image

Overheid: lekken, mensen en advertenties digitale achilleshiel

maandag 5 september 2016, 17:42 door Redactie, 9 reacties

Beveiligingsupdates voor softwarelekken die niet worden geïnstalleerd, besmette advertenties die malware verspreiden en mensen zijn bij veel it-incidenten de digitale achilleshiel, zo stelt het Nationaal Cyber Security Center (NCSC) van de overheid in het Cybersecuritybeeld Nederland 2016.

Het Cybersecuritybeeld beschrijft verschillende incidenten en ontwikkelingen waar Nederland het afgelopen jaar mee te maken kreeg en die een bedreiging voor de digitale veiligheid vormen. Zo is het up-to-date houden van apparaten en software nog altijd een uitdaging, zo stelt het NCSC. "Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd."

Het gaat dan ook om organisaties met industriële controlesystemen, die updates vermijden uit angst dat dit kan leiden tot productiviteitsverlies. Volgens het NCSC is het updaten echter een zeer belangrijke beveiligingsmaatregel. "Er is in Nederland verbetering mogelijk op het gebied van beschermingsmaatregelen: bedrijven hebben vaak geen goed beeld van benodigde maatregelen", zo laat de organisatie in het Cybersecuritybeeld weten.

Advertenties

Een ander risico dat uitgebreid wordt besproken is de verspreiding van malware via besmette advertenties, ook wel malvertising genoemd. Volgens het NCSC zijn advertentienetwerken nog niet in staat gebleken malvertising het hoofd te bieden. "Deze methode van verspreiding van malware blijft populair en is een groeiend probleem dat niet eenvoudig op te lossen is." Er wordt gewezen naar de manier waarop advertenties in realtime worden ingekocht en aan de gebruiker worden gepresenteerd, wat buiten het zicht van website-eigenaren gebeurt.

Het NCSC stelt verder dat advertentienetwerken de inhoud van advertenties momenteel niet volledig controleren. "Gecombineerd met het feit dat veel systemen niet voorzien zijn van de laatste updates zorgt dit voor een groot aanvalsoppervlak", zo waarschuwt het Cybersecuritybeeld. De verspreiding van besmette advertenties voedt ook de discussie over de noodzaak van adblockers.

Mensen

Naast technische kwetsbaarheden, wat het NCSC de achilleshiel van digitale veiligheid noemt, blijft ook de mens volgens de overheidsorganisatie kwetsbaar. "Kwaadwillenden blijven hun pogingen om gebruikers aan te zetten tot actie verbeteren. Social engineering is nog altijd populair en vooral succesvol wanneer het gaat om gerichte activiteiten via spearphishing."

Het NCSC laat verder weten dat het overbrengen van generieke vaardigheden om dreigingen te kunnen herkennen en ernaar te handelen lastig is. "Campagnes slagen er niet in deze vaardigheid over te brengen. Campagnes voor het verhogen van het beveiligingsbewustzijn werken vooral wanneer zij gericht zijn op een afgebakend probleem, zoals het regelen van bankzaken via internet."

Reacties (9)
05-09-2016, 18:01 door Anoniem
Voor 12 euro per werknemer heb je een goed boek van de bekendste social engineering hacker:

https://www.bol.com/nl/p/the-art-of-deception/1001004001981570

Is al meer dan 10 jaar oud, maar het menselijk denken en en hun zwakheden gelden nog steeds

TheYOSH
05-09-2016, 18:32 door Anoniem
Open deur, en waar verzinnen ze dit soort zinsconstructies toch telkens? Cyber-Achilleshiel, doe me een lol en ga wat nuttigs doen ofzo.
05-09-2016, 18:46 door Anoniem
Volgens het NCSC zijn advertentienetwerken nog niet in staat gebleken malvertising het hoofd te bieden. "Deze methode van verspreiding van malware blijft populair en is een groeiend probleem dat niet eenvoudig op te lossen is." Er wordt gewezen naar de manier waarop advertenties in realtime worden ingekocht en aan de gebruiker worden gepresenteerd, wat buiten het zicht van website-eigenaren gebeurt.

Niet zo moeilijk op te lossen, immers men kan deze manier van geld verdienen gewoon tegen werken.
Maak bijvoorbeeld de website eigenaar verantwoordelijk voor alles wat er op een webpagina gepresenteerd wordt.
Als deze dan extern iets laat regelen, bijvoorbeeld advertenties, dan zal hij zelf een keuze moeten maken voor
platformen die wel goed omgaan met misbruik, of anders zelf opdraaien voor de schade.
De niet-kunners gaan dan vanzelf op de fles.
05-09-2016, 19:17 door Anoniem
Zo is het up-to-date houden van apparaten en software nog altijd een uitdaging, zo stelt het NCSC. "Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd."

