Privacy - Wat niemand over je mag weten

Zorgwekkende achteruitgang van informatiebeveiliging bij de overheid.

18-01-2017, 08:19 door Anoniem, 21 reacties
Als gevolg van belangenverstrengeling gaat het de afgelopen 4 jaar eenvoudig zichtbaar hard achteruit met (onze!) beveiliging en privacy bescherming, door de overheid.


Service providers maken die naïeve kat wijs dat zij de informatie beter kunnen beschermen als het buiten de eigen muren van de data eigenaar verhuisd is naar 'cloud' of data-center variaties.. Dit terwijl NEN* en ISO toch duidelijk aangeven dat het nog feitelijke onmogelijk is.
Als het dan fout gaat staan beide partijen domweg naar de ander te wijzen. Terwijl geen van beide snelle actie onderneemt om de boel direct te ontkoppelen, omdat geen van de poppetjes die beslissing aan durft om tijdelijk 'off-line' te gaan.
..En zo vieren hackers, data dieven, zichzelf amuserende studenten en vijandige staten vaak dagen lang verder feest tot in de kleine uurtjes, met toegang tot onze gegevens die de overheid door grove nalatigheid zo laat rondslingeren. Maar ook toegang tot computer netwerken die onze veiligheid moeten verzorgen zoals de besturing systemen van Rijkswaterstaat, DJI, de krijgsmacht , KPN, enz.

Een wildgroei van 'Security oplossing' leveranciers verschaffen zich zelf toegang tot de interne netwerken van hun klanten via geleverde 'oplossingen'. En daar hangen dan weer zaken als 112 meldkamers, gevangenis administratie of sluis-bediening aan vast. Maar de SLA tekst ziet er mooi uit op papier.
[tip van hackers en data dieven: een achterdeur ingang is via de een van die: Over-sell, under-deliver 'security' leveranciers, die tevens maar al te graag laten zien wie hun klanten zijn]

Data verwerkende bedrijven misbruiken hun toegang tot onze informatie, van door de overheid uit handen gegeven ...(nu bijna alles eigenlijk). Zonder toestemming en in strijd met de wet!
Ziekenhuizen en zorginstellingen geven zonder onze toestemming, dus stiekem, massaal onze informatie uit handen aan bedrijven.
Zo misbruiken en delen bijv Philips-healthcare(USA) en Nedap onze medische gegevens voor commerciële doeleinden, terwijl de wetgever en zogenaamde toezichthouders de ogen dicht knijpen.

Overheid is blijkbaar van mening dat zij geen controle hoeft uit te voeren van de beveiliging van het geheel.
Ondanks dat er een flink aantal ambtenaren bij allerlei soortgelijke organisaties van de straat gehouden worden, op onze kosten. Zoals "Autoriteit Persoonsgegevens", "Autoriteit Consument & Markt", "Centrum informatiebeveiliging en privacybescherming", "NCSC", "Informatiebeveiligingsdienst voor gemeenten", en zo voorts..

Als je die lijn door trekt kom je bij de volgende stap in die onderliggende "wel de baten, maar niet de lasten!" mentaliteit van de ambtenaren.
..De controle is ook (zelf regulerend!?) uitbesteed aan alle losse instellingen en die besteden het een en ander uit aan Commerciële organisaties, zoals Ernst & Young (EY), die uit eigenbelang goedkeuring rapporten verkopen, omdat gebleken is dat bijv gemeenten functionarissen al snel naar een andere 'controle leverancier' overstappen die wel goedkeuring op papier wil zetten voor iets wat helemaal niet voldoet aan de eisen.
Het gaat die specifieke ambtenaren tenslotte niet om de werkelijkheid maar om wat er ergens op papier gezet is door een 'ander', zodat zij 't als 'gedaan' kunnen afvinken.

Zo heeft de ambtenarij precies dat gedaan waar zij als geen ander goed in zijn: door middel van Bureaucratie zich zelf aan 't werk houden op/ten kosten van de medeburgers. Zonder enige vorm van ethiek of moraal.

