De Jonge: beveiligingslek Infectieradar was bij ontwikkelaar bekend
Het beveiligingslek in de Infectieradar van het RIVM waardoor het zeer eenvoudig was om medische gegevens van deelnemers te achterhalen was bij de ontwikkelaar bekend, zo heeft minister De Jonge vanmiddag tijdens het Vragenuur in de Tweede Kamer laten weten. Dit weekend bleek het door een kwetsbaarheid mogelijk te zijn om vragenformulieren te bekijken die door deelnemers waren ingevuld om aan Infectieradar deel te nemen.
Het RIVM liet gisteren weten dat er verschillende veiligheidschecks op de software van Infectieradar waren uitgevoerd, maar dat het beveiligingslek toch aanwezig was. Nu blijkt dat de ontwikkelaar wist van de kwetsbaarheid. "Bij het ontwikkelen van die site zijn er juist wel veiligheidschecks gedaan. Pentests, waarbij ook dit als één van de veiligheidsrisico's in beeld is gekomen. Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren", aldus minister De Jonge.
De minister liet weten dat het vragenformulier van Formdesk ook door andere websites wordt gebruikt. "Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden. Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd." De Jonge voegde toe dat het datalek ook buitengewoon ongelukkig is voor het vertrouwen van burgers in websites van de overheid.
Tevens stelde de minister dat alle getroffen deelnemers aan Infectieradar zondag via een persoonlijke e-mail zijn geïnformeerd. Niet getroffen deelnemers hebben gisteren een bericht ontvangen. Het datalek is gemeld bij zowel de Autoriteit Persoonsgegevens als het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie, dat in contact staat met Formdesk. "Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt. Vervolgens gaat het ook om de manier waarop je het herstelt en ik vind dat het RIVM dat netjes doet", liet De Jonge weten.
Infectieradar
Het RIVM houdt op verschillende manieren de verspreiding van infectieziekten in de gaten, wat ook geldt voor het coronavirus. Hiervoor wordt onder andere de website Infectieradar gebruikt. Deelnemers kunnen één keer per week doorgeven of zij in de afgelopen week koorts of andere klachten hebben gehad. Bij het aanmelden voor Infectieradar moet een formulier met medische gegevens worden ingevoerd. Het gaat dan om het gebruik van medicijnen en waarvoor dit is, of deelnemers roken of allergieën hebben en of men zwanger is.
Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk, zo werd dit weekend duidelijk. Formdesk heeft inmiddels een oplossing ontwikkeld. Die wordt "zes keer" gedubbelcheckt, aldus de Jonge. Zodra blijkt dat de vragenlijsten veilig worden opgeslagen gaat het RIVM weer verder met Infectieradar. Het is al wel mogelijk voor mensen om zich aan te melden voor Infectieradar. Deze gegevens worden in een ander systeem opgeslagen.
Update
Formdesk laat in een reactie aan NU.nl weten dat het niet van de kwetsbaarheid afwist. Het beveiligingslek was niet eerder aan het licht gekomen en ook niet aan het bedrijf gemeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt Marco Beuk van Formdesk.
Reacties (32)
Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt.
Als ik het verhaal lees dan noem ik dit geen menselijke fout maar gewoon verzaken. Dit soort bedrijven horen nietin de ic thuis.
09-06-2020, 16:22 door
linux4
Gelukkig beseft minister de Jonge dat het vertrouwen in overheid ICT geschaad is. Maar wel eisen dat 60% de Covid-19 app installeert of anders... Dreigen dat andere maatregelen niet opgeheven worden.
En dan nu weer het voorstel voor de Corona wet die 1 juli ingevoerd moet worden, vol met verboden die ondemocratisch voor onbepaalde tijd ingevoerd kunnen worden. Nederland begint aardig op de voormalige DDR te lijken...
En dan nu weer het voorstel voor de Corona wet die 1 juli ingevoerd moet worden, vol met verboden die ondemocratisch voor onbepaalde tijd ingevoerd kunnen worden. Nederland begint aardig op de voormalige DDR te lijken...
tja delegren is controleren dus de argumentatie dat er wel een check was die een probleem signaleerde maar oops we zijn de achteraf controle check te doen om de fix voor het probleem te controleren is gewoon kleuteren.
