image

CPB brengt cyberrisico's voor economie in kaart

maandag 3 juli 2017, 16:23 door Redactie, 9 reacties

Het Centraal Planbureau (CPB) heeft vandaag de Risicorapportage Cyberveiligheid Economie gepresenteerd die meer inzicht moet geven in het belang van cyberveiligheid voor de economie (pdf). Zo wordt er gekeken naar ontwikkelingen die zich voordoen op het gebied van cyberveiligheid en wat daarvan de gevolgen of risico’s voor de economie en samenleving zijn.

Volgens het CPB digitaliseert de samenleving steeds verder. Met deze digitalisering neemt ook het economische belang van cyberveiligheid toe. Cyberveiligheid draagt bij aan het benutten van economische kansen en voorkomt schade door uitval of verstoring van ict. Een gebrek aan veiligheid belemmert echter het gebruik van ict, maar maximale veiligheid is meestal ook niet optimaal: de kosten van volledige veiligheid wegen vaak niet op tegen de baten ervan voor de maatschappij, aldus het CPB.

In de conclusie van het rapport gaat het CPB op verschillende zaken in, zoals encryptie, het gebruik van zeroday-lekken door inlichtingendiensten, de aanpak van cybercriminelen en het gebrek aan concrete cijfers over de schade die door cybercrime wordt veroorzaakt. Daarnaast wordt gegevensuitwisseling in de zorgsector besproken. "Een verplichte publieke infrastructuur voor gegevensuitwisseling in de zorgsector kan naleving van normen makkelijker maken, voorkomt afhankelijkheid van een enkele private partij en kan burgers inzicht geven in wie toegang tot hun gegevens heeft. Onderzocht kan worden of deze voordelen opwegen tegen de risico", schrijft het CPB.

Reacties (9)
03-07-2017, 16:53 door marcod - Bijgewerkt: 03-07-2017, 16:53
Is het de bedoeling dat die figuur 4.2 in de PDF aanklikbaar is?
03-07-2017, 18:14 door karma4
80% van de ziekenhuizen is NIET gecertificeerd voor NEN7510. De helft voldoet aan (de verlichte) eisen. Als da niet waar is voldoet de helft er niet aan.
03-07-2017, 19:03 door [Account Verwijderd]
[Verwijderd]
03-07-2017, 19:17 door Anoniem
Beste karma4,

De meeste IT heeft geen TinSec opleiding en weet dus niet veel af van beveiligingszaken, zeker niet de p- & m-developers, die zaken bouwen. Zij kunnen niet beoordelen waarom een bepaald encryptie protocol bijvoorbeeld valse uitkomsten kan geven. Wat weten ze van een lamda generator. Hoeveel combinaties zijn te maken met 8 boeken op een rij? Trek eens een willekeurig https website domein door deze scanner: https://cryptoreport.websecurity.symantec.com/ ....en verbaas je wat je allemaal aan onveiligheid tegenkomen kan.

Aan de andere kant zijn er groepen, die dat exact weten en daarom een groot voordeel op de andere groepen hebben. Zij staan bij het creëren van cyberrisico al een paar punten voor op de rest.

De infrastructuur is dus volgens mij a priori by design holed en onveilig. Ik wil geen lang betoog houden om dat aan te tonen. Zij die slim zijn gissen en de dommen beslissen lis een credo en ligt daaraan ten grondslag.

Daarom zal het met de controle ook nooit iets worden. Het aloude probleem dat de antieke Romeinen al kenden, gedenk de uitspraak van de dichter Juvenal: "Quis custodiet ipsos custodes?" of zoiets al "Wie controleert de controleurs?".

lauferek
04-07-2017, 12:56 door [Account Verwijderd] - Bijgewerkt: 07-07-2017, 23:46
[Verwijderd]
08-07-2017, 13:41 door Anoniem
Beste Ned Poorten,

De ?-calculus is, inde kern, een eenvoudige notatie voor functies en applicaties. Het is een begrip uit de theoretische informatica en meer lees je erover hier: https://en.wikipedia.org/wiki/Lambda_calculus

TINSec, technische informatica security studenten maken toetsen met o.a. het berekenen van ?-calculus opgaven met een eenvoudige rekenmachine.

M.i. een zinloos iets, als de generatoren gewoon online te vinden zijn, maar elke docent gaat niet volledig mee in de recente ontwikkelingen en is soms een beetje oudbollig bezig. Zie: https://www.npmjs.com/package/generator-lambda
Online hier te vinden: https://people.eecs.berkeley.edu/~gongliang13/lambda/

Mijn punt is bij cybersecurity dat de mensen die van de hoed en de rand weten en later ook ingezet worden bij de zogeheten drie- en vier-letterdiensten technische informatici zijn.

Twee verdiepingen lager zitten de lieden die websites inkloppen op hun Apple laptoppies, de reguliere IT, die veiligheid alleen met mondjesmaat in het curriculum krijgen aangeboden met een verhaaltje over verschillende soorten hackers, maar ze leren niet of nooit echt veilig coderen en beoordelen zoals de technische informatica dat leert (geen reguliere expressies toepassen) en zo is de onveilige situatie, die we nu hebben gegroeid.

Loop zelf regelmatig rond op een Hogeschool voor Toepaste Wetenschappen - afdeling IT Studies en weet dus wat daar leeft. Daarnaast ben ik goed ingevoerd in de AV-wereld. Het is de toegevoegde 3rd party code, later soms weer snel verlaten, die ons parten speelt, ook voor linux code met al een verjaardagstaart met 11 kaarsjes (debian gefeliciteerd). Wat o.a. NSA en IBM etc zitten toe te voegen, raakt de veiligheid van de hele infrastructuur en dit dient haarfijn blootgelegd voor de bescherming van een ieder, anders blijven we steeds bij de neuzen rondgevoerd en weten niet waar het aan ligt, dat het toch steeds weer mis gaat.

groetjes,

lauferek.
10-07-2017, 09:21 door Anoniem
Door karma4: 80% van de ziekenhuizen is NIET gecertificeerd voor NEN7510. De helft voldoet aan (de verlichte) eisen. Als da niet waar is voldoet de helft er niet aan.
Certificering is wat anders dan beveiliging op orde hebben. 't Doet mij denken aan deze geweldige Dilbert strip http://dilbert.com/search_results?terms=Vast+Power+Of+Certification.
Natuurlijk kan certificering wel onderdeel zijn van een programma voor informatiebeveiliging, maar dan is het ook dat, een onderdeel.
10-07-2017, 19:00 door Anoniem
Anoniem van 09:21 heeft volkomen gelijk net als het streven via de campagne om te komen tot https everywhere en anywhere, dan heb je een veilige connectie, maar wat daarachter aan onveiligheid zit. Hoe bijvoorbeeld naamservers excessieve versie info lekken = proliferatie (bind versies etc.), cloudservice veiligheid gegarandeerd tot aan de rackdeur?

Laten maar niet het voortdurend verder outsourcen noemen, waardoor men later lekker met het vingertje elders kan wijzen.

Certificering zoals een gratis certificaatje geinstalleerd als root op de server en certificering via een onveilig pretcertificaat
zijn maar onderdelen en de "vlag dekt niet immer de lading" als de reageerder zo treffend aangeeft.

De smart ass gist en de manager zonder IT verstand beslist (vaak) De makke van de huidige bedrijfscultuur en daar helpt geen webreputation managing tegen. Ook Security Through Obscurity is een gemakkelijke valkuil. Zo tobben we vaak maar verder.
11-07-2017, 13:52 door [Account Verwijderd] - Bijgewerkt: 11-07-2017, 13:53
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.