image

Gemeenten verbieden AliExpress op werkapparatuur van ambtenaren

woensdag 6 september 2023, 10:04 door Redactie, 18 reacties

De Zuid-Hollandse gemeenten Hillegom, Lisse en Teylingen hebben het gebruik van de populaire Chinese webwinkel AliExpress op werkapparatuur van ambtenaren verboden. Het gaat zowel om de app als website. "Alle risicovolle applicaties op basis van officiële adviezen van onze rijksoverheidspartners, zijnde de AIVD, het Nationaal Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) worden geweerd in onze omgeving", zo staat in een raadsmemo van de gemeente Teylingen (pdf).

Volgens de gemeenten zijn de zorgen rondom risicovolle applicaties uit het buitenland merkbaar aanwezig. "Het onderwerp krijgt veel media aandacht en ook de lokale politiek heeft hier al vragen over gesteld. Er is een duidelijke werkwijze nodig om niet bij elke applicatie opnieuw vragen te krijgen. Daarom is er vastgesteld dat we enkel applicaties blokkeren op officieel advies van (één van) onze rijksoverheidspartners." Eerder werd ook het gebruik van de TikTok-app verboden.

In het geval van AliExpress betreft het ook de website. "Het verbod op AliExpress betekent dat er geen verbinding gemaakt mag worden met gemeentelijke systemen met een apparaat waar AliExpress op staat of op geraadpleegd wordt. Dit geldt zowel voor apparaten die door het college aan u zijn verstrekt alsmede privé apparaten die u gebruikt voor uw raadstaken." De gemeenten adviseren ambtenaren om op deze apparaten de AliExpress-app te verwijderen, de AliExpress-website niet te bezoeken en de browsergeschiedenis te verwijderen als de AliExpress-website is bezocht.

Reacties (18)
06-09-2023, 10:26 door Anoniem
En hoe zit het met artikelen van ali express?
De SD kaarten & muizen met bad usb?
06-09-2023, 10:30 door majortom
Geen MDM? Geen forward proxy om sites waarvan je niet wilt dat ze bezocht worden te blokkeren?
06-09-2023, 10:32 door Anoniem
Raar dat niet gewoon alle gemeenten dit advies opvolgen. Ik ben bang dat dat niet is omdat ze een weloverwogen andere risico inschatting maken dan de AIVD en NCSC, maar gewoon omdat ze slapen, geen competente CISO hebben, of met ander dingen bezig zijn.
06-09-2023, 11:12 door Anoniem
Moet ie eens een nieuwe Windows 11 installatie zien. Alieexpres wordt je meteen door de strot gedouwd door een vinkje in Edge die een snelkoppeling plaatst op je taakbalk. Bij de eerste keer opstarten. En het heeft ook een gecamoufleerde naam: pci expres, met het logo van aliexpress. En als je doorklikt kom je op de website van aliexpres.

Maar ff serieus, een website hoort helemaal geen gevaar te zijn. Dan mankeert je browser iets.
06-09-2023, 11:26 door Anoniem
Met alles waar Chinese bedrijven (gelezen wordt: China ..., is ook wel zo maar we doen dat niet voor bedrijven in de VS) van wordt beticht zonder bewijs (huawei,tiktok en nu ali erbij) en zonder dit gelijk te stellen voor Meta, Alphabet of andere westerse mega-bedrijven (met al veelsteveel monopoly/macht) die net zo (als niet meer) persoonlijke informatie naar binnen harkt, is het toch wel oneerlijk en eigenlijk discrimerend.
Ja maar , ja maar , westerse bedrijven zijn goed en china is evil...., nou ja, google is ook evil maar mss goed evil !¿
Met de amerikaanse patriot-act is de info van al deze metalphabets ook in handen van de VS, ook al is de informatie opgeslagen op EU grondgebied.
Nu is het 'goed' , maar blijft dat ook zo, kijkend naar de volgende verkiezingen !?
En als het niet deze verkiezingen betreft, met de asocialiteit die toeneemt -en zié, ook op statenniveau- is het niet te voorspellen en daarmee niet te vertrouwen wie er dan ook met je informatie aan de haal gaat.
06-09-2023, 12:11 door Anoniem
Door Anoniem: En hoe zit het met artikelen van ali express?
De SD kaarten & muizen met bad usb?

Denk dat die meer in Europa en de VS worden geproduceerd. China is goed in klonen van apparatuur. Verder gaan ze niet hun eigen klanten infecteren.

