image

Kabinet gaat Rijksoverheid en vitale aanbieders dwingen om kritieke lekken te verhelpen

maandag 29 juni 2020, 10:00 door Redactie, 12 reacties

De Rijksoverheid en vitale aanbieders worden straks verplicht om kritieke kwetsbaarheden in hun systemen te verhelpen of aan een toezichthouder uit te leggen waarom ze dit niet doen. Dit moet situaties zoals met het beveiligingslek in Citrix voorkomen, zo heeft minister Grapperhaus van Justitie en Veiligheid laten weten bij de presentatie van het jaarlijkse Cybersecuritybeeld Nederland (CSBN) aan de Tweede Kamer.

Grapperhaus stelt dat het voorkomen van maatschappelijke ontwrichting door incidenten binnen vitale processen de hoogste prioriteit binnen de Nederlandse Cybersecurity Agenda heeft. Om dergelijke verstoringen te voorkomen werkt het kabinet aan een "pas toe of leg uit"- systematiek voor vitale aanbieders en de Rijksoverheid. Bij ernstige kwetsbaarheden, zoals in het geval van een high-high beveiligingsadvies van het NCSC, moeten deze partijen mitigerende maatregelen nemen of uit kunnen leggen aan een door de verantwoordelijke minister gemandateerde organisatie, bijvoorbeeld een toezichthouder, waarom ze deze niet nemen.

"Als er een soortgelijke situatie plaatsvindt zoals tijdens de problemen met Citrix-software, is de vrijblijvendheid van het nemen van maatregelen voorbij", aldus het ministerie van Justitie en Veiligheid. Grapperhaus voegt toe dat de nieuwe maatregel ervoor moet zorgen dat beveiligingsadviezen van het NCSC beter worden opgevolgd. In het geval van bijvoorbeeld de Citrix-kwetsbaarheid had het NCSC hiervoor gewaarschuwd. Binnen de Rijksoverheid bleken er echter verschillende organisaties te zijn die de geadviseerde oplossing niet of niet tijdig hadden doorgevoerd.

Reacties (12)
29-06-2020, 10:47 door Anoniem
Dan moet de overheid er dan ook wel optijd bij zijn met de juiste informatie.
Maar een goed punt. Wil je leveren aan de overheid? Zorg dan dan veilig genoeg bent!
29-06-2020, 11:18 door [Account Verwijderd]
Ik wens de overheid veel succes en sterkte om dit gedaan te krijgen bij leveranciers met een eigen en mogelijk afwijkende agenda.
29-06-2020, 11:36 door Anoniem
Of uit leggen..nou bijvoorbeeld:

overheid: Waarom fixt u een critiek lek in Windows 10 1809 niet?
microsoft: Waarom zou ik? jij betaalt toch wel, en overstappen naar linux doe je toch niet. bovendien heb ik het gefixed in 1909 versie. suc6, en don't call us anymore. suckers..

lekkere wassen neus weer die overheid...
is er een bepaald soort gullible nodig om ambtenaar te kunnen worden?
29-06-2020, 13:23 door Ron625
Dan zie ik in de toekomst weer een hoop WOB verzoeken komen.........
29-06-2020, 14:47 door Anoniem
Door Toje Fos: Ik wens de overheid veel succes en sterkte om dit gedaan te krijgen bij leveranciers met een eigen en mogelijk afwijkende agenda.
overheid: Waarom fixt u een critiek lek in Windows 10 1809 niet?

Het gaat niet om leveranciers maar om aanbieders van informatiesystemen, die dus veelal gebruik maken van spullen
van leveranciers waar updates voor zijn, maar er regelmatig voor kiezen om die updates niet te installeren.
(omdat ze het niet wisten, omdat ze er geen tijd voor hadden, omdat het toch goed werkte, omdat ze het eerst intern
wilden testen, omdat de update een reboot vereiste en 100% uptime heilig is, dat soort redenen)

DAAR wil men nu wat aan doen. Dus updates moet je installeren en anders met de billen bloot met je uitleg, zodat de
buitenwereld hun conclusies kan trekken over bijvoorbeeld de waarde die je hecht aan hun data.
29-06-2020, 15:41 door SPer
Geldt dat ook voor zero-days die de inlichtingendiensten het liefst voor eigen gebruik onder de pet houden ?
29-06-2020, 19:14 door Anoniem
Maar soms kan het ook helemaal niet.
In de industrie waar dat ene proces alleen maar lekker kan draaien op Windows ME software.
De man die het ingeklopt heeft, is niet langer beschikbaar om het te upgraden.

