Het zal me niet verbazen als ze slachtoffer zijn geworden van iets als ransomware o.id. maar dat nu nog onder de pet proberen te houden. Criminelen die via een phishing link toegang krijgen zullen het nooit alleen bij het lezen van e-mail laten, althans een beetje cybercrimi zou niet schromen om te kijken wat deze nog meer met die accounts kan en met de toegang die deze al zou hebben.

1) Waarom staat er zoveel gevoelige informatie in mailboxen? Die mail zal ook nog eens niet versleuteld worden verzonden.
2) Hoezo vul je je naam in op een site als je inbox vol zou zijn? Laat staat je wachtwoord. Weet niemand wie de lokale systeembeheerder is ofzo?


En 3), ook slordig dat je niet eerst even kijkt of die mail wel van de eigen servers afkomt. Zo moeilijk is in de headers kijken niet. Tenminste, als je weet hoe die headers inelkaar zitten. Maar aangezien de meeste mensen niet eens verteld wordt hoe een propere email inelkaar hoort te zitten, is het niet gek dat ze deze basale kennis ook al missen. Vertel eens, hoe is "niet op die email klikken!" dan nog redelijk advies te noemen?

Gaaf
En dat landelijke schakel punt (LSP) inzake medische dossiers is ook zo'n fantastisch systeem .

allerlei pasjes enzo,
maar ondertussen via de achterdeur allerlei data 'lekken' naar ketenpartners .
Heel Nederland, van iedere burger inzage in het dossier.

echt top


Overheid , even een extra bedankje, bedankt
Uiteraard ook de lobby / Binnenlandse Zaken .

mooi systeem , slim gedaan.

Praat je vaker onzin? Het gaat hier om toegang tot een mailbox (ik gok via webmail die niet achter iets van MFA zat), niet over medische systemen, en niet over LSP?

Versleuteling at rest is natuurlijk mooi, maar wanneer de gebruiker inlogt om zijn mail te bekijken, dan is hij leesbaar. Verder: natuurlijk hoort er geen gevoelige info in mail te staan, maar je hebt te maken met gebruikers. Die zien iets wat ze kunnen gebruiken om spul te sturen, dus doen ze het. Je kan je beleid nog zo goed hebben opgesteld, als mensen het negeren doe je er weinig aan als je niet 100% mail controle doet voordat het de deur uit gaat.

De gemiddelde gebruiker is niet echt een helder licht. Enige wat je hier aan kan doen is keer op keer hameren op awareness.

Neem de gemiddelde persoon, en bedenk je dan dat de helft van de wereld dommer is dan dat. Als IT afdeling ben je al bijna blij als mensen hun wachtwoord niet op geeltjes schrijven, laat staan dat ze weten hoe ze goed een mail moeten inspecteren.

Daarom heb je het ook beter niet over "gemiddelde persoon" maar over de "Dümmster anzunehmender User", de DAU.

Hoewel "dom" hier vaker op "onopegeleid" dan op gebrek aan intelligentie duidt. Een hoop mensen doen vreselijk domme dingen (en voelen zich ook dom) omdat ze dingen doen en er dingen van ze verwacht worden dat ze doen, zonder daarvoor de kennis- en vaardigheidsgrondslag te bezitten. Achteraf is het vaak wel duidelijk wat er misging, maar je wil nu juist dat er voordat het misgaat belletjes gaan rinkelen. En dat lukt veel beter als je het al al een keer gezien hebt, bijvoorbeeld in een opleiding.

Ik kon het mijn vader in twee minuutjes over de telefoon uitleggen. Het gebeurt evengoed dat hele "IT-afdelingen" geen Received:-header kunnen decoderen al zou hun leven ervan afhangen. Of een interne DNS opzetten. Of een standaardinstall slipstreamen, of zelfs maar iets anders dan ceedeetjes wisselen om de consumenteninstall van een zeker "besturingssysteem" af te draaien.