Wij zijn paranoïde. De politie heeft "hack" rechten. Ik denk dat we allemaal al geinfecteerd zijn met malafide software updates. Het zijt zo. Omdat we het zelf doen, verdenken wij iedereen omdat het technisch mogelijk is. Triest
06-09-2023, 12:43 door Anoniem
Door Anoniem: Met alles waar Chinese bedrijven (gelezen wordt: China ..., is ook wel zo maar we doen dat niet voor bedrijven in de VS) van wordt beticht zonder bewijs (huawei,tiktok en nu ali erbij) en zonder dit gelijk te stellen voor Meta, Alphabet of andere westerse mega-bedrijven (met al veelsteveel monopoly/macht) die net zo (als niet meer) persoonlijke informatie naar binnen harkt, is het toch wel oneerlijk en eigenlijk discrimerend.
Ja maar , ja maar , westerse bedrijven zijn goed en china is evil...., nou ja, google is ook evil maar mss goed evil !¿
Met de amerikaanse patriot-act is de info van al deze metalphabets ook in handen van de VS, ook al is de informatie opgeslagen op EU grondgebied.
Nu is het 'goed' , maar blijft dat ook zo, kijkend naar de volgende verkiezingen !?
En als het niet deze verkiezingen betreft, met de asocialiteit die toeneemt -en zié, ook op statenniveau- is het niet te voorspellen en daarmee niet te vertrouwen wie er dan ook met je informatie aan de haal gaat.

Dat is een drogredenering, meer precies: Een vorm van een jij-bak. Dus geen argument.

https://mens-en-samenleving.infonu.nl/politiek/84716-drogredenen-herkennen-en-weerleggen.html
06-09-2023, 12:54 door Anoniem
Door Anoniem: Raar dat niet gewoon alle gemeenten dit advies opvolgen. Ik ben bang dat dat niet is omdat ze een weloverwogen andere risico inschatting maken dan de AIVD en NCSC, maar gewoon omdat ze slapen, geen competente CISO hebben, of met ander dingen bezig zijn.

Eerlijk gezegd vind ik het juist een heel raar advies. Waarom specifiek AliExpress? Als je IT infra zodanig in elkaar zit
dat een willekeurige website de boel in gevaar kan brengen, kun je dan als competente CISO niet beter daar eens goed
naar kijken dan een advies "bezoek geen AliExpress" afgeven? Want dan zijn er nog miljoenen andere websites die
de mensen eigenlijk niet moeten bezoeken en die je IT infra of je organisatie in gevaar kunnen brengen.
06-09-2023, 13:22 door Anoniem
Door Anoniem:
Door Anoniem: Met alles waar Chinese bedrijven (gelezen wordt: China ..., is ook wel zo maar we doen dat niet voor bedrijven in de VS) van wordt beticht zonder bewijs (huawei,tiktok en nu ali erbij) en zonder dit gelijk te stellen voor Meta, Alphabet of andere westerse mega-bedrijven (met al veelsteveel monopoly/macht) die net zo (als niet meer) persoonlijke informatie naar binnen harkt, is het toch wel oneerlijk en eigenlijk discrimerend.
Ja maar , ja maar , westerse bedrijven zijn goed en china is evil...., nou ja, google is ook evil maar mss goed evil !¿
Met de amerikaanse patriot-act is de info van al deze metalphabets ook in handen van de VS, ook al is de informatie opgeslagen op EU grondgebied.
Nu is het 'goed' , maar blijft dat ook zo, kijkend naar de volgende verkiezingen !?
En als het niet deze verkiezingen betreft, met de asocialiteit die toeneemt -en zié, ook op statenniveau- is het niet te voorspellen en daarmee niet te vertrouwen wie er dan ook met je informatie aan de haal gaat.

Dat is een drogredenering, meer precies: Een vorm van een jij-bak. Dus geen argument.

https://mens-en-samenleving.infonu.nl/politiek/84716-drogredenen-herkennen-en-weerleggen.html

Dat is natuurlijk veel te makkelijk , een punt negeren omdat het een Tu Quoque lijkt.


Er mag echt wel dieper doorgedacht worden wanneer een bepaalde reden geclaimed wordt waarom Ali (of whatever) onveilig zou zijn - en waarom die reden dan NIET van toepassing zou zijn op allerlei andere apps met hetzelfde gedrag en dezelfde data verzameling .

En dan kun je je heel terecht gaan afvragen of die geclaimde reden misschien gewoon een bullshit excuus is voor een werkelijke reden - zoals het hinderen van concurrentie .


En wat die argumentatietheoreten ook neuzelen - wie morele verwijten wil maken kan maar beter zelf zonder zonde zijn .
06-09-2023, 13:57 door Bitje-scheef
Door Anoniem:
Door Anoniem: En hoe zit het met artikelen van ali express?
De SD kaarten & muizen met bad usb?

Denk dat die meer in Europa en de VS worden geproduceerd. China is goed in klonen van apparatuur. Verder gaan ze niet hun eigen klanten infecteren.

