Ik snap dat maar niet he... Users die blijkbaar adminrechten hebben. Die admin is gewoon een prutser van jewelste! Ik vind dat users overal VEEEEEEL teveel rechten hebben. Ze moeten zich bezig houden met hun werk. Daar worden ze voor betaald. Niet om bijlages te openen die eindigen op exe! Niet om de hele dag op facebook te hangen etc. Dat zou bij mij gewoon technisch niet mogelijk zijn als ik daar admin was.

Maarja, wie ben ik weer...

Maar hun ISO certificering was ongetwijfeld goed in orde...

https://www.security.nl/posting/587922/ISO+standaarden+voor+management

Voorkomen is beter dan genezen, maar je moet altijd ook beveiliging hebben voor het geval dat je gehacked bent om op alternatieve manieren toch goed te functioneren.

De overheid had bijvoorbeeld de Ransomware functionaliteiten van Windows kunnen gebruiken en de Cloud tegen Ransomware met herstel opties.

De gebruiker had natuurlijk niet op het mailtje moeten klikken maar dat kan je niet voorkomen.

Ik ben het met jou eens, ik heb zelf bij de belastingdienst gewerkt en daar was het gewoon mogelijk voor gebruikers om via een omweg gewoon software te instaleren als je de instalatie process patched.
Ik wou met office 2010 werken ipv 2003 en dat lukte gewoon.
Dit werd ook gewoon niet gedetecteerd door de ICT beheerders...

Daar is weer een staat die de criminelen financiert zodat ze geld en motivatie hebben om door te gaan met hun activiteiten.

Het wordt tijd dat de VS hun wetten eens aanpassen. Daar is het nu bij wet verboden om losgeld te betalen bij een ontvoering. Dit verbod is er ook om nieuwe kidnappers te ontmoedigen. Breidt dit uit naar elke vorm van afpersing.

Helemaal mee eens. Dit is steunen van criminele activiteiten.

Ja man! Wat een schande! En wij als domme burger doen net zo hard mee - toch? Wij nemen de telefoon op als Jennifer van Windows support belt met een issue (en Jennifer is aardig genoeg je door te verbinden naar de Apple afdeling als dat toevallig je OS is...), we reageren op clickbait, Nigeriaanse prinsen met miljoenen waar jij toevallig de erfgenaam van bent, we stappen in BitCoins, woekerpolissen... En altijd wijzen we naar die domme overheid, die suffige sheriff die er weer in gestonken is en *ons* geld gebruikt om zijn fouten te fixen.

Word wakker - fouten worden overal gemaakt. Lees het verhaal, dit is geen triviale, uitgemaakte zaak. Dit had overal kunnen gebeuren - ook bij Maersk zeg maar. Een dorp met 4.000 inwoners - wat verwacht je eigenlijk? Een heel SOC?

Daarom moet je je systeem zo inrichten dat, zelfs indien een gebruiker op zo'n mailtje klikt, er géén of alleen plaatselijke schade ontstaat. Niet dat het hele netwerk besmet raakt.

Helemaal mee eens, maar weinig systeembeheerders gaan zo ver, want de PC wordt traag dan

Waar staat dat dit met admin rechten is gebeurt of hiermee had voorkomen kunnen worden?
Er zijn zat mogelijkheden waarin een uitbraak kan gebeuren zonder admin rechten. Ongeacht het OS. Alle data kan besmet worden waar je schrijf rechten toe hebt. Als men schrijf rechten heeft tot bijvoorbeeld M:\Data\Klanten, dan kan een virus/malware hier gewoon met mijn rechten aan de slag kan. Het is gelimiteerd dit mijn rechten, maar als iemand anders met weer andere rechten daar iets opent, en weer schrijf rechten heeft op M:\Data\Projecten, kan het best snel gaan in een Enterprise.

Meerdere keren al gezien gebeuren waarbij hele grote impact was, zonder dat iemand ook maar local admin was. Het is dus zeker niet altijd een local admin rechten issue.
Voorbeeld MS Word documenten aangepast naar een scr extensie volgens ergens in 2012. Dat gaat dan heel snel door een Enterprise infrastructuur heen.En niemand was local admin of had "over" schrijf rechten.