Bron: dinsdag.org/index.php?news=70
Reacties (21)
18-01-2017, 16:05 door Anoniem
Ook dat verbaast mij nix, heb je wel eens gezien welk een niveau er van de z.g. Universiteiten afkomt?
Bejaarde electrotechnici zijn in ieder opzicht hun meerdere.
18-01-2017, 18:43 door SecGuru_OTX
Eens we(en de overheid) vertrouwen te veel op datgene wat op papier staat, zowel bedrijven als overheden hebben helaas steeds meer de gedachten dat zolang er een geheimhoudingsovereenkomst, een Data Processing Agreement en het liefst nog een ISO27001 certificering is, de data wel veilig is.

Dit alles zonder te laten controleren door mensen vanuit de praktijk en/of mensen die nog echt verstand van zaken hebben.

We kunnen nog een hoop van de Russen leren, die hebben het liefst de echte (ex-criminele) hackers in dienst om daadwerkelijk hun beveiligingsniveau te toetsen/testen.

Hoewel het hebben van goede afspraken en procedures m.b.t. Informatiebeveiliging ook belangrijk is kan ik maar 1 ding zeggen:

Cybercrime vindt niet op papier plaats!!!!!!!!!
18-01-2017, 18:47 door Anoniem
Zorgwekkende achteruitgang van informatiebeveiliging bij de overheid.
Bedrijven worden opgestookt om te gaan werken met dataopslag-oplossingen die ze beter niet kunnen gebruiken.
Maar goedkoper is het meestal wel. En als jij met de oplosing komt met de laagste kosten, mag jij het doen.
De overheid als afnemer ontbreekt het meestal aan voldoende technische kennis en inzicht, en daarbij: het geld regeert.
18-01-2017, 19:06 door Anoniem
I dare to differ als het over de lokale overheden (ambtenaren waarmee jij en ik in contact komen) in België. Zij hebben strikte normen en richtsnoeren, gebaseerd op ISO2700x en worden hierop meer en meer gecontroleerd. Het bewustzijn is zeker aanewig, de uitwerking is gaande. Ook vanuit de Vlaamse Overheid is er sinds dit jaar een specifieke thema-audit rond informatieveiligheid (bijgestaan inderdaad door EY).

Minpunt is dat er geen stok achter de deur is wanneer het wel mis gaat. Er zijn sancties mogelijk en de politiek is niet blij met imagoschade. Maar op het einde komt het er toch op neer dat een lokaal bestuur zelf zijn schouders er achter moet zetten. En bij de meeste besturen waarvan ik op de hoogte ben, is die intrinsieke motivatie er wel.
18-01-2017, 19:08 door Anoniem
Door SecGuru_OTX: Eens we(en de overheid) vertrouwen te veel op datgene wat op papier staat, zowel bedrijven als overheden hebben helaas steeds meer de gedachten dat zolang er een geheimhoudingsovereenkomst, een Data Processing Agreement en het liefst nog een ISO27001 certificering is, de data wel veilig is.

Dit alles zonder te laten controleren door mensen vanuit de praktijk en/of mensen die nog echt verstand van zaken hebben.

We kunnen nog een hoop van de Russen leren, die hebben het liefst de echte (ex-criminele) hackers in dienst om daadwerkelijk hun beveiligingsniveau te toetsen/testen.

Hoewel het hebben van goede afspraken en procedures m.b.t. Informatiebeveiliging ook belangrijk is kan ik maar 1 ding zeggen:

Cybercrime vindt niet op papier plaats!!!!!!!!!

In navolging van mijn vorige post, die nog moet verschijnen.

