NCTV: digitale weerbaarheid onvoldoende door ontbreken basismaatregelen
De digitale weerbaarheid van Nederland is onvoldoende doordat organisaties nog altijd niet de basismaatregelen doorvoeren, zoals het gebruik van multifactorauthenticatie en het testen en maken van back-ups. Dat meldt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het jaarlijkse Cybersecuritybeeld Nederland (CSBN) dat in samenwerking met het Nationaal Cybersecurity Centrum (NCSC) is opgesteld.
Net als vorig jaar constateert het Cybersecuritybeeld dat de digitale weerbaarheid in Nederland onvoldoende is. Organisaties zijn onvoldoende voorbereid en aanvallen door cybercriminelen hebben inmiddels een industriële schaal bereikt. "De digitale dreiging is dan ook permanent en neemt eerder toe dan af, met alle mogelijke gevolgen van dien", zo waarschuwt de NCTV, die toevoegt dat cyberaanvallen door andere landen het nieuwe normaal zijn geworden.
Eerder stelde de Onderzoeksraad voor Veiligheid (OVV) dat de kloof groeit tussen de omvang van de dreiging en digitale afhankelijkheid enerzijds, en de weerbaarheid van de samenleving daartegen anderzijds. Ook wijzen rapporten van de Cyber Security Raad (CSR) en de OVV op gefragmenteerde incidentbestrijding, onvoldoende toezicht en gebrekkige informatiedeling.
Zo constateerde de Algemene Rekenkamer dat er grote tekortkomingen zijn bij de informatiebeveiliging van de overheid. "Volledige weerbaarheid tegen digitale dreigingen is onmogelijk, maar verhoging van de weerbaarheid tegen uitval en misbruik is wel het belangrijkste instrument om digitale risico’s te beheersen", aldus de NCTV. Die stelt verder dat de digitale weerbaarheid nog niet overal op orde is doordat basismaatregelen niet voldoende worden doorgevoerd.
Het gaat dan bijvoorbeeld om het gebruik van multifactorauthenticatie en het maken en testen van back-ups. Volgens het Cybersecuritybeeld zijn er grote verschillen in weerbaarheid tussen en binnen sectoren en ketens. Zo stelde de Inspectie Justitie en Veiligheid dat er nog veel werk aan de winkel is om de weerbaarheid van vitale organisaties te verhogen, waarbij ook geconstateerd wordt dat het bewustzijn van het belang wel is toegenomen.
Risicomanagement
Verder laat het Cybersecuritybeeld weten dat een samenhangend en geïntegreerd risicomanagement binnen en tussen de niveaus van organisaties, sectoren en nationaal, nog in de kinderschoenen staat. "De weerbaarheid in Nederland is nog niet voldoende op niveau. Digitale risico’s nemen nog geen structurele plaats in het bredere risicomanagement in en een samenhangende aanpak is nodig."
Het Cybersecuritybeeld Nederland moet inzicht in de digitale dreigingen bieden en de belangen die daardoor kunnen worden aangetast en de weerbaarheid daartegen. Op basis hiervan zijn risico’s geformuleerd. Het CSBN is dan ook bedoeld als hulpmiddel voor risicomanagement, om zo risico's in kaart te brengen en analyseren, één van de stappen in een risicomanagementproces.
Fundament voor Cyberstrategie
Elk jaar wordt het Cybersecuritybeeld gebruikt voor beleid op nationaal niveau. Dit keer vormt het CSBN het fundament voor de nieuwe Nederlandse Cyberstrategie die in het najaar van 2022 verschijnt. Daarom zijn er ook zes strategische thema’s toegevoegd die nu en de komende vier tot zes jaar relevant zijn voor de digitale veiligheid van Nederland. Het gaat onder andere om de schaalbaarheid van cyberaanvallen, risico's van de digitale samenleving en dat beperkingen in digitale autonomie ook de digitale weerbaarheid beperken.
