CSBN: digitale monoculturen leiden tot single points of failure
De afhankelijkheid van enkele hard- en softwareleveranciers leidt tot single points of failure, zo staat in het vandaag verschenen Cybersecuritybeeld Nederland 2024 (CSBN 2024 - pdf). Daarin wordt gesteld dat de wereldwijde storing die een defecte update van securitybedrijf CrowdStrike veroorzaakte een wake-up call is voor de mogelijke gevolgen van een digitale monocultuur. Het CSBN 2024 wordt opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en beschrijft trends, incidenten en ontwikkelingen op het gebied van cybersecurity.
Eén van de belangrijkste trends waarvoor de nieuwste editie van het CSBN waarschuwt is de 'grootschalige effecten door digitale monoculturen'. "De wereldwijde computerstoring die cybersecuritybedrijf CrowdStrike in juli 2024 veroorzaakte is een wake-up call voor de mogelijke gevolgen van een digitale monocultuur", aldus het rapport. "Ook andere markten voor digitale diensten, hardware en software worden gedomineerd door slechts enkele bedrijven. Door die monoculturen ontstaan single points of failure, zoals eerder is beargumenteerd voor de drie grootste cloudaanbieders."
Het CSBN stelt dat er verschillende risico’s kleven aan een grootschalige concentratie bij de grootste cloudaanbieders. Zo vergroot het strategische afhankelijkheden. Een andere risico is dat op deze wijze een single point of failure ontstaat. "Een storing of cyberaanval kan wereldwijde doorwerking krijgen." Een derde risico is de machtspositie van de grote cloudproviders die versterkt wordt vanuit zowel de aanbod- als vraagzijde in de cloudmarkt.
Het Cybersecuritybeeld Nederland laat weten dat een brede manier van risicobeheersing past bij het diverse en dynamische karakter van digitale risico’s, en past ook bij het beheersen van de mogelijk onvoorziene effecten van een incident. "Daarbij kan het nuttig zijn om bij het inrichten en beheren van een netwerk als uitgangspunt te hanteren dat er al een kwaadwillende in je netwerk zit (assume breach)." Verder wordt gesteld dat basismaatregelen nog altijd een effectieve barrière tegen vele soorten cyberaanvallen zijn. Het gaat onder andere om het in kaart brengen van risico's, beschermen van systemen, applicaties en apparaten en bevorderen van veilig gedrag.
Dat geeft toch hetzelfde risico?
Dat geeft toch hetzelfde risico?
Dat was alleen de administratie, niet het domeinbeheer.
Dat geeft toch hetzelfde risico?
Daar wordt letterlijk wel wat over gezegd, nota bene op deze website. https://www.security.nl/posting/847000/AIVD+onderzoekt+risico%27s+van+verhuizing+SIDN+naar+Amazon
Dat geeft toch hetzelfde risico?
Alle hosting is bij een partij, dus je hebt geen "redundantie in het beheer".
Een andere (waarschijnlijk kostbaarder) optie is hosting bij meerdere providers inkopen en daarop zelf de redundantie implementeren. Moet je als organisatie wel veel meer beheer doen, maar ben je niet afhankelijk van een enkele provider.
Wat "het beste" is kun je alleen bepalen na een uitgebreide risico-analyse. In hoeverre vertrouw je je provider? In hoeverre je personeel? Kun je makkelijk competent personeel vinden?
Het feit dat onze gehele overheid zo een beetje draait op Microsoft en Oracle was blijkbaar voor de NCTV geen wake-up call genoeg.
Deze dreiging is niet nieuw en is er niet ineens sinds ClownStrike in juli dit jaar. Maar blijkbaar weet de NCTV dat niet.
Nog veel erger: de overheid dit zichzelf reeds jaren geleden aan M$ verkocht heeft. Ondanks alle waarschuwingen. 'Failure' is dan opeens nog maar een heel klein probleempje.
Dat alles kan leiden tot onvoorziene effecten.
of waarbij de'goed' opgestelde dominostenen met één stootje de rest er achter ook automagisch doet omdonderen.
Dat is niet complex noch zijn de effecten onvoorzien, en is het risico om met kaartenhuizen of dominostenen iets op te bouwen geheel bekend en niet de vraag óf ze om gaan vallen, maar wánneer ze om gaan vallen.
Het woord immenent (https://synoniemen.net/grafisch.php?zoekterm=imminent) is daar goed toepasbaar bij. Altijd al een mooie waarschuwing gevonden vanaf de dos periode "Hard Disk Failure is Imminent" . En de harddisk spint maar risicovol op grote toeren door in het rond zoals de lemmings naar een afgrond toe rennen!
Maak het risico maar groter door ontdekte, maar nog niet algemeen bekendgemaakte beveiligingsgaten te misbruiken voor stuxnet-achtige tactieken, maakt het uiteindelijke gevolg nog meer imminent!
Vijf keer de term digitale monoculturen gebruiken om de nadruk -al hersenspoelend- daar op te leggen als oorzaak van al dit kwaad, wat een bs!
Het zijn jongetjes en meisjes in een zandbak die denken dat de wereld zich aan de spelregels van Wijk-aan-Zee houdt. Dat zag je in Srebrenica ook. Bij de Groningse aardbevingen. Ze vinden biggetjes die binnenshuis kritiek leveren veel gevaarlijker dan de Grote Boze Wolf. Want ze denken dat die wolf geen ruitje kan intikken, omdat dat niet mag volgens de ongeschreven gedragsregels in Wijk-aan-Zee.
NCTV geeft die 'wake-up call' aan zichzelf en de mede-regentjes in Den Haag, niet aan Nederland.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