De richtsnoeren en normen waaraan de lokale besturen moeten voldoen, coveren heus niet alleen het digitale. De grote hap zit em in beleid, processen, procedures, bewustzijn en ook fysieke bescherming - ISO2700x is niet alleen digitaal.
18-01-2017, 19:41 door Anoniem
En wat dacht u van de inhoud van het 'duo' communicatie en management en hun voorkeur voor outsourcing en de cloud-oplossingen. Denk hierbij aan het kostenplaatje.

Beveiliging aspecten zijn wat hen betreft alleen maar lastig en de technische ins en outs kunnen zich toch niet voorstellen.
Omdat ze gewend zijn binnen hun commercieel en marketing geweld elke technische stem te "overrulen" en als het moet nog te de-classificeren, is hun succes bij voorbaat verzekerd en gaat de beveiliging en de veiligheid voor de burger vervolgens
"de bietenbrug op".

Ik denk dat een paar IT stafleden hier op het forum deze gang van zaken niet geheel onbekend in de oren klinkt.
Trouwens onder Universitair niveau en behalve technische IT werken er niet veel bij voorbeeld met reguliere expressies.

Zolang de managers en CEO's de handen boven het hoofd worden gehouden door de beslissing nemers blijven we in de aap gelogeerd en blijf veiligheid "a last resource issue' of wel in goed Nederlands 'een sluitpost'. Tel uit je winst!
18-01-2017, 22:12 door SecGuru_OTX
Door Anoniem:
Door SecGuru_OTX: Eens we(en de overheid) vertrouwen te veel op datgene wat op papier staat, zowel bedrijven als overheden hebben helaas steeds meer de gedachten dat zolang er een geheimhoudingsovereenkomst, een Data Processing Agreement en het liefst nog een ISO27001 certificering is, de data wel veilig is.

Dit alles zonder te laten controleren door mensen vanuit de praktijk en/of mensen die nog echt verstand van zaken hebben.

We kunnen nog een hoop van de Russen leren, die hebben het liefst de echte (ex-criminele) hackers in dienst om daadwerkelijk hun beveiligingsniveau te toetsen/testen.

Hoewel het hebben van goede afspraken en procedures m.b.t. Informatiebeveiliging ook belangrijk is kan ik maar 1 ding zeggen:

Cybercrime vindt niet op papier plaats!!!!!!!!!

In navolging van mijn vorige post, die nog moet verschijnen.

De richtsnoeren en normen waaraan de lokale besturen moeten voldoen, coveren heus niet alleen het digitale. De grote hap zit em in beleid, processen, procedures, bewustzijn en ook fysieke bescherming - ISO2700x is niet alleen digitaal.

Dat klopt helemaal, daar doel ik ook op. Helaas zit hier de focus juist te veel. Ondanks de strenge normen en richtsnoeren veel onveilige en/of helemaal geen versleuteling van communicatie. Kijk ook naar de verplichte NEN7510 voor de zorg.... een grote wasseneus, het kan leuk op papier staan, je kan de control goed hebben ingeregeld, maar wanneer je control niet uit de juiste maatregelen bestaat is het nietszeggend. Daarmee doel ik op 50% websites van de ziekenhuizen geen httpS, geen laptop versleuteling, ALLE data lokaal op storage, etc, etc. Ook dit zijn ziekenhuizen die aan de NEN7510 norm voldoen.
18-01-2017, 22:28 door SecGuru_OTX
p.s. let ook altijd heel goed op dat de afgenomen dienst inclusief jouw aanwezige data, binnen de scope van de ISO/IEC27001 certificering en/of de ISAE 3402 verklaring valt.

Geloof me of niet maar de meeste hosters hebben allen hun eigen beheerprocessen en infra binnen de scope, en niet altijd de aangeboden dienst voor de klant. (dit ben ik heeeeel vaak tegengekomen). Bij SaaS ligt dit weer net iets anders, maar bij IaaS+OS, IaaS en hosting valt dit vaak niet onder de scope.

