Er wordt door ingewijden gefluisterd dat de securitisten van Maersk al jaren aan het roepen waren voor meer inspanningen maar daarvan werd het nut/noodzaak niet ingezien door "de leiding"; inderdaad een dure "wake-up call".

De prijs van lekke software in een monocultuur. En toch doen we er maar niets aan. Kennelijk vinden we het de prijs waard? Of is meer omdat we geen flauw benul hebben wat de prijs werkelijk is en het ook liever niet weten willen?

En dat met een bestuurrsvoorzitter die notabene uit de IT komt.

Wat een ongelooflijke bedragen en aantallen.......en dan de Security op zó een laag pitje hebben staan...inderdaad een flinke schop onder de kont....

Goed dat je het meldt, anders had ik hier geschreven 'en hebben het hele it team vervangen'. Ik hoop wel dat de aandeelhouders alle bonussen met terugwerkende kracht invorderen van die 'bestuurders'.

Ik denk dat dit niet geens gefluisterd is/wordt. Welkom om de grote wereld.......

Hopen dat een bedrijf er iets van leert....
Te veel vertrouwen op windows, te weinig updates er op gooien en hard roepen 'we hebben toch een virusscanner!'

Het is bij elke corporate hetzelfde. Op de bestuurstafel ligt het vraagstuk "doen we extra marketing of gaan we de firewalls upgraden?" Iedereen aan die tafel begrijpt wat marketing is en wat het oplevert. Op één na begrijpt niemand aan die tafel wat een firewall upgrade is en wat het oplevert.
Uiteindelijk krijg je dat dit soort toestanden die krankzinnig veel geld kosten.

Zie ik de video https://www-03.ibm.com/press/us/en/pressrelease/53602.wss al sinds 2016 en vermoedelijk langer in de boardroom. Ja hoor https://www-03.ibm.com/press/us/en/pressrelease/7432.wss "01 Dec 2004: IBM said today that its acquisition of Danish companies Maersk Data and DMdata has been completed.".
Hoe wordt de ICT van het UWV gewaardeerd?

Dan zeggen ze personeel is duur. Dit soort fouten kosten vele malen meer en had gewoon voorkomen kunnen worden. Dachten makkelijk meer winst te kunnen scoren. Hele goede management met ICT ervaring en dan dit? Snap niet dat ze salaris krijgen?

@ anoniem van 14:46

Goed gezien, maar als je dat roept, ben je een roepende in de woestijn. Was het slechts lekke software? We weten inmiddels wel beter - het is de hele digitale infrastructuur die barst van de onveiligheid, de verkeerde configuraties en instellingen, de opzettelijke verzwakking binnen protocollen, standaarden etc.. Het is sinds 1993 niet anders geweest en het is alleen maar nog meer scheef gegroeid. Eens zal generiek de wal het schip keren, maar wanneer komt dat moment?
Voor Maersk is zo'n moment al opgetreden.

Ten behoeve van wat is dit onveilig houden en waarom houdt men het angstvallig in stand? Je slaat ook daar de spijker op de kop "monopolisme", hetgeen de problemen alleen nog maar verergert. Aan de andere kant is security kennelijk een illusie en echte veiligheid zal immer een illusie blijven, maar is onveiligheid dit ook?

Wat doen we eraan. Voorlopig niets omdat men dit kennelijk niet wil. Niemand die de kat de bel aanbindt en de roependen in de woestijn, er wordt helaas naar hen niet geluisterd! Voor sommigen gaat het te goed en voor anderen nog niet slecht genoeg kennelijk. Is het glas nu half vol of is het half leeg?

luntrus.

