Deel ministerie J&V maandenlang kwetsbaar door Pulse Secure-lek
Twee onderdelen van het ministerie van Justitie en Veiligheid waren maandenlang kwetsbaar door het beveiligingslek in Pulse Secure vpn-software waarvoor beschikbare beveiligingsupdates niet waren geïnstalleerd. Voor zover bekend heeft de kwetsbaarheid niet voor schade bij de Rijksoverheid en aanbieders in de vitale infrastructuur gezorgd. Dat laat minister Grapperhaus van Justitie in een brief aan de Tweede Kamer weten.
Via een ernstige kwetsbaarheid in de software kan een aanvaller kwetsbare vpn-servers en -clients overnemen of toegang tot versleutelde vpn-sessies krijgen. Voor het beveiligingslek verscheen op 24 april 2019 een beveiligingsupdate. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats.
"Ook bij onderdelen die onder het ministerie van Justitie en Veiligheid vallen, is sprake geweest van de kwetsbaarheid in de vpn-software", aldus minister Grapperhaus. Na de eerste waarschuwing van het Nationaal Cyber Security Centrum (NCSC) op 1 mei 2019 zijn binnen het ministerie voor bijna alle onderdelen updates doorgevoerd. Nadat het NCSC op 21 augustus 2019 het beveiligingsadvies had aangepast vanwege het verschijnen van de exploit bleek dat twee onderdelen van het ministerie de updates vier maanden later nog altijd niet hadden doorgevoerd.
"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen. Naar aanleiding van deze casus is met deze onderdelen gesproken en wordt nu geëvalueerd hoe in de toekomst dergelijke kwetsbaarheden sneller verholpen kunnen worden", voegt Grapperhaus toe.
"Ongelofelijke oliebollen"
De minister noemde bedrijven die beveiligingsupdates uitstellen vorig jaar nog "ongelofelijke oliebollen". Grapperhaus deed zijn uitspraken naar aanleiding van berichtgeving dat bedrijven en overheidsinstanties belangrijke updates voor de Pulse Secure vpn-software niet hadden geïnstalleerd. Volgens de minister wordt het onderwerp cybersecurity onderschat en de gevolgen die dit kan hebben, zoals digitale ontwrichting.
"Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus afgelopen oktober tijdens het mondelinge vragenuur in de Tweede Kamer.
Op 20 augustus 2019 verscheen er een exploit online
Op 21 augustus 2019 past NCSC het beveiligingsadvies aan
Sinds sinds 22 augustus 2019 vinden ook daadwerkelijk aanvallen plaats
Uit de .docx in https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/:
Ik ben benieuwd of de ambtenaren van minister Grapperhaus de documentatie hebben overlegd waarin zij hun expliciete risicoafweging hebben gedocumenteerd, inclusief de wijze waarop kwetsbare systemen zijn geïnventariseerd.
Bureaucratie bij informatiebeveiliging zal tot steeds meer ongeautoriseerde toegang en downtime leiden.
Het echte probleem is dat die organisatie 'blauw' is. Enorm saai en doorwrongen van bestuurlijke nonsense en regels, waardoor experts enorm beperkt worden in hun kunnen.
Als je daar werkt en slim bent, dan krijg je knallende koppijn!
Afz. ervaringsdeskundige
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!
Zijn eerste paar dagen na zijn aantreden had ie nog enige grip op dat bastion.
Maar nadat een paar top-mannen daar aan bepaalde touwtjes gingen trekken was de rol van deze bewindspersoon wel haast uitgespeeld.
Anders blijft ie hangen in de oliebollen sfeer en de glibberige brei.
Hij is door zijn verleden tussen zijn huidige en laatste kabinet-ambt welliswaar "ervaringsdeskundige" met de lange arm van justitie maar vanaf V&J blijven de politici toch gewoon over dezelfde varen.
Het wordt echt tijd voor iets dat op andere leest is geschoeid en dat lukt gewoon niet met de koers van de afgelopen 6-8 jaar.
En onze privacy is daar de dupe van!
Bewindslieden hebben winig of geen idee van ICT. Naast de verplichte Office-cursus ontlenen ze die beperkte kennis vooral van hun (klein)kinderen en verder 'wat er op Facebook staat'. Maargoed, dat valt buiten hun takenpakket.
Zorgwekkender zijn de eisen die worden gesteld aan sollicitanten op de ICT. Goed genoeg om als helpdeskmedewerker te fungeren. Maar te incapabel voor het echte werk: Beveiliging van netwerken. Daarbij wordt out-of-the-box denken niet bepaald gewaardeerd in dergelijke settings. Cruciaal in de ICT. Ja-knikkers en schapen hebben voorrang op de ladder binnen dat baantjescarroussel. Funest voor de ambitieuze ICT-er. Die lopen na een tijdje weg. Of moeten weg, want lastig.
Dan hou je de oliebollen over. Je mag dan hopen dat de poedersuiker ontbreekt....
En maar aanmodderen met de ICT op de ministeries. Nog steeds niet willen zien dat het talent, de ambitie en de motivatie zich in het bedrijfsleven bevinden. Voor de rest is het oliebollen bakken. Door (de meesten van) ons gesponsord.
Hahaha.... moest wel even lachen. Is maar net hoe de wind waait, waan van de dag regeert in de politiek. Stucturele vooruitgang is geen tijd meer voor.
Ik dacht het niet, want het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie. Het ministerie valt dus niet onder Ferds eigen definitie van een oliebol.
https://www.security.nl/posting/626138/Grapperhaus%3A+bedrijven+die+updates+uitstellen+zijn+ongelofelijke+oliebollen
Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .
Hahaha,
DE opmerking van 2020 is bij deze direct geplaatst, bravo !
"Het ministerie van Justitie & Veiligheid is geen bedrijf met een winstoogmerk, maar een professionele ambtelijke organisatie .
"
haha
haha
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.