"Goh, ja, alles hangt nu aan elkaar, we hebben geen idee meer hoe de lijntjes lopen, door de complexiteit gaat het onderzoek wel even duren en .... uhhuuu.. wat we dachten dat niet voor kon komen is nu tóch voorgekomen ... dus uuhuuu ... heeft u voor 10 dagen water en voedsel ingeslagen? Want alles ligt plat, maar we doen er alles aan om zo snel mogelijk weer alles online te hebben hoor, vertrouw maar op ons!"
Ophouden over 'weerbaarheid' en weer op een normale manier met elkaar omgaan...
1) Ze helpen niet bij erop afgestemde MitM (Man in the Middle) aanvallen, vaak middels phishing;
2) Zodra de gebruiker is ingelogd op een website wordt een 1FA session- (authenticatie) cookie gebruikt dat soms gekopiejat kan worden of in CSRF aanvallen kan worden misbruikt;
3) Niets helpt als software op het door de user gebruikte device kwaadaardig is en (deels) inzage heeft in vertrouwelijke sessies en/of handelingen binnen die sessies kan uitvoeren.
Nb. bij het volgende weet ik niet zeker of de beschreven phishing-aanval met 2FA-codes zoals TOTP (uit Google Authenticator e.d.), SMS en voice-calls overweg kan (waarbij de gebruiker tevens een eenmalig gebruikte code moet invoeren), maar ik zie geen redenen waarom dit niet zou kunnen bij zo'n MitM-aanval.
Afgelopen weekend bleek het Twitter-account van de Britse defensie gehacked te zijn (zie https://tweakers.net/nieuws/198680/twitter-en-youtube-accounts-van-britse-leger-verspreidden-cryptoscam-na-hacks.html). Dat is een zogenaamd geverifieerd account (blauw vinkje) wat lezers extra zekerheid over de authenticiteit van de posts zou moeten geven.
Tevens afgelopen weekend meldde https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-to-send-fake-suspension-notices/ dat er een aanval plaatsvond op geverifieerde Twitter accounts vanaf gehackte geverifieerde Twitter accounts.
Gebruikers ontvangen daarbij een DM van zo'n geverifieerd account met de melding dat een geautomatiseerd systeem van Twitter heeft vastgesteld dat de gebruiker iets onrechtmatigs heeft gepost of dat er problemen zijn met het account. Als de gebruiker niet op een link klikt om de zaak te herstellen zal het account worden geblokkeerd. Via een tinyurl URL-verkorter komt de aangevallene uit op hxxps://twitter-safeguard-protection[.]info/appeal/.
Bleeping Computer heeft getest met een 1FA account en constateerde dat de phishing-site een MitM aanval uitvoert: een onjuist wachtwoord werd namelijk meteen geweigerd. Ik heb geen bewijs maar vermoed dat als je, naast een wachtwoord, ook een TOTP-code (bijv. uit Google Authenticator) moet invoeren om in te kunnen loggen op je Twitter-account, de MitM website daar ook om zal vragen en deze zal gebruiken om namens jou in te loggen.
De MitM site was vanmorgen nog live met een heel stel alternatieve domeinnamen in het op 2 juli uitgegeven (Let's Encrypt) certificaat:
Detectie: https://www.virustotal.com/gui/url/9112638315daa64cd642df6f6fd7c8d63db7567764fdcbbc13f5a09ec23e9e63/detection
Als gebruikers de domeinnaam van de website, waarop zij vertrouwelijke gegevens invoeren (waaronder e-mailadressen, wachtwoorden en 2FA codes), niet grondig checken of niet weten dat deze niet van de bedoelde organisatie is, helpt weinig.
Dat browsers de URL-balk by default onderaan het scherm zetten (zoals te zien in de screenshots van Bleeping Computer), helpt natuurlijk ook niet hierbij.
Vast zitten aan je simkaart/smartphone en
raak je ze kwijt,geen toegang tot je account
leuker kunnen we het niet voor je maken.
The Matrix
Je kunt het altijd horen als ze dingen gaan roepen "gaat het helpen als we agile gaan werken?" of "als ik nu 5 nieuwe mensen aanneem, gaat het werk dan 2x zo snel?"....
