeten internationale regels de veiligheid van het cyberdomein garanderen, maar waar mogelijk verdient zelfregulering de voorkeur. De nieuwe digitale werkelijkheid vraagt vernieuwend beleid."

Reacties (11)
15-09-2015, 16:31 door Anoniem
En straks komt de oplossing in het aftappen van alle data van alle burgers.
Zowel via internet als via het mobiele netwerk.
15-09-2015, 16:50 door [Account Verwijderd]
Geweldige conclusie! Als ze (Lees: Politiek) nu eens een berg geld ter beschikking stellen voor goede opleidingen & materialen zodat er mensen beschikbaar komen die er wat tegen kunnen doen, en die weten wat ze moeten doen zou het helemaal het beste zijn!
De huidige ICTers en SEC's zijn overwerkt en/of krijgen niet de middelen die ze nodig hebben terwijl het gevaar alleen maar groter wordt. En als er zo'n "gevaar" dan uiteindelijk door komt krijgen ze de schuld omdat ze hun best niet hebben gedaan?

Geef de mensen die de systemen moeten beveiligen wat ze nodig hebben en blijf ze trainen. Stilstand is achteruitgang, zeker als de vijand zich alleen maar blijft evolueren...

Oeps, mijn persoonlijke filter stond eventjes uit..
15-09-2015, 16:53 door Anoniem
De verschillende partijen moeten gewoon eens echte technische security architecten gaan inhuren, die je echt niet krijgt voor 95 euro per uur... Men moet investeren in security technologie die anno 2015 ook echt werkt, daarbij onafhankelijke echte technische security architecten inhuren en ophouden te luisteren naar leveranciers en goedbedoelde adviezen van scriptkidies die men verward met echte security experts...

En nee een CISSP certificering maakt mensen nog geen security architect!
15-09-2015, 17:22 door Anoniem
* kapotte motor blijft achilleshiel auto
* lege spoelbak blijft achilleshiel WC-pot
* lekke band blijft achilleshiel fiets
* kabinet blijft achilleshiel Nederland
15-09-2015, 19:18 door Ron625 - Bijgewerkt: 15-09-2015, 19:19
Ach, zolang er overheden zijn, met websites die meer dan 100 fouten per pagina hebben (volgens een controle van het W3C), mogen ze eerst terug naar school om HTML te leren.
Blijkbaar is dat al te moeilijk voor sommigen.............
15-09-2015, 21:13 door Anoniem
Mijn viruswall op mijn mailserver geeft ook 19.000 hits op malware PER MAAND.
En dat is nog een server zonder actieve email adressen (behalve postmaster@, info@....
15-09-2015, 21:52 door Anoniem
"Zelfregulering"

We hebben gezien hoe geweldig dat werkt inderdaad.
De gehele financiële wereld, de zorg, het OV, de sociale woningbouw, semi-publieke dienstverleners, religieuze organisaties, en laten we vooral de goede doelen niet vergeten, allemaal toonvoorbeelden van hoe goed zelfregulatie wel niet werkt. Typisch ook de aantallen ex-politica die werken bij die 'zelfregulerende' organisaties.

Het probleem is het stukje aansprakelijkheid = Wetgeving.
Wie is er ook al weer verantwoordelijk voor de Wetgeving? Iets met trias-politica geloof ik.
15-09-2015, 22:08 door karma4
"Naast criminelen vormen ook overheden van andere landen een bedreiging." jammer genoeg zien ze zichzelf niet als een potentiele bedreiging voor de burgers en bedrijven.
"Zo moest het Duitse parlement afgelopen zomer alle software met gevoelige informatie van volksvertegenwoor-digers en hun medewerkers vervangen." Wie dat gevolgd heeft, het ging om het netwerk zonder segmentering met een pishing aanval waarbij een beperkt aantal (15) omgegaan zijn. http://www.golem.de/news/bundestags-hack-trojaner-tarnte-sich-als-dokument-der-vereinten-nationen-1509-116283.html Nee politici en ICT kennis is geen combinatie.