Wij zijn paranoïde. De politie heeft "hack" rechten. Ik denk dat we allemaal al geinfecteerd zijn met malafide software updates. Het zijt zo. Omdat we het zelf doen, verdenken wij iedereen omdat het technisch mogelijk is. Triest

Ik ben niet paranoïde. Maar wel voorzichtig en realistisch. De kans om vanuit China gehackt te worden is niet kleiner dan vanuit de VS.
06-09-2023, 15:53 door Anoniem
Door Anoniem:
Door Anoniem: En hoe zit het met artikelen van ali express?
De SD kaarten & muizen met bad usb?

Denk dat die meer in Europa en de VS worden geproduceerd. China is goed in klonen van apparatuur. Verder gaan ze niet hun eigen klanten infecteren.

Wij zijn paranoïde. De politie heeft "hack" rechten. Ik denk dat we allemaal al geinfecteerd zijn met malafide software updates. Het zijt zo. Omdat we het zelf doen, verdenken wij iedereen omdat het technisch mogelijk is. Triest

China is goed in klonen? Lol. Misschien moet je, maar eens even de achterkant van producten lezen. Europeanen klonen of kopen alles van China. Zelfs de Magic Mouse van Apple is geassembleerd in China.
06-09-2023, 16:25 door Anoniem
Zelf zit ik ook bij een gemeente, ik zie al aankomen dat dit advies ook naar ons toe gaat komen net zoals bij Tiktok. Als een schaapje over de dam is volgen ze allemaal. Als specifieke websites of apps je veiligheid zo hoog risico vormen dan moet je jezelf maar eens achter de oren krabben.

Dit AIVD advies bestempelt ALLE applicaties van landen met een offensief cyber programma (tegen Nederland) in het zelfde hogere risicokader. Hierbij worden China, Rusland, Iran en Noord-Korea vaak als voorbeeld genoemd. Het is maar een beetje erg paniekzaaierig en ad-hoc hoe er zo lukraak wat diensten gekozen worden, je kan zo een hele waslijst opstellen. Daarnaast is er ook een risico aan ALLE social media apps gehangen, dit geldt dus ook voor Facebook etc. Maarja de VS heeft natuurlijk geen offensief cyberprogramma tegen ons dus dat komt helemaal goed :)
06-09-2023, 16:29 door Ron625
Door Anoniem:Europeanen klonen of kopen alles van China. Zelfs de Magic Mouse van Apple is geassembleerd in China.
Volvo is ook in Chinese handen, dus mogen ambtenaren niet meer in een Volvo rijden?
06-09-2023, 17:39 door Anoniem
Door Ron625:
Door Anoniem:Europeanen klonen of kopen alles van China. Zelfs de Magic Mouse van Apple is geassembleerd in China.
Volvo is ook in Chinese handen, dus mogen ambtenaren niet meer in een Volvo rijden?

https://www.security.nl/posting/809243/Mozilla%3A+moderne+auto%27s+zijn+privacynachtmerrie+op+wielen

Goed plan dat te gaan onderzoeken in ieder geval.
07-09-2023, 08:09 door Anoniem
Door Anoniem:
Door Ron625:
Door Anoniem:Europeanen klonen of kopen alles van China. Zelfs de Magic Mouse van Apple is geassembleerd in China.
Volvo is ook in Chinese handen, dus mogen ambtenaren niet meer in een Volvo rijden?

https://www.security.nl/posting/809243/Mozilla%3A+moderne+auto%27s+zijn+privacynachtmerrie+op+wielen

Goed plan dat te gaan onderzoeken in ieder geval.
[s]Het zekere voor het onzekere wordt nu geadviseerd zich beter helemaal te distantiëren van digitale technieken vanwege het wereldwijde web waar de chinese tentakels zich door heen manoeuvreren en zodoende -ook zonder apps- risico's te groot worden geacht en je -als gemeenteambtenaar- alsnog de xijingping bent. Geadviseerd wordt om terug te trekken in en een grot en het digitale typewerk te vervangen met beitels en stenen.[/s]
07-09-2023, 08:17 door Anoniem
Door Anoniem: Zelf zit ik ook bij een gemeente, ik zie al aankomen dat dit advies ook naar ons toe gaat komen net zoals bij Tiktok. Als een schaapje over de dam is volgen ze allemaal. Als specifieke websites of apps je veiligheid zo hoog risico vormen dan moet je jezelf maar eens achter de oren krabben.

