Ik vraag mij serieus af of onze kamerleden de moeite hebben genomen/zullen nemen om het rapport wat opgemaakt is door UM / Fox-IT goed door te nemen wat grotendeels hun vragen kan en zal beantwoorden.

In plaats van dat ze vragen of cybersecurity bij bijvoorbeeld andere onderwijsinstellingen nu voldoende hoog op de agenda staat...

Daar zit de winst met die betreffende adviezen, Jammer die focus. De gestelde vragen van de politici tonen het ICT onbegrip.

Wat is hierin de verantwoordelijkheid van de overheid?

Wanneer we spreken over "reguliere" criminaliteit ligt de taak van preventie, beveiliging en opsporing bij de Politie. Men mag namelijk niet van een bedrijf verwachten dat zij zich wapenen tegen een (fysieke) overval van gewapende mannen.

Waarom is het, in het geval van cybersecurity dan wel zo dat we van deze zelfde bedrijven verwachten dat ze zich wapenen tegen (misschien nog wel beter) georganiseerde hackergroepen?

Wanneer neemt de overheid haar verantwoordelijkheid, en starten ze met fatsoenlijke voorlichting en preventie op dit gebied?

Lijkt me niet heel raar dat als je de verantwoordelijkheid hiervoor bij de bedrijven neerlegt, er gekozen zal worden voor de oplossing met de laagste kosten, en dus het betalen van het losgeld.

Gezien er vanuit de overheid subsidies gaan naar diverse instanties waaronder ook UM kan ik begrijpen waarom ze met deze vraagstelling zijn gekomen. Ik zou er zelf persoonlijk ook niet vrowlijk van worden als er met mijn geld een crimineel wordt afgekocht.

Daar heb je een interessant punt. Bij een fysieke overval adviseert de politie juist om met de daders mee te werken en het geld en goederen te overhandigen. Als je je hardhandig verzet, ben jij de schuldige die de daders verwond heeft.

Ja,en we gaan het hopelijk niet goed praten of omschrijven dat het noodzakelijk was,
en goedkoper is om te blijven betalen voor criminelen,nooit en te nimmer dat dit de nieuwe werkwijze zal moeten zijn.

Universiteiten beheren aardig wat gevoelige data ...

geen losgeld betalen ?

prima

je kind is in gevaar , losgeld betalen of niet ?

overheid zegt van niet

kind dood , is dat wat je wilt ?


De data die in verkeerde handen is gekomen ...

betalen of niet ?


Is de overheid nu werkelijk zo dom ?

Wat voor mensen werken daar ?


enig idee wat men met deze gevoelige data kan ?


les 1.

vertrouw, nooit , de overheid.

Niet helemaal. Als je een trap na geeft nadat ze zich al hebben overgegeven of je ze in bedwang hebt ben jij ook schuldig. Zo lang ze nog geweld plegen is het noodweer. Betekent wel dat jij de belichaming moet zijn van proportioneel geweld.

Maar de politie heeft een belangrijker reden voor advies om mee te werken. De kans is vrij sterk aanwezig als je bij een overval verzet gaat bieden, dat dat eindigt met jouw dood of verwonding. Ze kunnen en mogen je in die omstandigheden niet verplichten om het gevaar op te zoeken. Dus adviseren ze: Denk eerst aan je eigen veiligheid.

De vraag is of de situatie hier vergelijkbaar is met een min of meer vergelijkbare situatie. De opgesloten gegevens waren duidelijk van een impact voor een enorm aantal mensen voor wiens geestelijke en ontwikkelingswelzijn de universiteit verantwoordelijk was. Voor mijn gevoel is hun beslissing verdedigbaar in die omstandigheden, al weet ik ook wel dat bepaalde hardvochtiger kringen het niet met me eens zullen zijn - totdat ze zelf getroffen worden...

Ja, maar het grootste probleem is dat ze in Maastricht Windows gebruikten, wat menigmaal de grootste factor blijkt te zijn als het gaat over randsomware. Als ze nou eens een fatsoenlijk OS zouden hebben geinstalleerd, een die niet gelieerd kan zijn met iedere natie (zoals de VS), dan zouden ze pas echt punten hebben gescoord. En dat geldt ook voor het CDA, die alweer laten weten dat ze onbekwaam zijn in het stellen van goede vragen.