Voor het aantal mederwerkers van de belastingdienst (30.000) is 3500 virusmeldingen nog steeds hoog. Het zijn meldingen, hoeveel zijn er echt. De verhouding 1:6 (19000 zijn er tegengehouden) is wat een meting van de effectiviteit van 4uscanners kan zijn. 1 op de 6 die er door komt (ca 15%) komt overeen met wat testen ca 80% is tegengehouden aangeven. Dat is, als je goed kijkt, een belabberd totaalresultaat .

Technische security architecten nodig?
Sorry maar dan leef je buite alle realiteit. Architecten bij de grote organisaties zitten er vaak niet om de kennis die ze hebben. Het zijn vaak eerder bedreigingen voor een behoorlijke security invulling dan dat ze er aan meewerken.Er spelen andere belangen. Een ander type bedreiging komt van de nerds die met een speeltje aankomen als de enige ware oplossing. Vervolgens de externe leveranciers die vinden dat het (security) allemaal veel te lastig is, het kan wel anders.
Verdiep je dan eens in de richtlijnen zoals nora iso27k en zie het spanningsveld om er nog wat werkbaars uit te krijgen.
15-09-2015, 23:33 door Anoniem
Was getekend: Ton "wat is een ip adres?" Elias... Pfff...
16-09-2015, 10:27 door Anoniem
Door karma4:
Technische security architecten nodig?
Sorry maar dan leef je buite alle realiteit. Architecten bij de grote organisaties zitten er vaak niet om de kennis die ze hebben. Het zijn vaak eerder bedreigingen voor een behoorlijke security invulling dan dat ze er aan meewerken.Er spelen andere belangen. Een ander type bedreiging komt van de nerds die met een speeltje aankomen als de enige ware oplossing. Vervolgens de externe leveranciers die vinden dat het (security) allemaal veel te lastig is, het kan wel anders.
Verdiep je dan eens in de richtlijnen zoals nora iso27k en zie het spanningsveld om er nog wat werkbaars uit te krijgen.

Beste Karma,

Het waar is dat er veel figuren rondlopen die zichzelf (security) architect noemen terwijl ze het verschil niet weten tussen een byte en een bit of tussen XSS en CSRF. Maar daarom stel ik ook in de tekst dat men mensen met echte inhoudelijke kennis moet inzetten. Dat die heel dun gezaaid zijn met echte architectuur kennis naast technisch inhoudelijke security kennis is inderdaad waar. En dat de business script kiddies verward met echte security experts is ook meer regel dan uitzondering.

Maar dat is dan ook wel het gevolg dat wijzelf als industrie met certificeringen zijn gekomen die zogenaamd waarborgen dat iemand een echte security expert is. Terwijl de waarheid is dat je na het lezen van de handleiding van een vliegtuig nog steeds niet kunt vliegen. Maar aangezien vele van die certificerende organisaties feitelijk commerciele doelstellingen hebben... Los van het feit dat de vele boeken behorende bij die certificeringen die ik heb gelezen zo vol met pure theorie staan die in de dagelijkse praktijk kant nog wal raakt als je het werkveld goed bekijkt. Omdat het geld en de tijd er simpelweg niet is om op die theoretische manier te werk te gaan. De academische benadering van security gebruikt vaak modellen die uitgaan van onvoorspelbare risico's die met defense in depth scenarios te mitigeren zijn. Onzin want een directie die niet wil investeren in een WAF of een XML firewall is een probleem van een andere orde.

Ik heb na 25 jaar in het security vak geleerd dat een goed security programma onmogelijk is zonder de juiste funding en inzet van echte kennis. Dat betekent dat je als architect eerst eens goed moet kijken naar de opdracht en dan moet kijken naar het budget. Dan zul je zien dat bij de invulling van KPI's voor managers en de deliverables van een security programma / project er vaak een flinke discrepantie is. Dat moet je eerst tot normale waarden zien terug te managen. Anders gaat niemand in de business meewerken. Waarbij de werkelijke risico's naast het compliance geneuzel niet uit het oog moet worden verloren. De praktijk is vaak echter dat veel compliance zaken meer prioriteit hebben. Soms om valide business redenen maar de security posture word er meestal niet beter op.