> Het RIVM liet gisteren weten dat er verschillende veiligheidschecks op de software van Infectieradar waren uitgevoerd, maar dat het beveiligingslek toch aanwezig was.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
> "Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt. Vervolgens gaat het ook om de manier waarop je het herstelt en ik vind dat het RIVM dat netjes doet", liet De Jonge weten.
Het is fout gegaan, tja kan gebeuren, wel netjes bezig vindt hij. Overheid kan met deze uitspraak niet serieus genomen worden wat de privacy betreft.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
> "Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt. Vervolgens gaat het ook om de manier waarop je het herstelt en ik vind dat het RIVM dat netjes doet", liet De Jonge weten.
Het is fout gegaan, tja kan gebeuren, wel netjes bezig vindt hij. Overheid kan met deze uitspraak niet serieus genomen worden wat de privacy betreft.
"Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt."
Wat een laf excuus. Mensen leren doorgaans. Dit soort fouten maakten we 20 jaar geleden ook al. Het was gewoon echt niet nodig.
Wat een laf excuus. Mensen leren doorgaans. Dit soort fouten maakten we 20 jaar geleden ook al. Het was gewoon echt niet nodig.
geestig, opeenvolgende id's in een URL.
dit is ongeveer de meest basale fout die je kan maken en als je als ontwikkelaar zoiets in je hoofd haalt heb je echt niets maar dan ook niets in de IT te zoeken.
dit is ongeveer de meest basale fout die je kan maken en als je als ontwikkelaar zoiets in je hoofd haalt heb je echt niets maar dan ook niets in de IT te zoeken.
"Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden. Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd."
Weet de minister wat een dubbelcheck betekent? Ik denk het niet. Er is volgens zijn informatie geen enkele check uitgevoerd op de vermeend gerepareerde software. Dat is falen in de controle. Er is geen excuus voor.
Overigens is een softwarefout van deze orde ruim voldoende reden om te stoppen met te leverancier. Als je zo blundert ben je niet in staat te leveren. Dat is als het in gebruik nemen van een 4e handsauto van occasioncentrum Beun de Haas waarbij je net ontdekt hebt dat de remkabels niet vastzitten en de wielbouten ontbreken. Als je dan niet denkt "wat zou er verder niet in orde zijn?" heb je het niet begrepen. En als je toch gaat rijden zonder te controleren of de remkabels en wielbouten er inmiddels wel goed op zitten, ben je nalatig.
Weet de minister wat een dubbelcheck betekent? Ik denk het niet. Er is volgens zijn informatie geen enkele check uitgevoerd op de vermeend gerepareerde software. Dat is falen in de controle. Er is geen excuus voor.
Overigens is een softwarefout van deze orde ruim voldoende reden om te stoppen met te leverancier. Als je zo blundert ben je niet in staat te leveren. Dat is als het in gebruik nemen van een 4e handsauto van occasioncentrum Beun de Haas waarbij je net ontdekt hebt dat de remkabels niet vastzitten en de wielbouten ontbreken. Als je dan niet denkt "wat zou er verder niet in orde zijn?" heb je het niet begrepen. En als je toch gaat rijden zonder te controleren of de remkabels en wielbouten er inmiddels wel goed op zitten, ben je nalatig.
Jaaa lieve kijkbuiskinderen, de overheid en ICT-afdelingen bestaan ook maar uit mensen die wel eens falen.
Maar nu: oogjes dicht, en snaveltjes toe.
Slaap lekker!
Maar nu: oogjes dicht, en snaveltjes toe.
Slaap lekker!
Ook de nieuws site nu.nl heeft hier ook een artikel aangewijd, oordeel zelf.
https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html
https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html
09-06-2020, 19:11 door
karma4
Door Anoniem: Ook de nieuws site nu.nl heeft hier ook een artikel aangewijd, oordeel zelf.
https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html
https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html
"Marco Beuk van Formdesk laat in een reactie weten verbaasd te zijn over het verhaal van De Jonge. Volgens hem is de kwetsbaarheid niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld."
Gezien de opzet in instructies voor het gebruik ziet het er inderdaad goed uit. Een login met van alles er om heen.
Aangezien de beveiliging in applicaties gebouwd moet worden en niet extern zit kan het wel eens misgaan.
Het web is niet ontworpen voor transacties en veiligheid van informatie.
@Karma4: Ik heb deze link gewoon als aanvullend geplaatst.
Het web is niet ontworpen voor transacties en veiligheid van informatie.
Dit is waar maar helaas begrijpt niet iedereen dit.Door karma4:
Het web is niet ontworpen voor transacties en veiligheid van informatie.
Het web is niet ontworpen voor transacties en veiligheid van informatie.
Deze opmerking slaat nergens op. Het web is de verzameling van systemen, waarbij ieder systeem afzonderlijk veilig is of niet. Een systeem kan je prima veilig maken, als je je best maar doet.
Door Anoniem:
Deze opmerking slaat nergens op. Het web is de verzameling van systemen, waarbij ieder systeem afzonderlijk veilig is of niet. Een systeem kan je prima veilig maken, als je je best maar doet.
Door karma4:
Het web is niet ontworpen voor transacties en veiligheid van informatie.
Het web is niet ontworpen voor transacties en veiligheid van informatie.
Deze opmerking slaat nergens op. Het web is de verzameling van systemen, waarbij ieder systeem afzonderlijk veilig is of niet. Een systeem kan je prima veilig maken, als je je best maar doet.
Ik reageer even als meelezer.
Als je dat stelt dan vraag ik me af hoeveel je snapt van keten-werking.
Veiligheid houdt niet op bij koppelpunten tussen deze en gene systemen.
Het gaat er niet alleen om dat je systeem prima veilig kan maken, ook dat het volledig veilig blijft, dat je niet datgeen op het systeem plaatst dat je liever niet kwijt wilt raken, zoiets als nu tegen alle wijsheid in met dit lek uit verantwoordelijkheid van de Jonge gebeurt.
Als je dat meeneemt terwijl je naar transacties via allerlei koppelpunten kijkt, hoezo is het dan onzin als iemand aan de orde stelt of je veiligheid van systeem naar systeem een veiligheid issue is?
Kan je nader toelichten welk deel in die beschouwing niet relevant zou zijn?
Een systeem kan je prima veilig maken, als je je best maar doet.
Dit schrijft karma4 niet, hij schrijft "Het web is niet ontworpen voor transacties en veiligheid van informatie." en datklopt helemaal.
Menselijke fouten zijn menselijk en menselijke leugens zijn menselijk. Maar wie liegt er nu, de Minister of de Beuk van Formdesk? Beide zouden natuurlijk damage control willen doen maar ik heb de neiging de de Beuk te geloven.
Door Anoniem:
Deze opmerking slaat nergens op. Het web is de verzameling van systemen, waarbij ieder systeem afzonderlijk veilig is of niet. Een systeem kan je prima veilig maken, als je je best maar doet.
Het seb htm is stateless gedefinieerd.Deze opmerking slaat nergens op. Het web is de verzameling van systemen, waarbij ieder systeem afzonderlijk veilig is of niet. Een systeem kan je prima veilig maken, als je je best maar doet.
Een dbms kent een acid gebeuren voor de integriteit van gegevens .
Afhankellijk van het os en de configuratie identificatie en autorisatie voor accounts en autorisatie voor gegevens. Zie het verschil met het web. De frameworks mosten dat allemaal zelf opnieuw uitvinden.
Het is terug naar de jafen 90 toen de toenmalige frameworks dbms geen uitgebreide security hadden en alles uitgecodeerd werd in de applicaties. Een ontkoppeling is gewoon nodig ik zie het nog niet gebeuren.
RIVM had altijd een hoog aanzien in mijn optiek. Ik vind de schade inzake privacy lekkage wel meevallen in contrast met andere dingen waar je geen kip over hoort.
Het is me een raadsel wat niesen, hoesten en koorts met "COVID19" te maken hebben
Dit is weer een staaltje symptoombeoordeling van een gefabriceerd virus
Dit is weer een staaltje symptoombeoordeling van een gefabriceerd virus
Door Anoniem: > Het RIVM liet gisteren weten dat er verschillende veiligheidschecks op de software van Infectieradar waren uitgevoerd, maar dat het beveiligingslek toch aanwezig was.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
Testen is het vaststellen van kwaliteit van software en het inschatten van de resterende risico's bij ingebruikname hiervan. Essentieel hierbij is het opstellen van fatsoenlijke kwaliteitscriteria. Op hoofdlijnen zullen die moeten komen van de opdrachtgever (die hiervoor idealiter wel wat kennis in huis heeft) en opdrachtgever en leverancier kunnen dit dan verder detailleren. Zodra de kwaliteitscriteria zijn opgesteld, weet je ook wat je moet gaan testen.
10-06-2020, 08:52 door
Kjeld
Hopelijk hebben al deze bedrijven ook mee gelezen
https://www.google.com/search?q=site%3Afd7.formdesk.com
Ongeveer 1.570 resultaten
https://www.google.com/search?q=site%3Afd7.formdesk.com
Ongeveer 1.570 resultaten
Door Anoniem:
klopt helemaal.
Oorspronkelijk niet, maar er is heel wat bij-ontworpen sinds het web van start ging als hypertext-toepassing. Je kan ook stellen dat auto's niet zijn ontworpen om op lithium-ion-accu's te rijden en vliegtuigen niet om drukcabines te hebben. Toch functioneert het.Een systeem kan je prima veilig maken, als je je best maar doet.
Dit schrijft karma4 niet, hij schrijft "Het web is niet ontworpen voor transacties en veiligheid van informatie." en datklopt helemaal.
Door Kjeld: Hopelijk hebben al deze bedrijven ook mee gelezen
https://www.google.com/search?q=site%3Afd7.formdesk.com
Ongeveer 1.570 resultaten
Idd Kjeld, Formdesk is een online formulierentool, waarmee je volgens de website "zonder tussenkomst van de ICT-afdeling webformulieren mee kan ontwerpen" (bron: https://nl.formdesk.com/contact/over-ons/).https://www.google.com/search?q=site%3Afd7.formdesk.com
Ongeveer 1.570 resultaten
Wel weer grappig is dat ze een security exploit bounty programma hebben: https://nl.formdesk.com/security-exploit-bounty-program/
aan de heren hierboven, dat html stateless is, betekent niet dat je er geen statefull protocol bovenop kan zetten. beseft dat https nu net weer in de tls laag wel statefull is, net als in de tcp/ip laag.
Door Anoniem: Menselijke fouten zijn menselijk en menselijke leugens zijn menselijk. Maar wie liegt er nu, de Minister of de Beuk van Formdesk? Beide zouden natuurlijk damage control willen doen maar ik heb de neiging de de Beuk te geloven.
Er is nu feitelijk geen publieke informatie waarop je kan bepalen wie de waarheid spreekt. Volgens mij is er maar 1 manier om daar achter de komen: WOBben maar!
10-06-2020, 11:56 door
souplost
De App moest open source worden maar deze toepassing blijkbaar niet!
10-06-2020, 12:02 door
souplost
Door Anoniem:
Inderdaad. Het web is oorspronkelijk ontworpen om (CERN) data tussen machines van verschillende pluimage te kunnen uitwisselen. Dat is toch een succes geworden ondanks de tegenwerking van enkele grote Amerikaanse bedrijven. Netscape moest zelfs worden "doodgedrukt".Door Anoniem:
klopt helemaal.
Oorspronkelijk niet, maar er is heel wat bij-ontworpen sinds het web van start ging als hypertext-toepassing. Je kan ook stellen dat auto's niet zijn ontworpen om op lithium-ion-accu's te rijden en vliegtuigen niet om drukcabines te hebben. Toch functioneert het.Een systeem kan je prima veilig maken, als je je best maar doet.
Dit schrijft karma4 niet, hij schrijft "Het web is niet ontworpen voor transacties en veiligheid van informatie." en datklopt helemaal.
10-06-2020, 18:00 door
karma4
Door souplost: Oorspronkelijk niet, maar er is heel wat bij-ontworpen sinds het web van start ging als hypertext-toepassing. Je kan ook stellen dat auto's niet zijn ontworpen om op lithium-ion-accu's te rijden en vliegtuigen niet om drukcabines te hebben. Toch functioneert het.
Inderdaad. Het web is oorspronkelijk ontworpen om (CERN) data tussen machines van verschillende pluimage te kunnen uitwisselen. Dat is toch een succes geworden ondanks de tegenwerking van enkele grote Amerikaanse bedrijven. Netscape moest zelfs worden "doodgedrukt".[/quote]Probeer het eens in een DC3 of mosquito met een drukcabine. Dat het lukt ligt aan een geheel her ontwerp met standaardisatie. Met de 737 max heb je gezien hoe standaardisatie en veiligheid ten koste gegaan is voor het korte termijn geldelijk gewin. De nieuwe motor (een compleet herontwerp) past niet de body had beter ook herontworpen kunnen worden.
Duidelijk is dat enkel open source roepen in die complexe wereld van vele ketens gewoon niet werkt.
Het web is een commercieel succes geworden dat betekent niet dat de werking en veiligheid ook op orde is.
Dat is de grootste denkfout die je maakt. Omdat iedereen het doet moet het wel goed zijn.... Lemmingen in een matrix.
10-06-2020, 18:02 door
karma4
Door Anoniem: Ik reageer even als meelezer.
Als je dat stelt dan vraag ik me af hoeveel je snapt van keten-werking.
Veiligheid houdt niet op bij koppelpunten tussen deze en gene systemen.
Het gaat er niet alleen om dat je systeem prima veilig kan maken, ook dat het volledig veilig blijft, dat je niet datgeen op het systeem plaatst dat je liever niet kwijt wilt raken, zoiets als nu tegen alle wijsheid in met dit lek uit verantwoordelijkheid van de Jonge gebeurt.
Als je dat meeneemt terwijl je naar transacties via allerlei koppelpunten kijkt, hoezo is het dan onzin als iemand aan de orde stelt of je veiligheid van systeem naar systeem een veiligheid issue is?
Kan je nader toelichten welk deel in die beschouwing niet relevant zou zijn?
Als je dat stelt dan vraag ik me af hoeveel je snapt van keten-werking.
Veiligheid houdt niet op bij koppelpunten tussen deze en gene systemen.
Het gaat er niet alleen om dat je systeem prima veilig kan maken, ook dat het volledig veilig blijft, dat je niet datgeen op het systeem plaatst dat je liever niet kwijt wilt raken, zoiets als nu tegen alle wijsheid in met dit lek uit verantwoordelijkheid van de Jonge gebeurt.
Als je dat meeneemt terwijl je naar transacties via allerlei koppelpunten kijkt, hoezo is het dan onzin als iemand aan de orde stelt of je veiligheid van systeem naar systeem een veiligheid issue is?
Kan je nader toelichten welk deel in die beschouwing niet relevant zou zijn?
Dank u... ik ben benieuwd naar de inhoudelijke reacties.
10-06-2020, 23:15 door
souplost
Door karma4:
Probeer het eens in een DC3 of mosquito met een drukcabine. Dat het lukt ligt aan een geheel her ontwerp met standaardisatie. Met de 737 max heb je gezien hoe standaardisatie en veiligheid ten koste gegaan is voor het korte termijn geldelijk gewin. De nieuwe motor (een compleet herontwerp) past niet de body had beter ook herontworpen kunnen worden.
Duidelijk is dat enkel open source roepen in die complexe wereld van vele ketens gewoon niet werkt.
