Kamer vraagt minister om opensource-alternatief voor Cisco Webex
De Tweede Kamer heeft demissionair ministers De Jonge van Binnenlandse Zaken en Ollongren van Defensie om een opensource-alternatief voor Cisco Webex gevraagd. Aanleiding is het recente Webex-datalek waardoor metadata van overheidsvergaderingen voor onbevoegden toegankelijk was. Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. Het Duitse Zeit Online meldde dat deze meeting-url's opeenvolgend waren, waardoor het eenvoudig was om metadata van allerlei geplande of al gehouden vergaderingen te bekijken.
"Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs? Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?", vragen PVV-Kamerlid Valize, NSC-Kamerlid Six Dijkstra en VVD-Kamerlid Rajkowski.
De ministers moeten ook duidelijk maken of bewindspersonen en ambtenaren in de praktijk voldoende toegerust zijn om videogesprekken op het juiste rubriceringsniveau te voeren. "Hoe wordt hierop toegezien?", vragen de Kamerleden verder. Die willen ook weten wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als ‘zeer vertrouwelijk’ worden beschouwd of Stg-gerubriceerd zijn.
De Jonge en Ollongren moeten ook duidelijkheid geven of via het datalek de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, is gelekt. "Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken?", vragen Valize, Six Dijkstra en Rajkowski vervolgens.
Afsluitend willen de drie Kamerleden weten of de ministers bereid zijn een opensource-alternatief voor Cisco Webex te overwegen, en als dit niet het geval is, waarom niet. De Jonge en Ollongren hebben drie weken om met een reactie te komen.
Wat is het disclosure beleid van OSS? En wie bepaald dat?
De veiligheid van OSS ligt in de handen van de ontwikkelaars. De maten van reactie op exploits en het repareren ervan hangt ook sterk af van deze ontwikkelaar. Wat nu als de ontwikkelaars state actors zijn met een missie?
Hier pushen ze toch voor in de politiek, politie en veiligheidsdiensten?
Het schaalt btw ook goed, zie CCC conferentie tijdens corona.
Of bij https://bigbluebutton.org/ of bij https://nextcloud.com/talk/
Ik ben beniewd wat de indieners zelf als antwoord geven en concreet aan actie gaan doen.
Wat is het disclosure beleid van OSS? En wie bepaald dat?
...
De praktijk wijst uit dat kritische FOSS projecten hun rol daarin meestal prompter en gewetensvoller oppakken dan closed source producenten; bij die laatste weegt diens kortetermijnbelang meestal zwaarder dan die van de gebruikers.
Eigen of beheer door een derde, fouten zijn snel gemaakt. Het opgetreden probleem met WebEx - ik ga er gemakshalve maar van uit dat het een behoorlijk veilig en goed systeem is - was een probleem in de configuratie en die was blijkbaar ook standaard nogal ongelukkig. Beheer door een gespecialiseerde derde met veel kennis van het product zal naar men mag hopen in het algemeen veiliger zijn.
Kortom, los van de vraag of een bepaald FOSS platform voor videoconferenties wel of niet geschikt en veilig is, is dat beheer een apart probleem.
Eigen of beheer door een derde, fouten zijn snel gemaakt. Het opgetreden probleem met WebEx - ik ga er gemakshalve maar van uit dat het een behoorlijk veilig en goed systeem is - was een probleem in de configuratie en die was blijkbaar ook standaard nogal ongelukkig. Beheer door een gespecialiseerde derde met veel kennis van het product zal naar men mag hopen in het algemeen veiliger zijn.
Kortom, los van de vraag of een bepaald FOSS platform voor videoconferenties wel of niet geschikt en veilig is, is dat beheer een apart probleem.
Mensen willen meetings kunnen houden tussen medewerkers die op kantoor zitten, medewerkers die thuis werken,
en medewerkers van andere bedrijven (klanten, leveranciers, support).
Die zitten niet "op je eigen netwerk".
Je wilt toch niet gaan voorstellen dat al die anderen eerst een VPN met je (tot dan toe) veilige "eigen netwerk" gaan maken?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