Het probleem is dan ook veel meer dat de meeste gebruikers (en blijkens, IT-afdelingspersoneel) er zonder zelfs maar de minste informatie achter een kompjoeter gezet zijn, want "geen opleiding nodig, is intuïtief!" wat tot een hele hoop in het wilde weg geklik leidt maar tot erg weinig inzicht.

Vroeger leerde je bijvoorbeeld email-etiquette door meedoen en terechtgewezen worden door mede-gebruikers. Dat was na september 1993 niet meer haalbaar. Nu staat er zelfs in de gebruikelijke etiquettegidsen wel iets over email maar komt dat in de verste verte niet in de buurt van bijvoorbeeld RFC1855. Oftewel, de leraren en autoriteiten zijn zelf al niveautje DAU.

Dat de software vervolgens ook aan alle kanten lek is en dat er van deze onopgeleide gebruikers verwacht wordt te weten waar wel en niet op te klikken is dan de kers op de taart. De kompjoeter werd nu juist geprezen omdat'ie het beter zou weten dan de gebruiker!

Ik denk dat daar niets houdbaars aan is. Dat blijkt ook want veel dingen die ondertussen steeds spectaculairder misgaan kunnen dat alleen maar omdat zowel de software als de gebruikers (en de beheerders, de hardware, de inkoopbeslissers cq. management, etc.) eigenlijk [x] Ongeschikt zijn voor de taken die van ze verwacht worden.

Maarja, we hebben de wereld volgepropt met miljarden computers en een vergelijkbare hoeveelheid onopgeleide gebruikers, dus dat veeg je niet even op in een dag. Dat vervangen door iets beters kost gewoon tijd, zelfs al heb je iets beters klaarstaan. Dus dit feest der falen zal nog wel even doorgaan. Met phishings, ransomware, en weet ik het wat nog meer aan ellende.

Maar merk op: We hebben er in feite zelf om gevraagd, door onszelf dat "geen training nodig"-rad voor de ogen te laten draaien. Dus nu niet de vermoorde onschuld gaan spelen. Dan had je maar op tijd moeten investeren in de kennis die noodzakelijk is om veilig en verantwoord met die kompjoeter en de interwebbertubes om te gaan. Dan had je gezien dat je software tekortschoot en niet de juiste informatie op de juiste plek wist te presenteren, dat je mensen makkelijk op het verkeerde been te zetten zijn omdat ze geen idee hebben waar op te letten maar de software het expres moeilijk maakt ernaar te kijken, en zo verder.

Het probleem is dus, samengevat, dat "we" niet eens geprobeerd hebben de veiligheid op orde te krijgen. "We" hebben collectief precies het tegenovergestelde gedaan.

Ik zou graag het vervolg van de datalek meldingem als volgt zien:
- zodra iemand waargenomen zou kunnen hebben dat er een persoon ergens bij een balie staat dan moet die balie dat melden aan Het AP met de namen van betrokken personen. Je krijgt op die wijze echt een prima sleepnet …. bij het AP.

Ik ben het grotendeels, zo niet helemaal, met je eens. Als je redelijk veilig de weg op wilt, zul je de verkeersregels moeten kennen. Fietsen en zwemmen moet je ook leren.

Wel mis ik wat oplossingsgerichtheid. Ik vind dat we naar verbeteringen moeten blijven zoeken om mensen duidelijker onderscheid te kunnen laten maken tussen echt en nep, en dat we browsermakers op de vingers moeten tikken als ze (dreigen) te ver te gaan met "vereenvoudigen" (lees: schrappen van essentiële informatie). En dat we serverbeheerders erop moeten wijzen dat ze beter na moeten denken over de domeinnamen die zij kiezen en het soort certificaten dat ze inzetten (bewijzen dat jij jij bent is irrelevant als derden zich al te makkelijk en overtuigend kunnen voordoen als jou). Maar dat mensen zonder enige kennis redelijk veilig zouden kunnen internetten, sluit ik bij voorbaat uit.

Dit is een beetje flauw, Erik. Iedereen aan dezelfde kant laten rijden, stoplichten, en autogordels waren allemaal goede ideetjes maar op zichzelf niet de oplossing voor het hele probleem. En dat met een veel simpeler probleemdomein wat bovendien tastbaar en zichtbaar is voor iedereen die meedoet.

