Kabinet wil penetratietesten jeugdzorg wegens hackers niet openbaar maken
Het kabinet wil de resultaten van de penetratiesten die zijn uitgevoerd op systemen van jeugdhulpaanbieders wegens "hackers" niet openbaar maken, zo laten staatssecretaris Van Ooijen van Volksgezondheid en minister Weerwind voor Rechtsbescherming in een brief aan de Tweede Kamer weten.
Naar aanleiding van verschillende grote datalekken bij jeugdzorginstellingen zijn in 2019 op verzoek van de staatssecretaris van Volksgezondheid penetratietesten uitgevoerd op de ict-systemen van jeugdhulpaanbieders. Daarnaast is het databewustzijn van medewerkers in de jeugdzorg onderzocht.
In 2020 concludeerde de Inspectie Gezondheidszorg en Jeugd dat de Nederlandse jeugdzorg onvoldoende kennis van informatiebeveiliging heeft, wat tot hoge risico's voor de beschikbaarheid, integriteit en vertrouwelijkheid van dossiers in de jeugdhulp kan leiden. Om het bewustzijn te verhogen is er een project opgezet en kunnen jeugdhulpaanbieders zich aansluiten bij Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg.
De penetratietesten naar de systemen van de Nederlandse jeugdzorg zijn vorig en dit jaar herhaald, meldt Van Ooijen. De staatssecretaris wil de resultaten echter niet openbaar maken of met de Tweede Kamer delen. "Om hackers geen toegang te geven tot de bevindingen wordt dit rapport alleen met de instellingen gedeeld (en niet met uw Kamer)", geeft Van Ooijen als reden.
Hij voegt toe dat het aantal waargenomen ‘punten van aandacht’ wel sterk is gedaald. Een zorgpunt blijft dat veel jeugdhulpaanbieders de verplichte NEN-normen (nog) niet hebben geïmplementeerd. "Dit is een aandachtspunt in het 'awareness' programma van Jeugdzorg Nederland", stelt de staatssecretaris verder in zijn brief.
Dat heet sinds kort een WOO-procedure: Wet Open Overheid
https://www.security.nl/posting/752131/Overheid+vervangt+Wet+openbaarheid+van+bestuur+door+nieuwe+wet
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Geen enkele organisatie publiceert in geuren en kleuren de details van pentesten. Dat is ook nergens voor nodig. De low-level details gaat de Kamer niets aan, en zouden door gebrek aan context en kennis ook geen waarde kunnen hechten aan de bevindingen. De kans bestaat vooral dat het rapport uit zijn verband wordt getrokken en de profileringsdrang van backbenchers voor ruis en extra werk zorgt.
Daarnaast is je laatste zin niet waar. Je gaat er vanuit dat hackers volledige toegang hebben tot alle informatie. Daar is geen sprake van. Hoe zou "een hacker" b.v. moeten weten dat het proces voor het ophalen van de sleutel van de afdelingskluis niet helemaal tiptop in orde is? Of dat een security patch ontbreekt op een machine waar 4 man alleen via Citrix en 2FA bij kunnen? Delen is goed, maar de need to know moet wel aanwezig zijn. En die is er niet.
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Los daarvan, je kan een rapport zonder details verstrekken, dus bijvoorbeeld: x aantal open poorten aangestoffen, y aantal ongepatchse software applicaties met known vulnerabilities, etc. Dat ze zo geheimzinnig doen, zegt genoeg. Alle alarmbellen gaan af.
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
minister voor volkgezondheid: 'ik wil 2 miljard euro voor de gezondheidszorg'...
2de kamer: "waarvoor dan? "
minister voor volkgezondheid: "ja, nee, ik ga die virussen niet wijzer maken dan nodig !"
Maar alleen in een democratie hoeven ministers zich te verantwoorden....
Ik neem aan dat dit is om hackers niet wijzer te maken. Security door obscurity
Maar dat is wel een beetje naief. Wat pentesters hebben gevonden, vinden hackers ook binnen no-time.
Los daarvan, je kan een rapport zonder details verstrekken, dus bijvoorbeeld: x aantal open poorten aangestoffen, y aantal ongepatchse software applicaties met known vulnerabilities, etc. Dat ze zo geheimzinnig doen, zegt genoeg. Alle alarmbellen gaan af.
Zelfs dat hoeft nog niet. Er van uitgaande dat men nu in een cyclus van testen zit kan je delen hoeveel Criticals, Highs, Mediums en Lows (op basis van CVSS3.1) er zijn. Geef de instellingen een letter aanduiding in plaats van de naam te gebruiken.
Bij de volgende test kan je dan in ieder geval zien of er minder/meer bevindingen (van elke zwaarte) er zijn. Wel dat vertaaltabelletje van instellingen goed bewaren).
minister voor volkgezondheid: 'ik wil 2 miljard euro voor de gezondheidszorg'...
2de kamer: "waarvoor dan? "
minister voor volkgezondheid: "ja, nee, ik ga die virussen niet wijzer maken dan nodig !"
Maar alleen in een democratie hoeven ministers zich te verantwoorden....
Ook al zo'n rare kronkel in dit land: een minister die zich dient te verantwoorden over van alles en nog wat waar hij het bestaan niet eens van weet, want ja" hij/zij is eindverantwoordelijk". Alsof een minister verantwoordelijk is voor een pentest bij een toko haha.
Dan kunnen we de CEO van een groot bedrijf ook wel op het matje roepen voor alles dat het nieuws haalt. Een topman heeft daar mensen onder zitten, en daar zitten ook weer mensen onder etc. En die zijn verantwoordelijk. Als ik op mijn werk problemen veroorzaak, dan is mijn manager aanspreekpunt, en niet iemand 5 lagen daarboven die niet eens weet wat ik doe. Is zijn taak niet. De CEO heeft wel wat beters te doen dan de IT problemen in een bedrijf van 100.000 man in de gaten houden.
Iedereen die ook maar *iets* van security weet, die weet dat dat dus niet werkt...
Voorheen was er -(toen) aan de Jonge- door de 2de kamer al meerdere malen om informatie gevraagd omtrent deze zaak, maar de Jonge zei dat er een onderzoek liep en er verder niets over kon zeggen tijdens dit lopende onderzoek.
Echter, voordat dit mondkapjesdeal-debat begon vroeg de Jonge aan de kersverse, naïeve Minister voor Langdurige Zorg en Sport (Conny Helder) om tóch informatie te delen over dit onderwerp (die 'hij' had overhandigd aan haar) met de 2de kamer.(https://debatgemist.tweedekamer.nl/node/28075)
Hier(door) begon een rel gestart door Klaver met als uitgangspunt dat als kamerleden van de 2de kamer vragen om informatie, het kabinet verplicht is deze informatie te delen. Toendertijd, met de Jonge als minister vws, was die informatie er (zogenaamd ¿) niet en nu, vooraf het mondkapjesdeal-debat, opeens wel! Door het stof moest de kersverse, naïeve Minister voor Langdurige Zorg en Sport Conny Helder die zich had laten misbruiken door die gladde deJonge.
Kortom, kunnen deze staatssecretaris Van Ooijen van Volksgezondheid en minister Weerwind voor Rechtsbescherming wel deze beslissing maken om informatie uit dit onderzoek achter te houden voor de 2dekamerleden?
Zo niet, dan hoop ik dat ze net zo door het slijk gedrecht gaan worden!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
