Overheid ziet geen aanleiding om met Cisco Webex te stoppen
De Rijksoverheid ziet op dit moment geen aanleiding om met het gebruik van Cisco Webex te stoppen, zo heeft demissionair staatssecretaris Van Huffelen van Digitalisering aan de Tweede Kamer laten weten. Eerder deze week werd bekend dat metadata van overheidsvergaderingen voor onbevoegden toegankelijk was. Cisco stelde dat het getroffen klanten had ingelicht, maar had dit niet gedaan bij de Rijksoverheid.
Het Nationaal Cyber Security Centrum (NCSC) werd door een Duitse journalist over het datalek ingelicht, tot groot ongenoegen van Van Huffelen. "Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier. Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier", reageerde de staatssecretaris.
Naar aanleiding van de gemelde kwetsbaarheid werd door het ministerie van Binnenlandse Zaken de crisisorganisatie opgestart om de impact van het incident op de Rijksoverheid te onderzoeken. Ook heeft er overleg met Cisco plaatsgevonden. "In dit gesprek zijn zorgen en bezwaren geuit over de gang van zaken. Cisco heeft in dit gesprek alle medewerking aangeboden en toegezegd de Rijksoverheid voortaan tijdig te informeren bij incidenten", aldus Van Huffelen.
Uit onderzoek van het NCSC bleek gisteren dat er nog een afgeleide kwetsbaarheid in oude Webex-vergaderingen zit. Het gaat hier om vergaderingen die voor 28 mei jongstleden zijn aangemaakt, maar nog moeten plaatsvinden. Vandaag is in samenwerking tussen de Belastingdienst en Cisco hiervoor een oplossing gevonden, die inmiddels ook de Belastingdienst is uitgerold. Daardoor is deze kwetsbaarheid nu ook verholpen voor de Rijksoverheid, meldt Van Huffelen.
De staatssecretaris stelt afsluitend dat op basis van het assessment van de crisisorganisatie er op dit moment geen aanleiding is om met het gebruik van Cisco Webex te stoppen. "Wel zijn medewerkers via het Rijksportaal geïnformeerd over de situatie en het (mogelijk) lekken van persoonsgegevens (hostnaam). Tevens worden medewerkers opnieuw geïnformeerd over de juiste toepassing en het doel van Webex", aldus Van Huffelen (pdf).
dus niet blijkt wel....
dus niet blijkt wel....
"Ik vind het onacceptabel dat het bekend is geworden ... gelukkig hebben sommige partijen een directe backdoor in cisco zodat onze veiligheid niet in gevaar zal komen door het dichten van deze lekken".
Dingen worden veeel erger gevoeld als er een alternatief is dat structureel beter is - en ook de noodzakelijke functionaliteit heeft.
Of wanneer 'dan maar zonder' minder erg is dan dit soort marginale meta data lekkages .
Beiden zijn er niet - en dan moet alleen de account manager op z'n knieen excuses aanbieden en is dat het weer.
Het feit wil dat die overheid een zeer gefragmenteerd karakter heeft en dat er afdelingen zijn die een heel stuk slimmer zijn dan jij en ook afdelingen die inderdaad achterlopen op de feiten. Ook een feit is dat "de overheid" bestaat uit burgers, zoals jij en ik. Ook jij kunt ambtenaar worden, als je dat zou willen.
Het spreken over "de overheid" als een losstaand orgaan dat tegenover de burger staat is volstrekt onrealistisch en getuigt van gebrekkige kennis over het functioneren van de duizenden losse eenheden waaruit die overheid bestaat. Het merendeel daarvan bestaat uit hoog opgeleide mensen, die zich betrokken voelen met de maatschappij en zich met beste eer en geweten inzetten om hun steentje bij te dragen.
Als je zulke uitspraken doet, ben je zeer bewust aan het polariseren, zonder dat je zelf ook maar enige constructieve bijdrage levert. Dus inplaats daarvan, solliciteer bij de overheid en lever daadwerkelijk een bijdrage.
Helaas komen we er niet zo makkelijk vanaf. Helaas...
Kom op, schrijf eens jouw verbeterplan wat ze precies anders zouden moeten doen .
Graag in behoorlijk detail - er moet ook nog gewerkt worden namelijk.
Of ben je zo'n idioot die roept "vergaderen doe je maar in persoon", en "wat is er mis met een brief" en dan in een volgend onderwerp klaagt dat "die ambtenaren zoveel tijd en geld verspillen met reizen naar overal en nergens voor een vergaderingetje en alles duurt een eeuwigheid want ze sturen alles met de post" .
Dingen worden veeel erger gevoeld als er een alternatief is dat structureel beter is - en ook de noodzakelijke functionaliteit heeft.
Dat zal best, maar wie nu nog niet weet dat Cisco en beveiligd elkaar uitsluiten heeft de afgelopen jaren zitten slapen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!