NCSC monitort e-mailadressen overheidsdomeinen via Have I Been Pwned
In navolging van verschillende andere Europese landen maakt ook de Nederlandse overheid gebruik van datalekzoekmachine Have I Been Pwned (HIBP) om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen. Dat heeft Troy Hunt, de bedenker van HIBP, bekendgemaakt.
Have I Been Pwned is een zoekmachine waarmee gebruikers in een database met bijna 11,4 miljard gestolen e-mailadressen kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt.
Daarnaast is het voor domeineigenaren mogelijk om via een API binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Voor overheidsinstanties is deze dienst kosteloos. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gaat de API nu ook gebruiken om zo meer zichtbaarheid in de impact van datalekken op overheidsinstanties te krijgen, aldus Hunt.
Inmiddels zijn er 24 landen op Have I Been Pwned aangesloten. Naast Nederland besloten eerder al de Belgische, Dominicaanse, Finse, Trinidadse, Zweedse, Luxemburgse, Roemeense, Amerikaanse, Australische, Britse, Canadese, Deense, Ierse, IJslandse, Jamaicaanse, Noorse, Oekraïense, Oostenrijkse, Portugese Spaanse, Slowaakse, Uruguayaanse en Zwitserse overheid om via de zoekmachine hun e-mailadressen te monitoren.
Door het oneigenlijk gebruik van email komen deze adressen in al dan niet vage databases, pastbin leaks.
Als antwoord hier op neem de Nederlandse overheid een abonnement op HIBP om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen?
Wat denk je dat ze dan bereiken?
Door het oneigenlijk gebruik van email komen deze adressen in al dan niet vage databases, pastbin leaks.
Als antwoord hier op neem de Nederlandse overheid een abonnement op HIBP om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen?
Wat is er precies raar aan?
Door het oneigenlijk gebruik van email komen deze adressen in al dan niet vage databases, pastbin leaks.
Als antwoord hier op neem de Nederlandse overheid een abonnement op HIBP om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen?
2. Je kunt monitoren op de extensie, bijv. @overheid.nl.
3. NCSC heeft als taak om de overheid en kritieke infra te beschermen tegen cyberdreigingen. Eén van de grootste risico's zijn phishingaanvallen. Deze informatie vereenvoudigd het de betreffende departementen om hier maatregelen tegen te nemen op basis van concrete informatie die hun eigen medewerkers betreft. Hergebruik van wachtwoorden is een goede tweede. Beiden kun je zo eenvoudig met een standaard proces aanpakken.
Dit heet effecient en effectief. Een best goed verhaal, dus.
Door het oneigenlijk gebruik van email komen deze adressen in al dan niet vage databases, pastbin leaks.
Als antwoord hier op neem de Nederlandse overheid een abonnement op HIBP om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen?
Begrijp uw Punt over het "oneigenlijk gebruik van email" door ambtenaren.
Zo begrijp ik niet waarom Nederlandse overheid mailadressen gebruikt worden voor datingsite, fora, ziekenhuis of onlinewinkels.
Volgens mijn is het Prive gebruik email niet toegestaan misschien kan iemand mij toelichten?
Wat denk je dat ze dan bereiken?
Als dit nog uitgelegd moet worden..
Hoe dan? Bv. er komen 200 email adressen van het domein @overheid.nl voor in alle bij HIBP bekende breaches. En dan? Wat voor actie zouden de admins van overheid.nl dan moeten nemen?
Wat denk je dat ze dan bereiken?
Als dit nog uitgelegd moet worden..
Mailbox dichtzetten voor zover dat niet al eerder gedaan was? Onderzoek (evt. forensisch) van getroffen/gelekt account.
Veel overheid.nl accounts of die van andere minsiteries komen trouwens uit het linkedin lek. Natuurlijk wil je niet dat ambtenaren op datingsites zitten met hun account. Maar natuurlijk gebeurt het ook. Er werken 900k ambtenaren (rijks/gemeente/etc) in dienst van de overheid. Al zou maar 1 promile zich niet aan de regels houden is er nog een groot risico (900 gebruikers). Dan kan je de 'overheid' bashen. Maar uiteindelijk zijn die ambtenaren ook gewoon mensen. Van topambtenaar tot iemand bij de catering van gemeente Schubbekutterveen.
En mensen maken fouten. Jij ook
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
