image

Minister maakt excuses voor delen van foto met deel pincode EU-overleg

woensdag 25 november 2020, 09:29 door Redactie, 24 reacties

Minister Bijleveld van Defensie heeft excuses gemaakt voor een foto die vorige week via haar Twitteraccount werd gedeeld en de url en een deel van de pincode bevatte waarmee iedereen op internet toegang tot een EU-defensieoverleg kon krijgen. De minister maakte de foto zelf, die vervolgens door één van haar medewerkers via Twitter werd gedeeld. Een oplettende Twitteraar ontdekte de gegevens in de adresbalk die op de foto zichtbaar waren en tipte RTL Nieuws, waarna een journalist van het medium toegang tot het overleg wist te krijgen.

Tijdens het vragenuur in de Tweede Kamer vroeg D66-Kamerlid Kees Verhoeven de minister om opheldering. "De vraag is natuurlijk hoe dit heeft kunnen gebeuren. Ik stel die vraag ook in het licht van de grote cyber- en data-ambities van het ministerie. Defensie droomde laatst hardop over het op afstand stopzetten van auto's en vorige week bleken ze een hele data-unit te bouwen om burgers te monitoren. We zien het vaker: vergaande hightech, vergaande bigdataplannen, maar intussen de basale maatregelen niet op orde hebben", aldus Verhoeven.

Het D66-Kamerlid noemde als voorbeeld dat minister Kamp van Economische Zaken in 2016 staatsgeheimen via Gmail verstuurde en de Rekenkamer onlangs nog concludeerde dat de staatsgeheimen van Buitenlandse Zaken slecht beveiligd waren. "Gaat het kabinet dan ook serieuze stappen zetten om de cyberveiligheid te verbeteren? Komt er meer budget? Gaan we het bewustzijn vergroten? Komen er trainingen voor minister die meedoen aan digitale vergaderingen?", vroeg Verhoeven verder.

"Ik kan gewoon antwoorden dat het echt gewoon stom was wat er is gebeurd, in de zin van dat doordat de inloggegevens voor een deel getwitterd zijn, een journalist heel makkelijk in deze vergadering kon komen. Dat is gewoon een slordige fout. Daar ben ik het totaal mee eens", antwoordde minister Bijleveld, die haar excuses maakte.

Volgens de minister zou de EU eigenlijk veel meer via beveiligde netwerken moeten vergaderen. Nederland heeft zelfs hulp aangeboden om dit te realiseren, merkte de minister op. Een cursus voor ministers die aan online vergaderingen deelnemen ziet ze echter niet zitten. "Geen enkel misverstand hierover: dit is een stomme fout en het had niet mogen gebeuren. Daarvoor zijn excuses gemaakt. Mij is helemaal duidelijk hoe het in elkaar zit, dus daar hoeft geen extra cursus voor te komen."

Bijleveld zal de EU nogmaals aanspreken om veiliger te gaan vergaderen. "Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel. Maar zoals u weet, is Europa daar natuurlijk zelf voor verantwoordelijk. Wij zullen dit punt, ook naar aanleiding van uw inbreng, nóg weer een keer inbrengen, maar ik had dat dus in mijn eigen inbreng ook al gedaan."

Reacties (24)
25-11-2020, 10:12 door Anoniem
Begrijp ik nou dat ze haar ontslagbrief heeft ingediend?
25-11-2020, 10:19 door Anoniem
"De vraag is natuurlijk hoe dit heeft kunnen gebeuren. Ik stel die vraag ook in het licht van de grote cyber- en data-ambities van het ministerie. ... We zien het vaker: vergaande hightech, vergaande bigdataplannen, maar intussen de basale maatregelen niet op orde hebben", aldus Verhoeven.

Kop, spijker, raak!

Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.

Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
25-11-2020, 10:40 door Anoniem
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!
25-11-2020, 11:01 door Anoniem
Een minderbegaafde op een miniter post
25-11-2020, 11:11 door Anoniem
Het is natuurlijk ook van de gekke dat dat systeem zo brak in elkaar zit dat de toegangscode prominent in de URL staat
en in beeld blijft staan gedurende die hele vergadering. Dat kan best beter.
Als je inlogt op een systeem komt er toch ook geen balkje boven in beeld met je usernaam en wachtwoord???
25-11-2020, 11:23 door Anoniem
Een ongelukje zit in een klein hoekje, kan gebeuren.

Maar hier een stukje gratis consultancy met twee lessen voor Mevr. Bijleveld:

1. Compartimentering is een belangrijk element. De schade bleef hier beperkt doordat de code voor één meeting, in één portefeuille was. Stel je voor dat, zoals de overheid nogal eens burgers verplicht, de code geldig was geweest voor alle authenticatie? Dan is de schade niet te overzien. Compartimenteren.

2. Evenzo onderstreept dit het belang van fail-safe. Goed, de pincode lag op straat. Dat is ernstig. Nieuwe code afspreken en in ieder geval is het lek weer gedicht. Maar authenticatiemiddelen waar dat niet bij kan zijn per definitie niet fail-safe en dus onprofessioneel voor alles wat ook maar een enigszins kritisch belang heeft.
25-11-2020, 12:17 door Anoniem
EN dan nog natuurlijk:
3. Smartphones verbieden in de ruimte tijdens dit soort overleggen.
Want het gaat niet alleen dat mensen domme fouten maken, de smartphones zelf zijn natuurlijk ook een groot lekrisico door alle gaten in de beveiliging van de smartphones zelf (ongezien microfoons/camera's kunnen inschakelen, etc.)
25-11-2020, 12:20 door Anoniem
Door Anoniem:
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!
Als iemand nodeloos het woordje "eigenlijk" in de zin gebruikt, dan moet je oppassen (zo is mijn ervaring).
25-11-2020, 12:32 door Anoniem
Door Anoniem:
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.

Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Maar zo werkt het nergens hoor. Het bevel moet altijd van bovenaf komen, en zeker niet van onderaf.
25-11-2020, 12:57 door Anoniem
Door Anoniem:
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!

Dat levert helemaal niks op in het scenario wat hier van toepassing was!
Een eigen gesloten VPN waarvan de URL's niet werken op het open internet dat had het wel opgelost in dit geval.
Uiteraard zitten daar weer andere problemen aan.
25-11-2020, 13:01 door Anoniem
Door Anoniem:
Door Anoniem:
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.

Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Maar zo werkt het nergens hoor. Het bevel moet altijd van bovenaf komen, en zeker niet van onderaf.

Klopt wat je daar schrijft, en zo blijft het niveau buitengewoon laag.

En de Amerikanen en Russen liggen rollebollend onder de tafel van het lachen. Wat een niveau!
25-11-2020, 13:29 door Anoniem
Door Anoniem: Een ongelukje zit in een klein hoekje, kan gebeuren.

Maar hier een stukje gratis consultancy met twee lessen voor Mevr. Bijleveld:

1. Compartimentering is een belangrijk element. De schade bleef hier beperkt doordat de code voor één meeting, in één portefeuille was. Stel je voor dat, zoals de overheid nogal eens burgers verplicht, de code geldig was geweest voor alle authenticatie? Dan is de schade niet te overzien. Compartimenteren.

2. Evenzo onderstreept dit het belang van fail-safe. Goed, de pincode lag op straat. Dat is ernstig. Nieuwe code afspreken en in ieder geval is het lek weer gedicht. Maar authenticatiemiddelen waar dat niet bij kan zijn per definitie niet fail-safe en dus onprofessioneel voor alles wat ook maar een enigszins kritisch belang heeft.