In het geval van email, bijvoorbeeld, zou je eerst eens kunnen beginnen met vertellen hoe een emailtje inelkaar zit zodat demense zelf al beter onderscheid kunnen maken tussen echt en nep. En dat er dan wat mensen tussen zitten die denken "tjee, deze emailclient is echt waardeloos, laat ik eens een ander pakken". Nu wordt dat onderscheid niet gemaakt, of als, dan op de aanwezigheid van kalenderintegratie. (Wat voor iemand met een Unix-achtergrond echt vloeken in de kerk is: Waarom "moet" er vanalles in één en hetzelfde programma, waarom kun je nou niet eens wat programmas samen laten werken?!? Naast dat het dus niets met email an sich van doen heeft. Net of je autos uitzoekt op het hebben van cupholders, hoezo is dat je belangrijkste criterium?)

Dat doen ze omdat gebruikers blijven klagen dat het te moeluk is. Oftewel, met genoeg gebruikers die iets beters willen, kan het er ook makkelijker komen.

Maar ook hier is onze eerdere laksheid een kostenverhoger: "Een browser" maken is hopeloos ingewikkeld want HTML parsen en het hele DOM-gebeuren, laat staan css en nog erger, javascript, is zo hopeloos complex dat zelfs de specialisten het niet voorelkaar krijgen bij benadering correcte en lekvrije code te schrijven. Dus "even" een browser met een betere interface klussen... meer dan een bestaande engine van een nieuw jasje voorzien is zelfs voor software-reus microsoft niet weggelegd. Het ziet ernaar uit dat het tijd wordt HTML+vrindjes te vervangen door iets beters. Ook daar, alleen het ontwerp al is niet simpel. Dat is dus ook al een grote klus.

Maar je kan wel beginnen met zelf zo'n ander jasje voor een rendering-engine te schrijven en eens goed na te denken over wat en hoe je laat zien. Bijvoorbeeld niet meer van die hopeloos vage "het werkte toch niet helemaal mischien kun je nog eens nadenken over andere dingen die je mischien zou kunnen proberen wellicht"-idiotenmeldingen geven maar gewoon zeggen waar het op staat.

"HOSTNAME LOOKUP FAILURE: NXDOMAIN" heb ik echt meer aan dan wat de verzamelde browsers nu doen. En dat is alleen maar het stukje "DNS"; alle andere mogelijke foutmeldingen hebben ze net zo goed achter bakken vergoeilijkende bullshit verborgen.

Net of je auto in plaats van een lampje "motor nakijken" een tekstje afspeelt "nou er ging iets niet goed hoor, mischien moet je eens kijken of er geen rook onder je motorkap vandaan komt". Dat is op zich al een domme melding want in plaats van te vertellen wat het weet ga je de gebruiker lopen uit-gissen, en oh ja, als er echt een probleem is, grote kans dat die rook eerder opvalt dan het domme berichtjesafspelen.

De collectieve browsermakers doen het allemaal net zo. Geeft toch te denken over hoe ze tegen hun gebruikers aankijken. Maar de oplossing daar is niet "browsermakers op de vingers te tikken", het is "zorg dat er genoeg mensen zijn die beter weten en ga met z'n allen luidkeels om betere browsers roepen." Of maak ze desnoods zelf.

Vaak niet de beheerders die de domeinnamen kiezen. Toen ik servertjes beheerde heb ik regelmatig opdrachten vrijelijk geherinterpreteerd om, bijvoorbeeld, in plaats van "sales_eu@bedrijf.tld" aan te maken zoals gevraagd, terug te komen met "eu@sales.bedrijf.tld" en het argument dat dat een betere indruk naar buiten geeft. Niet iedere beheerder snapt dat, of durft het.

Soms kan het ook niet. Zo bleken er ineens "@bedrijfna.com" te bestaan, met dank aan de twee salesjongens die in North America voor ons bezig waren. Maar dus zonder enige terugkoppeling of bespreking of afspraak of wat ook. Ik als beheerder had het maar gewoon te slikken, ook al zette het de complete authenticatie- en andere infrastructuur en allerlei beleid compleet op z'n kop, en had en kreeg ik nul beheer over die domeinnaam.

