Ik denk dat er in dit jaar en volgend jaar flink meer geïnvesteerd gaat worden in 'Cyber Security'. Wel nog steeds erg jammer dat we wachten op een grote aanval op onze infrastructuur tot er actie wordt ondernomen.

Klopt. Iets met kalf en gedempte put...

En wederom lijkt het erop dat de drie pijlers "kennis - houding - gedrag" onvolwassen zijn. Maar goed, je kunt die lat ook niet te hoog leggen om verantwoord met andermans gegevens om te gaan natuurlijk. Misschien moeten mensen daadwerkelijk eens hoofdelijk aansprakelijk worden gesteld, inclusief management, dat wellicht te weinig budget vrijmaakt voor dit soort zaken en te weinig prioriteit geeft aan informatiebeveiliging. Fouten maken we allemaal, maar dit neigt naar onwil, onkunde en amateurisme.

Misschien een noodactie om deze gaten te dichten en vervolgens weer terug naar de orde van de dag.
Structureel geld voor cybersecurity, ik zie het niet gebeuren. Dan moet er eerst een groot/belangrijk systeem onderuit gaan.

Zouden de kosten inmiddels niet zo hoog oplopen dat overheden maar een beetje lapmiddelen inzetten?
En: wie heeft goed overzicht en kan dan goed aansturen?
En zijn marktpartijen op dit gebied wel transparant en eerlijk op dit gebied?
Lopen we inderdaad al niet te ver achter de feiten aan?

Dit is een van de betere vragen waar journalisten het zelden over hebben als het om verontwaardigd nieuws gaat over beveiliging. Het bedrijfsleven heeft nauwelijks verplichting tot transparantie maar heeft wettelijk ook nauwelijks beperkingen welke data ze over personen verwerken. De overheid moet waar mogelijk verplichte transparant zijn en kan veel minder gegevens verwerken tenzij er een wettelijke uitzondering is.

Dát is pas "Openbaarheid van Bestuur"!

Het rapport en alle stukken zijn vanmiddag toch openbaar gemaakt.
http://nos.nl/artikel/2166887-rapport-over-ict-beveiliging-rotterdam-toch-openbaar.html
https://rekenkamer.rotterdam.nl/onderzoeken/in-onveilige-handen/


Aldus de Rotterdamse wethouder Visser.

Die opmerking van de wethouder over de formulering in het rapport en lijkt te bevestigen waarom er zoveel misstanden zijn gevonden in de ICT beveiliging van de gemeente. Of hij trekt als inhoudelijk onkundig bestuurder liever eigenwijs de risico's in twijfel en bepaalt zijn eigen conclusies. Of hij hecht er meer waarde aan dat de conclusies niet te hard zijn ook al spreken de risico's voor een wel inhoudelijk kundig persoon voor zich.

Vermoedelijk heeft de rekenkamer doorzien dat de wethouder en de ambtelijke leiding niet van plan was om de beveiliging aan te pakken, ook al zijn er 700 kritieke lekken door FoxIT/Hoffman ontdekt bij het intern testen. Wie dat soort rapporten kent weet dat een kritiek lek meestal de mogelijkheid tot het eenvoudig krijgen van rechten op nivo van system of administrator gaan, je als hacker je eigen code kan uitvoeren of je door foute rechten bij gegevens van anderen kan komen. Als dat door 46 problemen komt dan zit daar als oorzaken vast tussen dat er heel veel verouderde software draait en professionele beheerprocedures of het naleven daarvan ontbreken.

Hoe dan ook kan je bij die opmerking van de wethouder op zijn minst de vraag stellen wanneer de wethouder dan wel meteen actie zou ondernemen om kritieke beveiligingsbevindingen te dichten. Er blijven niet veel andere opties over dan dat hij alleen in actie komt als het te laat is.

@ anoniem van 15:39

Ik denk wat je daar opmerkt over "achter de feiten aanhobbelen", best wel eens als eufemistisch mag worden aangeduid.

De hele infrastructuur globaal is compleet "pn*wed", gatenkaas dus, ten behoeve van globaal commercieel data-slurp geweld en de surveillance-behoefte van overheden, groot en klein.

Heel Amazon net bijvoorbeeld deelt alles direct met de Amerikaanse bekende drie letter dienst met hun hoofdkantoor bij de DWW, namelijk te Frankfurt a. M., in het hart van het "Vierde Rijk"(in opbouw).

Kun je voldoende vingers krijgen achter wat ze aan de andere kant van je scherm aan het uitspoken zijn in de cloud. Vault7 van Assange laat er iets van doorschemeren, maar dat is maar een gecontroleerd lekje.

Waar cert. cyphers geserveerd worden van de zwakke kant boven in plaats van andersom. Daar waar cloudbleed helpt, samen met slechte configuraties. Waar geprofiteerd wordt van IT onkunde en incompetentie (zondigen tegen same origin, inline scripting, XSS dom injectie kwetsbaarheden, ontbrekende sri-hashes, ontbrekende security headers, kwetsbare verouderde en verlaten code, geobfusceerde kwaadaardige code, hand en span diensten van grote spelers desnoods under "gag" order en ga zo nog maar een kwartiertje door.

Wat men jaren en jaren met opzet ten behoeve van het beheersen van de infrastructuur puur vanwege de onstilbare honger naar macht heeft laten voortwoekeren, krijg je niet een twee drie weer een beetje veiliger. Het is al a priori onveilig. Nog een wonder dat het nog langer meegaat als de bekende zeem van het merk met de V. Daar zitten op laatst de gaten ook goed in.