Hoewel buiten de scope van dit onderwerp, geldt het tweede punt als ik het goed begrijp ook bij identificatie m.b.v. het social security number. Je burgerservice nummer kan ook niet veranderd worden. Dat is toch net zo'n foute boel? Of werkt dit anders?
25-11-2020, 13:37 door Anoniem
Volgens de minister zou de EU eigenlijk veel meer via beveiligde netwerken moeten vergaderen.
Bijleveld zal de EU nogmaals aanspreken om veiliger te gaan vergaderen. "Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel. Maar zoals u weet, is Europa daar natuurlijk zelf voor verantwoordelijk.

Alleen de EU?

En waarom niet zoiets simpels als een 2fa aan de vergadering of de tool koppelen, met een one-time password.
Dan kan de pincode van de vergadering nog zo op straat liggen. Zonder die extra code, kom je er niet in.

Kijk naar de verschillende commerciele vergader-oplossingen die er nu zijn (Teams, Zoom, Whatsapp, etc). Allemaal ondersteunen ze vormen van 2fa. En ze tonen geen url in de balk.


[/quote]Een cursus voor ministers die aan online vergaderingen deelnemen ziet ze echter niet zitten. "Geen enkel misverstand hierover: dit is een stomme fout en het had niet mogen gebeuren. Mij is helemaal duidelijk hoe het in elkaar zit, dus daar hoeft geen extra cursus voor te komen." [/quote]
Blijkbaar is het wel nodig, anders was deze domme fout niet gebeurd.
En het toont aan hoe politici omgaan met hun telefoons en twitter accounts.

Als je via een computer aan het vergaderen bent, heb je dat ding niet nodig.
Dus automatisch op afstand uitzetten en pas weer toestaan dat hij start na de vergadering?
Ontneem de minister die verantwoordelijkeid maar.

Mensen kunnen niet multi-tasken.
Ook vrouwen niet.
25-11-2020, 13:54 door Anoniem
Zoom gebruiken voor een geheim overleg hoe veel dommer kan het nog worden... (wel los van een pincode gebruiken en 75% ervan in een online post zetten)

Geen beveiligde lijnen als excuus? Niet te geloven met wat voor digibeten we te maken hebben op een vitale sector in de top dat is.


Bouw een simpele VOIP oplossing met audio en beeld. Geen chat geen caching geen gebruiker opties what so ever op een volume en mute button na en geen update mogelijkheid van enige gegevens door de gebruiker.

Geef ieder vervolgens een toegang via readonly syteem, hardware dat gecontroleerd is tegen tampering en beveiligd is ertegen zo ver mogelijk.
Laat alles via VPN tunnel verlopen zet dan vervolgens er een firewall tussen block alle IP's standaard en laat enkel IP's in combinatie met Macaddressen door die toegang zouden mogen krijgen in een specifiek tijdslot en monitor dit geheel in een Joint SOC. Klaar basis beveiliging.

Dan nog MFA erin en een encryptie sleutel per connectie met ieder een eigen unieke inlog url die eenmalig te gebruiken is en niet gedeeld wordt buiten de leverancier en de ontvanger en voila beveiligde verbinding voor zover mogelijk.

Het ergste van dit geheel de meeste componenten voor beveiligd netwerk hebben ze al!
25-11-2020, 14:19 door Anoniem
Door Anoniem:
Door Anoniem:
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!

Dat levert helemaal niks op in het scenario wat hier van toepassing was!
Een eigen gesloten VPN waarvan de URL's niet werken op het open internet dat had het wel opgelost in dit geval.
Uiteraard zitten daar weer andere problemen aan.

De laatste keer dat ik Tor gebruikte kon ik gewoon daarover video kijken.

En je komt zelf met een alternatief aan waarvan je zelf aangeeft dat daar andere problemen mee zijn.

Do not feed the trolls, hoor ik mijzelf zeggen.
25-11-2020, 15:08 door Anoniem
Door Anoniem:
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!

Video conferencing via TOR, weet je wel waarover je het hebt, bandbreedte / latency?
Als je bovendien denkt dat TOR synoniem is met veiligheid dan heb je het ook mis.
25-11-2020, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
"Er zijn op dit moment namelijk eigenlijk geen secure lijnen om te vergaderen, en dat moet eigenlijk wel."

