image

Commissie vraagt minister naar aantal 'zero days' van Defensie

donderdag 15 oktober 2015, 12:13 door Redactie, 6 reacties

Defensie heeft tijdens Prinsjesdag van het kabinet miljoenen euro's gekregen om in de cybercapaciteiten van de krijgsmacht te investeren, aanleiding voor de vaste commissie voor Defensie om Defensieminister Hennis te vragen over hoeveel zero day-kwetsbaarheden het leger beschikt.

Het gaat in dit geval om beveiligingslekken waarvoor nog geen update beschikbaar is. Via dit soort kwetsbaarheden is het mogelijk om systemen over te nemen. Bij de aanval op de Iraanse uraniumverrijkingscentrale in Natanz door de Stuxnetworm werden meerdere zero days toegepast. In de aankondiging van het extra budget voor Defensie werd gesteld dat het geld zal worden ingezet om Defensie op vier kerngebieden te versterken, waaronder de ontwikkeling van operationele cybermiddelen zoals cyberwapens (weaponized software).

Aan de hand van de voorgestelde begroting heeft de commissie nu een groot aantal vragen (pdf) aan Defensieminister Hennis gesteld. Zo wil de commissie weten wat er precies wordt bedoeld met cyberwapens en weaponized software en om welke wapens het precies gaat. Ook moet de minister laten weten over hoeveel zero days Defensie beschikt en hoe de aanvallende cybercapaciteiten zich zowel organisatorisch als budgettair verhouden tot de totale 'anti-cybercapaciteiten' van de overheid. Wanneer Hennis de vragen beantwoord zal hebben is nog niet bekend.

Reacties (6)
15-10-2015, 12:25 door Anoniem
aanleiding voor de vaste commissie voor Defensie om Defensieminister Hennis te vragen over hoeveel zero day-kwetsbaarheden het leger beschikt.
Deze vraag kunnen we helaas niet beantwoorden omdat we dan te veel nuttige informatie weg geven aan cybercriminelen.
Zo wil de commissie weten wat er precies wordt bedoeld met cyberwapens en weaponized software en om welke wapens het precies gaat.
Hierover kan ik momenteel geen uitspraken doen in verband met staatsveiligheid.
hoe de aanvallende cybercapaciteiten zich zowel organisatorisch als budgettair verhouden tot de totale 'anti-cybercapaciteiten' van de overheid.
Om lopende operaties niet te verstoren zal hierop later (misschien 2050) een antwoord gegeven worden.
15-10-2015, 13:13 door karma4
Vraag 52: Welke specifieke IT is randvoorwaardelijk voor het functioneren van Defensie?
Vraag 53: inschatting komende tien jaar minimale nvesterings- en exploitatiebudgetten randvoorwaardelijke IT?
Vraag 84,84 : (zie artikel)
Vraag 97: strategische partner voor de IT vernieuwing?
Vraag 101: risico’s steeds opnieuw oriënteren en selecteren van leveranciers op het gebied van IT?
Vraag 102: tekort technisch personee - concurrerend genoeg - opnemen tegen bedrijven uit deze branche, (moet IT zijn)
Vraag 103: WIV
Vraag 133: exploitatierisico wordt met de kasschuif IT van 10 miljoen euro van 2020 naar 2016
Vraag 150: aanvallende cybercapaciteiten organisatorisch als budgettair zich tot de totale anti-cyber capaciteiten
Vraag 244: projecten jaren 2016 - 2018 middels flinke extra bedragen voor IT?
Vraag 246: Welke IT-projecten worden er precies gefinancierd met Opdracht voorzien in IT en SSO DMO/OPS?
Vraag 311: Welke IT-uitgaven worden precies genoemd in artikel 7?
Vraag 350: De IT exploitatie neemt af van 164 miljoen euro in 2016 naar 150 miljoen euro in 2017 e.v. belang neemt toe?
Vraag 351: IT investeringen (DTO) + naar 65m 2017 vervolgens - tot 51m vanaf 2019. Budget voldoende?
Vraag 352: 2016 – 2019, aantal FTE af van 1595 naar 1295. kennis continuïteit ITsystemen te borgen?
Vraag 353-357 (Vervolg IT personeel)
Vraag 363: Kunt u de nieuwe mutatie Cyber (formatie) onder beleidsartikel 3 toelichten?
Vraag 364,365: Waarom zijn er zulke enorme mutaties in de Opdracht Voorzien in IT?
-400-

De vragenlijst is veel interessanter dan die paar waar de cyberdecuriyt en zero-days genomed worden.
Het gaat als een SPEER lijkt zich te herhalen.
15-10-2015, 13:21 door Anoniem
Zero winst

Zerodays zijn maar heel beperkt houdbaar.
De enigen die er wat mee op schieten zijn de jongens die ze verkopen.

Zullen we ophouden met geld in een diepe zwarte put te kieperen?
Alsof er op dit moment in de maatschappij niet genoeg acute en langetermijn tekorten zijn op allerlei vlakken.

Als we bijvoorbeeld toch in de 'virus'hoek zijn aanbeland.
Een groot deel van de Nederlanders mijdt alleen al nodige zorg.
Omdat ze dat steeds weer verhoogde eigen risico allang niet meer kunnen betalen.

Uitgestelde, niet afgenomen noodzakelijke zorg is niet alleen onmenselijk maar verhoogt op langetermijn toch de kosten in de zorg weer.
Geld verspilling!
Net zoals kapitalen uitgeven aan zeer tijdelijk houdbare niet te gebruiken aanvalscode.

Hebben we het nog niet eens over de kansloze exercitie, de zero antwoorden die deze commissie gaat krijgen.
15-10-2015, 15:59 door Anoniem
Volgens mij kun je als overheid beter zero days kopen om ze daarna te openbaren in het kader van veiligheid voor iedereen, dan dat je ze gebruikt als aanvalstechniek. Het heet toch niet voor niets ministerie van 'Defensie'
15-10-2015, 16:03 door Anoniem
Weggegooid geld... Tegen grootmachten ga je het sowieso afleggen met een piepklein arsenaal en mini budget. Kleinere low tec vijanden onder rotsblokken of tussen struiken ga je er ook geen pijn mee doen.

Defensie zou zich bezig moeten houden met het verdedigen van ons land : tweakers.net/nieuws/105765/aivd-terroristen-hebben-te-weinig-capaciteiten-om-te-hacken.html Vreemde naties die zich digitaal aan het ingraven zijn in Nederlandse IT infrastructuur is een zeer aannemelijke en zeer gevaarlijke ontwikkeling voor een IT afhankelijk land als Nederland.
16-10-2015, 02:01 door Anoniem
Inderdaad, de nadruk zou moeten liggen op verdediging tegen targeted attacks. Voorkomen van lekken van informatie en is vele malen belangrijker dan je ooit met aanvallen kunt bereiken. Nederland moet niet zo'n grote broek aantrekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.