Uiteraard zijn er ook goede hosters die dit wel netjes binnen scope hebben, maar ik zie regelmatig contracten met de eis dat de leverancier ISO/IEC27001 gecertificeerd moet zijn, dit is dan vaak geen probleem. Wanneer je stelt dat AL jou afgenomen diensten incl. de aanwezige data ISO compliant moeten zijn dan is het weer net een ander (en duurder) verhaal.
18-01-2017, 22:45 door karma4
En wat dachten jullie dan van aanbestedingen waar de normen en policies niet een genoemd worden. De verwachting bij de aanbesteding dat de leverancier het wel zal weten.

Of stel dat het heel netjes genoemd is bij aanbesteding en contract vervolgens gaat project manager en teams aan de slag en de weten van niets en gaan wat voor customer journeys en het snelle resultaat.
19-01-2017, 08:55 door Anoniem
Door Anoniem:
Bron: dinsdag.org/index.php?news=70

Die bron - dat is toch gewoon je eigen website waar je wel vaker wat discussies op security.nl naar toe hengelt?
19-01-2017, 09:52 door Anoniem
Door karma4: En wat dachten jullie dan van aanbestedingen waar de normen en policies niet een genoemd worden. De verwachting bij de aanbesteding dat de leverancier het wel zal weten.

Of stel dat het heel netjes genoemd is bij aanbesteding en contract vervolgens gaat project manager en teams aan de slag en de weten van niets en gaan wat voor customer journeys en het snelle resultaat.

In context van de aankomende GDPR zijn organisatie verplicht een verwerkersovereenkomst af te sluiten met hun leveranciers, of verwerkers (data lezen = verwerken).

Hierin moeten een aantal zaken opgenomen worden zoals: welke data wordt verwerkt, met welk doel, wat na stopzetting overeenkomst (wissen/overdragen), geheimhouding en de melding dat zij aan dezelfde vereisten qua informatieveiligheid gebonden zijn als zijzelf en dat zij die verantwoordelijkheid ook moeten opleggen aan eventuele derde partijen/onderaannemers.

Daarbij komt dat de verwerker ook geauditeerd/gecontroleerd mag worden door de verantwoordelijke voor de informatie.

Akkoord, allemaal op papier, maar het wordt wel meer en meer afgedekt en er wordt meer en meer over nagedacht/bij stil gestaan.
19-01-2017, 10:35 door Anoniem
Bij de meeste bedrijven is availability en integrity het belangrijkste. Terwijl je eigenlijk gezien de toenemende dreigingen de prioriteit steeds meer richting confidentiality zou moeten verhuizen. Maar dat zet je natuurlijk niet zomaar even om.

Er van uitgaande dat een bedrijf de prioriteitstelling van haar verschillende tenets/assets mbt CIA uberhaupt heeft wezen vast te stellen. En daar zit hem meestal het knelpunt. De meeste bedrijven hebben dit niet goed hebben gedefinieerd omdat velen nog achter lopen mbt security management, changemanegement of uberhaupt nog geen CMDB laat staan kennis hebben van iso27000x wetgeving etc....Laat staan dat ze uberhaupt aanspreekpunten hebben of gedefinieerde rollen of dat er iets stevigs staat.

Ik heb nog bij een van de top 3 vd wereld ICT bedrijven aan tafel gezeten en die hadden geen flauw benul wat changemanagement inhield. De tranen stonden in mijn onderbroek en in 1 klap was mij duidelijk waardoor ze zulke grote problemen halen wereldwijd. Jaren later verzonnen ze maar hun eigen standaard...

Ook ICT dienstverleners erven als het ware alle shit en denken opdrachtgevers met een turnkey opdracht er even snel van af te zijn. 1 grote pleitserparade. "Slank blijven is een lifestyle ..je kan wel een dieetje volgen maar daarna komen de kilos net zo hard weer aan"

Ik heb persoonlijk bv meegemaakt dat een van de grootste persoonsdataverwerkers in Nederland niet eens wist wat er nou werkelijk in het veld stond en dan het niet zo verwonderlijk is dat het een grote gaten kaas is en alle securityissues "logisch" zijn,

Diezelfde "bedrijven (in de ruimste zin van het woord" hebben het nog lang niet in orde en zitten met dikke pakken boter op hun hoofd van alles te beloven. Vol verbazing lees ik het nieuws en veelal weet wat ik er precies speelt. Alles nuanceren is een kunst apart.