Ik zou niet zeggen dat dat een voorbeeld was van een goed geleid bedrijf. Maar je ziet dat er heel veel bedrijfjes zulke fratsen uithalen. Omdat degenen die de beslissing nemen om een domeinnaam te regelen niet de kennis hebben om te snappen hoeveel ellende je veroorzaakt met dat ondoordacht te doen. En dat zijn lang niet altijd de beheerders.

Certificaten hebben wel meer problemen dan alleen dat. PKI-in-de-browser is wel een mooie illustratie: De browserjongens hadden een probleem, en hebben daar toen maar het eerste het beste tegenaangegooid wat ze tegenkwamen in de vorm van een stricte certificatenhierarchie. De onvermijdelijke "vertrouwensverankering" kreeg een quick fix in de beste kapitalistische tradities, door het probleem aan bedrijfjes met CA-certificaten te geven. Die je zullen beschermen tegen iedereen waarvan ze geen geld aannemen.

Het is een mooi voorbeeld van hoe iets lijkt te werken maar zelfs in de ontwerpfase eigenlijk al gierend van de rails gevlogen is. En dat is dan nog voordat je Peter Gutmann zijn "Everything you Never Wanted to Know about PKI but were Forced to Find Out" gelezen hebt, waar nog veel meer diepe ellende in aangestipt en geïllustreerd wordt.

Dis is wel de status quo.


En dan hebben we het nog niet gehad over alles wat onder de browser zit, bijvoorbeeld besturingssoftware die niet bestuurt maar wel zelf een bron van ellende, de hardware die vergelijkbaar mank gaat, je gebrek aan eigenaarschap op moderne hardware, en zo voort, en zo verter. We hebben het gehad over één programma en hoe er gebruik van wordt gemaakt.

Erik, ik kan echt nog uren doorschrijven met ideetjes over wat er allemaal beter kan. Maar ondertussen weet je net zo goed dat je zelfs hier nog niet eens kan opmerken dat ransomware best duur is aan losgeld en bijkomende kosten of er staat alweer iemand te gillen dat dat "pro linux evangelisatie" is of iets in die trant. Oftewel, toegeven dat er een probleem is is zelfs hier te moeilijk, op een plek waar we toch pretenderen iets zinnigs over security te kunnen zeggen.

Je kunt uren doorschrijven en het los t nog steeds niets op.
Net zo min als geen roepen dat het aan het os ligt, wat vanuit een zekere hoek telkens terugkomt.
Neem Android, IOT, IoS het is allemaal lek er gaat regelmatig wat fout.

Een eerste stap zou kunnen zijn om uit de techniek verslaving (os os flaming) te stappen en te gaan kijken wat de organisaties echt nodig hebben. Je zit ze naar de cloud overstappen de standaard pakketten in huis halen en vervolgen loopt het vast.
Dat zijn meerdere signalen:
- de beslissers managers hebben geen vertrouwen in de ICT dienstverlening (met reden).
- zien het ICT gebeuren niet als een specialistisch kennis met bijzondere waarde (komt terug op falende dienstverlening).
- het overlaten van het ICT werk in een aanbesteding lost niets op
Dit is een zich herhalende en versterkend cirkeltje

Kan je de dienstverlening doorbreken in wel iets wat is al betrouwbaar is dan is dat te doorbreken.
Geef je toe dat de huidige dienstverlening een probleem is?

Ransomware is niet het meest voor de hand liggende doel. Waarschijnlijker is een voorbereiding tot een vorm van ceo fraude. (zoals het recente voorbeeld van het Twents museum.) De gelekte gegevens zal ze vast minder interesseren, wel de mailwisseling met financiële gegevens.

Terugkomend, bijvoorbeeld zoals gegeven in het voorbeeld.

Een mooie kans om het goede voorbeeld te geven, nietwaar?