Waar ik me vooral over verbaas, is dat er nu trots wordt gereageerd. "het is ons in 10 dagen gelukt!" Super gaaf als je dat lukt natuurlijk maar als je zo'n infrastructuur in place hebt om 50k systemen binnen 10 dagen uit te rollen, dan ben ik el benieuwd waar het oorspronkelijk mis ging en waarom er niet eerder een dagje genomen is om 10% van de machines te upgraden etc etc.
Los van alle IT en security gerelateerde zaken ben ik vooral benieuwd naar de reputatie schade. Er wordt erg veel in de media geroepen dat je maar moet uitkijken en dat security een must is. Want..... anders loop je financiele schade op EN reputatie schade. Dat laatste betwijfel ik dus. Zou er 1 bedrijf zijn die nu niet meer met Maersk werkt? Of met Equifax of met LinkedIN. Ik ben dus bang dat reputatie schade niet aan de orde is, sterker nog, ik denk dat de bedrijven dat al te goed weten en mede op basis daarvan niet meer investeren in security. Natuurlijk kan ik dat niet bewijzen of met feiten onderbouwen. Maar wat ik om me heen zie en wat ik hoor van bedrijven waar ik langs kom, zijn er erg weinig bedrijven bezig met het idee reputatie schade. Hopelijk helpt wetgeving dmv de aangescherpte AVG wel. Zo niet, dan moeten we misschien minder bezig zijn met de grote reuzen maar ons, als security experts, gaan richten op de mkb-ers en hun helpen security. Als zo'n bedrijf toch uitgroeit tot multinational zit het misschien al in z'n DNA en komt het met de security wel goed.
Wie weet :)

Heeft niets met goed betaald personeel te maken maar met gezond verstand.

"We moesten 4.000 nieuwe servers, 45.000 nieuwe pc's, 2.500 applicaties installeren, en dat werd middels een heroïsche inspanning in 10 dagen gedaan", aldus Snabe. "Normaliter, ik kom uit de it-industrie, zou je zeggen dat dit zes maanden zou gaan duren."

eerlijk is eerlijk het is fout gegaan maar dit is toch wel een goede prestatie

Wrang dat de verantwoordelijken bij Maersk een simpele analogie niet hebben gezien. Hun schepen zijn ongetwijfeld verdeeld in compartimenten zodat een lek niet het hele schip doet vollopen en zinken. Als ze dat principe op hun netwerk hadden losgelaten was hun probleem vermoedelijk al een heel stuk kleiner geweest.

Reputatieschade voor wie? De eerste vraag die je daarbij moet stellen wie was de uitvoerende partij voor de ICT?
Het zou zo maar kunnen zijn dat het uitbesteed is aan een grotere partij. (zie outsourcing cloud etc)
Voldoende mankracht achter de hand om dat soort dingen als massale uitrol te doen. Gewoon omdat het hun dagelijkse praktijk is om met veel grotere volumes om te gaan.
Eigenlijk zoals je ooit een uitwijkcentrum datacenter - kantoor gezamenlijk bekostigde. Te duur voor ieder voor zich maar te doen voor een cluster.

Waar ik me nog steeds hogelijk over verbaas is dat er niet wordt ingegrepen bij de core-routers/switches op internet om ellende uit te filteren. Hoeveel verkeer op internet is malafide of ongewenst ? Bij ons is 80 % van de inkomende e-mail spam. Die mail komt nooit op de interne server aan, natuurlijk. Maar wel op de internet gerichte mail-connector. Blijkbaar wordt er op de verkeerde plekken geld verdiend aan het in stand houden van ellende. Want anders was de rotzooi allang weggefilterd. En kom me nu niet aan met de dooddoener dat dat onmogelijk zou zijn of te duur. Wanneer de verspreiders worden geblokkeerd op het juiste punt, kost het geen bandbreedte. Hooguit wat geheugenruimte om een access-list meer te vullen.

Er is een groot verschil tussen een normale IT-er en (IT) security specialisten. De eerste willen alles zo gemakkelijk mogelijk doen, met de minste beheersinspanning. De tweede groep wil alles zo veilig mogelijk doen, wat soms betekent dat er wat extra handelingen uitgevoerd moeten worden.

Ik roep al sinds de vorige eeuw dat bij bepaalde applicaties twofactor nodig is. Maar de gebruikers hebben dat steeds tegengehouden, omdat het hun productie verlaagt. Met de AVG in zicht is eindelijk het standpunt van het management gewijzigd. En vinden er ook crisisoefeningen op IT-gebied plaats.

Peter

Echt niet het enige onderwerp waarmee ik dat ben. (Waarmee ik niet wil zeggen dat ik in elke woestijn gelijk heb. Wel dat het niet echt een prettige situatie is om in te zitten. Het is dat ik het niet kan betalen anders woonde ik naast Napoleon de 13e. Of ergens in de rimboe, ver weg van al die onzin.)

Dat is waar. Ook daarvoor wel, alleen eindeloze september is wel een mooi beginpunt van het duidelijk moeten worden van de noodzaak.

