image

OVV: Nederlandse aanpak digitale veiligheid moet fundamenteel veranderen

donderdag 16 december 2021, 13:04 door Redactie, 17 reacties

De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen, zo concludeert de Onderzoeksraad voor Veiligheid (OVV). Zo moeten er kwaliteitseisen voor software komen en moet de overheid via een centrale aanpak dreigingen signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk waarschuwen.

Citrix-onderzoek

De conclusies van de Onderzoeksraad volgen op het onderzoek naar een grote kwetsbaarheid in Citrix van eind 2019. Daarbij werd gekeken naar de aanpak in de maanden na de ontdekking van de kwetsbaarheid, waaronder de verantwoordelijkheid van bedrijven en overheid, welke bevoegdheid ze hebben om de digitale veiligheid te borgen en hoe die zijn ingezet om de gevolgen van de kwetsbaarheid te beperken. Met het onderzoek wil de Onderzoeksraad de digitale veiligheid in Nederland vergroten. Het onderzoeksrapport "Kwetsbaar door software" is vandaag verschenen.

Citrix maakte op 17 december 2019 een kritiek beveiligingslek in de Application Delivery Controller (ADC) en Citrix Gateway bekend. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code op het systeem uitvoeren en zo toegang tot het bedrijfsnetwerk krijgen. "Het Nationaal Cyber Security Centrum (NCSC) waarschuwde direct het deel van de Nederlandse gebruikers waarvoor zij zich verantwoordelijk achtte: overheidsdiensten en vitale organisaties. Andere organisaties werden door het NCSC niet gewaarschuwd", aldus de Onderzoeksraad.

Het NCSC publiceerde echter op 18 december 2019 op de eigen website een advisory waarin het waarschuwde voor de kwetsbaarheid. Deze advisory is voor iedereen toegankelijk en beschrijft stappen die organisaties kunnen nemen om zich te beschermen.

Aanbevelingen

Volgens de Onderzoeksraad is veilige software allereerst de verantwoordelijkheid van de fabrikant en zouden die meer moeten investeren om de veiligheid van software voortdurend te verbeteren. De Onderzoeksraad doet de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product.

Daarnaast vindt de Onderzoeksraad dat het van groot belang is dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen. Hiervoor zou er één bewindspersoon en een centrale dienst moeten komen die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

Reacties (17)
16-12-2021, 13:13 door Anoniem
Volgens de Onderzoeksraad is veilige software allereerst de verantwoordelijkheid van de fabrikant en zouden die meer moeten investeren om de veiligheid van software voortdurend te verbeteren.
Volgens mij is het zo goed als onmogelijk wat hier gevraagd wordt, en ben dan ook benieuwd wat het antwoord is
als het inderdaad onmogelijk blijkt om foutloze software te schrijven. En wat het voortdurend verbeteren betreft zijn
ze altijd al mee bezig.
16-12-2021, 13:40 door Anoniem
Aanleiding voor het rapport waren beveiligingslekken in december 2019 door een 'kwetsbaarheid' in de software van Citrix.

NOS: Opmerkelijk is de constatering van de Onderzoeksraad dat de aanvallers daarmee "tot op de dag van vandaag illegale toegang tot systemen en data in bedrijven en organisaties hebben, die ze op elk moment kunnen activeren".

https://nos.nl/artikel/2409731-onderzoeksraad-centrale-aanpak-nodig-tegen-grote-cyberaanvallen
16-12-2021, 13:56 door Anoniem
Ik denk dat er ook meer aandacht moet komen voor het opsporen en veroordelen van de DADERS, in plaats van alleen te kijken naar wat de slachtoffers allemaal hadden kunnen doen. Redelijke maatregelen nemen zoals bijblijven met updates of het tijdelijk uitschakelen van services tot er updates zijn dat kun je van gebruikers verwachten, maar niet dat iedereen hun IT infrastructuur op bunkernivo beveiligt.
(net zoals het gebruikelijk is dat er in huizen en bedrijfspanden ramen zitten en niet iedereen in een NATO-grade bunker woont om zich "te beschermen tegen aanvallers").
Het is juist een taak van de overheid om te zorgen dat dergelijke aanvallers uit de samenleving verwijderd worden, individuen hebben daar de bevoegdheden en mogelijkheden niet voor.
16-12-2021, 14:56 door Anoniem
De Nederlandse overheid is tijdens de Citrix-crisis in 2020 aangevallen door een buitenlandse, aan een staat gelieerde, hackgroepering, blijkt uit een rapport van de Onderzoeksraad voor Veiligheid (OVV). Het zou om Chinese hackers gaan die daadwerkelijk zijn binnengedrongen.

