Voor iemand met het woordje bestuurskunde in zijn functieomschrijving, verwacht je toch dat deze ziet hoe briljant deze actie is geweest. Ze hebben zowat in alle Nederlandse kranten gestaan en het botnet 'leeft' nog steeds.

ICT afdelingen zijn geen anti-malware researchers.

Echte amateurs lopen vooral rond in het management die apparatuur die kleurige statistiekjes uitspuugt belangrijker vinden dan prestaties - die je daar vooral niet uit kunt herleiden (wat je mist zie je niet). Maar zoiets kun je natuurlijk niet publiekelijk verkondigen als expert, want dan drogen de schnabbels op.

"bewijs dat er ook nog veel amateurs op de IT-afdelingen daar rondlopen"
En was de TU Delft ook niet besmet?

"Dat het Dorifelvirus via 'een aanval van de domste soort' toch bij ministeries, overheidsinstellingen en gemeenten kon binnendringen is volgens Van Eeten bewijs dat er ook nog veel amateurs op de IT-afdelingen daar rondlopen."

Dus waarom moeilijk doen en ingewikkelde malware schrijven als het blijkbaar ook makkelijk kan? Het hoeft niet intelligenter te zijn dan de gemiddelde gebruiker.

Dat neemt niet weg dat het door amateurs is gemaakt.

[q]
overheidsinstellingen en gemeenten kon binnendringen is volgens Van Eeten bewijs dat er ook nog veel amateurs op de IT-afdelingen daar rondlopen.
[/q]

Zijn uitspraak getuigt zijn IQ...

Misschien nog helemaal geen gek idee wat deze hoogleraar zegt. Maar stel je eens voor een meester cybercrimineel die laat 1 klein lullig dingetje afgaan en iedereen springt er meteen op zoals je ziet. Ondertussen gaat die via een andere weg met iets heel anders ermee van door. Tja het is maar een gedachte?

Of het is een soort van grootschalige test. Eens zien wat er gebeurt?

Nou, het is wel ronduit schandalig dat ze al besmet waren met het Citadel botnet... What say you?

Sommige geraakte overheidsinstellingen, hebben hun gehele IT uitbesteed.
Dus of die domheid alleen bij de overheidsinstellingen zit.. betwijfel ik.

Iets met amateurisme, schoenmaker, leest, bestuurskunde en journalisten. Briljante combinatie.

Overigens: als de crimineel met dat virus echt een amateur was dan had de persoon er geen winst uit behaad. Die lijkt er echter wel degelijk te zijn en komt er klaarblijkelijk nog mee weg ook. Tot zover de hoogleraar betweterkunde tegen wanabe journalisten zonder inhoudelijke kennis.

Volgens mij is Van Eeten vergeten dat ook IT-afdelingen geleid worden door managers die keuzes maken voor medewerkers, waarbij in eerst instantie geld veelal een belangrijkere rol speelt dan beveiliging. Een technisch bestuurskundige zou beter moeten weten en zou de medewerkers van de betrokken IT-afdeling niet weg moeten zetten als een stelletje amateurs. Dat roept bij mij de vraag op wie er nu eigenlijk amateuristisch bezig is.

Die hoogleraar heeft kennelijk de zonnesteek opgelopen .....

Ik kan mij nauwelijks voorstellen dat hij Michel van Eeten deze uitspraak daadwerkelijk heeft gedaan. Iedereen (ook zijn eigen specialisten) die zich ook maar enigszins in de materie heeft verdiept weet dat er in eerste instantie geen mogelijkheid was om de malware te signaleren.
Als er nu had gestaan: dat 'een(1) stuk Malware complete organisaties kan platleggen geeft aan dat er door de bestuurders niet genoeg focus op security heeft gelegen was het een heel ander verhaal geweest.
Denkt iemand hier serieus dat grotere gemeenten met eigen IT-personeel (of goede externe adviseurs) zich op 'IT-niveau' niet terdege van het risico bewust waren?. Dream on en ga ergens anders lekker techneut/ambtenaar bashen. Het probleem zit al jaren in Michel van Eeten zijn hoek. Namelijk de bestuurders die signalen negeren, geen idee hebben waar het over gaat en zich afvragen wat 'de kiezer' of 'de raad van commissaris' van de kosten vinden.
Security is een ondergeschoven kindje, niet alleen bij de bestuurders van de gemeentelijke overheid, ook bij veel bedrijven. Niet omdat men het niet kan...maar omdat de bestuurders het niet willen of kunnen begrijpen. Hier ligt een schone taak voor Michel van Eeten. Een taak die hij en zijn collegae zo te zien tot op heden niet goed hebben uitgevoerd.

