image

FD: overheid gaat providers waarschuwen voor kwetsbaarheden

maandag 5 oktober 2020, 10:46 door Redactie, 9 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie gaat internetproviders waarschuwen voor kwetsbaarheden in hun netwerken en systemen, zo laat het Financieele Dagblad vandaag weten. Op dit moment informeert het NCSC vitale aanbieders, zoals banken en energiebedrijven, en onderdelen van het Rijk.

Onlangs werden er nog vragen gesteld of het NCSC niet meer organisaties actief voor kwetsbaarheden zou moeten waarschuwen. Aanleiding waren Nederlandse bedrijven die nagelaten hadden hun Pulse Secure vpn-servers te patchen en zodoende kwetsbaar waren. Een Nederlandse beveiligingsonderzoeker liet weten dat hij het NCSC een lijst met namen van deze bedrijven had gestuurd.

De melding werd echter niet naar deze ondernemingen doorgezet, zo stelde de onderzoeker. Het NCSC heeft als wettelijke taak om alleen vitale aanbieders en onderdelen van het Rijk bij te staan. Daarnaast waarschuwt het bedrijven en andere organisaties via de eigen website voor kwetsbaarheden in veel gebruikte applicaties en platformen.

Nu zal het NCSC ook providers gaan informeren, aldus NBIP, de Nationale Beheersorganisatie Internetproviders. Meldingen zullen via een apart systeem worden verwerkt. Dit systeem, mede ontwikkeld door de TU Delft, verzamelt op automatische wijze allerlei informatie uit verschillende bronnen en vat dit samen. Dit systeem moet later dit jaar operationeel worden.

Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders. "Ik denk wel eens: laat het Nationaal Cyber Security Centrum voor de vitale sectoren zorgen, dan zorgen wij voor de rest van Nederland", zegt Octavia de Weerdt, directeur van NBIP.

Reacties (9)
05-10-2020, 10:54 door Anoniem
"Ik denk wel eens: laat het Nationaal Cyber Security Centrum voor de vitale sectoren zorgen, dan zorgen wij voor de rest van Nederland", zegt Octavia de Weerdt, directeur van NBIP.

Die taak zou primair door het NCSC uitgevoerd moeten worden. Iets wat de politiek nog niet doorheeft...
05-10-2020, 11:43 door [Account Verwijderd] - Bijgewerkt: 05-10-2020, 11:57
Een van de koppen van de Hydra (overheid) is zich weinig bewust van wat de andere(n) doen.
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app

(1):

"... Alles is te kraken. Zorg dus altijd voor zo veel mogelijk niets!"...

p.s. Deze quote is niet van mij.
05-10-2020, 12:09 door Anoniem
Zelf heb ik gewerkt bij J&V. Toen ik opmerkte dat het ICT-netwerk daar zo lek is als een mandje, 'mocht ik een afspraak maken met een secretaresse'; er werd hier geen vervolg aan gegeven.

Bestuurlijke spelletjes, yuck!
05-10-2020, 12:45 door Anoniem
Door Anoniem: "Ik denk wel eens: laat het Nationaal Cyber Security Centrum voor de vitale sectoren zorgen, dan zorgen wij voor de rest van Nederland", zegt Octavia de Weerdt, directeur van NBIP.

Die taak zou primair door het NCSC uitgevoerd moeten worden. Iets wat de politiek nog niet doorheeft...
Ligt aan wat je bedoeld met: 'zorgen voor...'.

Beste vergelijking is de brandweer. Een gebouweigenaar is verantwoordelijk voor de brandveiligheid. Heb je vragen of advies nodig, dan kan een preventiemedewerker van de brandweer advies geven. Let wel, die preventiemedewerker van de brandweer is geen consultant die hele plannen gaat maken. Daar moet je als bedrijf expertise voor inhuren als je dat nodig hebt.
05-10-2020, 13:27 door Anoniem
Toch bizar dat commerciële bedrijven zoals ISP's met een core-functie in de netwerk wereld dan nota bene de overheid nodig heeft om kwetsbaarheden te detecteren.

Je zou bijna denken dat bij een ISP de beveiliging van hun netwerk en zeker van hun klanten een lage prioriteit heeft - in ieder geval lager dan winstmaximalisatie.

