image

Kabinet wil penetratietesten jeugdzorg wegens hackers niet openbaar maken

maandag 16 mei 2022, 09:26 door Redactie, 17 reacties

Het kabinet wil de resultaten van de penetratiesten die zijn uitgevoerd op systemen van jeugdhulpaanbieders wegens "hackers" niet openbaar maken, zo laten staatssecretaris Van Ooijen van Volksgezondheid en minister Weerwind voor Rechtsbescherming in een brief aan de Tweede Kamer weten.

Naar aanleiding van verschillende grote datalekken bij jeugdzorginstellingen zijn in 2019 op verzoek van de staatssecretaris van Volksgezondheid penetratietesten uitgevoerd op de ict-systemen van jeugdhulpaanbieders. Daarnaast is het databewustzijn van medewerkers in de jeugdzorg onderzocht.

In 2020 concludeerde de Inspectie Gezondheidszorg en Jeugd dat de Nederlandse jeugdzorg onvoldoende kennis van informatiebeveiliging heeft, wat tot hoge risico's voor de beschikbaarheid, integriteit en vertrouwelijkheid van dossiers in de jeugdhulp kan leiden. Om het bewustzijn te verhogen is er een project opgezet en kunnen jeugdhulpaanbieders zich aansluiten bij Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg.

De penetratietesten naar de systemen van de Nederlandse jeugdzorg zijn vorig en dit jaar herhaald, meldt Van Ooijen. De staatssecretaris wil de resultaten echter niet openbaar maken of met de Tweede Kamer delen. "Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Hij voegt toe dat het aantal waargenomen ‘punten van aandacht’ wel sterk is gedaald. Een zorgpunt blijft dat veel jeugdhulpaanbieders de verplichte NEN-normen (nog) niet hebben geïmplementeerd. "Dit is een aandachtspunt in het 'awareness' programma van Jeugdzorg Nederland", stelt de staatssecretaris verder in zijn brief.

Reacties (17)
16-05-2022, 09:59 door Anoniem
Valt niet niet te verkrijgen via WOB procedure?
16-05-2022, 10:16 door Anoniem
Het blijven toch kwetsbare leeftijdsgroepen die daar net mee beginnen. Je vraagt je wel af of wij dit zouden moeten willen met zijn allen.
16-05-2022, 10:38 door Anoniem
Door Anoniem: Valt niet niet te verkrijgen via WOB procedure?

Dat heet sinds kort een WOO-procedure: Wet Open Overheid

https://www.security.nl/posting/752131/Overheid+vervangt+Wet+openbaarheid+van+bestuur+door+nieuwe+wet
16-05-2022, 10:59 door Anoniem
Ik denk dat bij dergelijke situaties het goed afwegen is welke informatie je openbaar maakt en welke niet. Het is goed dat er openbaarheid is dat er onderzoeken lopen en verbeteringen worden doorgevoerd maar om nu openbaar te maken welke kwetsbaarheden er nog zijn lijkt mij zelfs via een WOB of WOO zeer onverstandig. Wellicht als alle gaten zijn gedicht er meer transparantie kan komen maar gezien de gevoeligheid van de informatie die mogelijk op straat kan komen te liggen lijkt het mij het beste dat ze de informatie nog even niet openbaar maken. Iedereen doet zijn/haar stinkende best om de veiligheid van deze kwetsbare groep te garanderen (digitaal en fysiek). We moeten niet vergeten dat we niet allemaal IT'ers zijn en we niet altijd bewust zijn van de gevaren. Natuurlijk moet de basis op orde maar zo makkelijk is het niet altijd (als kleine organisatie).
16-05-2022, 11:05 door hw28
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
16-05-2022, 11:11 door Anoniem
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Maar waarom moet jij dat weten?
16-05-2022, 12:48 door Anoniem
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.

Geen enkele organisatie publiceert in geuren en kleuren de details van pentesten. Dat is ook nergens voor nodig. De low-level details gaat de Kamer niets aan, en zouden door gebrek aan context en kennis ook geen waarde kunnen hechten aan de bevindingen. De kans bestaat vooral dat het rapport uit zijn verband wordt getrokken en de profileringsdrang van backbenchers voor ruis en extra werk zorgt.

Daarnaast is je laatste zin niet waar. Je gaat er vanuit dat hackers volledige toegang hebben tot alle informatie. Daar is geen sprake van. Hoe zou "een hacker" b.v. moeten weten dat het proces voor het ophalen van de sleutel van de afdelingskluis niet helemaal tiptop in orde is? Of dat een security patch ontbreekt op een machine waar 4 man alleen via Citrix en 2FA bij kunnen? Delen is goed, maar de need to know moet wel aanwezig zijn. En die is er niet.
16-05-2022, 13:42 door Anoniem
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Een van de belangrijke verschillen is dat je het scannen kan overslaan. Dat is ook het gedeelte waar je vaak detectie op kan hebben. Dus ja, echte kwaadwillenden heeft het rapport niet nodig om binnen te komen, als je er vanuit gaat dat die dezelfde kennis en kunde hebben als (professionele) pentesters. Maar als de details van de kwetsbaarheden openbaar worden scheelt dat wel (veel) tijd en maakt het dat een aanval een stuk geruislozer uitgevoerd kan worden.
16-05-2022, 14:03 door Anoniem
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.