Lekker makkelijk om alleen de gebruiker de schuld in de schoenen te schuiven.
In het Android ecosysteem wordt de gebruiker geconfronteerd met telco's en leveranciers die geen updates beschikbaar maken (of zeer laat), ook al brengt Google deze wel uit.
En het Windows eco-systeem, waarbij MS de neiging heeft om behalve security updates ook configuratie wijzigingen en "wij als computer bedrijf weten beter dan de klant wat de klant wil" wijzigingen doordrukt met haar updates. Iets wat gebruikers er weer toe aanzet om niet alle of helemaal geen uofdates meer te installeren.


Een ander risico dat uitgebreid wordt besproken is de verspreiding van malware via besmette advertenties, ook wel malvertising genoemd.

Pak de advertentienetwerken dan aan met nieuwe wet- en regelgeving, waarbij de advertentie-netwerkbeheerders verantwoordelijk zijn voor de gevolgen. Of bestempeld worden als criminele organisatie.
Het argument dat hiermee het internet of de reclame wereld kapot gemaakt wordt, is geen reden om de huidige situatie niet harder aan te pakken (wereldwijd).


Het NCSC laat verder weten dat het overbrengen van generieke vaardigheden om dreigingen te kunnen herkennen en ernaar te handelen lastig is.

Dit is geen nieuws.
Aangezien smartphones, tablets, laptops, en computers al decennia als huishoudelijk apparaat verkocht worden, verbaasd me deze conclusie niet. Voor een auto heb je ook een rijbewijs nodig (in ieder geval voor het gebruik). Waarom dan nniet voor iets complex als een computer?
En als ik kijk hoe de gemiddelde middelbare scholier zich gedraagt op hun stageplaatsen als het gaat om het gebruik van IT apparatuur en programmatuur, dan hebben scholen nog heel veel werk te verrichten. De kennis van deze scholieren schiet al jaren te kort.
05-09-2016, 20:16 door Anoniem
Overheid: lekken, mensen en advertenties digitale achilleshiel

Correctie:

Overheid, lekken, mensen en advertenties digitale achilleshiel
05-09-2016, 21:08 door Anoniem
Slappe hap.
Eigenverantwoordelijkheid: Spijker je browser dicht en accepteer dat de meeste websites maar half werken. (If you're lucky)
06-09-2016, 07:52 door Anoniem
Door Anoniem: Slappe hap.
Eigenverantwoordelijkheid: Spijker je browser dicht en accepteer dat de meeste websites maar half werken. (If you're lucky)

Moet je tegen m'n tante van 75 vertellen ....
06-09-2016, 08:36 door Anoniem
Door Anoniem:
Zo is het up-to-date houden van apparaten en software nog altijd een uitdaging, zo stelt het NCSC. "Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd."

Lekker makkelijk om alleen de gebruiker de schuld in de schoenen te schuiven.

Ik lees niet dat het door de gebruiker komt.


Een ander risico dat uitgebreid wordt besproken is de verspreiding van malware via besmette advertenties, ook wel malvertising genoemd.

Pak de advertentienetwerken dan aan met nieuwe wet- en regelgeving, (wereldwijd).

Je wil je als land natuurlijk niet economisch achterstellen bij de rest. Probeer dan maar eens wereldwijd verantwoordelijkheid naar een bepaalde groep te verschuiven als het probleem niet alleen bij die groep ligt. Bij besmetting via advertenties nemen veel groepen hun verantwoordelijkheid niet.

Het NCSC laat verder weten dat het overbrengen van generieke vaardigheden om dreigingen te kunnen herkennen en ernaar te handelen lastig is.
Dit is geen nieuws.
De bevindingen gaan toch niet om de nieuwswaarde maar om wat bevonden is wat (nog steeds) nodig is om veilig te blijven of worden.
06-09-2016, 17:05 door Anoniem
Door Anoniem:
En als ik kijk hoe de gemiddelde middelbare scholier zich gedraagt op hun stageplaatsen als het gaat om het gebruik van IT apparatuur en programmatuur, dan hebben scholen nog heel veel werk te verrichten. De kennis van deze scholieren schiet al jaren te kort.

Dat is ook niet zo gemakkelijk op te lossen. Scholen moeten werken met een gegeven budget en aantal lesuren, en
daar moet alles wel in passen. Bovendien krijg ik toch al het idee dat scholen tegenwoordig veel meer op concrete
feitjes dan op algemeen inzicht onderwijzen. Toen ik nog op school zat waren computers heel divers en leerde je
algemene operating system en programmeer principes, tegenwoordig leer je Microsoft Windows, Word en Visual Studio.
(dit natuurlijk ook aangemoedigd door goedkope licenties die Microsoft aan opleidingsinstituten geeft)

Het wordt dan veel lastiger om algemene principes en vaardigheden in het lesprogramma te krijgen. En als er iets anders
op het bureau staat dan heeft men dat niet geleerd, en men heeft ook niet geleerd met situaties om te gaan die men nog
niet geleerd heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.