En zo mag je dus je werk doen terwijl je te maken hebt met managers zowel bij de ICT dienstverleners als bij de klant die nog geen fractie snappen van wat securitymanagement inhoudt. Met als gevolg dat je enorme vertragingen oploopt omdat je enerzijds hier zelf ook een rol in hebt om hier assertief op te reageren of anderen moet aansturen om iemand klas 1 te laten doorlopen.

Resources zijn veelal onvoldoende omdat de korte termijnvisie overheerst.

Vervolgens blijft de gatenkaas bestaan totdat die muis weer een gat ontdekt en wij weer reactief ipv proactief achter de feiten aanhobbelen.

Maar omdat een mens van nature bij zware knelpunten c.q. veranderingen de neiging heeft het hoofd om te draaien en te kiezen voor schijnbare zekerheid zeker mbt baanbehoud en risicos die ze zien voor hun eigen carierre en de mamas thuis, worden volstrekt logische en goede adviezen door velen gereviewed, inclusief het kosten baten plaatje, volkomen genegeerd.

Vervolgens als er dan weer een ramp is en je dan weer een gat hebt gedicht en het hele proces van "wie is de pineut weer is opgestart" en vele emails verder eindelijk weer verder kan met het leggen van de fundamenten vraag je je af en toe af, waar je mee bezig bent.. En dan komt de volgende reorganisatie er weer aan in het kader van globalisering.

Wat ik vroeger echter flink had onderschat is de politiek die ook bedreven wordt bij grote bedrijven waaronder je je werk moet doen. Moe word je er soms van en tegelijkerlijk doet het een beroep op je SI IQ en EQ waardoor het leuk blijft.

ICT en vooral ICT security gaat de meeste leidinggevenden en politieke leiders zwaar boven hun pet en dat is op zich niet erg. Maar wat wel erg is als ze zich niet laten adviseren niet halen c.q. aangegeven wordt (haal / breng plicht) en dat het resulteert in enorme kostenposten die veelal op de burger wordt verhaald.en dat is een regelrechte schande.

Het is net cabaret...maar dan een met echte gevolgen.

Wat hebben we toch een leuke job en dat meen ik serieus.

De techniek is enorm snel gedaan waardoor veel achterloopt. En dit zal altijd zo blijven, We moeten vooral niet opgeven en hierin is voor ons een duidelijke rol weggelegd.

Waarbij we onze kritiek op een positieve manier inclusief de kosten baten analyse dienen te ventileren.

Voor mij is het ook een roeping net zoals dat beroep arts een roeping was...vroeger.
19-01-2017, 14:34 door SecGuru_OTX
Door Anoniem: Bij de meeste bedrijven is availability en integrity het belangrijkste. Terwijl je eigenlijk gezien de toenemende dreigingen de prioriteit ....................................... ......................................................................ve manier inclusief de kosten baten analyse dienen te ventileren.

Voor mij is het ook een roeping net zoals dat beroep arts een roeping was...vroeger.

Amen
19-01-2017, 19:08 door Anoniem
slecht stuk, zie geen feiten of referenties.
19-01-2017, 22:29 door Anoniem
Ik vind "de overheid" nogal ruim geformuleerd, net zo ongrijpbaar als "het volk" of "de burger". Kan me niet voorstellen dat elke gemeente precies oplijnt met elk ministerie en elke overheidsdienst qua beveiliging, of ze zouden allemaal op 0 moeten zitten en dat is gewoon niet zo.

