image

Deel ministerie J&V maandenlang kwetsbaar door Pulse Secure-lek

dinsdag 11 februari 2020, 16:30 door Redactie, 12 reacties

Twee onderdelen van het ministerie van Justitie en Veiligheid waren maandenlang kwetsbaar door het beveiligingslek in Pulse Secure vpn-software waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Voor zover bekend heeft de kwetsbaarheid niet voor schade bij de Rijksoverheid en aanbieders in de vitale infrastructuur gezorgd. Dat laat minister Grapperhaus van Justitie in een brief aan de Tweede Kamer weten.

Via een ernstige kwetsbaarheid in de software kan een aanvaller kwetsbare vpn-servers en -clients overnemen of toegang tot versleutelde vpn-sessies krijgen. Voor het beveiligingslek verscheen op 24 april 2019 een beveiligingsupdate. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats.

"Ook bij onderdelen die onder het ministerie van Justitie en Veiligheid vallen, is sprake geweest van de kwetsbaarheid in de vpn-software", aldus minister Grapperhaus. Na de eerste waarschuwing van het Nationaal Cyber Security Centrum (NCSC) op 1 mei 2019 zijn binnen het ministerie voor bijna alle onderdelen updates doorgevoerd. Nadat het NCSC op 21 augustus 2019 het beveiligingsadvies had aangepast vanwege het verschijnen van de exploit bleek dat twee onderdelen van het ministerie de updates vier maanden later nog altijd niet hadden doorgevoerd.

"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen. Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden", voegt Grapperhaus toe.

"Ongelofelijke oliebollen"

De minister noemde bedrijven die beveiligingsupdates uitstellen vorig jaar nog "ongelofelijke oliebollen". Grapperhaus deed zijn uitspraken naar aanleiding van berichtgeving dat bedrijven en overheidsinstanties belangrijke updates voor de Pulse Secure vpn-software niet hadden geïnstalleerd. Volgens de minister wordt het onderwerp cybersecurity onderschat en de gevolgen die dit kan hebben, zoals digitale ontwrichting.

"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus afgelopen oktober tijdens het mondelinge vragenuur in de Tweede Kamer.

Reacties (12)
11-02-2020, 16:44 door Erik van Straten - Bijgewerkt: 11-02-2020, 16:53
Op 24 april 2019 verscheen een beveiligingsupdate
Op 20 augustus 2019 verscheen er een exploit online
Op 21 augustus 2019 past NCSC het beveiligingsadvies aan
Sinds sinds 22 augustus 2019 vinden ook daadwerkelijk aanvallen plaats

"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen.
Binnen enkele dagen, dat moet na 22 augustus geweest zijn dus, was te laat - want toen vonden de aanvallen al plaats.

Uit de .docx in https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/:
Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC- classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.
Dus ook al vinden actieve aanvallen plaats, dan mag je nog 6 dagen wachten voordat je een patch installeert? En als het niet hoog/hoog is, hoef je niks te doen? En als je dan toch gehacked wordt, het NCSC de schuld geven zeker?

Ik ben benieuwd of de ambtenaren van minister Grapperhaus de documentatie hebben overlegd waarin zij hun expliciete risicoafweging hebben gedocumenteerd, inclusief de wijze waarop kwetsbare systemen zijn geïnventariseerd.

Bureaucratie bij informatiebeveiliging zal tot steeds meer ongeautoriseerde toegang en downtime leiden.
11-02-2020, 16:57 door Ron625
Blunder van verkeerd formaat gemeld bij de VNG, als verantwoordelijke.
11-02-2020, 18:43 door Anoniem
Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden", voegt Grapperhaus toe.

Het echte probleem is dat die organisatie 'blauw' is. Enorm saai en doorwrongen van bestuurlijke nonsense en regels, waardoor experts enorm beperkt worden in hun kunnen.

Als je daar werkt en slim bent, dan krijg je knallende koppijn!

Afz. ervaringsdeskundige
11-02-2020, 19:39 door Anoniem
Bedoelde Grapperhaus dit met het verzwakken van de encryptie? Was hij alweer 'geschokt'?
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.
11-02-2020, 19:42 door Anoniem
Wanneer treed de minister dan af als dit zulke hardleerse hardnekkige types zijn???
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!
11-02-2020, 19:47 door Anoniem
Is Ferd nou zelf ook een enorme oliebol?
12-02-2020, 00:18 door Anoniem
Door Anoniem: Wanneer treed de minister dan af als dit zulke hardleerse hardnekkige types zijn???
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!

Bewindslieden hebben winig of geen idee van ICT. Naast de verplichte Office-cursus ontlenen ze die beperkte kennis vooral van hun (klein)kinderen en verder 'wat er op Facebook staat'. Maargoed, dat valt buiten hun takenpakket.
Zorgwekkender zijn de eisen die worden gesteld aan sollicitanten op de ICT. Goed genoeg om als helpdeskmedewerker te fungeren. Maar te incapabel voor het echte werk: Beveiliging van netwerken. Daarbij wordt out-of-the-box denken niet bepaald gewaardeerd in dergelijke settings. Cruciaal in de ICT. Ja-knikkers en schapen hebben voorrang op de ladder binnen dat baantjescarroussel. Funest voor de ambitieuze ICT-er. Die lopen na een tijdje weg. Of moeten weg, want lastig.
Dan hou je de oliebollen over. Je mag dan hopen dat de poedersuiker ontbreekt....
12-02-2020, 08:29 door Bitje-scheef
Door Anoniem: Bedoelde Grapperhaus dit met het verzwakken van de encryptie? Was hij alweer 'geschokt'?
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.

Hahaha.... moest wel even lachen. Is maar net hoe de wind waait, waan van de dag regeert in de politiek. Stucturele vooruitgang is geen tijd meer voor.
12-02-2020, 12:41 door Anoniem
Door Anoniem: Is Ferd nou zelf ook een enorme oliebol?

Ik dacht het niet, want het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie. Het ministerie valt dus niet onder Ferds eigen definitie van een oliebol.

https://www.security.nl/posting/626138/Grapperhaus%3A+bedrijven+die+updates+uitstellen+zijn+ongelofelijke+oliebollen
12-02-2020, 13:53 door Anoniem
@12:41

Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .


Hahaha,

DE opmerking van 2020 is bij deze direct geplaatst, bravo !


"Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .
"

haha

haha
12-02-2020, 17:46 door Anoniem
wat het ncsc moet doen is even snel zelfs scannen en optreden. Maar ze vinden dat ze dat niet mogen want privacy (wetgeving nodig om even te scannen...) OMG
14-02-2020, 20:49 door Anoniem
Door Erik van Straten: Op 24 april 2019 verscheen een beveiligingsupdate
"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen.
Ik ben benieuwd of de ambtenaren van minister Grapperhaus de documentatie hebben overlegd waarin zij hun expliciete risicoafweging hebben gedocumenteerd, inclusief de wijze waarop kwetsbare systemen zijn geïnventariseerd. Bureaucratie bij informatiebeveiliging zal tot steeds meer ongeautoriseerde toegang en downtime leiden.
Vermoedelijk was het grootste deel van de it-afdeling wegbezuinigd, zodat de bonnussen hoger zouden uitvallen. Die bonussen hadden een hogere prioriteit dan de patchen van it-systemen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.