Overheid heeft geen documenten over besmette ICS-systemen
De overheid heeft geen documenten over met malware besmette industriële controlesystemen (ICS) of beleidsdocumenten waarin staat hoe hiermee moet worden omgegaan. Dat blijkt uit een reactie van het ministerie van Algemene Zaken op een Wob-verzoek van de Volkskrant.
De krant probeerde via een beroep op de Wet openbaarheid van bestuur (Wob) informatie te krijgen over het beleid ten aanzien van malware in ICS-systemen, zoals preventiemaatregelen, risicoanalyses over de weerbaarheid van partijen en samenwerkingsverbanden tussen verschillende partijen die zich met de cyberveiligheid van ICS-systemen bezighouden.
Ook werden verschillende ministeries gevraagd om een overzicht van de gevallen waarbij malware in ICS-systemen was aangetroffen of informatie waaruit zou blijken om wat voor soort malware het ging en wat de verwijderkosten waren. Het ministerie laat echter weten dat ten aanzien van het verzoek van de Volkskrant geen documenten zijn aangetroffen (pdf).
ICS-systemen worden onder andere in de vitale infrastructuur gebruikt. Sinds 1 januari 2018 zijn organisaties binnen de vitale infrastructuur verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. De meldplicht cybersecurity is onderdeel van de Wet gegevensverwerking die sinds oktober 2017 van kracht is. Afgelopen juni liet het minister van Justitie en Veiligheid in het Cybersecuritybeeld Nederland (CSBN) al weten dat er tot en met april 2018 geen meldingen waren gedaan in het kader van de meldplicht.
Wij, de overheid eisen dat jij het meldt, maar we doen er effe niets mee, want we hebben er de ballen verstand van?
Wij, de overheid eisen dat jij het meldt, maar we doen er effe niets mee, want we hebben er de ballen verstand van?
Verantwoorde media..
Nooit gehoord van dnssec, https, dkim, dmarc, dane?
En dat moet een beveiligingsonderzoek doen?
OMG, de broek zakt op de enkels.
Als tip voor n start:
kijk eens op de site:
www.internet.nl en zorg dat je de 10 haalt. Een beetje zwanger bestaat niet.
Succes! Maak de media wat veiliger. Zo moeilijk is t niet: dagje werk en t is n flink end op orde.
Wij, de overheid eisen dat jij het meldt, maar we doen er effe niets mee, want we hebben er de ballen verstand van?
Het feit dat je geen meldingen geregistreerd hebt, kan ook gewoon betekenen dat er niets gebeurt is dat te registreren viel. Daarnaast gaat een WOB verzoek over bestuurlijke aangelegenheden (De B van WOB). Een bestuur wordt niet continue van elke melding inhoudelijk op de hoogte gebracht over zaken die door regulier beheer opgelost kunnen worden en de bedrijfsvoering niet verstoord of in gevaar hebben gebracht.
Ik heb geen weet van hoe kundig de mensen op de werkvloer daar zijn en het artikel zegt daar ook helemaal niets over. Om dus maar direct te stellen dat ze er 'de ballen verstand van hebben' is niet zo heel netjes.
Inbreuken/incidenteninfo is niet WOB-baar; statistisch is er soms iets te vinden in het CSBN.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