Men heeft ons een lekkere worst voorgehouden en het bleek een plastic banaan te zijn geweest. ;)

Ga "code all sorts" maar eens doorpluizen op fout en kwetsbaarheid en je schrikt je rot.

De situatie nu aangetroffen in Rotjeknor <(..)> is alleen maar exemplarisch voor zo'n algemeen beeld.
Het deksel gaat een heel klein beetje van de put en nog houdt men het er liever op.

Nooit wat van gemerkt. Zal wel loslopen. Ik denk dat de kwaliteit van (het rapport van) de Rotterdamse onderzoekers op hetzelfde niveau zitten als de (posts van de) posters. Maar een kritisch geluid is nooit weg en je kan je systemen daarop inrichten.

Als er wat aan te merken valt, snel in ontkenningsmodus schieten. Hoe vaak heb ik dat al meegemaakt.

Eerst een verontwaardigde reactie op een aangetoond veiligheidsgebrek. Dan proberen de ander snel af te bluffen.
Agressief gedrag dat de onkunde moet verbloemen.

Vervolgens wordt aangetoond waar gemitigeerd moet gaan worden en dan snel over je hoofd heen vragen of de melding offline kan worden gehaald.

Snelle downplay van hetgeen aan de orde wordt gesteld, want als baas eens zou merken, hoe incompetent men eigenlijk is en hoe slordig, Dan is dat is niet zo goed.

Welke beveiligingsonderzoeker herkent dit scenario niet ergens uit de praktijk.

--------------------------------------

Helemaal anders kan ook. "Hi, thank you guys, You guys are awful". En na zo'n reactie gaan we dan ook de volle extra mijl en doen we nog iets extra's. Krul in de staart en extra aangescherpt.

Er zijn ook nog fijne lui, die samen met je naar een oplossing gaan zoeken. Win-win situatie. En beide partijen hebben er volop bij gewonnen, de bevestiging en de expertise gaan dan voortaan hand in hand.

Maar ja, goed en slecht komen tenslotte op hetzelfde punt uit. Het slechte doet er echter onnoemelijk veel langer over dan het goede en daar hoef je geen zen voor te kennen om dat in te zien.

Bovenstaande tekst slaat alleen maar op Rotterdam. Hoe zou het in alle andere grote en middelgrote steden zijn? Net zo beroerd of nog erger?

Ik snap überhaupt niet waarom zulke informatie zonodig publiekelijk moet worden gemaakt.

Zeer herkenbaar. En zeer hekelend om afgerekend te worden op datgene wat jouw taak is / "waar je voor betaald wordt". Het getuigt van een vergelijkbaar niveau als een agent uitschelden om het feit dat hij een proces verbaal op zou stellen.

Je komt dit vooral tegen in combinatie met haantjes gedrag waar competentie klaarblijkelijk laakt. Vaak lijken ze te denken dat zo te verbloemen, maar dat is juist een van de weinige sterke indicatoren dat je met een niet-competente-IT'er te maken hebt als hij, zeker onderbouwende, kritiek niet kan gebruiken in constructieve vorm.

Zelf doe ik daar mijn eigen ding mee en heb wel eens bij zo'n "contact" het gesprek opgenomen en die raaskal rechtstreeks aan de leidinggevende laten horen. In twee van de drie gevallen waren de betrokken mensen nagenoeg direct uit hun functie ontheven (tip!)

Omdat hun salaris en de infra-structuur door ons betaald zijn?
Omdat ze voor de burgers werken en dus verantwoording verschuldigd zijn aan de burgers?
Omdat ze voldoende tijd gehad hebben om maatregelen te nemen, maar dit niet gedaan hebben?
Omdat anders een beroep gedaan (kan) word(t)(en) op de WOB?
Omdat veiligheid één van de belangrijkste dingen in het leven is, en het dus iedereen aan gaat?

Ga maar van een gangbare aanpak in elke organisatie uit. Lees het rapportt (toch openbaar) https://rekenkamer.rotterdam.nl/app/uploads/2017/04/R.O.16.03-in-onveilige-handen-06.04.2017.pdf

"Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.
a De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld."
en
"De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik."

Deze vind ik wel wonderlijk
"7 In het geval van het datalek zijn te weinig mogelijke lessen getrokken.
Door het datalek in februari 2016 waren persoonsgegevens van 32.000 personen tijdelijk via internet te bereiken. Zowel de medewerker die het lek veroorzaakte als de gemeente hebben na het bekend worden van het datalek meteen acties ondernomen om het lek te dichten en relevante partijen te informeren."
Uitwerking pagina 46 aanduiding 3-2.

De gemeente Oegstgeest gaf namelijk aan in de voorlichting naar de burgers dat ze behalve dat ze van het datalek op de hoogte zijn gesteld niets wisten of het hoe en wat.(bewerkers taak).
Het CMI van BZK (4 fte) stelde dat de gemeente er niet veel aan kon doen en dat een deugdelijke controle op persoon (wab artikel 12 ) niet ingevuld hoeft te worden. Tja BZK CMI is verantwoordelijk voor vastleggen en uitgeven id-bewijzen https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/documenten/formulieren/2014/10/23/meldingsformulier-identiteitsfraude https://www.rvig.nl/documenten/brochures/2015/02/20/het-centraal-meldpunt-identiteitsfraude-en-fouten-cmi