Los daarvan, je kan een rapport zonder details verstrekken, dus bijvoorbeeld: x aantal open poorten aangestoffen, y aantal ongepatchse software applicaties met known vulnerabilities, etc. Dat ze zo geheimzinnig doen, zegt genoeg. Alle alarmbellen gaan af.
16-05-2022, 14:52 door Anoniem
Door Anoniem:
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Maar waarom moet jij dat weten?
Wat heb jij te verbergen?
16-05-2022, 16:05 door Anoniem
Haha, dat is een beetje alsof een:

minister voor volkgezondheid: 'ik wil 2 miljard euro voor de gezondheidszorg'...
2de kamer: "waarvoor dan? "
minister voor volkgezondheid: "ja, nee, ik ga die virussen niet wijzer maken dan nodig !"

Maar alleen in een democratie hoeven ministers zich te verantwoorden....
17-05-2022, 06:48 door Anoniem
Door Anoniem:
Door hw28:
"Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.

Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.

Los daarvan, je kan een rapport zonder details verstrekken, dus bijvoorbeeld: x aantal open poorten aangestoffen, y aantal ongepatchse software applicaties met known vulnerabilities, etc. Dat ze zo geheimzinnig doen, zegt genoeg. Alle alarmbellen gaan af.

Zelfs dat hoeft nog niet. Er van uitgaande dat men nu in een cyclus van testen zit kan je delen hoeveel Criticals, Highs, Mediums en Lows (op basis van CVSS3.1) er zijn. Geef de instellingen een letter aanduiding in plaats van de naam te gebruiken.
Bij de volgende test kan je dan in ieder geval zien of er minder/meer bevindingen (van elke zwaarte) er zijn. Wel dat vertaaltabelletje van instellingen goed bewaren).
17-05-2022, 08:33 door Anoniem
Door Anoniem: Haha, dat is een beetje alsof een:

minister voor volkgezondheid: 'ik wil 2 miljard euro voor de gezondheidszorg'...
2de kamer: "waarvoor dan? "
minister voor volkgezondheid: "ja, nee, ik ga die virussen niet wijzer maken dan nodig !"

Maar alleen in een democratie hoeven ministers zich te verantwoorden....

Ook al zo'n rare kronkel in dit land: een minister die zich dient te verantwoorden over van alles en nog wat waar hij het bestaan niet eens van weet, want ja" hij/zij is eindverantwoordelijk". Alsof een minister verantwoordelijk is voor een pentest bij een toko haha.

Dan kunnen we de CEO van een groot bedrijf ook wel op het matje roepen voor alles dat het nieuws haalt. Een topman heeft daar mensen onder zitten, en daar zitten ook weer mensen onder etc. En die zijn verantwoordelijk. Als ik op mijn werk problemen veroorzaak, dan is mijn manager aanspreekpunt, en niet iemand 5 lagen daarboven die niet eens weet wat ik doe. Is zijn taak niet. De CEO heeft wel wat beters te doen dan de IT problemen in een bedrijf van 100.000 man in de gaten houden.
17-05-2022, 12:18 door Anoniem
Een goed zoeker is veel gevaarlijker dan een goede hacker
17-05-2022, 14:48 door Anoniem
Zo'n rapport bevat ook altijd een management samenvatting zonder diepgaande inhoud. Deel die dan.
17-05-2022, 19:35 door Anoniem
Blijkbaar is het zo lek als een mandje en gokt men nu op 'security by obscurity'.
Iedereen die ook maar *iets* van security weet, die weet dat dat dus niet werkt...
18-05-2022, 09:16 door Anoniem
D'r was laatst een debat met de Jonge in het K-vak als beklaagdebankje ivm de mondkapjesdeal met Sywert van Lienden.
Voorheen was er -(toen) aan de Jonge- door de 2de kamer al meerdere malen om informatie gevraagd omtrent deze zaak, maar de Jonge zei dat er een onderzoek liep en er verder niets over kon zeggen tijdens dit lopende onderzoek.

Echter, voordat dit mondkapjesdeal-debat begon vroeg de Jonge aan de kersverse, naïeve Minister voor Langdurige Zorg en Sport (Conny Helder) om tóch informatie te delen over dit onderwerp (die 'hij' had overhandigd aan haar) met de 2de kamer.(https://debatgemist.tweedekamer.nl/node/28075)

Hier(door) begon een rel gestart door Klaver met als uitgangspunt dat als kamerleden van de 2de kamer vragen om informatie, het kabinet verplicht is deze informatie te delen. Toendertijd, met de Jonge als minister vws, was die informatie er (zogenaamd ¿) niet en nu, vooraf het mondkapjesdeal-debat, opeens wel! Door het stof moest de kersverse, naïeve Minister voor Langdurige Zorg en Sport Conny Helder die zich had laten misbruiken door die gladde deJonge.

Kortom, kunnen deze staatssecretaris Van Ooijen van Volksgezondheid en minister Weerwind voor Rechtsbescherming wel deze beslissing maken om informatie uit dit onderzoek achter te houden voor de 2dekamerleden?

Zo niet, dan hoop ik dat ze net zo door het slijk gedrecht gaan worden!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.