Nieuws
image

NSA heeft beveiliging na Snowden nog steeds niet op orde

maandag 19 juni 2017, 15:59 door Redactie, 14 reacties

Na de onthullingen door klokkenluider Edward Snowden heeft de NSA de eigen beveiliging nog steeds niet op orde. Dat blijkt uit een vertrouwelijk overheidsrapport (pdf) dat de New York Times via een beroep op de Amerikaanse versie van de Wet openbaarheid van bestuur (Wob) in handen wist te krijgen.

Uit het rapport, afkomstig van de inspecteur-generaal van het ministerie van Defensie, blijkt dat de NSA consistent racks met servers die vertrouwelijke data bevatten niet op slot doet. Daarnaast heeft de inlichtingendienst het aantal functionarissen en gedetacheerd personeel die "top secret" materiaal mogen downloaden niet teruggebracht, alsmede het aantal gebruikers met speciale rechten om gevoelige NSA-systemen te benaderen. Daarnaast is de software om gebruikers te monitoren niet volledig uitgerold.

Het rapport stelt verder dat de interne controle van de NSA voor het datalek door Snowden in 2013 erg slordig was. Zo kon de NSA niet zeggen hoeveel gebruikers met speciale rechten en functionarissen gegevens mochten kopiëren. De lijsten werden in spreadsheets bijgehouden die beschadigd raakten en niet langer beschikbaar zijn. De chief information officer van de NSA had de inspecteur-generaal gewaarschuwd dat het onmogelijk is om de dreiging van 'insiders' helemaal tegen te gaan.

Reacties (14)
19-06-2017, 16:10 door karma4
Een lange lijst van organisatorische en procesmatige maatregelen die mij te bekend voor komt.
Voordat je over techniek begint zou je die op orde moeten hebben. De beslissers verbergen zich er liever achter dat het technisch is en veel te lastig voor normale mensen.
19-06-2017, 19:03 door [Account Verwijderd]
[Verwijderd]
19-06-2017, 21:15 door karma4
Door Neb Poorten:
Ja natuurlijk herken jij dat! Het is namelijk wat je krijgt als je figuren die de ballen verstand hebben van techniek hun 'licht' erover laat schijnen.
Elke wat grotere organisatie zeg 100+ man heeft die uitdaging.
Gewoon omdat de boardroom ofwel c-level los komt van het uitvoerend werk. Het 9 vlaks model van r.maes gast leven vja oRdganisatieadvies bureau's. Alleen voor hobbyisten en startups heb je wat anders. Bij 1000+ fte omvang is het bijna gegarandeerd. Je geeft, aangezien je het niet herkend hebt, je achtergrond prijs.


De techniek is het probleem niet als je er maar geen beslissers op zet die de techniek niet begrijpen. Dan krijg je het ene plannetje na het andere, zonder daadwerkelijk inzicht bedacht, doelloos, zinloos.
Dat klopt, het speelt bij elke organisatie van genoemde omvang. Bedenk de beslissers hebben de budgetten de contacten met dienstverleners en leveranciers. Als uitvoerende kracht helodesk beheerder heb je te luisteren en niets te bepalen. Je kunt opzouten als je te lastig bent.
19-06-2017, 21:53 door Anoniem
Ja en uiteindelijk creeren we het dan zelf het digitale meta-data slurpende monster in een organisatie,
zonder er nog volledig controle over te hebben.


The Matrix.
19-06-2017, 23:10 door [Account Verwijderd]
[Verwijderd]
20-06-2017, 00:25 door Anoniem
@Neb Poorten,

Ja, jij hebt ook allang door dat de afdelingen media en commercie overal de dienst uitmaken en de manager of CEO overhead. Die er verstand van hebben beslissen niet, die beslissen hebben er meestal geen verstand van.

Kijk naar het WOT drama, de developer van deze online webreputatie organisatie verliet het toen zinkende schip en een Finse interim manager en durfkapitalist zag kans alle data van deze online dienst te versjacheren aan de hoogste bieder.

Men kreeg er lucht van, een Duits onderzoeker plaatste een artikel en WOT's reputatie had niets meer aan crisis managment.

Nu wachtend om onder een ander concept nog onherkenbaar mee te draaien.

Herkenbaar dus, leuk is het niet, anders wordt het niet vrees ik. Ik zie het waar ze opgeleid worden en met welke filosofie, velen arrogant en nog vaak te dom om te p*epen, maar na enige tijd poen en dan strontvervelend natuurlijk, nouveau riche, Je kent het wel.

Zo gaat IT naar de challemieze en het ziekenhuiswezen, de grote huishoudartikelen ketens en zo'n 40% van de bedrijvigheid, opgevreten door de domheid, die regeert. Erasmus wist het al, maar wat maakte zijn opmerkingen uit.
20-06-2017, 05:13 door karma4
Door Neb Poorten:
Tuurlijk ventje... Ik werk normaliter voor de R&D afdelingen van grote bedrijven. Als de software klaar is dan wordt die over de schutting gegooid naar de afdeling IT die de uitrol verzorgt. Daar hoef en wil ik me inderdaad niet mee bezig houden.
Al die brakke iot apparaten. Slechte software die houtje touwtje bij elkaar geraapt is zonder duidelijke samenhang komt inderdaad daar van die R&D afdelingen vandaan. Het wordt door de verkopers als fantastisch afgedaan.

Accountantsbureau's als KPMG verdienen er goud aan om een ander een klein beetje beter te krijgen. Ik noem even KPMG omdat daar nu van SAP vaak wat zie langskomen.

