Kabinet gaat Rijksoverheid en vitale aanbieders dwingen om kritieke lekken te verhelpen
De Rijksoverheid en vitale aanbieders worden straks verplicht om kritieke kwetsbaarheden in hun systemen te verhelpen of aan een toezichthouder uit te leggen waarom ze dit niet doen. Dit moet situaties zoals met het beveiligingslek in Citrix voorkomen, zo heeft minister Grapperhaus van Justitie en Veiligheid laten weten bij de presentatie van het jaarlijkse Cybersecuritybeeld Nederland (CSBN) aan de Tweede Kamer.
Grapperhaus stelt dat het voorkomen van maatschappelijke ontwrichting door incidenten binnen vitale processen de hoogste prioriteit binnen de Nederlandse Cybersecurity Agenda heeft. Om dergelijke verstoringen te voorkomen werkt het kabinet aan een "pas toe of leg uit"- systematiek voor vitale aanbieders en de Rijksoverheid. Bij ernstige kwetsbaarheden, zoals in het geval van een high-high beveiligingsadvies van het NCSC, moeten deze partijen mitigerende maatregelen nemen of uit kunnen leggen aan een door de verantwoordelijke minister gemandateerde organisatie, bijvoorbeeld een toezichthouder, waarom ze deze niet nemen.
"Als er een soortgelijke situatie plaatsvindt zoals tijdens de problemen met Citrix-software, is de vrijblijvendheid van het nemen van maatregelen voorbij", aldus het ministerie van Justitie en Veiligheid. Grapperhaus voegt toe dat de nieuwe maatregel ervoor moet zorgen dat beveiligingsadviezen van het NCSC beter worden opgevolgd. In het geval van bijvoorbeeld de Citrix-kwetsbaarheid had het NCSC hiervoor gewaarschuwd. Binnen de Rijksoverheid bleken er echter verschillende organisaties te zijn die de geadviseerde oplossing niet of niet tijdig hadden doorgevoerd.
Maar een goed punt. Wil je leveren aan de overheid? Zorg dan dan veilig genoeg bent!
overheid: Waarom fixt u een critiek lek in Windows 10 1809 niet?
microsoft: Waarom zou ik? jij betaalt toch wel, en overstappen naar linux doe je toch niet. bovendien heb ik het gefixed in 1909 versie. suc6, en don't call us anymore. suckers..
lekkere wassen neus weer die overheid...
is er een bepaald soort gullible nodig om ambtenaar te kunnen worden?
Het gaat niet om leveranciers maar om aanbieders van informatiesystemen, die dus veelal gebruik maken van spullen
van leveranciers waar updates voor zijn, maar er regelmatig voor kiezen om die updates niet te installeren.
(omdat ze het niet wisten, omdat ze er geen tijd voor hadden, omdat het toch goed werkte, omdat ze het eerst intern
wilden testen, omdat de update een reboot vereiste en 100% uptime heilig is, dat soort redenen)
DAAR wil men nu wat aan doen. Dus updates moet je installeren en anders met de billen bloot met je uitleg, zodat de
buitenwereld hun conclusies kan trekken over bijvoorbeeld de waarde die je hecht aan hun data.
In de industrie waar dat ene proces alleen maar lekker kan draaien op Windows ME software.
De man die het ingeklopt heeft, is niet langer beschikbaar om het te upgraden.
Hoe lang draaiden kassa's van het vmlg. grootwinkelbedrijf met de twee letters nog op XP softe waar?
Maar er is nog een wereld buiten ons land, met invloed op ons land, continent e.d.
Hoe krijg je iets veilig in een land, waar het niet veiliger kan wegens importbeperkingen? Iran bijvoorbeeld.
Wat doe je met die onveilige Mikrotik server in Moskou?
Wat doe je met de onveiligheid vanwege een overal dominant besturingssysteem
en daardoor kwetbare infrastructuur in het Rijk van het Midden of andere BRICS-landen.
We voelen met u mee, maar voor ons komt het beter uit, zo. Divide et Impera.
Het Internet is het Internet en blijft het Internet, all around the globe.
Dat lekken verhelpen gaat hem dus niet worden. Too late, too little, too few.
Had dat maar een paar decennia eerder bedacht dan.
Voorlopig gaat het op de lange baan, omdat het niet haalbaar is.
#sockpuppet
Maar een goed punt. Wil je leveren aan de overheid? Zorg dan dan veilig genoeg bent!
Volgens mij heb je geen idee waar je het over hebt, Google eens op het NCSC.
Ik hoor graag wat je voor verbeterpunten hebt als het over bijvoorbeeld rijksoverheid.nl gaat.
Ik ben helemaal niet bang voor Grabbelhaus en z'n rare plannetjes.
Ik hoor graag wat je voor verbeterpunten hebt als het over bijvoorbeeld rijksoverheid.nl gaat.
Ik ben helemaal niet bang voor Grabbelhaus en z'n rare plannetjes.
Het NCSC zou geen deel moeten vormen van J&V, maar van Defensie! Bijna alle statelijke-actoren gerelateerde zaken vallen onder J&V, maar behoort logischerwijs onder Defensie. Dit geeft grote verwarring bij security-specialisten.
Het NCSC zou geen deel moeten vormen van J&V, maar van Defensie! Bijna alle statelijke-actoren gerelateerde zaken vallen onder J&V, maar behoort logischerwijs onder Defensie. Dit geeft grote verwarring bij security-specialisten.
Want dat doen andere landen ook zo? Ik zat net wat security bulletins van de FBI te lezen. FBI, valt onder het Amerikaanse departement van Justitie, net zoals in Nederland.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