Sinds enige tijd merk ik dat bij de Rijksoverheid compliance (en daarmee deels security) wel op de agenda staat. Het resultaat is er ook naar: een aantal besmettingen die niet voorkomen konden worden en de schade is elke keer beperkt gebleven. Waarschijnlijk dank zij preventieve maatregelen in de architectuursfeer (segmentering, layered security, SIEM) die de laatste jaren zijn genomen.

Als hij deze opmerking werkelijk heeft gedaan krijgt hij misschien opdrachten uit de boardroom, maar schaadt zijn reputatie bij degenen die inhoudelijk op de hoogte zijn. Het is maar waar je voor kiest.

Laten we hopen dat dit incident niet alleen voor de IT afdelingen een Heads-Up is, maar ook voor de bestuurders en mensen als Michel van Eeten. Security is een serieuze zaak en hoort in de boardroom. Daar kan hij voor zorgen, dat zou hem sieren in plaats van de kennelijke onkunde weer bij het technisch personeel neer te leggen.

Note: In de opsomming is hij per abuis vergeten de universiteiten te vermelden.

Heel kort is de stelling van Michel dat het virus zelf onnozel is omdat het te veel aandacht trekt en niet subtiel genoeg is en het binnendringen en verspreiden komt door heersende amateurisme in de wereld van ICT.

Ik ben het als beveiligingsexpert niet met hem eens:
1) een doel van een aanval kan veelzijdig zijn, waaronder veel aandacht trekken en de slachtoffers in discrediet brengen. Aan beide punten is voldaan. Het virus is dus niet onnozel te noemen, sterker nog: als je niet uitkijkt is het een afleiding van iets veel vervelenders.
2) Michel stelt eigenlijk dat in een professionele ICT de betrokken ICT-partijen het virus tijdig hadden moeten kunnen tegenhouden en verspreiding hadden. Nu staat ICT vergeleken met veel vakgebieden in de kinderschoenen, maar om amateurisme te stellen gaat te ver. Je kan je namelijk beter afvragen hoeveel er aan aanvallen wel wordt tegengehouden en welk professioneel niveau er nodig zou zijn geweest om deze uitbraak onder controle te houden. Waar het eerder op lijkt is dat veel organisaties geen goed plan hebben indien het ondanks alle maatregelen goed mis gaat en het in het nieuws komt. Op beheersbaarheid van gevolgen valt deze uitwerking en mediaaandacht nog een lachertje te noemen. Ik pleit voor een beter risicomanagement bij dit soort calamiteiten.

Als ik een virus-manneke was, zou ik een loeiende koe op een systeem afsturen en vervolgens nog een ander beestje meezenden. De koe wordt door de "deskundigen" gezien/gevangen/gegeten, maar de piereworm zien ze niet.

Weet trouwens iemand al meer wat eergisteren de oorzaak van de "2e" storing in Almere was?
De gemeente is niet zo spraakzaam ...

Lui en laksigheid, laten we het daar ophouden.

Ik denk eerder dat er teveel instellingen domweg vertrouwen op de aanwezige virusscanner. En laat die dan deze te laat zijn geweest met het detecteren van dit virus. Daarbij vond dit plaats in de vakantie waardoor er op de meeste afdelingen een onderbezeting is. De maker heeft het echter beter gedaan dan de hoogleraar doet vermoeden. Het virus werd door bijna niemand gedetecteerd en het moment van de aanval (zomervakantie) is prima geweest. Probleem is echter dat het virus een slechte payload had (of niet goed getest) waardoor de schade beperkt is gebleven.

Juist lui en boter op hun hoofd.

Ik ben blij dat Michel een hoop ervaring heeft met Enterprise oplossingen.... NOT. Blijkbaar heeft Michel totaal geen idee hoe in het echte leven ICT gebruikt wordt bij grote ondernemingen. ICT is ondersteunend, business draait de ICT, niet ICT draait de business.

Dit blijkt maar weer eens dat op school nog een hoop geleerd mag/moet worden, voordat men geschikt is voor het bedrijfsleven.

Voor een amateur niet gek gedaan gezien de impact.
Het getuigd juist van amateurisme om een reactie te geven zoals deze zgn hoogleraar doet.

Om een ICT-afdeling de schuld in de schoenen te schuiven, vind ik niet terecht. Vaak zijn het de bestuurders, die noodzakelijke investeringen tegenhouden. Verouderde systemen worden dan in de lucht gehouden. Andere systemen kunnen vervolgens dan niet van de nieuwste patches worden voorzien, omdat ze dan niet meer met de verouderde systemen kunnen samenwerken.

Overigens wordt het Dorifel-virus door een gebruiker geactiveerd door een Word- of Exel-bestand te openen.