Het web is een commercieel succes geworden dat betekent niet dat de werking en veiligheid ook op orde is.
Dat is de grootste denkfout die je maakt. Omdat iedereen het doet moet het wel goed zijn.... Lemmingen in een matrix.
Ten eerste citeer je mij verkeerd maar een ander. Ten tweede beschuldig jij mij van een denkfout voor een bewering die ik niet eens heb gedaan. Even beter lezen AUBDoor souplost: Oorspronkelijk niet, maar er is heel wat bij-ontworpen sinds het web van start ging als hypertext-toepassing. Je kan ook stellen dat auto's niet zijn ontworpen om op lithium-ion-accu's te rijden en vliegtuigen niet om drukcabines te hebben. Toch functioneert het.
Inderdaad. Het web is oorspronkelijk ontworpen om (CERN) data tussen machines van verschillende pluimage te kunnen uitwisselen. Dat is toch een succes geworden ondanks de tegenwerking van enkele grote Amerikaanse bedrijven. Netscape moest zelfs worden "doodgedrukt".Probeer het eens in een DC3 of mosquito met een drukcabine. Dat het lukt ligt aan een geheel her ontwerp met standaardisatie. Met de 737 max heb je gezien hoe standaardisatie en veiligheid ten koste gegaan is voor het korte termijn geldelijk gewin. De nieuwe motor (een compleet herontwerp) past niet de body had beter ook herontworpen kunnen worden.
Duidelijk is dat enkel open source roepen in die complexe wereld van vele ketens gewoon niet werkt.
Het web is een commercieel succes geworden dat betekent niet dat de werking en veiligheid ook op orde is.
Dat is de grootste denkfout die je maakt. Omdat iedereen het doet moet het wel goed zijn.... Lemmingen in een matrix.
11-06-2020, 07:43 door
karma4
Door souplost: Ten eerste citeer je mij verkeerd maar een ander. Ten tweede beschuldig jij mij van een denkfout voor een bewering die ik niet eens heb gedaan. Even beter lezen AUB
ik lees uitstekend. Helaas Iets teveel in de quoting weggehaald het einde blok quote staat er nog (zie gisteren 12:02 jouw post.at is toch een succes geworden ondanks de tegenwerking van enkele grote Amerikaanse bedrijven
Is van jouw hand. Ik neen de voorbeelden van anoniem mee over het ontwerpen van b.v. vliegtuigenKern van de zaak: Dat iets een commercieel success is wil niet zeggen dat het veilig is. Ook niet onder de OSS vlag.
Door Anoniem:
Door Anoniem:
klopt helemaal.
Oorspronkelijk niet, maar er is heel wat bij-ontworpen sinds het web van start ging als hypertext-toepassing. Je kan ook stellen dat auto's niet zijn ontworpen om op lithium-ion-accu's te rijden en vliegtuigen niet om drukcabines te hebben. Toch functioneert het.Een systeem kan je prima veilig maken, als je je best maar doet.
Dit schrijft karma4 niet, hij schrijft "Het web is niet ontworpen voor transacties en veiligheid van informatie." en datklopt helemaal.
Voeg dan wel ook even toe hoe je tegen de bezwijk mechanismen van web onderdelen aankijkt?
Zeker als je naar auto’s en vliegtuigen kijkt zie je dat de ingebouwde en toegevoegde veiligheid bij auto’s en vliegtuigen andere optimalisatie mogelijkheden hebben. Auto’s botsen gezien dat ze zeg maar allemaal op dezelfde hoogte als nabije auto’s verplaatsen eerder dan vliegtuigen. Marges voor reactie tijden bij vliegtuigen voor uitval of storing van onderdelen ook weer heel anders waardoor de veiligheid als geheel per auto / vliegtuig weer andere marges en borging kent.
Dan kan je ook nog kijken naar de ondersteunende systemen voor veiligheid.
Als je nou kijkt naar de zoveelste casus van uitval van het commerciele Vodafone waardoor de veiligheidsregio’s toch weer bereikbaarheid problemen bleken te hebben kan je je stelling voor het veilige web in dit verband dan nader verklaren?
