FD: overheid gaat providers waarschuwen voor kwetsbaarheden
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie gaat internetproviders waarschuwen voor kwetsbaarheden in hun netwerken en systemen, zo laat het Financieele Dagblad vandaag weten. Op dit moment informeert het NCSC vitale aanbieders, zoals banken en energiebedrijven, en onderdelen van het Rijk.
Onlangs werden er nog vragen gesteld of het NCSC niet meer organisaties actief voor kwetsbaarheden zou moeten waarschuwen. Aanleiding waren Nederlandse bedrijven die nagelaten hadden hun Pulse Secure vpn-servers te patchen en zodoende kwetsbaar waren. Een Nederlandse beveiligingsonderzoeker liet weten dat hij het NCSC een lijst met namen van deze bedrijven had gestuurd.
De melding werd echter niet naar deze ondernemingen doorgezet, zo stelde de onderzoeker. Het NCSC heeft als wettelijke taak om alleen vitale aanbieders en onderdelen van het Rijk bij te staan. Daarnaast waarschuwt het bedrijven en andere organisaties via de eigen website voor kwetsbaarheden in veel gebruikte applicaties en platformen.
Nu zal het NCSC ook providers gaan informeren, aldus NBIP, de Nationale Beheersorganisatie Internetproviders. Meldingen zullen via een apart systeem worden verwerkt. Dit systeem, mede ontwikkeld door de TU Delft, verzamelt op automatische wijze allerlei informatie uit verschillende bronnen en vat dit samen. Dit systeem moet later dit jaar operationeel worden.
Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders. "Ik denk wel eens: laat het Nationaal Cyber Security Centrum voor de vitale sectoren zorgen, dan zorgen wij voor de rest van Nederland", zegt Octavia de Weerdt, directeur van NBIP.
Die taak zou primair door het NCSC uitgevoerd moeten worden. Iets wat de politiek nog niet doorheeft...
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app
(1):
p.s. Deze quote is niet van mij.
Bestuurlijke spelletjes, yuck!
Die taak zou primair door het NCSC uitgevoerd moeten worden. Iets wat de politiek nog niet doorheeft...
Beste vergelijking is de brandweer. Een gebouweigenaar is verantwoordelijk voor de brandveiligheid. Heb je vragen of advies nodig, dan kan een preventiemedewerker van de brandweer advies geven. Let wel, die preventiemedewerker van de brandweer is geen consultant die hele plannen gaat maken. Daar moet je als bedrijf expertise voor inhuren als je dat nodig hebt.
Je zou bijna denken dat bij een ISP de beveiliging van hun netwerk en zeker van hun klanten een lage prioriteit heeft - in ieder geval lager dan winstmaximalisatie.
De Zwaluw
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app
(1):
p.s. Deze quote is niet van mij.
heeft dus geen of zeer lage prioriteit. Dat gaat men dus niet implementeren,
want daar gaat men geen geld achteraan gooien.
Heeft iemand al wel eens een inventarisatie gedaan naar het voorkomen van kwetsbaarheden van spdy module op NGINX, naar var/log/nginx, naar kwetsbaar PHP 7 op NGINX met php-fpm enabled. Dat zijn hoofd aanvalsvectoren heden ten dage.
Dit even als voorbeeldje en er draait veel op NGINX in dit landje.
Kijk eens via shodan etc. en je schrikt. "X-Info: Served by nginx [php-fpm]", ja ook in Amsterdam, die grote stad. (iron.).
Zet er eens een stel ongelofelijke spitse beta-research zeikerds op. Dat zijn de beste,
Laat hen die toko's scannen van voor naar achter en van boven naar onder.
Kom daarna dan met een rapport en procedure van aanpak. Die abbo's zullen daarna wel duurder worden,
maar dat worden ze toch al wel met of zonder voldoende achterliggende best policy veiligheid.
luntrus
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app
(1):
p.s. Deze quote is niet van mij.
Ben je leesblind?
Waar exact - citeer mij letterlijk - suggereer ik dat specifiek de DigiD app brak is ?
Nergens in mijn post valt ook maar een letter, een leesteken te vinden over: brakheid van de DigiD app.
Jouw woorden. Niet die van mij. Je zuigt dat helemaal uit die hele grote dikke duim van je.
Ik geef aan dat software (of is een app soms géén software!?!) in de kern altijd kwetsbaar is en blijft. Ondiscutabel feit!
Als ik je moet gaan uitleggen dat software feitelijk één seconde na een patch alweer kwetsbaar is - ik noem dat wel eens 'zero second vulnarabilities - behoor je tot de zorgelozen en argelozen. dat mag, maar niet treuren als het misgaat. Van dat laatste staat deze site en de gehele digitale wereld bol van de feiten. Elke minuut van de dag weer; doorlopend.
Informeren is één, maar er moet ook een stap 2 achteraan: en als je het niet fixt binnen x-tijd, betaal je gelijk een boete of ga je 10 dagen dicht. Dát werkt.
Vergelijk dit eens met het wegverkeer, een wat langer bekende infrastructuur. 'Veilig weggedrag' is het doel, maar er zijn ook duidelijke regels: hier max je 100, daar 50, daar 30 en er is een duidelijk toezicht en sanctiebeleid voor de notoire overtreders.
Als deze branche het zelf niet goed regelt, ontkom je er niet aan.
Of vergelijk het met het coronabeleid. Als de branche het zelf niet kan, moet je wat duidelijker worden: tot hier en niet verder.
Er lopen in deze branche nog steeds te veel cowboys rond.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