Die ICT-dienstverlening die ze eerst zelf ingehuurd hebben, op criteria die ze zelf opgesteld hebben.

Die ze alweer zelf ingehuurd hebben, vaak genoeg tegen signalen in dat wat ze inhuurden niet genoeg gewicht in de schaal legde, de problemen niet ging oplossen, nodeloos duur was, etc.

Wat, meer Brussel is geen remedie voor falend Brussel? Wat gek nu.

"De dienstverlening" verleent diensten waarom gevraagd wordt, of tenminste wat afgenomen wordt als het aangeboden wordt. Zo werkt dienstverlening. Je zal dus eerst een besef moeten kweken dat wat er normaliter afgenomen pleegt te worden, niet voldoet en dat er dus naar andere diensten uitgekeken moet worden. Liefst in tandem met het aanbieden van die andere diensten.

Zoals je verdomde goed weet is alles lek (alle software bevat fouten) maar is er maar eentje - met grote afstand; afgerond 100% - écht lek: Microsoft Windows.

Ik heb te doen met de clienten die daar zitten en als paranoïde werden weggezet als ze voor hun privacybescherming opkwamen. Onder 'zachte' druk hun bezwaren aan de kant zetten en nu blijken ze in hun gelijk gesteld.

Digitale zorg (eHealth)... wordt het aangeboden via een beveiligde omgeving waar u en uw behandelaar met elkaar kunnen communiceren.
https://www.propersona.nl/Onze-werkwijze/Behandeling-en-behandelteams/Digitale-zorg-%28eHealth%29/

Deze link werkt (nog) https://www.gelderlander.nl/nijmegen/medewerkers-pro-persona-klikken-op-phishingmail-criminelen-hebben-toegang-tot-gegevens-honderden-clienten~a08e8890/?

Amen

Aldus onze predikant....

Ik hoop niet dat je bedoelt dat ik denk dat er geen probleem bestaat: natuurlijk zijn er problemen - heel veel zelfs. Alleen hoor ik niet bij de mensen die stellen dat je er toch niks aan kunt doen. Dat is onjuist en bovendien kunnen we ons die houding niet permitteren.

Natuurlijk kunnen we nooit alle beveiligingsincidenten voorkomen (net zo min als alle verkeersdoden). Maar we kunnen risico's wel degelijk verlagen, zowel door de kans op het optreden ervan, als de impact van -onverhoopte- beveiligingsincidenten te verlagen. De kunst is om oplossingen te bedenken en implementeren die beperkte impact op de werkbaarheid hebben bij een relatief grote verlaging van risico's. Dat soort oplossingen bestaan of kunnen in de meeste gevallen worden bedacht (tenzij je begint met schouderophalen).

Uit eigen ervaring weet ik dat dit is een terecht aandachtspunt in de zorgketen is. Probleem is dat de zorgketen nogal gefragmenteerd is en dat er niemand verantwoordelijk is voor de gehele keten. Informatie uitwisselen is een drama en mail is laagdrempelig. Er moet een organisatie komen die voor de gehele keten verantwoordelijk is, anders zal dit nooit goed opgelost worden.


Voor ons als ICT'ers klinkt dat inderdaad als "stupide actie". Maar vergis je niet in gewone gebruikers die ver van de ICT afstaan. Als zo'n phising site een beetje slim in elkaar zit, gaan de mensen gewoon de fout in. Overigens ben ik benieuwd wat ze bij deze (en andere) instellingen aan awareness trainingen doen. Die trainingen zullen niet alles voorkomen, maar helpen wel.


Hallo....we hebben het hier over 'gewone' gebruikers. Gebruikers beschikken logischerwijs niet over de skills om te controleren of het van eigen servers afkomt, hoe headers in elkaar zitten, etc. Als gebruikers dit moeten kennen om veilig van ICT gebruik te kunnen maken, is er iets fundamenteel mis met die ICT.

Ik ben overigens van mening dat wij als ICT'ers op dit punt nog een flinke klus te doen hebben. Want nu is het zo dat je behoorlijk wat IT kennis moet hebben om IT middelen veilig te gebruiken. Dat moet echt anders.