Dit AIVD advies bestempelt ALLE applicaties van landen met een offensief cyber programma (tegen Nederland) in het zelfde hogere risicokader. Hierbij worden China, Rusland, Iran en Noord-Korea vaak als voorbeeld genoemd. Het is maar een beetje erg paniekzaaierig en ad-hoc hoe er zo lukraak wat diensten gekozen worden, je kan zo een hele waslijst opstellen. Daarnaast is er ook een risico aan ALLE social media apps gehangen, dit geldt dus ook voor Facebook etc. Maarja de VS heeft natuurlijk geen offensief cyberprogramma tegen ons dus dat komt helemaal goed :)

Sorry, als CISO bij een gemeente vind ik het eerlijk gezegd totale waanzin dat we op apparaten van de gemeente zomaar alles verwachten/willen kunnen doen.
Je krijgt een apparaat van de gemeente om je werkzaamheden mee uit te voeren. Ik moet nog een gemeente vinden die AliExpress in de applicatielijst heeft staan.
Voor mij is het simpel: je krijgt een apparaat om je werk mee doen; en in plaats van dat we dat apparaat volledig open zetten en bepaalde dingen weer blokkeren blokkeren we gewoon alles, en laten we alleen toe dat wat je nodig hebt om je werk te kunnen doen.
Wil je een privé apparaat gebruiken? Dan is de informatie van de gemeente volledig ontkoppelt van je apparaat (zero footprint). Dan TikTok je je daarop maar raak.
07-09-2023, 16:01 door Anoniem
Door Anoniem:
Door Anoniem: Zelf zit ik ook bij een gemeente, ik zie al aankomen dat dit advies ook naar ons toe gaat komen net zoals bij Tiktok. Als een schaapje over de dam is volgen ze allemaal. Als specifieke websites of apps je veiligheid zo hoog risico vormen dan moet je jezelf maar eens achter de oren krabben.

Dit AIVD advies bestempelt ALLE applicaties van landen met een offensief cyber programma (tegen Nederland) in het zelfde hogere risicokader. Hierbij worden China, Rusland, Iran en Noord-Korea vaak als voorbeeld genoemd. Het is maar een beetje erg paniekzaaierig en ad-hoc hoe er zo lukraak wat diensten gekozen worden, je kan zo een hele waslijst opstellen. Daarnaast is er ook een risico aan ALLE social media apps gehangen, dit geldt dus ook voor Facebook etc. Maarja de VS heeft natuurlijk geen offensief cyberprogramma tegen ons dus dat komt helemaal goed :)

Sorry, als CISO bij een gemeente vind ik het eerlijk gezegd totale waanzin dat we op apparaten van de gemeente zomaar alles verwachten/willen kunnen doen.
Je krijgt een apparaat van de gemeente om je werkzaamheden mee uit te voeren. Ik moet nog een gemeente vinden die AliExpress in de applicatielijst heeft staan.
Voor mij is het simpel: je krijgt een apparaat om je werk mee doen; en in plaats van dat we dat apparaat volledig open zetten en bepaalde dingen weer blokkeren blokkeren we gewoon alles, en laten we alleen toe dat wat je nodig hebt om je werk te kunnen doen.
Wil je een privé apparaat gebruiken? Dan is de informatie van de gemeente volledig ontkoppelt van je apparaat (zero footprint). Dan TikTok je je daarop maar raak.

Als CISO kun je maar beter ook een lijntje hebben met HR voordat je beleid in de wielen rijdt.

https://salarisonderhandelingen.nl/kennisbank/arbeidsvoorwaarden/telefoon-van-de-zaak/

Bijvoorbeeld :
https://www.amsterdam.nl/pga/21-gedragscode-ambtenaren-gemeente/21-5-regels-gebruik-bedrijfsmiddelen/

Regel 5.2

Voor apparaten zoals mobiele telefoon en tablet geldt in afwijking op regel 5.1 dat privégebruik in redelijke mate mag.

Als je daar met zevenmijls laarzen als IT nerd doorheen gaat stampen ("werktelefoon is 100% alleen voor werk" ) dan ligt het conflict met werknemersrecht meteen op je bord - en zeker in een ambtelijke organisatie . Daar zijn ze heel scherp op hun rechten (iets minder op plichten ...)

Je hebt met je wens misschien geen ongelijk - en specifiek Ali blokkeren krijg je er mogelijk wel door -
maar dat ik een CISO arbeidsvoorwaarden moet herinneren is wel opmerkelijk . Op C niveau ben je belangrijk - maar zou je toch ook bekend moeten zijn met organisatie kaders (budget, rechtsposities ) en niet meer de operationeel beheer mentaliteit hebben "daar ben ik heel simpel in , ik gooi alles dicht"
08-09-2023, 14:35 door Anoniem
Door Anoniem: Raar dat niet gewoon alle gemeenten dit advies opvolgen. Ik ben bang dat dat niet is omdat ze een weloverwogen andere risico inschatting maken dan de AIVD en NCSC, maar gewoon omdat ze slapen, geen competente CISO hebben, of met ander dingen bezig zijn.

Ergens klopt er iets niet aan jouw redenatie, het is een business risicoinschatting en de ciso kan daar in adviseren. Als een gemeente deze keuze maakt dan zegt dat toch niks over andere gemeenten, of dat ze slapen, jouw antwoord is pure stemmingmakerij en op niks gebaseerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.