Alsof agile werken toepasbaar is op iets anders dan >>75% voorspelbare dingen.
Alsof er 5 IT-ers zomaar gevonden kunnen worden.
Alsof ze niet 3 tot 6 maanden ingewerkt moeten worden.
Alsof ze zichzelf 3 tot 6 maanden kunnen inwerken (zonder tijd af te snoepen van de bestaande mensen).
Bovendien, automatisering kost geld en levert geen producten op. Dus daar is al een manco bij de bonen-schuivers met Excel sheets... Daarna levert it-security helemaal niets op want dat is weer onderdeel van automatisering dat al niets opleverde. Bovendien, we hebben toch nooit een probleem gehad? Die firewall zorgt er alleen maar voor dat ik niet overal bij mijn bestanden kan komen. Gelukkig heb ik dat opgelost door de hele share te kopieren naar mijn netwerkschijf thuis die met samba aan internet hangt, zonder wachtwoord, want dat is lastig.
Mensen die zo zijn en zo denken, suc6 als je die kunt overtuigen dat je digitaal weerbaarder moet zijn....
Als die een fukup doen, gaan ze gewoon verder bij een ander bedrijf... en doen daar weer precies hetzelfde alsof het duiven zijn... alle kruimeltjes opeten, heel veel roekoe roepen zonder iets zinnigs te zeggen of te doen, en als je dan weggejaagd bent omdat je alles ondergepoept hebt met je onzin/rommel, dan fladder je naar een volgende til om daar hetzelfde te doen.
https://www.rijksoverheid.nl/ministeries/ministerie-van-justitie-en-veiligheid/organisatie/organogram/nationaal-coordinator-terrorismebestrijding-en-veiligheid-nctv#:~:text=De%20Nationaal%20Co%C3%B6rdinator%20Terrorismebestrijding%20en,infrastructuur%20veilig%20is%20%C3%A9n%20blijft.:
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) beschermt Nederland tegen bedreigingen die de maatschappij kunnen ontwrichten. Samen met zijn partners binnen overheid, wetenschap en bedrijfsleven zorgt de NCTV ervoor dat de Nederlandse vitale infrastructuur veilig is én blijft.
En die kritieke infrastructuur, die gaat met de zeer gebrekkige beveiliging en de steeds wijder wordende ruimte tussen defense en offensive een keer klappen natuurlijk. De vraag is waar, en of de verantwoordelijken dan verrast, geschokt en beduusd zijn en zich niet in het geschetste beeld herkennen.
Je kunt het altijd horen als ze dingen gaan roepen "gaat het helpen als we agile gaan werken?" of "als ik nu 5 nieuwe mensen aanneem, gaat het werk dan 2x zo snel?"....
Alsof agile werken toepasbaar is op iets anders dan >>75% voorspelbare dingen.
Alsof er 5 IT-ers zomaar gevonden kunnen worden.
Alsof ze niet 3 tot 6 maanden ingewerkt moeten worden.
Alsof ze zichzelf 3 tot 6 maanden kunnen inwerken (zonder tijd af te snoepen van de bestaande mensen).
Bovendien, automatisering kost geld en levert geen producten op. Dus daar is al een manco bij de bonen-schuivers met Excel sheets... Daarna levert it-security helemaal niets op want dat is weer onderdeel van automatisering dat al niets opleverde. Bovendien, we hebben toch nooit een probleem gehad? Die firewall zorgt er alleen maar voor dat ik niet overal bij mijn bestanden kan komen. Gelukkig heb ik dat opgelost door de hele share te kopieren naar mijn netwerkschijf thuis die met samba aan internet hangt, zonder wachtwoord, want dat is lastig.
Mensen die zo zijn en zo denken, suc6 als je die kunt overtuigen dat je digitaal weerbaarder moet zijn....
Als die een fukup doen, gaan ze gewoon verder bij een ander bedrijf... en doen daar weer precies hetzelfde alsof het duiven zijn... alle kruimeltjes opeten, heel veel roekoe roepen zonder iets zinnigs te zeggen of te doen, en als je dan weggejaagd bent omdat je alles ondergepoept hebt met je onzin/rommel, dan fladder je naar een volgende til om daar hetzelfde te doen.
ja NL is inmiddels [net als enkele andere westerse landen] totaal kapot gemanaged door prutsers met een excel sheet maar bovenal een ego van heb ik jouw daar.