Maargoed, wat we nu hebben is de beste security die "vrije markt" ons wist te geven. In die zin zijn we veel te lief geweest, als "consument" net zo goed als als "regulator". Ook op andere gebieden. Waarom kan een bedrijf allerlei ontzettend rotte software"producten" van OS tot applicaties in de markt zetten en er goed aan verdienen en zijn er zoveel dappere kleintjes die met betere software kwamen maar het gewoon niet gered hebben? Kennelijk is qualiteit geen overlevingsstrategie in deze markt.

Is dat wel de goede vraag?

Daarnaast is er natuurlijk het probleem dat Maersk hier nu moet bloeden (en al hun klanten ook nog) voor een belofte van "is makkijk en intuitief en geen training benodigd!" van een fabrikant wier software uiteindelijk ondeugdelijk bleek.

Niet dat dat onbekend was. Iedereen wist het, gezien de enorme cottage industrie van "geef ons geld dan jagen we de cyberboemannen voor je weg". Die niet geheel maar wel voornamelijk ontstaan is uit de terminale laksheid van een enkele fabrikant. Die daar nog steeds mee wegkomt. Terwijl je hun falen zo ongeveer kan aflezen aan de beurstickers van de securitybedrijfjes. Maar waar ze gek genoeg niet zelf op afgerekend worden.

In die zin is het nuttig dat Maersk een partieel prijskaartje op dit incident weet te plakken. Zoveel kan het dus kosten. Hoe kosteneffectief is die oplossing nog als je de resulterende vereiste verzekeringspremie erbijoptelt?

En ook: Is alleen naar het geld kijken een afdoende afweging?

Dat vroeg ik me ook al af. Als ik moet gokken, iets van een combinatie van niet zien, of niet willen zien, wellicht omdat de materie tegen-intuitief is en mischien zit er ook wel een stukje eigenbelang bij. Zie de "consulting" demotivator van despair inc. (Disclaimer: Geen relatie. Ik zou aandelen van ze moeten hebben maar heb ze niet.)

Nouja, kijk, ik denk dat een hoop veiligheid illusie is, en na incidentjes makkelijk doorschiet. Maar tegelijkertijd zit er tussen die illusie wel het een en ander aan verbetering. Bijvoorbeeld de brandveiligheid na "Volendam" is in zekere zin wel verbeterd simpelweg door overal nog eens goed naar te kijken. Dat er dan soms wantstaltig paniekvoetbal gespeeld wordt en dat het hele feest natuurlijk bakken vol geld kost, ook voor tentjes die de veiligheid eigenlijk wel redelijk op orde hebben, is minder leuk en zelfs onnodig duur, maar doet dan hopelijk weer niet af aan de ondertussen ook wel geboekte winsten.

Dat het onderliggende probleem juist veroorzaakt werd door laks naleven van de regeltjes door de ambtenaren die hadden moeten controleren maar het niet deden en dat daar niets aan gedaan werd, maar als remedie wel meer (vaak dure) regeltjes over de landelijke samenleving werden uitgestort is wat mij betreft minstens op het randje van crimineel, maargoed, we dwalen af.

Of, mischien dat je het gemerkt hebt maar er zijn allerlei rivieren in Duitsland en Frankrijk uit hun oevers getreden wat ook het een en ander aan ellende en geld kost. Hier kwam het nauwlijks in het nieuws. "Oh ja de koeien moesten uit de uiterwaarden. Straks mogen ze weer terug." Verder gebeurde er niets. Maar dat is wel het resultaat van jarenlang, zelfs eeuwenlang, noest waterbeheer. Met als meest recente drive "ruimte voor de rivier". Kost wat, maar heeft kennelijk wel gewerkt. Hoe reken je daar de kosteneffectiviteit van uit? Geschatte uitgebleven schadeclaims?

In die zin is waterbeheer nu voor buitenstaanders terecht een ontzettend saai onderwerp in Nederland. Wat ook een risico is: Je moet je iedere keer weer bedenken dat we de waterschappen betalen voor die saaiheid. Dat computer security dat niet is, dat er zelfs moedwillig voortdurend op de paniekknop wordt geramd (met hippe namen en bijpassende websites en voor-vooraankondigingen en weet ik wat), is een teken aan de wand.

Dat ligt er maar net aan of dat het je geld kost, of dat je er aan verdienen kan.