Nee, aldus Symantic:

Total malware per operating system:
2016: 98,5%
2017: 97,6%
2018: 97,2%

https://www.symantec.com/content/dam/symantec/docs/reports/istr-24-2019-en.pdf

Afgerond 100%, dat zeg ik.

Ooit eens met wiewashet de Nederlandse artsenclub gemaild dat ze hier een schone taak hadden. Wilden er niet aan, vonden ze niet hun pakkie-an. Wie dan, de overheid? Lijkt me echt geweldig om die weer een stuk ict voor de hele samenleving te laten doen.

Er is wel een verschil tussen het achter-de-coulissen-verhaal van de ICT, wat je als ICT-er ziet, en het stuk dat je presenteert aan de gebruiker. Als dagelijkse "gewone" gebruiker van allerlei ICT-diensten zie je dus wel het dagelijkse-gebruik stuk en hoezo heb je geen idee wat een redelijke melding is?

De "awareness" van weten wie je systeembeheerder cq helpdesk is en dat je ze daar ook zulke vragen aan mag stellen is redelijk basaal. Of de "awareness" van weten hoe je eigen systeembeheer zich presenteert aan de rest van het bedrijf. Compleet met een idee welke sites dat dan zijn. En niet zo stupide als "niet op die email klikken!"

Dat dat laatste als valide advies telt betekent niet alleen dat we met z'n allen dom bezig zijn op gebruikersgebied, maar ook met ongeschikt gereedschap want te gevoelig voor malware en heeft de onopgeleide eindgebruiker nodig om niet geinfecteerd te worden. Dat verwachten van die eindgebruiker zonder basiskennis is helemaal onrealistisch.

Nou, dat denk ik dus even niet. Het internet is geen AOL of COMPUSERVE, het is het internet. Daar hoort een zekere mate van basiskennis bij. Dat we al jarenlang pretenderen dat je zeggens nul kennis nodig hebt om mee te doen is precies wat de deur openzet voor allerlei vuige truukerij. Zoals te zien in de altijd al te domme gebruikersbejegening door bijvoorbeeld webbrowsers maar ook door "gebruiksvriendelijke" emailclients, en dat is zeker niet beter geworden met de jaren.

De falende domheidsdoctrine oplossen met nog meer domheid. Met voorspelbare gevolgen.

Nou, je moet meer kennis hebben dan je aangereikt krijgt.

Je kan best inzetten op minder kennis nodig hebben en dan zorgen dat die kennis echt wel aanwezig is. Beide zijn flinke klussen die veel en hard werk kosten, en nog meer nadenkwerk. Maar dat is niet wat er gebeurt. Wat er gebeurt is dat nodig informatie verborgen wordt, er net gedaan wordt of je 'm niet nodig hebt, en de kennis wordt je onthouden "want niet nodig". Nog dommer kan haast niet. Wat als we "de gewone gebruiker" nou eens de basiskennis gaven die hij echt nodig heeft?

Als je alleen de Windows markt in je selectie betrekt, tja domheid met getallen maar handig in het framen… het predikant zijn.
Ik selecteer even enkel de gevallen met een OSS en Linux en verrek wat een chaos en gatenkaas zoiets slechts moet wel aan het OS liggen.

Je hebt overduidelijk aangetoond hoe de communicatie als ICT naar gebruikers verloopt, Het ligt aan de gebruiker als het jouw os betreft. Daarmee geef aan waar we vanaf moeten met de ICT en informatieveiligheid, dat is: os predikanten.

(a) als je het beter denkt te weten dan moet je bij Symantec zijn met je kritiek want het is hun rapport;
(b) het rapport betreft niet alléén de Windows markt, het brengt alle malware voor alle besturingssystemen in kaart.

Het aandeel Windows malware binnen alle malware voor alle besturingssystemen is afgerond 100% dus als je malware zegt kan je net zo goed Windows malware zeggen! Dát bedoel ik!

Symantic - https://www.symantec.com/content/dam/symantec/docs/reports/istr-24-2019-en.pdf