Ik neem aan dat maan=maand. <<typo

Dat scheelt elkaar niet veel.

Vandaar waarschijnlijk de conclusie dat het een typo is.

Ik word altijd woest als ik dit soort krankzinnige bureaucratische crap lees. Als de dakbedekking van een pand waait, wacht je dan ook een maand voordat je het laat repareren? We kijken het nog een maandje aan met dat Corona virus?

Inderdaad hoef je niet meteen te patchen bij een kritisch lek; als je de kwetsbare systemen meteen uitzet en uit laat kun je heel lang nadenken over wel/niet/wanneer patchen.

Ik zie de lol er niet van in om bij de VN in te breken. Ook niet als heel de VN twee maanden ligt te pitten. Bij de WHO ook niet trouwens, als Corona wordt aangehaald. Dat wordt wel erg uitgespeeld door pers en politiek. Gelukkig is er nog de WHO die er die er nog nuchter verslag van doet. Terwijl er daar in China hele steden op slot gaan. Moet je hier eens proberen, dan staat gelijk het hele malieveld vol en de parking eronder kan ook gelijk vervangen worden.

Ik snap niet wat de lol is om bij zulke organisaties in te breken.

Uhhhh.... woest mag je worden. Maar wachten is wel de realiteit en niet altijd onterecht. Als praktiserend IT'er wacht men wel vaker, omdat na een week/maand blijkt dat de patch/fix meer kapot maakt dan oplost. Fijn als je dan vervolgens het systeem inderdaad uit moet zetten, maar dan om een andere reden....

Dat is vervelend. Maar in mijn ervaring is het zo dat als een patch grote problemen veroorzaakt, je dit niet pas na een week/maand ontdekt.

Belangrijker: als je een patch, die voorkomt dat onbevoegden in je systeem kunnen wroeten, om welke reden dan ook niet installeert, kunnen de gevolgen veel ernstiger zijn. Niet alleen voor de betreffende organisatie zelf, maar ook voor derden. Namelijk als er vertrouwelijke gegevens van die derden zijn gelekt, of hun gegevens in jouw systemen opzettelijk zijn gewijzigd, ontoegankelijk zijn gemaakt of simpelweg zijn verwijderd. Of als zij, op het moment dat zij denken te communiceren met jouw organisatie, door de aanvallers op het verkeerde been worden gezet. Je gokt met hun gegevens als je er niet alles aan doet om ongeautoriseerde toegang te voorkomen, zodra een kwetsbaarheid bekend is. Met reacties zoals die van jou kan ik er niet op wachten tot de AP vette boetes gaat uitdelen.

Daarbij, als een systeem met patch onvoldoende goed werkt, kun je het altijd nog uitzetten en wachten op een patch waarin de problemen zijn opgelost. En als een systeem zo belangrijk is voor het functioneren van een organisatie, dat dit systeem onmisbaar wordt geacht, moet je zorgen voor een uitwijksysteem, waarbij de kans dat kwetsbaarheden die zich in systeem 1 manifesteren, dat ook in systeem 2 doen, minimaal is (zie https://www.security.nl/posting/639487/Internet+facing+vulns+-+Citrix+etcetera).

De meeste antivirusproducten hebben wel eens een update gehad die systemen lamlegde. Is dat dan een reden om geen antivirus meer te gebruiken?

Dat is een scheve vergelijking in het argument, om een product dan niet meer te gebruiken. Sommige systemen kunnen kritisch zijn en mogen absoluut niet langer down dan een uur. In het geval van de Citrix is het slechts externe toegang geweest om even uit te zetten, dus klein ongemak. Dan is afwachten een strategie, bijvoorbeeld met een weekje dan komen de eerste problemen meestal wel boven. Of het een goede is mag ieder voor zich uitmaken. Niet iedereen heeft dan de kunde en kennis om de patch geheel terug te draaien (sommige zijn niet goed terug te draaien overigens).

Daar zijn legio's voorbeelden van op dit forum over teruggetrokken updates.

Ook ik heb afgewogen om patches (niet kritieke, dat dan weer wel) later uit te rollen, omdat ik anders 5 dagen in de week met MS aan de telefoon kon gaan hangen. Precies in de tijd dat MS nou niet echt briljant bezig was met de updates. Dit heeft voorkomen dat ik in ieder geval niet kaal werd van het haren trekken.

Dus ja....

Als de hele keten van een enkele toegangsbeveiliging afhankelijk is, dan is er veel meer mis.
Vergelijk het met een fysieke toegang, de eerste poort, ontvangstruimte kantine, bevat niet veel gevoeligs.

--> Risico management
Daarna krijg je met de veel striktere toegang met de rest te maken, tenminste als dat van toepassing is.
Ook het AP heeft het over proportioneel inzet als ze de GDPR volgen. De absolute zekerheid tegen wat ongelimiteerde kosten gaat het echt niet worden. Daarvoor moet je een adequaat draaiboek hebben voor het geval dat … .

Nee, dat klopt. Daarom moet je ook niet "iedereen" het werk van een systeembeheerder laten doen, zeker niet indien sprake is van kritische systemen.

Nooit gehoord van virtualisatie en snapshots? Of van back-ups terugzetten?

Er is meer in de bandbreedte van zwart-wit.
Ik ga nu stoppen want het wordt een zinloze discussie...

Aanpassen van documenten zodat ze positiever over jou als land zijn. Vaak zijn die documenten zo lang dat niemand in de gaten heeft als er ergens een alinea verdwijnt of een conclusie net iets anders wordt. En als het al opvalt, zal men denken dat de lobbisten weer bezig zijn geweest.

Peter

Ook zonder aanpassing , weten wat de (werkelijke) standpunten en overwegingen van andere partijen zijn, wat er beloofd wordt aan landen (of vertegenwoordigers) om mee (of tegen) te stemmen etc etc.
Goed geinformeerd zijn is altijd nuttig in een politieke omgeving.