Toch wel; er is pas onderzoek naar gedaan: https://www.schneier.com/blog/archives/2018/01/security_breach.html

Ga kijken hoe het internet opgezet is. Het sleutelwoord is "end-to-end", waarbij de logica in de hosts zit en het netwerk alleen voor transport zorgt. Vergelijk en contrasteer met, bijvoorbeeld, GSM-netwerken, waar de "terminal" (je telefoon) relatief dom is en er enorme hoeveelheden logica in het netwerk zit. Staar je niet blind op "smartphones" in dezen, kijk naar wat een "feature phone" moet doen om mee te doen en hoeveel infrastructuur er in het netwerk zit.

Daar zit een hele fundamentele reden achter, en als je die niet eens gezien hebt, is verbazing onvermijdelijk.

Dat is de verkeerde vraag. De juiste is "wie maakt uit wat ongewenst is?" want voor je het weet is het een politicus of een of ander belangengroepje. Door je vraag dus zo te stellen, creeer je meer problemen dan je oplost.

Maar dat is in deze context nog steeds de verkeerde vraag, en is de juiste vraag waarom je computertjes zo vreselijk gevoelig zijn voor wat enge pakketjes die zomaar over je interwebbertubes naarbinnen kunnen komen. Zie daarvoor andere posts onder bovenstaand artikel.

Het is natuurlijk wel makkelijk om wat (in jouw ogen) triviale probleempjes te noemen en ze weg te wuiven, om de grote beerputten aan ellende die je ermee opentrekt maar helemaal te kunnen negeren. Ja, er kan vanalles. Nee, het is niet gratis. Nee, het is ook nog eens geen goed idee om het zo te willen proberen.

En ja, dit kun je op je vingers natellen als je bereid bent iets verder te kijken dan de oogkleppen die je jezelf opgezet hebt om lekker makkelijk over het probleem te kunnen doen.


Niet onterecht, want "twee-factor" is net zo goed een buzzword en geen panacea. En het is net zo goed jouw taak om effectieve oplossingen tegen een acceptabele prijs voor de eindgebruikers te verzinnen.

Goed, je hebt je buzzword erdoor, handig inspelend op de actualiteit. En nu?

Kijken wat er gebeurt als het goed misgaat kan heel leerzaam zijn, maar het blijft een synthetische oefening.

Hoe zit het met je fundamenten? En nee, buzzwords zijn geen fundamenten.

@redactie: kunnen jullie niet een softwareaanpassing doen zodat links automatisch herkend worden en als zodanig worden afgebeeld? Het blijkt keer op keer op keer te moeilijk te zijn voor posters om de URL bbcode te gebruiken (...)

Eigenlijk vind ik dat niks. Ja, natuurlijk is het handiger als er een linkje van gemaakt wordt, maar dat wil niet zeggen dat de software dan maar moet gaan gokken of dit hier nu wel of niet bedoeld is als linkje. Zal meestal wel goed gaan, maar soms ook niet. En het zegt iets over de zorgvuldigheid waarmee je je posts neerzet. Niet alles wat je kan automatiseren, moet ook geautomatiseerd.

Zie ook: "DWIM" (jargon) en de RISKS-LIST.

De meeste mensen kopiëren en plakken links. Dat staat het protocol erbij (http:, https). Dan is het een link die je wilt herkennen. Dat schiet al aardig op.


Dat ben ik met je eens maar het blijkt hier keer op keer dat men die zorgvuldigheid niet wil of kan aanleren.



Exact!

Meestal, en dan nog, wanneer begint het en houdt het weer op? Heb verschillende implementaties gezien die bijvoorbeeld linkjes uit een chatlog verlinken, en dat meestal lang niet altijd is, is goed zichtbaar. Dan moet je dus alsnog met je cursor in je adresbalk en de problemen rechtzetten. Dat is niet minder moeite dan zelf gelijk een copy/paste actie. Dus de winst is minder groot dan het lijkt.

Dan niet. Je kan ook wel om een automatische spellingchecker vragen, maar eigenlijk is het veel beter te zien dat iemand niet de moeite neemt om daar zelf voor te zorgen en begrijpelijke taal met punten en commas met de wereld te delen. Ik persoonlijk hou dan op met lezen en dat scheelt me een hoop hoofdbrekens over wat deze persoon mischien wel te vertellen had gehad. (Let wel, moeite hebben met een tweede of derde taal ziet er anders uit dan het niet eens proberen.)

