Overheid: lekken, mensen en advertenties digitale achilleshiel
Beveiligingsupdates voor softwarelekken die niet worden geïnstalleerd, besmette advertenties die malware verspreiden en mensen zijn bij veel it-incidenten de digitale achilleshiel, zo stelt het Nationaal Cyber Security Center (NCSC) van de overheid in het Cybersecuritybeeld Nederland 2016.
Het Cybersecuritybeeld beschrijft verschillende incidenten en ontwikkelingen waar Nederland het afgelopen jaar mee te maken kreeg en die een bedreiging voor de digitale veiligheid vormen. Zo is het up-to-date houden van apparaten en software nog altijd een uitdaging, zo stelt het NCSC. "Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd."
Het gaat dan ook om organisaties met industriële controlesystemen, die updates vermijden uit angst dat dit kan leiden tot productiviteitsverlies. Volgens het NCSC is het updaten echter een zeer belangrijke beveiligingsmaatregel. "Er is in Nederland verbetering mogelijk op het gebied van beschermingsmaatregelen: bedrijven hebben vaak geen goed beeld van benodigde maatregelen", zo laat de organisatie in het Cybersecuritybeeld weten.
Advertenties
Een ander risico dat uitgebreid wordt besproken is de verspreiding van malware via besmette advertenties, ook wel malvertising genoemd. Volgens het NCSC zijn advertentienetwerken nog niet in staat gebleken malvertising het hoofd te bieden. "Deze methode van verspreiding van malware blijft populair en is een groeiend probleem dat niet eenvoudig op te lossen is." Er wordt gewezen naar de manier waarop advertenties in realtime worden ingekocht en aan de gebruiker worden gepresenteerd, wat buiten het zicht van website-eigenaren gebeurt.
Het NCSC stelt verder dat advertentienetwerken de inhoud van advertenties momenteel niet volledig controleren. "Gecombineerd met het feit dat veel systemen niet voorzien zijn van de laatste updates zorgt dit voor een groot aanvalsoppervlak", zo waarschuwt het Cybersecuritybeeld. De verspreiding van besmette advertenties voedt ook de discussie over de noodzaak van adblockers.
Mensen
Naast technische kwetsbaarheden, wat het NCSC de achilleshiel van digitale veiligheid noemt, blijft ook de mens volgens de overheidsorganisatie kwetsbaar. "Kwaadwillenden blijven hun pogingen om gebruikers aan te zetten tot actie verbeteren. Social engineering is nog altijd populair en vooral succesvol wanneer het gaat om gerichte activiteiten via spearphishing."
Het NCSC laat verder weten dat het overbrengen van generieke vaardigheden om dreigingen te kunnen herkennen en ernaar te handelen lastig is. "Campagnes slagen er niet in deze vaardigheid over te brengen. Campagnes voor het verhogen van het beveiligingsbewustzijn werken vooral wanneer zij gericht zijn op een afgebakend probleem, zoals het regelen van bankzaken via internet."
https://www.bol.com/nl/p/the-art-of-deception/1001004001981570
Is al meer dan 10 jaar oud, maar het menselijk denken en en hun zwakheden gelden nog steeds
TheYOSH
Niet zo moeilijk op te lossen, immers men kan deze manier van geld verdienen gewoon tegen werken.
Maak bijvoorbeeld de website eigenaar verantwoordelijk voor alles wat er op een webpagina gepresenteerd wordt.
Als deze dan extern iets laat regelen, bijvoorbeeld advertenties, dan zal hij zelf een keuze moeten maken voor
platformen die wel goed omgaan met misbruik, of anders zelf opdraaien voor de schade.
De niet-kunners gaan dan vanzelf op de fles.
Lekker makkelijk om alleen de gebruiker de schuld in de schoenen te schuiven.
In het Android ecosysteem wordt de gebruiker geconfronteerd met telco's en leveranciers die geen updates beschikbaar maken (of zeer laat), ook al brengt Google deze wel uit.
En het Windows eco-systeem, waarbij MS de neiging heeft om behalve security updates ook configuratie wijzigingen en "wij als computer bedrijf weten beter dan de klant wat de klant wil" wijzigingen doordrukt met haar updates. Iets wat gebruikers er weer toe aanzet om niet alle of helemaal geen uofdates meer te installeren.
Pak de advertentienetwerken dan aan met nieuwe wet- en regelgeving, waarbij de advertentie-netwerkbeheerders verantwoordelijk zijn voor de gevolgen. Of bestempeld worden als criminele organisatie.
Het argument dat hiermee het internet of de reclame wereld kapot gemaakt wordt, is geen reden om de huidige situatie niet harder aan te pakken (wereldwijd).
Dit is geen nieuws.
Aangezien smartphones, tablets, laptops, en computers al decennia als huishoudelijk apparaat verkocht worden, verbaasd me deze conclusie niet. Voor een auto heb je ook een rijbewijs nodig (in ieder geval voor het gebruik). Waarom dan nniet voor iets complex als een computer?
En als ik kijk hoe de gemiddelde middelbare scholier zich gedraagt op hun stageplaatsen als het gaat om het gebruik van IT apparatuur en programmatuur, dan hebben scholen nog heel veel werk te verrichten. De kennis van deze scholieren schiet al jaren te kort.
Correctie:
Overheid, lekken, mensen en advertenties digitale achilleshiel
Eigenverantwoordelijkheid: Spijker je browser dicht en accepteer dat de meeste websites maar half werken. (If you're lucky)
Eigenverantwoordelijkheid: Spijker je browser dicht en accepteer dat de meeste websites maar half werken. (If you're lucky)
Moet je tegen m'n tante van 75 vertellen ....
Lekker makkelijk om alleen de gebruiker de schuld in de schoenen te schuiven.
Ik lees niet dat het door de gebruiker komt.
Pak de advertentienetwerken dan aan met nieuwe wet- en regelgeving, (wereldwijd).
Je wil je als land natuurlijk niet economisch achterstellen bij de rest. Probeer dan maar eens wereldwijd verantwoordelijkheid naar een bepaalde groep te verschuiven als het probleem niet alleen bij die groep ligt. Bij besmetting via advertenties nemen veel groepen hun verantwoordelijkheid niet.
En als ik kijk hoe de gemiddelde middelbare scholier zich gedraagt op hun stageplaatsen als het gaat om het gebruik van IT apparatuur en programmatuur, dan hebben scholen nog heel veel werk te verrichten. De kennis van deze scholieren schiet al jaren te kort.
Dat is ook niet zo gemakkelijk op te lossen. Scholen moeten werken met een gegeven budget en aantal lesuren, en
daar moet alles wel in passen. Bovendien krijg ik toch al het idee dat scholen tegenwoordig veel meer op concrete
feitjes dan op algemeen inzicht onderwijzen. Toen ik nog op school zat waren computers heel divers en leerde je
algemene operating system en programmeer principes, tegenwoordig leer je Microsoft Windows, Word en Visual Studio.
(dit natuurlijk ook aangemoedigd door goedkope licenties die Microsoft aan opleidingsinstituten geeft)
Het wordt dan veel lastiger om algemene principes en vaardigheden in het lesprogramma te krijgen. En als er iets anders
op het bureau staat dan heeft men dat niet geleerd, en men heeft ook niet geleerd met situaties om te gaan die men nog
niet geleerd heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior adviseur informatiebeveiliging / incidentcoördinator
Ministerie van Buitenlandse Zaken
Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.