Welke toepassing of commercieel onderdeel dat voor veiligheid in het web was toegevoegd zou jij dan nader naar kijken?
Mij lijkt de redudantie alsnog door minister van veiligheid Grapperhaus gewoon niet gefixt.
Hij stelde namelijk bij de vorige storing dat die per definitie KORTER dan een 1 uur duur moesten blijven.
Op die eis die Grapperhaus als eindverantwoordelijke niet zo lang geleden als onwrikbaar presenteerde, faalt het meld-systeem van zijn veiligheidsregio(‘s) vandaag dus opnieuw.
Aansluitend kan je misschien ook toelichten welk toe te voegen commercieel middel met veiligheid functie de achterwege gebleven verificatie van zoiets basic als url tweak bij de infectieradar website zeker had moeten voorkomen?
Url tweaking is toch wel zo basis onderdeel voor je laatste checks & balances voordat je live gaat naar het brede publiek
Ben erg nieuwsgierig naar je inzichten hieromtrent,
Door Anoniem:
Testen is het vaststellen van kwaliteit van software en het inschatten van de resterende risico's bij ingebruikname hiervan. Essentieel hierbij is het opstellen van fatsoenlijke kwaliteitscriteria. Op hoofdlijnen zullen die moeten komen van de opdrachtgever (die hiervoor idealiter wel wat kennis in huis heeft) en opdrachtgever en leverancier kunnen dit dan verder detailleren. Zodra de kwaliteitscriteria zijn opgesteld, weet je ook wat je moet gaan testen.
Door Anoniem: > Het RIVM liet gisteren weten dat er verschillende veiligheidschecks op de software van Infectieradar waren uitgevoerd, maar dat het beveiligingslek toch aanwezig was.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
Testen is bewijs vinden dat er fouten in zitten. Testen is niet bewijzen dat het foutvrij is.
Testen is het vaststellen van kwaliteit van software en het inschatten van de resterende risico's bij ingebruikname hiervan. Essentieel hierbij is het opstellen van fatsoenlijke kwaliteitscriteria. Op hoofdlijnen zullen die moeten komen van de opdrachtgever (die hiervoor idealiter wel wat kennis in huis heeft) en opdrachtgever en leverancier kunnen dit dan verder detailleren. Zodra de kwaliteitscriteria zijn opgesteld, weet je ook wat je moet gaan testen.
Tja, dat is dan vooral de definitie van testen volgens een hofleverancier van ICT aan de overheid.
Debuggen doe je om fouten na te gaan voordat je de laatste fase van een ontwikkel en lancering traject bereikt.
Testen is meer dan debuggen en behelst ook een breder verhaal dan de kwaliteit van het ICT middel toetsen en vaststellen. Nadat de kwaliteit van het ICT middel vaststaat ben je er gewoon niet.
Enerzijds gaat het er wel om dat de ICT functioneert conform de specs, de (hoofd)eisen waarbij je kan afvragen of als dat voorgaande afgeleiden zijn je de top-eisen voor de oplossing goed kunt testen.
Een aangetoonde goede kwaliteit is van toepassing wanneer de oplossing heel strikt valt binnen de spes en (hoofd)eisen blijkt te vallen.
De impliciete - lees ingebakken en niet uit specs rechtsreeks afleidbare hiaten - en heel en zeer laakbaar opgetreden fouten vind je zover in het stadium niet snel op basis van je kwaliteit definities.
Waar een kwaliteitsgat nog enigszins onder de aandacht van kwaliteit beheersing valt heeft de beginnersfout van het ministerie m.b.t de virus radar te maken met een hiaat in het testen!
Zo mogelijk door te snel over te gaan naar de volgende stap of sprint, maar in ieder geval waren eerdere testen evident onvoldoende.
Dan mag iedereen zelf nagaan of het onvoldoende was door een minister die zaken in de wind heeft geslagen, tijd afknibbelde van het testen of dat er iets anders speelde.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
