Zero-day-lekken zetten Defensie voor dilemma
Het gebruik van zero-days, beveiligingslekken waarvoor nog geen updates beschikbaar zijn, vormen een dilemma voor Defensie als het om cyberaanvallen gaat. 'Cyberkolonel' Hans Folmer, commandant Taskforce Cyber bij de Defensiestaf, sprak vandaag tijdens de Infosecurity Beurs in Utrecht over het gebruik van cyberwapens en zero-day exploits. Folmer omschreef een cyberwapen als hoog technologische software die taken met chirurgische precisie uitvoert, 'colleteral damage' (nevenschade) voorkomt en het gestelde doel bereikt.
Houdbaarheid
"Dat cyberwapen kan ik maar één keer inzetten. Sterker nog, het kan ook tegen mij worden gebruikt." Cyberwapens hebben een beperkte houdbaarheid, liet Folmer de zaal weten. Een vijand kan zijn systeem upgraden of zelfs een ander systeem neerzetten.
"Als ik een wapen ontwikkel om een bepaald radarsysteem aan te vallen, en de vijand verandert het radarsysteem, dan kan ik mijn cyberwapen ook meteen weggooien. Maar een bom zal de radar altijd vernietigen."
Zero-day
Daarnaast zijn cyberwapens ook niet goedkoop en kost het vaak lange tijd om ze te ontwikkelen. En er speelt ook een ander probleem. "Als ik een zero-day heb is mijn tegenstander kwetsbaar, maar misschien gebruik ik, de BV Nederland, telecommaatschappijen of energiebedrijven, deze kwetsbare software ook."
En dat is volgens Folmer een dilemma. "Moet ik de zero-day voor mezelf houden zodat andere systemen kwetsbaar zijn, of opgeven zodat de leverancier de software kan patchen, zodat ook andere afdelingen of sectoren veilig zijn. Daar zijn we nog niet over uit."
Hoe Folmer sprak over cyberwapens gaf volgens mij wel aan dat defensie ze ooit ook wel zal hebben (, als ze al niet met iets bezig zijn) en daarbij komen natuurlijk ook de 0-days om de hoek kijken.
Maar het was wel een interessante lezing om naar te kijken.
Nu gelooft hij zelf in schijnveiligheid en schijnbedreigingen.
Het oude adagium "is dat per dag of per week?", waar een maandsalaris wordt bedoeld.
Als ik Folmer was zou ik mijn personeel fors wantrouwen want niemand, behalve ter extreem linker of extreem rechterzijde, danwel extremist met een ander belang gaat voor de aangeboden salarisschalen voor defensie werken.
Zal maar weer eens eindigen met,
Zucht.
http://www.cbsnews.com/8301-18560_162-57527441/huawei-probed-for-security-espionage-risk/
Men is wakker... Maar de damage is done...
My two cents...
Kan dit niet een indicatief antwoord zijn voor het dilemma van Folmer?
Als ik Folmer was zou ik mijn personeel fors wantrouwen want niemand, behalve ter extreem linker of extreem rechterzijde, danwel extremist met een ander belang gaat voor de aangeboden salarisschalen voor defensie werken.
Zal maar weer eens eindigen met,
Zucht.[/quote]ZUCHT...
Ik heb zelf jaren voor Defensie gewerkt als militair in binnen- en buitenland en ik kan U vanuit eerste hand mede delen dat minimaal 95% van alle defensie-medewerkers in Nederland, zowel burger als militair, heel sociaal en maatschappelijk-bewust werken én leven...
OT:
Wat een verademing in vergelijking met die meneer Opstelten, zeker als ik de eisen lees die hij stelt aan een aanvaardbaar cyberwapen ten opzichte van de wettelijke haalbaarheid-dilemma's van Ivo. Ben ik even blij dat het Folmer is, die het voor het zeggen heeft in het leger ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.