https://www.volkskrant.nl/nieuws-achtergrond/chinese-staatshackers-drongen-binnen-bij-nederlandse-overheid-dankzij-wereldwijd-citrix-lek~b27bb767/

Het Rijk werd gewaarschuwd door de AIVD en MIVD, die de infrastructuur van deze hackgroepen in de gaten hielden.
16-12-2021, 15:30 door Anoniem
Door Anoniem: Ik denk dat er ook meer aandacht moet komen voor het opsporen en veroordelen van de DADERS, in plaats van alleen te kijken naar wat de slachtoffers allemaal hadden kunnen doen. Redelijke maatregelen nemen zoals bijblijven met updates of het tijdelijk uitschakelen van services tot er updates zijn dat kun je van gebruikers verwachten, maar niet dat iedereen hun IT infrastructuur op bunkernivo beveiligt.
(net zoals het gebruikelijk is dat er in huizen en bedrijfspanden ramen zitten en niet iedereen in een NATO-grade bunker woont om zich "te beschermen tegen aanvallers").
Het is juist een taak van de overheid om te zorgen dat dergelijke aanvallers uit de samenleving verwijderd worden, individuen hebben daar de bevoegdheden en mogelijkheden niet voor.

Prima dat er -waar mogelijk - ook een heel wat effectievere opsporing zou moeten zijn - dat is best vaak ook prima mogelijk.
Echter, één verschil met de fysieke wereld is dat een dader van een fysieke vernieling in dezelfde jurisdictie zit als het slachtoffer - in elk geval tijdens het plegen, en heel vaak ook "altijd".

Er bestaat geen "wereld" overheid, en wel een wereldwijd Internet - en dat maakt het "opsporen" en "verwijderen uit de samenleving" in ook een redelijk aantal gevallen heel anders dan in de fysieke wereld.
16-12-2021, 16:26 door Anoniem
Het NCSC publiceerde echter op 18 december 2019 op de eigen website een advisory waarin het waarschuwde voor de kwetsbaarheid. Deze advisory is voor iedereen toegankelijk en beschrijft stappen die organisaties kunnen nemen om zich te beschermen.

Het NCSC waarschuwt iedereen in het algemeen over een kwetsbaarheid. Maar als het gaat om de eigenaren van kwetsbare systemen, dan worden alleen het rijk en vitale sectoren ingelicht. De 'echter' lijkt mij dus niet helemaal passen in deze zin.
16-12-2021, 16:28 door Anoniem
De meest opvallende aanbeveling is toch wel dat software ontwikkelaars hun C/C++ code moet gaan verschrijven in Rust. (no joke, pagina 75)
16-12-2021, 16:33 door Anoniem
Cyberexperts zijn in alle staten over een kwetsbaarheid in logtool Log4J
Wat is er aan de hand?
door Rik Wassens

NRC: Java-programma’s blijven rustig zeven of tien jaar draaien. In dat soort programma's zullen we ook in 2026 nog ontdekken dat er een oude Log4J in zit.

https://www.nrc.nl/nieuws/2021/12/15/een-clusterbom-in-computersystemen-wereldwijd-a4068961

De IT sector is ondermijnd. Het probleem zit in het maatwerk, voor de banken, verzekeraars en andere bedrijven die ooit maatwerk applicaties geschreven in Java hebben laten maken. De conclusie van de OVV komt rijkelijk te laat.
16-12-2021, 17:05 door Anoniem
Wie zich de geschiedenis bedenkt van ARPANET en TCP/IP. Ooit van oorsprong bedacht om een dusdanig solide communicate infrastructuur en software op te zetten dat wàt het Rode of Gele Gevaar ook zou kunnen doen, inclusief atoombommen gooien, altijd betrouwbaar zou blijven werken.

Die zal het met me eens zijn dat we daar tegenwoordig een mooi potje van hebben gemaakt.

