Is het de bedoeling dat die figuur 4.2 in de PDF aanklikbaar is?

80% van de ziekenhuizen is NIET gecertificeerd voor NEN7510. De helft voldoet aan (de verlichte) eisen. Als da niet waar is voldoet de helft er niet aan.

Beste karma4,

De meeste IT heeft geen TinSec opleiding en weet dus niet veel af van beveiligingszaken, zeker niet de p- & m-developers, die zaken bouwen. Zij kunnen niet beoordelen waarom een bepaald encryptie protocol bijvoorbeeld valse uitkomsten kan geven. Wat weten ze van een lamda generator. Hoeveel combinaties zijn te maken met 8 boeken op een rij? Trek eens een willekeurig https website domein door deze scanner: https://cryptoreport.websecurity.symantec.com/ ....en verbaas je wat je allemaal aan onveiligheid tegenkomen kan.

Aan de andere kant zijn er groepen, die dat exact weten en daarom een groot voordeel op de andere groepen hebben. Zij staan bij het creëren van cyberrisico al een paar punten voor op de rest.

De infrastructuur is dus volgens mij a priori by design holed en onveilig. Ik wil geen lang betoog houden om dat aan te tonen. Zij die slim zijn gissen en de dommen beslissen lis een credo en ligt daaraan ten grondslag.

Daarom zal het met de controle ook nooit iets worden. Het aloude probleem dat de antieke Romeinen al kenden, gedenk de uitspraak van de dichter Juvenal: "Quis custodiet ipsos custodes?" of zoiets al "Wie controleert de controleurs?".

lauferek

Beste Ned Poorten,

De ?-calculus is, inde kern, een eenvoudige notatie voor functies en applicaties. Het is een begrip uit de theoretische informatica en meer lees je erover hier: https://en.wikipedia.org/wiki/Lambda_calculus

TINSec, technische informatica security studenten maken toetsen met o.a. het berekenen van ?-calculus opgaven met een eenvoudige rekenmachine.

M.i. een zinloos iets, als de generatoren gewoon online te vinden zijn, maar elke docent gaat niet volledig mee in de recente ontwikkelingen en is soms een beetje oudbollig bezig. Zie: https://www.npmjs.com/package/generator-lambda
Online hier te vinden: https://people.eecs.berkeley.edu/~gongliang13/lambda/

Mijn punt is bij cybersecurity dat de mensen die van de hoed en de rand weten en later ook ingezet worden bij de zogeheten drie- en vier-letterdiensten technische informatici zijn.

Twee verdiepingen lager zitten de lieden die websites inkloppen op hun Apple laptoppies, de reguliere IT, die veiligheid alleen met mondjesmaat in het curriculum krijgen aangeboden met een verhaaltje over verschillende soorten hackers, maar ze leren niet of nooit echt veilig coderen en beoordelen zoals de technische informatica dat leert (geen reguliere expressies toepassen) en zo is de onveilige situatie, die we nu hebben gegroeid.

Loop zelf regelmatig rond op een Hogeschool voor Toepaste Wetenschappen - afdeling IT Studies en weet dus wat daar leeft. Daarnaast ben ik goed ingevoerd in de AV-wereld. Het is de toegevoegde 3rd party code, later soms weer snel verlaten, die ons parten speelt, ook voor linux code met al een verjaardagstaart met 11 kaarsjes (debian gefeliciteerd). Wat o.a. NSA en IBM etc zitten toe te voegen, raakt de veiligheid van de hele infrastructuur en dit dient haarfijn blootgelegd voor de bescherming van een ieder, anders blijven we steeds bij de neuzen rondgevoerd en weten niet waar het aan ligt, dat het toch steeds weer mis gaat.

groetjes,

lauferek.

Certificering is wat anders dan beveiliging op orde hebben. 't Doet mij denken aan deze geweldige Dilbert strip http://dilbert.com/search_results?terms=Vast+Power+Of+Certification.
Natuurlijk kan certificering wel onderdeel zijn van een programma voor informatiebeveiliging, maar dan is het ook dat, een onderdeel.

Anoniem van 09:21 heeft volkomen gelijk net als het streven via de campagne om te komen tot https everywhere en anywhere, dan heb je een veilige connectie, maar wat daarachter aan onveiligheid zit. Hoe bijvoorbeeld naamservers excessieve versie info lekken = proliferatie (bind versies etc.), cloudservice veiligheid gegarandeerd tot aan de rackdeur?

Laten maar niet het voortdurend verder outsourcen noemen, waardoor men later lekker met het vingertje elders kan wijzen.

Certificering zoals een gratis certificaatje geinstalleerd als root op de server en certificering via een onveilig pretcertificaat
zijn maar onderdelen en de "vlag dekt niet immer de lading" als de reageerder zo treffend aangeeft.

De smart ass gist en de manager zonder IT verstand beslist (vaak) De makke van de huidige bedrijfscultuur en daar helpt geen webreputation managing tegen. Ook Security Through Obscurity is een gemakkelijke valkuil. Zo tobben we vaak maar verder.