Je geeft exact aan waar het met informatiesecurity data secùrity misloopt. Eingewijze ontwikkelaars bij leveranciers die denken dat ze zelf zo fantastisch zijn maar ondertussen de boel feitelijk aan het ruïneren zijn.
Ach ik kan me er prima mee vermaken om dat bij te sturen. Het is wel jammer dat duidelijk is dat de ict en cybersecurity zo behoorlijk stil staat

Mag ik je bedanken voor die duidelijke onderbouwing van de root cause. Nu nog de stap dat je die root cause erkent.
20-06-2017, 05:13 door karma4
Door Neb Poorten:
Tuurlijk ventje... Ik werk normaliter voor de R&D afdelingen van grote bedrijven. Als de software klaar is dan wordt die over de schutting gegooid naar de afdeling IT die de uitrol verzorgt. Daar hoef en wil ik me inderdaad niet mee bezig houden.
Al die brakke iot apparaten. Slechte software die houtje touwtje bij elkaar geraapt is zonder duidelijke samenhang komt inderdaad daar van die R&D afdelingen vandaan. Het wordt door de verkopers als fantastisch afgedaan.

Accountantsbureau's als KPMG verdienen er goud aan om een ander een klein beetje beter te krijgen. Ik noem even KPMG omdat daar nu van SAP vaak wat zie langskomen.

Je geeft exact aan waar het met informatiesecurity data secùrity misloopt. Eingewijze ontwikkelaars bij leveranciers die denken dat ze zelf zo fantastisch zijn maar ondertussen de boel feitelijk aan het ruïneren zijn.
Ach ik kan me er prima mee vermaken om dat bij te sturen. Het is wel jammer dat duidelijk is dat de ict en cybersecurity zo behoorlijk stil staat

Mag ik je bedanken voor die duidelijke onderbouwing van de root cause. Nu nog de stap dat je die root cause erkent.
20-06-2017, 05:26 door [Account Verwijderd]
[Verwijderd]
20-06-2017, 09:03 door karma4
Door Neb Poorten:
Nee ventje, geen IoT- en geen slechte software!
De rest van jouw lulverhaaltje laat ik voor wat het is.
Ah, het bekende verhaal net zoals bij het NSA artikel.
De verantwoordelijkheid ontkennen en afschuiven op andere zaken. Zodra je er op wijst kwaad en beledigend worden.
Je gaf zelf aan dat je nergens een boodschap aan hebt enkel jezelf fantastisch vind.
20-06-2017, 09:41 door [Account Verwijderd] - Bijgewerkt: 20-06-2017, 09:52
[Verwijderd]
20-06-2017, 09:53 door [Account Verwijderd] - Bijgewerkt: 20-06-2017, 09:59
[Verwijderd]
20-06-2017, 10:00 door Whacko
Door karma4:
Door Neb Poorten:
Nee ventje, geen IoT- en geen slechte software!
De rest van jouw lulverhaaltje laat ik voor wat het is.
Ah, het bekende verhaal net zoals bij het NSA artikel.
De verantwoordelijkheid ontkennen en afschuiven op andere zaken. Zodra je er op wijst kwaad en beledigend worden.
Je gaf zelf aan dat je nergens een boodschap aan hebt enkel jezelf fantastisch vind.
Waarom moet het nou altijd in een persoonlijke discussie eindigen met jou? geef het nou eens op. geef toe dat je zelf een van die c-level managers bent die wel iets hebben horen luiden, maar geen idee heeft waar de klepel hangt. Want elke keer op elk artikel, komt er er weer een verhaal langs waarvan je in eerste instantie denkt: "goh volgens mij heeft deze jongen wel een punt", en dan als je door denkt, en leest, zie je dat het nergens over gaat. De zinnen onsamenhangend en bijna onleesbaar aan elkaar hangen. en elke keer op de persoon spelen dat mensen je "vragen waar het eigenlijk om gaat" niet beantwoorden, terwijl dat vaak de meest logische dingen in het hele verhaal zijn en geen extra vraag nodig hebben.
20-06-2017, 10:39 door Anoniem
Door Whacko:
Door karma4:
Door Neb Poorten:
Nee ventje, geen IoT- en geen slechte software!
De rest van jouw lulverhaaltje laat ik voor wat het is.
Ah, het bekende verhaal net zoals bij het NSA artikel.
De verantwoordelijkheid ontkennen en afschuiven op andere zaken. Zodra je er op wijst kwaad en beledigend worden.
Je gaf zelf aan dat je nergens een boodschap aan hebt enkel jezelf fantastisch vind.
Waarom moet het nou altijd in een persoonlijke discussie eindigen met jou? geef het nou eens op. geef toe dat je zelf een van die c-level managers bent die wel iets hebben horen luiden, maar geen idee heeft waar de klepel hangt. Want elke keer op elk artikel, komt er er weer een verhaal langs waarvan je in eerste instantie denkt: "goh volgens mij heeft deze jongen wel een punt", en dan als je door denkt, en leest, zie je dat het nergens over gaat. De zinnen onsamenhangend en bijna onleesbaar aan elkaar hangen. en elke keer op de persoon spelen dat mensen je "vragen waar het eigenlijk om gaat" niet beantwoorden, terwijl dat vaak de meest logische dingen in het hele verhaal zijn en geen extra vraag nodig hebben.

hear ! hear !

https://www.security.nl/rules
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure