Deel ministerie J&V maandenlang kwetsbaar door Pulse Secure-lek
Twee onderdelen van het ministerie van Justitie en Veiligheid waren maandenlang kwetsbaar door het beveiligingslek in Pulse Secure vpn-software waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Voor zover bekend heeft de kwetsbaarheid niet voor schade bij de Rijksoverheid en aanbieders in de vitale infrastructuur gezorgd. Dat laat minister Grapperhaus van Justitie in een brief aan de Tweede Kamer weten.
Via een ernstige kwetsbaarheid in de software kan een aanvaller kwetsbare vpn-servers en -clients overnemen of toegang tot versleutelde vpn-sessies krijgen. Voor het beveiligingslek verscheen op 24 april 2019 een beveiligingsupdate. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats.
"Ook bij onderdelen die onder het ministerie van Justitie en Veiligheid vallen, is sprake geweest van de kwetsbaarheid in de vpn-software", aldus minister Grapperhaus. Na de eerste waarschuwing van het Nationaal Cyber Security Centrum (NCSC) op 1 mei 2019 zijn binnen het ministerie voor bijna alle onderdelen updates doorgevoerd. Nadat het NCSC op 21 augustus 2019 het beveiligingsadvies had aangepast vanwege het verschijnen van de exploit bleek dat twee onderdelen van het ministerie de updates vier maanden later nog altijd niet hadden doorgevoerd.
"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen. Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden", voegt Grapperhaus toe.
"Ongelofelijke oliebollen"
De minister noemde bedrijven die beveiligingsupdates uitstellen vorig jaar nog "ongelofelijke oliebollen". Grapperhaus deed zijn uitspraken naar aanleiding van berichtgeving dat bedrijven en overheidsinstanties belangrijke updates voor de Pulse Secure vpn-software niet hadden geïnstalleerd. Volgens de minister wordt het onderwerp cybersecurity onderschat en de gevolgen die dit kan hebben, zoals digitale ontwrichting.
"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus afgelopen oktober tijdens het mondelinge vragenuur in de Tweede Kamer.
Op 20 augustus 2019 verscheen er een exploit online
Op 21 augustus 2019 past NCSC het beveiligingsadvies aan
Sinds sinds 22 augustus 2019 vinden ook daadwerkelijk aanvallen plaats
Uit de .docx in https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/:
Ik ben benieuwd of de ambtenaren van minister Grapperhaus de documentatie hebben overlegd waarin zij hun expliciete risicoafweging hebben gedocumenteerd, inclusief de wijze waarop kwetsbare systemen zijn geïnventariseerd.
Bureaucratie bij informatiebeveiliging zal tot steeds meer ongeautoriseerde toegang en downtime leiden.
Het echte probleem is dat die organisatie 'blauw' is. Enorm saai en doorwrongen van bestuurlijke nonsense en regels, waardoor experts enorm beperkt worden in hun kunnen.
Als je daar werkt en slim bent, dan krijg je knallende koppijn!
Afz. ervaringsdeskundige
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!
Bewindslieden hebben winig of geen idee van ICT. Naast de verplichte Office-cursus ontlenen ze die beperkte kennis vooral van hun (klein)kinderen en verder 'wat er op Facebook staat'. Maargoed, dat valt buiten hun takenpakket.
Zorgwekkender zijn de eisen die worden gesteld aan sollicitanten op de ICT. Goed genoeg om als helpdeskmedewerker te fungeren. Maar te incapabel voor het echte werk: Beveiliging van netwerken. Daarbij wordt out-of-the-box denken niet bepaald gewaardeerd in dergelijke settings. Cruciaal in de ICT. Ja-knikkers en schapen hebben voorrang op de ladder binnen dat baantjescarroussel. Funest voor de ambitieuze ICT-er. Die lopen na een tijdje weg. Of moeten weg, want lastig.
Dan hou je de oliebollen over. Je mag dan hopen dat de poedersuiker ontbreekt....
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.
Hahaha.... moest wel even lachen. Is maar net hoe de wind waait, waan van de dag regeert in de politiek. Stucturele vooruitgang is geen tijd meer voor.
Ik dacht het niet, want het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie. Het ministerie valt dus niet onder Ferds eigen definitie van een oliebol.
https://www.security.nl/posting/626138/Grapperhaus%3A+bedrijven+die+updates+uitstellen+zijn+ongelofelijke+oliebollen
Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .
Hahaha,
DE opmerking van 2020 is bij deze direct geplaatst, bravo !
"Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .
"
haha
haha
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