Iets bewijzen doe je niet zo, en zeker als hoogleraar weet je dat dit goed moet onderbouwen voordat je deze uitspraak doet.
En ik sluit me helemaal aan bij de gedachtegang van yobi. Vaak is het niet de schuld van de ICT afdeling, vaak wordt er door het management "dingen" tegengehouden. Veel van deze problemen zijn allang bekent bij de ICT afdeling en wordt dit regelmatig gemeld richting het management, die er vervolgens geen actie op onderneemt, of het niet nodig vindt. Dit wilt natuurlijk niet zeggen dat de ICT afdeling er alles aan doet om dit soort dingen en te voorkomen. Maar om gelijk te gaan wijzen naar mensen is wel heel kortzichtig van Van Eeten. Hierbij bevestigd hij voor mij, dat hij de titel "hoogleraar" niet waar maakt.

"Om een ICT-afdeling de schuld in de schoenen te schuiven, vind ik niet terecht. Vaak zijn het de bestuurders, die noodzakelijke investeringen tegenhouden."

Klopt, het IQ van de informatiebeveiliger bepaalt bijvoorbeeld niet of het management budget vrijmaakt voor zaken als het upgraden van Office en Windows versies die inmiddels jarenoud zijn, en soms niet eens meer worden ondersteunt. Leuk als je een internationale omgeving met tienduizenden lekke "locked down desktops" mag beveiligen.

Ook kan een beveiliger met een hoog IQ er niet voor zorgen dat de virusscanner plots malware gaat detecteren voordat er signatures voor geschreven zijn, om zo op een bijna magische manier alle virussen en andere malware af te vangen, of het er voor zorgen dat het awareness niveau bij de gebruikers zo hoog wordt dat niemand op een verdachte link zal klikken, hoe overtuigend een phishing mailtje ook moge zijn.

Verder heeft de hoogleraar waarschijnlijk ook nog nooit gehoord van zaken als "accepted risks". Indien het management in een bedrijf risico's al dan niet tijdelijk wil accepteren, dan heb je dat als beveiliger te aanvaarden (zeker wanneer er geen sprake is van overtreding van wettelijke bepalingen).

Maar toch interessant om weer wat boeken-wijsheid te lezen die de hoogleraar op ons over wil brengen.

Volgens mij was het schrijven en deployen van deze meuk op zichzelf al cybercrime. Dat het zo wordt omschreven geeft toch ook wel iets aan.

BAAS mode:
wat, uitbreidingen IT ,nooit !, kost teveel geld.

vraag de baas ook eens wat het hem gaat kosten als het fout gaat. Roepen van kost veel geld, kan altijd. Maar wat kost het als zijn data corrupt raakt of verwijderd is. Hoeveel mensen moeten er aan werken om alles weer op orde te krijgen. Meestal weegt dat niet op tegen de kosten van een ICT project. Het gaat wel om onderbouwing.

Als Michel een beetje research had gedaan in plaats van een beetje te schreeuwen had hij geweten dat het Citadel botnet wel degelijk erg complex is. De ZeuS variant komt in verschillende mutaties al jaren voor en wordt op geen enkele manier gedetecteerd.

Dorifel is daarintegen erg slecht geschreven malware die inderdaad te makkelijk te detecteren was (ook al was dit de bedoeling) en te makkelijk te decompileren was.

Al met al vindt ik het stemmingsmakerij en slecht doordachte onzin die de beste man meld.

Wat enorm opvalt is dat nav het dorifel virus werkelijk elke "security" expert probeert mee te liften en bekend tracht te worden via de media.

Er zijn kennelijk heel veel media geile mensen in security land.

Neem deze man bijvoorbeeld.
hij wil zijn eigen naar en universiteit promoten als "de expert" op dit gebied maar heeft werkelijk geen idee hoe wat hij zegt en welke reputatie schade hij zich zelf en universiteit aan doet.

een beetje dom.

Deze prof leert zijn studenten bestuurskunde nu een belangrijke les in de praktijk: als er iets fout gaat moet je zorgen dat je iemand anders de schuld kunt geven. De bestuurder heeft immers nooit iets fout gedaan.

Tsja. De enige schuldige blijft natuurlijk degene die het virus heeft gebouwd en verspreid, net zoals de moordenaar verantwoordelijk blijft voor de moord en niet de maker of de leverancier van het wapen of de politie die de moord had kunnen voorkomen. Het is nu eenmaal technisch onmogelijk om virusscanners te maken die 100% dichtheid garanderen en ook nog een beetje performance voor het systeem overlaten. Als een virus herken wordt of kan worden, is het wel al binnen.

Ik vraag me af wat deze van Eeten met zijn opmerkingen probeert te bereiken. Door met modder te gaan gooien gaan IT afdelingen echt niet beter opletten, als ze al doordeweeks niets beters te doen hebben. Het is al lastig genoeg een netwerk in de lucht te houden zonder dat allerlei onverlaten aanvallen zitten te bedenken.

Ik denk toch dat de oplossing moet gezocht worden in duidelijker en harder straffen van cybercriminaliteit en het financieel verantwoordelijk houden voor de aangerichte schade. So what als de dader en diens familie de rest van hun leven aflossen.