Snel verbeteren zal het echter niet. Daar heb je oorlogen voor nodig, hele enge bommen op een atol, en worst case scenarios die zomaar en hoe kan dat nou ineens uitkomen. Dan kan het ineens wèl, snel en veel beter ook nog. Daarvoor verzuipt alles in gekakel en zal enkel de zeespiegelstijging volgens planning doelmatig verlopen. Voorlopig zullen we met klote security moeten leren leven. Ik geloof meer met net één slotje meer hebben dan de buren. Want dan gaan ze daar inbreken. Maar veilig als het internet ooit bedacht is, zal het voorlopig niet meer worden. In tegendeel.
16-12-2021, 18:34 door Anoniem
Onzin natuurlijk om t centraal en vanuit overheid te willen informeren. Internet is niet iets ' centraals'.
Wie krijgt de info, wie niet, wie doet er wat mee? Wie controleert goed genoeg, wie.. Vreselijk achterhaald principe..
Logisch dat n centrale raad met een centraal idee komt.
Blojft wel dat n NCSC jarenlang al véél te klein en beperkt is gebleven. Zo komt niemand verder. Hooguit blijft iemand op pluche, maar het land, economie redt je zo niet, blijkt.

Wel is er voor ieder een zekere verplichting nodig. Vitaal, overheid, bedrijfsleven, mkb, burger om de basis op orde te hebben. ISO27000 etc blijft vrij, open. Je hebt echter meer nodig.

Vergelijk het met verder ontwikkelde infrastructuren, systemen. De eerste auto was ook niet 'veilig'. Mensen, bedrijven wilden wel, maar was toch wetgeving, rijbewijs etc nodig om t te verbeteren.

Kijk ook s naar de al 20+jaar bestaande Grundschutz bij de buren, onze basischeck in Internet.nl: etc.
Maar nee, in NL doet ieder wat hij wil, ieder doet n plas...

Dus ja, de overheid is al jaren Zeker aan zet. Maar niet met 'Centraal' meer macht, positie, meer ambtenaren, etc
Wel met: iedere hoster die n website host voor n bedrijf moet voldoen aan de basisnormen van oa Internet.nl Ook min audit op 27000 of 62443 voor OT voor ieder met n website, server op t Net. Inkoopproces mét sec eisen, SBOM, sec assetmgt, etc.
Clean up Internet. Hopelijk is NL nog op tijd voor Quantum Security het grote issue is..

Hopelijk schudt Dit rapport eindelijk de juiste bestuurders wakker. Welke bestuurder, partijlid, burgemeester, staatssecr of minister heeft echter n 62443 en 27000 training gedaan? Is ons landsbestuur wel capabel voor dit soort afwegingen? Of leest men alleen korte two-pagers die liefst terzijde worden geschoven?

Het wordt Kerst: we hopen op veel bestuurders met een 27000 of 62443 cursus onder de kerstboom;)
16-12-2021, 21:49 door Anoniem
Door Anoniem: De meest opvallende aanbeveling is toch wel dat software ontwikkelaars hun C/C++ code moet gaan verschrijven in Rust. (no joke, pagina 75)

Uit het OVV rapport. C/C++ staat bekend als ‘onveilig’, omdat het programmeurs veel ruimte laat om fouten te maken:

Er zijn enkele algemene hulpmiddelen die fabrikanten kunnen gebruiken om hele klassen van kwetsbaarheden te elimineren of de werking daarvan te mitigeren. Ongeveer de helft van de beveiligingslekken van de afgelopen jaren betrof bijvoorbeeld kwetsbaarheden in de geheugenveiligheid, die kunnen worden verholpen door code te schrijven in veiligere talen zoals Rust, of door bestaande C/C++ code te onderwerpen aan verificatietools.[113]

113. Anderson, R., Security Engineering, 2020.


Er zijn bij verificatietools vier nadelen voor de fabrikanten en ontwikkelaars:

- de software wordt er lomper en langzamer door,
- programmeurs krijgen veel meer foutmeldingen te verwerken,
- logische fouten in het ontwerp kan men er nauwelijks mee elimineren,
- lang niet alle programmeertalen zijn ondersteund, bijv. Perl in de Citrix casus.