Het was ook wachten totdat je deze opmerking ging maken. Het is net als op een basisschoolleerling. Je weet gewoon wat gaat komen, zo voorspelbaar en puberaal gedrag.

Maar nee wat het recovery proces was niet (goed) getest.

Maar ligt dat aan de systeembeheerders of aan het management? Een systeem beheerder kan de beste technische oplossingen bedenken, waarbij een gebruiker helemaal niets meer kan en mag. Mogelijkheden genoeg. Maar hij gaat ook een hoop shit over zich heen krijgen. Indien het Management dit niet verdedigt, heeft bepaald en een budget hiervoor heeft vrijgemaakt is het onmogelijk om dit als systeembeheerder te implementeren. En de kosten kunnen hiervan kunnen best groot zijn om dit in te richten in onderhouden.

Netherlands calling

'Daar is mede visionair trump ook hard mee bezig.
Hij heeft alleen de pech dat hij steeds wordt tegengewerkt door mensen die zijn en jouw geniale inzichten blokkeren.'
Wist je trouwens dat verreweg de meeste misbruikmacro's niet werken op het gratis alternatief LibreOffice?
Wijzen naar anderen wordt kolderiek als je het zelf eenvoudig beter had kunnen organiseren.

Non-security is een businessmodel zoals het ook een businessmodel is om geen producten meer te maken die levenslang meegaan.
Al biedt het lease model alle reden dat systeem wel weer te omarmen.
Maar kennelijk willen sommige software leveranciers van niets weten en blijven stug van twee walletjes eten.

Tot hoelang wordt het uitgefaseerde flash in een zeker OS ook alweer willens en wetens onverwijderbaar ondersteund?
Hoeveel decennia zorgt macro misbruik en msibruik van embedded media in office voor grote problemen.
Inderdaad, een eeuwigheid voor it bedrippen.
'Wij' bedoelen maar.

Begin bij jezelf en niet bij de wereld.
Weersta de dure verleidingen van ms red flash office district
Beter voor de digitale hygiëne
https://www.libreoffice.org/download/download/

Misschien niet genoeg.

Schrijf namens jezelf en niet namens mij:

Ja man! Wat een schande! En ik als domme burger doe net zo hard mee - toch? Ik neem de telefoon op als Jennifer van Windows support belt met een issue (en Jennifer is aardig genoeg me door te verbinden naar de Apple afdeling als dat toevallig m'n OS is...), ik reageer op clickbait, Nigeriaanse prinsen met miljoenen waar ik toevallig de erfgenaam van ben, ik stap in BitCoins, woekerpolissen... En altijd wijs ik naar die domme overheid, die suffige sheriff die er weer in gestonken is en *mijn* geld gebruikt om zijn fouten te fixen.

Het is Amerika die kennen dat soort richtlijnen niet.
Als het maar goedkoop en snel gebeurd de rest voor later. Helemaal jouw ideaal.

Met 4000 inwoners hebben ze niet meer dan 4 fte ICT. Je kunt denken aan de zoon van lokale goktent houder en zijn vriendin. 170 desktopjes kun je wel met het Adidas netwerk af en die 27 servers staan in de bezemkast.

Ja daag...

https://www.iso.org/the-iso-survey.html

Je kan een overzicht per standaard per land vinden.

In je link: "ISO does not perform certification. Organizations looking to get certified to an ISO standard must contact an independent certification body. "
En dat is exact wat een normen instituut doet. Enkel vastleggen wat via werkgroepen als de beste standaard manier is aangedragen. Niets meer.
Wil je een controlerende instantie hebben dan kom je bij:
- https://www.fda.gov/ als het zorg medicijnen gaat.

- https://www.nist.gov/cyberframework/online-learning/five-functions waarbij het nist op het ncsc lijkt niet toezichthoudend

financials gaa door de staten apart, er is geen algemeen iets. New York die komt met een … iso 27001 en nist.
- De https://en.wikipedia.org/wiki/Public_Company_Accounting_Oversight_Board is niet overheid.
- dan krijg je https://digitalguardian.com/blog/what-nydfs-cybersecurity-regulation-new-cybersecurity-compliance-requirement-financial

Waar is de regulerende instantie voor overheids ict in de usa? Zelfs in nederland is die invulling marginaal.