Minister maakt excuses voor delen van foto met deel pincode EU-overleg
Minister Bijleveld van Defensie heeft excuses gemaakt voor een foto die vorige week via haar Twitteraccount werd gedeeld en de url en een deel van de pincode bevatte waarmee iedereen op internet toegang tot een EU-defensieoverleg kon krijgen. De minister maakte de foto zelf, die vervolgens door één van haar medewerkers via Twitter werd gedeeld. Een oplettende Twitteraar ontdekte de gegevens in de adresbalk die op de foto zichtbaar waren en tipte RTL Nieuws, waarna een journalist van het medium toegang tot het overleg wist te krijgen.
Tijdens het vragenuur in de Tweede Kamer vroeg D66-Kamerlid Kees Verhoeven de minister om opheldering. "De vraag is natuurlijk hoe dit heeft kunnen gebeuren. Ik stel die vraag ook in het licht van de grote cyber- en data-ambities van het ministerie. Defensie droomde laatst hardop over het op afstand stopzetten van auto's en vorige week bleken ze een hele data-unit te bouwen om burgers te monitoren. We zien het vaker: vergaande hightech, vergaande bigdataplannen, maar intussen de basale maatregelen niet op orde hebben", aldus Verhoeven.
Het D66-Kamerlid noemde als voorbeeld dat minister Kamp van Economische Zaken in 2016 staatsgeheimen via Gmail verstuurde en de Rekenkamer onlangs nog concludeerde dat de staatsgeheimen van Buitenlandse Zaken slecht beveiligd waren. "Gaat het kabinet dan ook serieuze stappen zetten om de cyberveiligheid te verbeteren? Komt er meer budget? Gaan we het bewustzijn vergroten? Komen er trainingen voor minister die meedoen aan digitale vergaderingen?", vroeg Verhoeven verder.
"Ik kan gewoon antwoorden dat het echt gewoon stom was wat er is gebeurd, in de zin van dat doordat de inloggegevens voor een deel getwitterd zijn, een journalist heel makkelijk in deze vergadering kon komen. Dat is gewoon een slordige fout. Daar ben ik het totaal mee eens", antwoordde minister Bijleveld, die haar excuses maakte.
Volgens de minister zou de EU eigenlijk veel meer via beveiligde netwerken moeten vergaderen. Nederland heeft zelfs hulp aangeboden om dit te realiseren, merkte de minister op. Een cursus voor ministers die aan online vergaderingen deelnemen ziet ze echter niet zitten. "Geen enkel misverstand hierover: dit is een stomme fout en het had niet mogen gebeuren. Daarvoor zijn excuses gemaakt. Mij is helemaal duidelijk hoe het in elkaar zit, dus daar hoeft geen extra cursus voor te komen."
Bijleveld zal de EU nogmaals aanspreken om veiliger te gaan vergaderen. "Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel. Maar zoals u weet, is Europa daar natuurlijk zelf voor verantwoordelijk. Wij zullen dit punt, ook naar aanleiding van uw inbreng, nóg weer een keer inbrengen, maar ik had dat dus in mijn eigen inbreng ook al gedaan."
Kop, spijker, raak!
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.
Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
en in beeld blijft staan gedurende die hele vergadering. Dat kan best beter.
Als je inlogt op een systeem komt er toch ook geen balkje boven in beeld met je usernaam en wachtwoord???
Maar hier een stukje gratis consultancy met twee lessen voor Mevr. Bijleveld:
1. Compartimentering is een belangrijk element. De schade bleef hier beperkt doordat de code voor één meeting, in één portefeuille was. Stel je voor dat, zoals de overheid nogal eens burgers verplicht, de code geldig was geweest voor alle authenticatie? Dan is de schade niet te overzien. Compartimenteren.