Wat we dus nodig hebben, is een systeem met een compiler en een taal die deze nadelen niet heeft. Iemand een idee?
16-12-2021, 21:59 door karma4
Door Anoniem:
Volgens de Onderzoeksraad is veilige software allereerst de verantwoordelijkheid van de fabrikant en zouden die meer moeten investeren om de veiligheid van software voortdurend te verbeteren.
Volgens mij is het zo goed als onmogelijk wat hier gevraagd wordt, en ben dan ook benieuwd wat het antwoord is
als het inderdaad onmogelijk blijkt om foutloze software te schrijven. En wat het voortdurend verbeteren betreft zijn
ze altijd al mee bezig.

Het is best goed mogelijk. De veiligbeid van een vervoermiddel is der verantwroodelijkheid van de autobouwer, niet die van de aanleverende partijen. Met verplichtingen in de aanlevering zullen er tevens redelijke vergoedingen moeten zijn.

Dd veiligheid van een sofware suite is die van dd samensteller van de suite noet van deelcomponenten.
16-12-2021, 23:20 door Anoniem
Door Anoniem: Wie zich de geschiedenis bedenkt van ARPANET en TCP/IP. Ooit van oorsprong bedacht om een dusdanig solide communicatie infrastructuur en software op te zetten dat wàt het Rode of Gele Gevaar ook zou kunnen doen, inclusief atoombommen gooien, altijd betrouwbaar zou blijven werken.

....

Laten we (data)netwerken en applicaties niet door elkaar halen. Hoewel een onjuiste implementatie van protocollen ook tot kwetsbaarheden kan leiden, denk aan de 'ping of death' uit de jaren 90, bevindt het merendeel van de kwetsbaarheden die tot ellende leiden in de applicaties.

Daarnaast is de ICT kwetsbaar door het 'Gartner syndroom'. Wat bedoel ik daarmee: Gartner publiceert voorspellingen waar zij denken dat de ICT wereld naar toe gaat. Die voorspellingen worden vrij kritiekloos in de bestuurskamers overgenomen. Actueel nu is de cloud migratie naar de drie grote partijen AWS, Azure en GCP. Dat geldt ook voor het gebruik van (cloud native) applicaties. Daarmee creëer je monoculturen waarmee je jezelf enorm kwetsbaar maakt.
Hier een artikel van Bruce Schneier over monoculturen: https://www.schneier.com/blog/archives/2010/12/software_monocu.html
17-12-2021, 05:51 door Anoniem
Punkspider - 8 alerts!!!!!
17-12-2021, 07:28 door Anoniem
Het is best goed mogelijk
Ik hoop het voor ons maar ik geloof dit echt niet zeker als ik zie hoeveel fouten er in de belangrijkst operating
systemen zit. En wie bepaalt de regels, zie hier onder.

https://www.onderzoeksraad.nl/nl/page/12161/raadsleden
17-12-2021, 08:32 door Bitje-scheef
Er zijn bij verificatietools vier nadelen voor de fabrikanten en ontwikkelaars:

- de software wordt er lomper en langzamer door,
- programmeurs krijgen veel meer foutmeldingen te verwerken,
- logische fouten in het ontwerp kan men er nauwelijks mee elimineren,
- lang niet alle programmeertalen zijn ondersteund, bijv. Perl in de Citrix casus.

Dat ben ik niet geheel met je eens.

Er zijn nogal wat coders die "shortcuts" gebruiken, het werkt dus het is goed.
Onlogische fouten, of bergen aan foutmeldingen, is veelal gebruik aan goede structuur.
Om eerlijk te zijn zijn 9 v.d. 10 programmeertalen goed volwassen, bugs zijn er altijd.
17-12-2021, 12:01 door Anoniem

Deze analyse is in zoverre zinvol, maar vertoont drie fundamentele gebreken. Ik leen Bruce' eigen tegenargumenten:

- de eerste is de aanname dat onze IT monocultuur net zo simpel is als die van aardappelvelden,
- de tweede tekortkoming van de monocultuur-analyse is dat zij de kosten van diversiteit bagatelliseert,
- de derde tekortkoming is dat je diversiteit kunt krijgen door twee à drie besturingssystemen te gebruiken.

Bruce Schneier: "South American potato diversity comes from hundreds of different varieties."

Net als in 2003-2010, de periode waar Schneier destijds op terugblikte, geldt ook nu nog dat een monocultuur gevaarlijk is en diversiteit van levensbelang, maar dat het voortbestaan van onze huidige infrastructuur nog belangrijker is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.