Hoe lang draaiden kassa's van het vmlg. grootwinkelbedrijf met de twee letters nog op XP softe waar?

Maar er is nog een wereld buiten ons land, met invloed op ons land, continent e.d.

Hoe krijg je iets veilig in een land, waar het niet veiliger kan wegens importbeperkingen? Iran bijvoorbeeld.
Wat doe je met die onveilige Mikrotik server in Moskou?
Wat doe je met de onveiligheid vanwege een overal dominant besturingssysteem
en daardoor kwetbare infrastructuur in het Rijk van het Midden of andere BRICS-landen.
We voelen met u mee, maar voor ons komt het beter uit, zo. Divide et Impera.

Het Internet is het Internet en blijft het Internet, all around the globe.
Dat lekken verhelpen gaat hem dus niet worden. Too late, too little, too few.
Had dat maar een paar decennia eerder bedacht dan.

Voorlopig gaat het op de lange baan, omdat het niet haalbaar is.

#sockpuppet
29-06-2020, 19:15 door Anoniem
Door Anoniem: Dan moet de overheid er dan ook wel optijd bij zijn met de juiste informatie.
Maar een goed punt. Wil je leveren aan de overheid? Zorg dan dan veilig genoeg bent!

Volgens mij heb je geen idee waar je het over hebt, Google eens op het NCSC.
30-06-2020, 00:32 door burne101
Door Toje Fos: Ik wens de overheid veel succes en sterkte om dit gedaan te krijgen bij leveranciers met een eigen en mogelijk afwijkende agenda.

Ik hoor graag wat je voor verbeterpunten hebt als het over bijvoorbeeld rijksoverheid.nl gaat.

Ik ben helemaal niet bang voor Grabbelhaus en z'n rare plannetjes.
30-06-2020, 06:22 door Anoniem
Door burne101:
Door Toje Fos: Ik wens de overheid veel succes en sterkte om dit gedaan te krijgen bij leveranciers met een eigen en mogelijk afwijkende agenda.

Ik hoor graag wat je voor verbeterpunten hebt als het over bijvoorbeeld rijksoverheid.nl gaat.

Ik ben helemaal niet bang voor Grabbelhaus en z'n rare plannetjes.

Het NCSC zou geen deel moeten vormen van J&V, maar van Defensie! Bijna alle statelijke-actoren gerelateerde zaken vallen onder J&V, maar behoort logischerwijs onder Defensie. Dit geeft grote verwarring bij security-specialisten.
30-06-2020, 14:37 door burne101
Door Anoniem:
Het NCSC zou geen deel moeten vormen van J&V, maar van Defensie! Bijna alle statelijke-actoren gerelateerde zaken vallen onder J&V, maar behoort logischerwijs onder Defensie. Dit geeft grote verwarring bij security-specialisten.

Want dat doen andere landen ook zo? Ik zat net wat security bulletins van de FBI te lezen. FBI, valt onder het Amerikaanse departement van Justitie, net zoals in Nederland.
01-07-2020, 10:50 door Anoniem
Goed initiatief denk ik. Maar dan zijn er wel een paar voorwaarden die ingevuld dienen te worden. Ten eerste moet een aanbieder van vitale diensten weten waar ze kwetsbaar zijn. En aangezien er een chronisch tekort aan geld, gekwalificeerd personeel en bewustzijn op management nivo is zal dit nogal een uitdaging zijn. Het niet weten van kwetsbaarheden geeft een soort "veilig gevoel" wat we wisten het tenslotte niet. Weten waar je kwetsbaar bent, wat de impact van deze kwetsbaarheden is op je dienstverlening mocht er een cyber incident plaatsvinden (wat meer een kwestie van tijd is) zorgt er vervolgens voor dat je deze MOET oplossen. Ze zijn tenslotte geconstateerd, gedocumenteerd en dus bekend. Een jaarlijkse audit is hier verre van afdoende, IT heeft 1 kenmerk, het verandert zeer frequent. Dus de mogelijk om zeer frequent de kwetsbaarheden te testen is een must om om hier aan te kunnen voldoen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.