Je hoeft niet alle linkjes te volgen en als je het toch wil, hoeveel moeite is dat copy/pasten nou helemaal, en als het teveel moeite is, hoeveel waardevolle niet-te-missen inhoud heb je dan helemaal gemist? Van mensen die kennelijk de moeite zelf al niet willen nemen, meestal vrij weinig.

Dat is de theorie. Ik bedoelde deze, met de praktijk: http://www.catb.org/jargon/html/D/DWIM.html
Die "filosofie" van "laten we maar gokken wat er mischien bedoeld had kunnen zijn" is meestal geen goed idee, en voor computers helemaal niet. Zie bijvoorbeeld "clippy". En die vraagt je tenminste nog iets voordat'ie zijn (wilde) aannames ook uitvoert! Voor een voorbeeld waar niets gevraagd werd, zie link.

De RISKS-LIST zit vol met dingen die misgaan op computergebied, en heel erg vaak liggen daar aannames aan ten grondslag die... toch niet helemaal correct bleken te zijn. Ook heel leerzaam is opmerken dat er vaak nogal wat discussie is over precies wat nou net helemaal misging met een gegeven voorbeeld. Zelfs als het duidelijk fout gaat is lang niet altijd goed te duiden waarom. Dus als de mensen, experts zelfs, het al niet zomaar kunnen, waarom zou een computer het dan beter doen?

Mij staat bij dat ik op deze site meer dan eens tegen ben gekomen dat iemand een URL bewust als tekst opnam en niet als hyperlink omdat het riskant was om erop te klikken.

Veel mensen zijn helaas hopeloos gemakzuchtig in dit soort dingen, zonder kennelijk ver genoeg door te denken om er achter te komen dat een URL-tag werk bespaart. Dat moet ik natuurlijk uitleggen.

Als je op je werk een belangwekkend memo rondstuurt aan de hele afdeling van 50 mensen dan loont het om een half uur extra te besteden aan het helder formuleren van de tekst. Als al die mensen daardoor de boodschap makkelijker binnen krijgen, of meteen zien dat hij voor hun niet relevant is, en daar gemiddeld 5 minuten per persoon mee winnen (onderschat de extra tijd die concentratieverlies kost niet) dan heb je de afdeling 50x5-30 minuten = 3 uur 40 minuten aan onnodige inspanning bespaard. En als iedereen dat zo zou aanpakken zou dat best iets significants opleveren.

Bij die url-tag gaat het om kleinere tijdeenheden. Het kost mij misschien drie seconden om die tag om een net geplakte url heen te typen. Het selecteren en naar de tab-balk toeslepen van een url waar geen hyperlink van is gemaakt kost me misschien een seconde meer dan het klikken op een werkende hyperlink. De winst zou dan een factor 3 kleiner zijn dan wat het maken van nette links me kost. Maar ik volg heel wat meer dan 3 keer zo veel links op deze site dan ik er plaats. Als iedereen zorgvuldig url-tags zou gebruiken zou de tijd en moeite die ik eraan kwijt ben in het niet vallen bij de tijd en het gemak die ik via die andere links terug zou krijgen. En dat zou voor iedereen gelden. Als iedereen zorgvuldig is heeft iedereen het per saldo makkelijker.

Ik ben coöperatief genoeg ingesteld om ook hier, waar ik (voor zover ik weet) niemand persoonlijk ken, wèl die url-tag op te nemen en wèl mijn tekst zorgvuldig formuleren, omdat ik weet dat dit forum, en breder gezien de hele maatschappij, soepeler draait als mensen het voor elkaar soepel maken dan wanneer ze alleen hun eigen directe gemak voorop stellen en daarbij hobbeltjes voor anderen opwerpen. Dat is mijn manier kleine manier om bij te dragen aan een prettige wereld. Wie doet er mee?

De mensen die dat besef hebben en die zorgvuldigheid in acht nemen zullen zo'n link dan anders plaatsen (want ze lezen natuurlijk ook hun berichten even goed door in de preview, alvorens ze te posten). Je kan een dergelijke link opnemen door bv. het protocol te vervangen door NIETKLIKKEN: of de punten door single quotes, zoals in http://www'badlink'com .