De Zwaluw
05-10-2020, 13:32 door Anoniem
Door Piet Slagwerker: Een van de koppen van de Hydra (overheid) is zich weinig bewust van wat de andere(n) doen.
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app

(1):

"... Alles is te kraken. Zorg dus altijd voor zo veel mogelijk niets!"...

p.s. Deze quote is niet van mij.
Dat jij suggereert, dat de DigiD app brak is, wil niet zeggen, dat die brak is. Kom eerst eens met het bewijs van die brakheid en dan bedoel ik niet iets van iedereen weet het!
05-10-2020, 13:42 door Anoniem
Juist, wat geen geld gaat opleveren voor de toko in kwestie, dus veiligheid voor de rest van de wereld,
heeft dus geen of zeer lage prioriteit. Dat gaat men dus niet implementeren,
want daar gaat men geen geld achteraan gooien.

Heeft iemand al wel eens een inventarisatie gedaan naar het voorkomen van kwetsbaarheden van spdy module op NGINX, naar var/log/nginx, naar kwetsbaar PHP 7 op NGINX met php-fpm enabled. Dat zijn hoofd aanvalsvectoren heden ten dage.
Dit even als voorbeeldje en er draait veel op NGINX in dit landje.

Kijk eens via shodan etc. en je schrikt. "X-Info: Served by nginx [php-fpm]", ja ook in Amsterdam, die grote stad. (iron.).

Zet er eens een stel ongelofelijke spitse beta-research zeikerds op. Dat zijn de beste,
Laat hen die toko's scannen van voor naar achter en van boven naar onder.

Kom daarna dan met een rapport en procedure van aanpak. Die abbo's zullen daarna wel duurder worden,
maar dat worden ze toch al wel met of zonder voldoende achterliggende best policy veiligheid.

luntrus
05-10-2020, 16:21 door [Account Verwijderd] - Bijgewerkt: 05-10-2020, 16:22
Door Anoniem:
Door Piet Slagwerker: Een van de koppen van de Hydra (overheid) is zich weinig bewust van wat de andere(n) doen.
Providers waarschuwen voor geconstateerde kwetsbaarheden is natuurlijk prima, maar de andere kop van de Hydra stimuleert kwetsbaarheden introduceren door op gebruik van in de basis altijd kwetsbare app's (1) actief in te zetten; gebruik van de DigiD-app te promoten. https://www.security.nl/posting/672857/Overheid+wil+inloggen+via+DigiD+met+sms-code+terugdringen+ten+gunste+van+app

(1):

"... Alles is te kraken. Zorg dus altijd voor zo veel mogelijk niets!"...

p.s. Deze quote is niet van mij.
Dat jij suggereert, dat de DigiD app brak is, wil niet zeggen, dat die brak is. Kom eerst eens met het bewijs van die brakheid en dan bedoel ik niet iets van iedereen weet het!

Ben je leesblind?

Waar exact - citeer mij letterlijk - suggereer ik dat specifiek de DigiD app brak is ?

Nergens in mijn post valt ook maar een letter, een leesteken te vinden over: brakheid van de DigiD app.
Jouw woorden. Niet die van mij. Je zuigt dat helemaal uit die hele grote dikke duim van je.

Ik geef aan dat software (of is een app soms géén software!?!) in de kern altijd kwetsbaar is en blijft. Ondiscutabel feit!
Als ik je moet gaan uitleggen dat software feitelijk één seconde na een patch alweer kwetsbaar is - ik noem dat wel eens 'zero second vulnarabilities - behoor je tot de zorgelozen en argelozen. dat mag, maar niet treuren als het misgaat. Van dat laatste staat deze site en de gehele digitale wereld bol van de feiten. Elke minuut van de dag weer; doorlopend.
08-10-2020, 16:28 door Anoniem
Heeel erg hoog tijd dat er niet alleen aan providers wordt geinformeerd, maar een actieve toezichthouder op wordt gezet die acuut de lange lat er over legt/mag leggen. Belachelijk dat providers hier al zo lang mee weg komen.

Informeren is één, maar er moet ook een stap 2 achteraan: en als je het niet fixt binnen x-tijd, betaal je gelijk een boete of ga je 10 dagen dicht. Dát werkt.
Vergelijk dit eens met het wegverkeer, een wat langer bekende infrastructuur. 'Veilig weggedrag' is het doel, maar er zijn ook duidelijke regels: hier max je 100, daar 50, daar 30 en er is een duidelijk toezicht en sanctiebeleid voor de notoire overtreders.
Als deze branche het zelf niet goed regelt, ontkom je er niet aan.
Of vergelijk het met het coronabeleid. Als de branche het zelf niet kan, moet je wat duidelijker worden: tot hier en niet verder.
Er lopen in deze branche nog steeds te veel cowboys rond.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.