- beveiliging is in de basis niet op orde
- risicomanagement (van voor jezelf tot in eco-systeem) is nog niet volwassen
Eventjes over korte en lange termijn
Over risico awareness en actiebereidheid in selectie en opleiding
Anekdote 1.
Middenmanagement opleiding : management simulatie
Situatie: een eiland als Curacao.
3 verdienmodellen
a. Toerisme
b. petrochemie
c. milieu tbv natuur.
de kandidaat heeft krijgt 5 simulatie rondes.
Een beetje slimme kandidaat snapt dat er een milieuramp gaat plaatsvinden.
Ik meende dat ik slim was. Ik investeerde 5% in milieu (mijn naieve veronderstelling: in bescherming natuur).
Natuurlijk kwam de milieuramp.
De eerdere investeringen waren (in het spel) waardeloos. Pas na de ramp was er een return on investment op milieu.
Geleerde les: alleen maar korte-termijn denken.
Blijkbaar heb je dan hogere kans te worden geselecteerd
Anekdote 2
Master of Science opleiding op een Business Universiteit in Nederland
MSc in Informatie Management (IM) liep gelijk met MSc in Information Security Management (ISM).
Afstudeer thesis. Samenwerking tussen
- 3 studenten MSc IM
- 1 student MSc ISM
Ik was student ISM. Dus beveiliging.
Over het algemeen heb ik een goed (business) verhaal rond informatieveiligheid.
Analoog met formule 1. Als je goede remmen hebt, dan kan je later remmen en dan haal je de tegenstander in.
Kortom: ik heb de IM collega's overtuigd om vooral ook goede beveiliging te realiseren. Daarmee iets minder functionaliteit,
maar elke verdere uitbreiding zou veel minder kosten en veel meer functionaliteit hebben.
De professor (die toevallig vooral les gaf in de ISM hoek) die fakkelde dit af. Wij kregen de laagste waardering tov de andere
syndicaten.
geleerde les. Informatieveiligheid behoort ver achter de functionaliteit aan te lopen. Besteed er vooral geen aandacht aan.
Hmmm
Anekdote 3.
Ik ben niet zo geschikt als Magement Development kandidaat.
Ik heb een mening/standpunt en ik spreek me uit.
Tijdens een interne sollicitatie procedure werd een MD kandidaat gevraagd om leiding te geven voor een technische rol.
Nou, de technische kennis heb ik wel. Ik solliciteerde. De belangrijkste beslisser zei tegen mij dat het niet uit maakt hoe goed ik zou zijn. Immers, er zijn wel (onuitgesproken) beloftes naar de MD kandidaten gedaan en niet naar mij. Dus hoe goed ik ook zou zijn, de functie ging naar een MD'er.
Dat begrijp ik ook.
Maar toch.
Overigens heb ik ervaring (en ook kennis ;-) hoe om te gaan met bedrijfsoverstijgende risicomanagement. Zelfs in samenwerking met partners (en potentiele) concurrenten. Ook over landsgrenzen heen. Ik heb kennis en ervaring hoe risicomanagement dan om te zetten in specificaties. En ik heb ook ervaren waar de daarna noodzakelijke implementatie allemaal kan stranden.
Ik ben een ietsje cynisch.
En (mede daardoor?) ben ik een van de grootste pleitbezorgers dat hier een volgende volwassenheidsstap nodig is.
Wij zijn al een jaar bezig om dit voor elkaar te krijgen en het lijkt wel alsof wij de enige klant zijn die er om vragen, terwijl er wel persoons gegevens in die applicaties opgeslagen zijn. Blijkbaar is het maken van een MFA oplossing heel erg moeilijk.
Het is dus wonderbaarlijk hoe leveranciers hier mee omgaan. Dit zou eigenlijk gewoon strafbaar moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
