Staatssecretaris over recente ict-incidenten: afhankelijkheid is onvermijdelijk
Staatssecretaris Zsolt Szabó voor Digitalisering heeft de Tweede Kamer geïnformeerd over de recente ict-incidenten met Cisco Webex, CrowdStrike en het NAFIN-netwerk van Defensie. Volgens de bewindsman zijn de incidenten niet gerelateerd, maar laten ze wel zien hoe afhankelijk de rijksoverheid van deze systemen is en de impact die het op de dienstverlening van de overheid heeft als deze systemen tijdelijk uitvallen. "Deze afhankelijkheid is onvermijdelijk", aldus Szabó.
Bij Cisco Webex deed zich een datalek voor, waardoor metadata van overheidsvergaderingen voor onbevoegden toegankelijk was. Tijdens het onderzoek naar het datalek werden verschillende andere kwetsbaarheden gevonden. Die zijn inmiddels ook verholpen, zo meldt de staatssecretaris. Wat betreft de incidenten met de beveiligingssoftware van CrowdStrike en het NAFIN-netwerk van Defensie heeft Szabó geen aanvullende informatie.
"Er is geen indicatie dat de incidenten van de afgelopen drie maanden op enigerlei wijze aan elkaar gerelateerd zijn. Wel maken de diverse incidenten de afhankelijkheid van de rijksoverheid van netwerk- en informatiesystemen zichtbaar en de impact op de dienstverlening van de (rijks)overheid wanneer deze systemen tijdelijk uitvallen. Deze afhankelijkheid is onvermijdelijk", merkt de staatssecretaris op.
Szabó noemt het belangrijk dat alle overheidsorganisaties naast het nemen van maatregelen ook plannen maken voor wanneer systemen toch uitvallen. "Overheidsorganisaties moeten voorbereid zijn op uitval en ook veel oefenen." In de komende periode zal de overheid de recente ict-incidenten evalueren en waar nodig acties uitzetten om de digitale weerbaarheid van de rijksoverheid verder te verbeteren, besluit de staatssecretaris zijn brief aan de Tweede Kamer.
Die afhankelijk is 'eigen schuld'. Niks onvermijdelijks aan.
Die afhankelijk is 'eigen schuld'. Niks onvermijdelijks aan.
Milleniumbug nu al vergeten?
Je neemt maatregelen gebaseerd op risico. Als de minister meent dat de risico's te klein zijn om maatregelen te hoeven nemen... ja dat kan, maar ik hoop dat ze er goed over nagedacht hebben en gedocumenteerd.
Die afhankelijk is 'eigen schuld'. Niks onvermijdelijks aan.
Milleniumbug nu al vergeten?
Lag de wereld / Nederland toen plat?
Heb ik iets gemist?
Waarom is die afhankelijkheid onvermijdelijk?
Er zijn op een eerder moment bij het ontwerp of de opzet keuzes gemaakt (soms door leveranciers, soms door klaten), die tot de betreffende storingen hebben geleid. Of in ieder geval de deur er voor open gezet hebben.
Mitigatie van die kwetsbaarheden (vooraf) was ook een keuze. Een keuze die niet gemaakt is.
Dat noemen ze overmoed.
Er kan nooooooit iets fout gaan met het ontwerp wat we gemaakt hebben.
... Tot het fout gaat. En ooit gaat het fout.
De kunst is om er nu van te leren, en met een opzet te komen hoe het ontwerp of de opzet robuster gemaakt kan worden.
En als dat technisch niet zou kunnen of te kostbaar gevonden wordt, welke andere oplossingen er dan ingezet kunnen worden. Bv het opbreken van deze grote complexe systemen in kleinere zelfstandige eenheden.
Of de inzet van analoge alternatieven.
Allemaal keuzes.
In plaats daarvan gaat de politiek er moedeloos bij zitten zuchten. "Leer er maar mee leven". "Onvermijdelijk".
En daarmee is het probleem politiek "opgelost".
Gaan ze zo andere politieke problemen ook "oplossen". Door niets te doen.
Als de randvoorwaarden belemmerend zijn, pas die dan aan. Denk buiten die zwarte doos.
Misschien revolutionair. Maar toch...
De rest is niks anders dan gevolgen van onjuiste keuzes uit het verleden. Niks meer, niks minder.
Die afhankelijk is 'eigen schuld'. Niks onvermijdelijks aan.
Milleniumbug nu al vergeten?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