Wat een domme mensen zijn het toch in de politiek...snappen ze nu echt niet dat niet betalen het einde van de universiteit was geweest

Jou fatsoenlijke OS is lek by design door gebrek aan informatieveiligheid. Citrix lek was een BSD probleem, Mongo elastic aws buckets en meer allemaal OSS en daar zitten de grootste datalekken. Zelf grote organisaties om de configuratie beheer betrouwbaar te doen. Ga dat eerst eens oplossen en kom dan terug in je os flaming.

Ik vraag me steeds meer af waarom ik sowieso reageer op jouw antwoorden omdat ze gewoon niet kloppen, waardoor ik me steeds meer afvraag of jij een echte hard-core spammer bent.

Hier, het ging nog steeds over de ransomware aanval van Maastricht, niet? Het ging niet over een Citrix hack. Het enige wat jij hoeft te doen is even lezen wat er staat. En ik wil nog wel even het rapport erbij halen van fox-it, alinea 7.1 hoofdstuk "Macro's". Hier staat: En dan alinea 4.2 Scope Daar heb je alle bewijzen.

".. Citrix lek was een BSD probleem .."
Onwaar. Het Citrix lek zit in een "path traversal". Het is al veel vaker uitgelegd.

https://www.security.nl/posting/640192/Grapperhaus%3A+Citrix-lek+laat+belang+digitale+veiligheid+zien
21-01-2020, 11:32 door Anoniem
21-01-2020, 12:28 door Tintin and Milou - Bijgewerkt: 21-01-2020, 12:30
21-01-2020, 13:24 door Anoniem

https://www.security.nl/posting/639854/Microsoft+waarschuwt+voor+actief+aangevallen+lek+in+Internet+Explorer
20-01-2020, 14:24 door Anoniem

https://www.security.nl/posting/642145/Transportbedrijf+Toll+schakelt+systemen+uit+na+cyberincident
04-02-2020, 13:25 door Anoniem

Vanuit mijn wetskennis weet ik dat - zeker tegenwoordig - meer zaken een rol spelen.

Het schuldig verklaren, het aanwijzen als dader, en het veroordelen doet de rechter. Dat ten eerste.
Wie zich in geval van noodweer of noodweerexces verdedigt wordt niet veroordeeld, tenminste als de rechtbank deze strafuitsluitingsgrond toewijst.

Het is dus niet altijd zo dat bij een verdediging tijdens een overval het verdedigende slachtoffer zomaar - zoals vroeger - als verdachte wordt gezien en direct wordt aangehouden en meegenomen voor verhoor op het politiebureau. Dat wil echter niet zeggen dat iemand met elk middel zich zomaar mag verdedigen. Het middel waarmee hij zich verdedigt moet proportioneel zijn, anders heb je voor de rechtbank alsnog wat uit te leggen.

Wat enkel bewijst dat je op een os flaming uit bent. Je hebt niet bewezen dat er nergens SSH keys en andere toegangsrechten ergens bij de administrators beschikbaar waren zodat de hackers ook de Linux systemen hadden kunnen bereiken.
Wat doet een os beheerder? Het os en de data er om heen met alle bijbehorende rechten modificeren.
https://blog.cloudflare.com/public-keys-are-not-enough-for-ssh-security/

Wat mij erg heeft verbaasd in de hele discussie is het enorme onbegrip over redelijk basale termen als gecompromitteerd zijn.
Van de 2e kamer mag je dergelijke kennis mogelijk niet verwachten, maar men baseerd zich wel op een rapport van Fox-IT waar dergelijke termen gebruikt worden. Ook in de Linked In Community zijn er slechts weinigen die een goed beeld hebben hiervan. De vraag is: Hoe kun je als Overheid nu goed richting geven als je eigenlijk niet begrijpt wat wordt geadviseerd?

Ik vond elders wel een goede beschrijven die ik graag deel met onze besluitvormers: Als iets is gecompromitteerd, dan is het niet meer gegarandeerd zuiver, koosjer, puur, onaangetast, veilig, en kan het "besmet" zijn doordat (tijdelijk) de macht erover is overgenomen door iets of iemand die niet bevoegd is. Want het onderwerp is dan "gevaarlijk blootgesteld" of "gekaapt" geweest, oftewel: gecompromitteerd. Als je data is gecompromitteerd, dan betekent dit voor zover ik weet dat je data in handen van iemand anders is gevallen (geweest), en dat er daarom mee geknoeid kan zijn.

Betekent dat ZELFS na betaling van losgeld je niet geheel zeker bent van met name de integriteit van je data, daar komt MEER bij kijken dan losgeld alleen en daar hoor ik vrijwel NIEMAND over..!!