Door Anoniem van 30-01-2021, 01:54: Door Anoniem: Dus de GGD gaat per 1 januari 2021 samenwerken met Z-CERT, is de ronkende titel van een artikel op de site van Z-CERT.
Daarover vier opmerkingen:
[knip hoop opmerking]
Je hebt duidelijk een misverstand over de rol/taak van een NCSC of Z-CERT.
Die organisaties gaan niet "de security" 'doen' van hun aangesloten partijen.
Ze zijn een kennis/advies/informatie en bij paniek hulpbron voor hun achterban.
Lees dat op
https://www.z-cert.nl/diensten/ Dank voor deze link. Met name de kennisdeling door die door Z-CERT wordt ondersteund kon als "stille kracht" op de achtergrond wel eens zijn vruchten afwerpen. Maar om even de vergelijking met de brandweer door te trekken: de brandweer stelt ook brand-veiligheidseisen aan bijvoorbeeld gebouwen, en bij evenementen. En de naleving van die veiligheids-eisen kan afgedwongen worden. Dat mis ik nu bij Z-CERT. Het kunnen afdwingen van Security-By-Design in de ontwerpfase, of voldoende differentiatie van gebruikersrechten.
Helaas is de GGD (nog) niet aangesloten bij Z-CERT, maar ook dat zou verplicht moeten worden. Verplicht voor alle organisaties in de gezondheidszorg die werken met privacy-gevoelige data. Dat zijn ze allemaal.
Je ziet die gevaarlijke openstaande "Exportfunctie" in de systemen van de GGD, en niemand heeft daar kennelijk in de ontwerpfase een opmerking over gemaakt? Of die opmerkingen zijn in de haast van de Corona-pandemie door de programmeurs terzijde geschoven? Rouvoet is daar behoorlijk vaag over.
Een brandweer die constateert dat de vereiste brandtrap of brandhaspel ontbreekt zal de bouw kunnen afkeuren of stil leggen. Die bevoegdheid ontbreekt nu bij Z-CERT (correct me if I am wrong).
Door Anoniem van 30-01-2021, 01:54:3. Is men bij Z-CERT (maar ook bij de andere vier organisaties) niet teveel gericht op cyberaanvallen? Terwijl een grote (de grootste) kwetsbaarheid achter een toetsenbord zit (nu toevallig een goedkope callcenter medewerker die een "export" functie heeft ontdekt in de GGD systemen) ?
Niemand (hopelijk) zal zeggen dat je 'klaar' bent met security als je maar aangesloten bent bij Z_CERT/NCSC/Surf-CERT/DefCERT.
Laat staan dat je je eigen security team kunt of moet opdoeken want dat doet cert team nu - zo werkt het niet.
Zorgen dat je organisatie veilig werkt - en dat je geen lekke dingen bouwt is en blijft de verantwoording van de organisatie.
Hmmm ... ik vind dan dat de bevoegdheid van Z-CERT moet worden uitgebreid. Wat mij betreft worden de volgende elementen verplicht en afdwingbaar door Z-CERT:
- Security By Design
- Open Standaarden
- Periodieke pentesten, met Responsible Disclosure en beloning.
Dat geldt niet alleen voor Z-CERT, maar ook voor de andere drie CERT organisaties: de Informatiebeveiligingsdienst (IBD), SURFcert, CERT Watermanagement.
Door Anoniem van 30-01-2021, 01:54:Uh, de gegevens die in China verzameld gaan worden zijn min of meer per definitie (en afspraak) al van de Chinezen.
Je gaat daar echt geen dingen verzamelen die de Chinezen niet zelf (ook) verzameld hebben.
Alleen in interpretatie / analyse achteraf vind je misschien iets dat de Chinezen gemist hebben - of niet, en is je meerwaarde alleen dat je geen Chinees bent die het zegt.
Dat klopt,maar is niet wat ik bedoel.
Marion Koopmans is een autoriteit op het gebied van virussen, maar weet zij ook wat een "PineApple" is?
https://searchsecurity.techtarget.com/definition/Wi-Fi-PineappleDie meende ik ook te ontdekken op de hoedenplank van de huurauto die de Russische GROe geparkeerd had naast het OPCW gebouw in Den Haag.
https://nos.nl/collectie/13693/artikel/2253313-mivd-we-hebben-russische-hack-van-opcw-in-den-haag-voorkomenDus als Marion Koopmans op haar hotelkamer denkt een goede WiFi verbinding te hebben, lift de "MitM" gewoon mee richting de netwerken van het RIVM en het Erasmus MC.
Welke instantie met kennis van ICT beschermt Marion daartegen?
Door Anoniem van 30-01-2021, 01:54:Want ik kan mij voorstellen dat zij tijdens de quarantaine periode op haar Chinese hotelkamer toch wel contact heeft onderhouden met haar thuisbasis. Welke instantie is daar verantwoordelijk voor? Z-CERT of SURF? Of toch het NCSC? AIVD? MIVD?
De security afdeling van haar werkgever. Die eventueel aanvullend advies kunnen vragen aan Surfcert .
Het kan best dat dat betekent dat ze feitelijk geen toegang krijgt tot de normale werkomgeving totdat ze weer terug is.
Misschien dat de AIVD wat algemene adviezen heeft/geeft voor mensen met een heel hoog profiel die naar een spionage-gevoelige omgeving gaan .
Maar ik denk dat zij alleen in detail betrokken worden bij de voorbereiding van missies van landsbelang.
Dat zou inderdaad de huidige situatie kunnen beschrijven. Ik vind dit te afwachtend. Want een meer pro-actieve houding van diverse instanties zou een hoop ellende kunnen voorkomen.
Marion Koopmans maakt op haar hotelkamer verbinding met een krachtig acces-point.
De systeembeheerder van het RIVM ziet dat Marion keurig volgens de regels inlogt ...
(en kan vervolgens nooit meer het verschil zien tussen Marion en de MitM, want ze gebruiken beide dezelfde inloggegevens).
Een software-engineer staat onder druk want de GGD wil een werkbaar programma, voor een Audit Comittee of een pentester hebben we nu even geen tijd ...
(en vervolgens worden privacy-gevoelige gegevens van op Corona geteste burgers te koop aangeboden).
Nogmaals, een meer pro-actieve houding van diverse instanties zou een hoop ellende kunnen voorkomen. We vinden het niet leuk als iedereen overal rondsnuffelt en bestanden exporteert, of dat nu een oproepkracht is in een GGD callcenter, een Rus of een Chinees.
Anoniem van 29-01-2021 16:07