Externe leveranciers leg je domweg in het contract behoorlijke eisen op. Iets waar inderdaad veel werk aan zit en behoorlijk wat kennis bij komt kijken om dat juridisch en technisch te borgen. Nu nog een cloud architect vinden die dat kan. ;)

Wat betreft de Nora is dat een vrij interpreteerbare set van principes.. ISO27000 en andere frameworks (Cobit, etc) zijn dat slechts kapstokken om inhoud te organiseren. De kwaliteit van de invulling van dergelijke frameworks qua maatregelen staat los van de frameworks hoe gek dat ook klinkt. In de praktijk zal een auditor kijken naar de risico afwegingen zoals die gemaakt zijn door de organisatie. Hoe fout die ook mogen zijn en deze grotendeels als uitgangspunt nemen. Vervolgens toetst men op opzet en bestaan en niet op werking. Iets wat namelijk juridisch gezien pas kan na minimaal 6 maanden gebruik. Los van alle andere problemen bij het gebruik van dergelijke frameworks. Doordat aan de werking van de security processen feitelijk geen minimale kwaliteitseisen worden gesteld qua technische inhoud(!) is elke, technisch gezien, halfbakken inrichting al snel goed genoeg.

Godzijdank beheren we als IT Security industrie geen kernwapens want dan had de aarde al lang niet meer bestaan...
16-09-2015, 23:18 door karma4
Door Anoniem: Het waar is dat er veel figuren rondlopen die zichzelf (security) architect noemen terwijl ze het verschil niet weten tussen een byte en een bit of tussen XSS en CSRF. ....
Je zit hier in het web-deel. Mooi vergelijkbaar verschil op een ander vlak het gebruik van privileged rechten (account) dan wel een standard user van een ander of shared account gebruiken. Ik heb liever ICT specialisten die echt gemotiveerd zijn om de techniek risico's / budget willen kunnen begrijpen. Ik heb goede en slechte ervaringen met "security experts". Die certificatie helpt daarbij echt niet. Gezien je "zogenaamde waarborging" kunnen we het daarover eens zijn.

Ik heb na 25 jaar in het security vak geleerd dat een goed security programma onmogelijk is zonder de juiste funding en inzet van echte kennis. ...
Toen ik in de ICT rolde bestond de beveiliging uit programmeren van de terminal addressering via coax. Meer was er niet en dat was ook niet nodig. Je kunt de periode dan wel invullen. De lijn van je betoog klopt (eens).
Alleen onder compliance zie ik het wat anders Dat zijn meestal de persoonlijke kpi's van een manager. Niet te verwarren met de bedrijfsdoelen en policies die ook onder een compliance vallen.

Externe leveranciers leg je domweg in het contract behoorlijke eisen op. Iets waar inderdaad veel werk aan zit en behoorlijk wat kennis bij komt kijken om dat juridisch en technisch te borgen. Nu nog een cloud architect vinden die dat kan. ;)
Kan met de cloud te maken hebben, dat hoeft niet. Als je een product aanschaft moet het nog geïnstalleerd worden (on premise). Volgens die hierna genoemde richtlijnen is er "volg de aanwijzingen van de leverancier". Neem nu de situatie dat de leverancier in het geheel niet geintereseerd in security zaken. De interne opdrachtgever heeft er ook helemaal geen kaas van gegeten. Daar heb ik een aantal praktijkervaringen mee. Het lijkt me echter de normale gang van zaken.
Dan mag jij langskomen als securityman..... (firewalls dmz user/privileged/service accounts segregation of duties auditing waarom? en dan werken met privacy/business gevoelige data)

Wat betreft de Nora is dat een vrij interpreteerbare set van principes.. ISO27000 en andere frameworks (Cobit, etc) zijn dat slechts kapstokken om inhoud te organiseren. De kwaliteit van de invulling van dergelijke frameworks qua maatregelen staat los van de frameworks hoe gek dat ook klinkt.
Dat is niet gek, dat klopt gewoon. Het is een handreiking waarmee elke organisatie zelf een invulling moet geven (vastgelegd) wat en waarom ze iets zo doen. Daarom is het ook onzin als een bedrijf zegt dat ze naar de cloud gaan omdat de cloudprovider zo'n certificaat heeft. Ze blijven immers zelf hoe dan ook verantwoordelijk voor alles van de informatieverwerking ook al doet de verwerking een ander. (ook deze ken ik uit de praktijk, sorry)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.