2. Evenzo onderstreept dit het belang van fail-safe. Goed, de pincode lag op straat. Dat is ernstig. Nieuwe code afspreken en in ieder geval is het lek weer gedicht. Maar authenticatiemiddelen waar dat niet bij kan zijn per definitie niet fail-safe en dus onprofessioneel voor alles wat ook maar een enigszins kritisch belang heeft.
3. Smartphones verbieden in de ruimte tijdens dit soort overleggen.
Want het gaat niet alleen dat mensen domme fouten maken, de smartphones zelf zijn natuurlijk ook een groot lekrisico door alle gaten in de beveiliging van de smartphones zelf (ongezien microfoons/camera's kunnen inschakelen, etc.)
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.
Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
Dat levert helemaal niks op in het scenario wat hier van toepassing was!
Een eigen gesloten VPN waarvan de URL's niet werken op het open internet dat had het wel opgelost in dit geval.
Uiteraard zitten daar weer andere problemen aan.
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.
Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Klopt wat je daar schrijft, en zo blijft het niveau buitengewoon laag.
En de Amerikanen en Russen liggen rollebollend onder de tafel van het lachen. Wat een niveau!
Maar hier een stukje gratis consultancy met twee lessen voor Mevr. Bijleveld:
1. Compartimentering is een belangrijk element. De schade bleef hier beperkt doordat de code voor één meeting, in één portefeuille was. Stel je voor dat, zoals de overheid nogal eens burgers verplicht, de code geldig was geweest voor alle authenticatie? Dan is de schade niet te overzien. Compartimenteren.
2. Evenzo onderstreept dit het belang van fail-safe. Goed, de pincode lag op straat. Dat is ernstig. Nieuwe code afspreken en in ieder geval is het lek weer gedicht. Maar authenticatiemiddelen waar dat niet bij kan zijn per definitie niet fail-safe en dus onprofessioneel voor alles wat ook maar een enigszins kritisch belang heeft.
Hoewel buiten de scope van dit onderwerp, geldt het tweede punt als ik het goed begrijp ook bij identificatie m.b.v. het social security number. Je burgerservice nummer kan ook niet veranderd worden. Dat is toch net zo'n foute boel? Of werkt dit anders?
Bijleveld zal de EU nogmaals aanspreken om veiliger te gaan vergaderen. "Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel. Maar zoals u weet, is Europa daar natuurlijk zelf voor verantwoordelijk.
Alleen de EU?
En waarom niet zoiets simpels als een 2fa aan de vergadering of de tool koppelen, met een one-time password.
Dan kan de pincode van de vergadering nog zo op straat liggen. Zonder die extra code, kom je er niet in.
Kijk naar de verschillende commerciele vergader-oplossingen die er nu zijn (Teams, Zoom, Whatsapp, etc). Allemaal ondersteunen ze vormen van 2fa. En ze tonen geen url in de balk.
[/quote]Een cursus voor ministers die aan online vergaderingen deelnemen ziet ze echter niet zitten. "Geen enkel misverstand hierover: dit is een stomme fout en het had niet mogen gebeuren. Mij is helemaal duidelijk hoe het in elkaar zit, dus daar hoeft geen extra cursus voor te komen." [/quote]
Blijkbaar is het wel nodig, anders was deze domme fout niet gebeurd.
En het toont aan hoe politici omgaan met hun telefoons en twitter accounts.
Als je via een computer aan het vergaderen bent, heb je dat ding niet nodig.
Dus automatisch op afstand uitzetten en pas weer toestaan dat hij start na de vergadering?
Ontneem de minister die verantwoordelijkeid maar.
Mensen kunnen niet multi-tasken.
Ook vrouwen niet.
Geen beveiligde lijnen als excuus? Niet te geloven met wat voor digibeten we te maken hebben op een vitale sector in de top dat is.
Bouw een simpele VOIP oplossing met audio en beeld. Geen chat geen caching geen gebruiker opties what so ever op een volume en mute button na en geen update mogelijkheid van enige gegevens door de gebruiker.