Dus graag wat specifieker: betreft het gemeentes, waterschappen, rijksdienst, ministerie, ZBO? Allemaal, of een paar? En welke dan en waarom ben je die overtuiging toegedaan?
Met algemene gevoelens kan ik niet zoveel. Trend signalering is leuk maar daar moeten wel harde cijfers onder zitten anders vind ik het toch echt "ook maar een mening".
20-01-2017, 01:56 door Anoniem
Door Anoniem: slecht stuk, zie geen feiten of referenties.

Waarschijnlijk nog maar een paar dagen geduld oefenen, als je alles alleen nog voorgekauwd in telegramstijl wil lezen.
dinsdag.org/index.php?news=73

--
Als je eerder de feiten en referenties wil, doe wat moeite en lees dan gewoon even iets dieper door..
En haal ondertussen de eindeloze stroom 'het ging alweer fout met de security bij ...' nieuws berichten van de afgelopen jaren voor de geest, incl huidige enorme hoeveelheid data-lek meldingen van de overheid zelve.
Of.. doe zelf bijv eens een nmap -T Polite -F -Pn -sV --randomize-hosts langs het KPN-Gemnet, om zelf te zien wat er boven komt drijven, en hoe peper-dure SOC's zich zelf zit blind staren op te abstracte status schermen IPV aanvallen door juiste configuraties en architectuur keuzes bij voorbaat af te weren, voor een fractie van dat nu verkwanselde budget.
Gemnet zegt neem ik aan wel iets, en wat daar allemaal in/aan/achter hangt? En waarom bijv de fiscus even geen nieuwe zaken wil doen met die door ACM beboete, grove nalatigheid voortzettende, semi geprivatiseerde Critical-Infra leverancier monopolist KPN, maaar bijv de IBDgemeenten.nl en NCSC het niet nodig achten om hun klanten daarover te informeren/waarschuwen, en zo doen alsof hun neus bloed, in naam van de ....

Humor?: Schijf eens echt helemaal voluit, in woorden zonder afkortingen, waar de handelsnaam "Koninklijke KPN NV." voor staat..
Dan is misschien duidelijk hoe verknipt die ivoren-toren bende geworden is door de jaren poldermodel met zelf-toezicht.


c'est la vie;
Wij willen Holland hoog opstoten midden in de vaart der volkeren, en daarbij doet het volk zelve niet ter zake.

~ Welterusten
20-01-2017, 08:48 door Anoniem
Door Anoniem: slecht stuk, zie geen feiten of referenties.

De enige referentie is naar zichzelf - een linkje naar z'n eigen website...
20-01-2017, 09:05 door Anoniem
Inderdaad, en als je de overheid en providers een beetje kent, inhoudelijk ook zeer twijfelachtig.
20-01-2017, 09:43 door Anoniem
dinsdag.org/index.php?news=70
Even snel gekeken. Ook weer snel weg geklikt. Niet erg interessant en lees voornamelijk bla bla bla en een hoop ik vind....

Sorry, waar heb mijn vrije tijd zojuist slecht besteed, ik had beter naar RTL boulevard kunnen kijken.
20-01-2017, 10:59 door Anoniem
Ipso Facto:

www.security.nl/posting/500610/Politie+lekt+gevoelige+e-mails+via+verlopen+domeinnamen
"De politie zou echter niets met zijn melding hebben gedaan."


?*Welke wereldvreemde oenen versturen in deze tijd nog dat soort 'classified' informatie via publieke systemen en zonder crypto.
22-01-2017, 19:58 door Anoniem
Mijn laptop met W7 is na al die Security / Quality updates en fixes (rollups) allen maar stabieler geworden. Ik ruim de C-schijf wel weer op!
Telemetry heb ik enkel uit principe uitgezet in Windows services.
Voor de rest installeer ik vrijwel alle aangeboden updates van de maker van het OS.
Kies een ander besturingssysteem als je Microsoft niet vertrouwd.
Met mijn Linux PC doe ik niet anders... alles gewoon installeren en niet al te moeilijk doen.

Mate

.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.