Geef ieder vervolgens een toegang via readonly syteem, hardware dat gecontroleerd is tegen tampering en beveiligd is ertegen zo ver mogelijk.
Laat alles via VPN tunnel verlopen zet dan vervolgens er een firewall tussen block alle IP's standaard en laat enkel IP's in combinatie met Macaddressen door die toegang zouden mogen krijgen in een specifiek tijdslot en monitor dit geheel in een Joint SOC. Klaar basis beveiliging.
Dan nog MFA erin en een encryptie sleutel per connectie met ieder een eigen unieke inlog url die eenmalig te gebruiken is en niet gedeeld wordt buiten de leverancier en de ontvanger en voila beveiligde verbinding voor zover mogelijk.
Het ergste van dit geheel de meeste componenten voor beveiligd netwerk hebben ze al!
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
Dat levert helemaal niks op in het scenario wat hier van toepassing was!
Een eigen gesloten VPN waarvan de URL's niet werken op het open internet dat had het wel opgelost in dit geval.
Uiteraard zitten daar weer andere problemen aan.
De laatste keer dat ik Tor gebruikte kon ik gewoon daarover video kijken.
En je komt zelf met een alternatief aan waarvan je zelf aangeeft dat daar andere problemen mee zijn.
Do not feed the trolls, hoor ik mijzelf zeggen.
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
Video conferencing via TOR, weet je wel waarover je het hebt, bandbreedte / latency?
Als je bovendien denkt dat TOR synoniem is met veiligheid dan heb je het ook mis.
Die zijn er wel: https://www.torproject.org
In ieder geval beter dan de huidige situatie.
Amateurs!
Video conferencing via TOR, weet je wel waarover je het hebt, bandbreedte / latency?
Als je bovendien denkt dat TOR synoniem is met veiligheid dan heb je het ook mis.
Je hoeft niet gebruik te maken van het bestaande tor-netwerk. Je kunt toch je eigen directory-servers en tor-netwerk bouwen tussen de EU-organisaties. Het is gewoon een goede tool.
De tools bestaan al, nu nog de wil!
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.
Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
En wat als van onder wordt geroepen dat de organisatie niet functioneert? Dan wordt het kop in het zand, struisvogel politiek! Maar daarmee kom je niet mee vooruit!
Parels voor de zwijnen, letterlijk en figuurlijk.
Kan ze samen met Trump verder :-)
Geen beveiligde lijnen als excuus? Niet te geloven met wat voor digibeten we te maken hebben op een vitale sector in de top dat is.
Bouw een simpele VOIP oplossing met audio en beeld. Geen chat geen caching geen gebruiker opties what so ever op een volume en mute button na en geen update mogelijkheid van enige gegevens door de gebruiker.
Geef ieder vervolgens een toegang via readonly syteem, hardware dat gecontroleerd is tegen tampering en beveiligd is ertegen zo ver mogelijk.
Laat alles via VPN tunnel verlopen zet dan vervolgens er een firewall tussen block alle IP's standaard en laat enkel IP's in combinatie met Macaddressen door die toegang zouden mogen krijgen in een specifiek tijdslot en monitor dit geheel in een Joint SOC. Klaar basis beveiliging.
Dan nog MFA erin en een encryptie sleutel per connectie met ieder een eigen unieke inlog url die eenmalig te gebruiken is en niet gedeeld wordt buiten de leverancier en de ontvanger en voila beveiligde verbinding voor zover mogelijk.
Het ergste van dit geheel de meeste componenten voor beveiligd netwerk hebben ze al!
Kijk jij snapt het .... het is echt onbegrijpelijk die digibeten ..... 10 jaar geleden deden wij het al veiliger dan die malloten daar...... overheid = ict faal .... steeds maar weer (maar ja het is ons geld wat daar verkwanselt word dus ach who cares)
Ze blijven dit doen, omdat beveiliging het blijkbaar niet wint en het hun aandacht zeker niet heeft.
Wens jullie een fijne dag en alvast een goed weekend!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