Die zijn er wel: https://www.torproject.org

In ieder geval beter dan de huidige situatie.

Amateurs!

Video conferencing via TOR, weet je wel waarover je het hebt, bandbreedte / latency?
Als je bovendien denkt dat TOR synoniem is met veiligheid dan heb je het ook mis.

Je hoeft niet gebruik te maken van het bestaande tor-netwerk. Je kunt toch je eigen directory-servers en tor-netwerk bouwen tussen de EU-organisaties. Het is gewoon een goede tool.

De tools bestaan al, nu nog de wil!
25-11-2020, 17:58 door Anoniem
Door Anoniem: Begrijp ik nou dat ze haar ontslagbrief heeft ingediend?
Nee joh, anders moet de volgende minister dezelfde fout weer maken.
25-11-2020, 18:01 door Anoniem
Door Anoniem: Het is natuurlijk ook van de gekke dat dat systeem zo brak in elkaar zit dat de toegangscode prominent in de URL staat en in beeld blijft staan gedurende die hele vergadering.
Niet de 1e keer dat zoiets gebeurt. Een PM in de UK heeft dat al eerder laten zien bij een andere vergadering :)
25-11-2020, 18:05 door Anoniem
Door Anoniem: Maar authenticatiemiddelen waar dat niet bij kan zijn per definitie niet fail-safe en dus onprofessioneel voor alles wat ook maar een enigszins kritisch belang heeft.
Heb je het nu over een BSN wat geen authenticatie middel is, maar vaak zo gezien wordt?
25-11-2020, 21:19 door Anoniem
Door Anoniem:
Door Anoniem:
Zelf in die omgeving gestaan en uitgesproken om het ICT-netwerk te verbeteren. Wat denk je? Ik mocht een afspraak maken met een secretaresse en na diverse pogingen gebeurde er uiteindelijk niets.

Bij Defensie is er gewoon geen ambitie, het is een papieren tijger.
Maar zo werkt het nergens hoor. Het bevel moet altijd van bovenaf komen, en zeker niet van onderaf.

En wat als van onder wordt geroepen dat de organisatie niet functioneert? Dan wordt het kop in het zand, struisvogel politiek! Maar daarmee kom je niet mee vooruit!

Parels voor de zwijnen, letterlijk en figuurlijk.
26-11-2020, 08:09 door Anoniem
Door Anoniem: Begrijp ik nou dat ze haar ontslagbrief heeft ingediend?
Via Twitter?
Kan ze samen met Trump verder :-)
26-11-2020, 22:59 door Anoniem
Door Anoniem: Zoom gebruiken voor een geheim overleg hoe veel dommer kan het nog worden... (wel los van een pincode gebruiken en 75% ervan in een online post zetten)

Geen beveiligde lijnen als excuus? Niet te geloven met wat voor digibeten we te maken hebben op een vitale sector in de top dat is.


Bouw een simpele VOIP oplossing met audio en beeld. Geen chat geen caching geen gebruiker opties what so ever op een volume en mute button na en geen update mogelijkheid van enige gegevens door de gebruiker.

Geef ieder vervolgens een toegang via readonly syteem, hardware dat gecontroleerd is tegen tampering en beveiligd is ertegen zo ver mogelijk.
Laat alles via VPN tunnel verlopen zet dan vervolgens er een firewall tussen block alle IP's standaard en laat enkel IP's in combinatie met Macaddressen door die toegang zouden mogen krijgen in een specifiek tijdslot en monitor dit geheel in een Joint SOC. Klaar basis beveiliging.

Dan nog MFA erin en een encryptie sleutel per connectie met ieder een eigen unieke inlog url die eenmalig te gebruiken is en niet gedeeld wordt buiten de leverancier en de ontvanger en voila beveiligde verbinding voor zover mogelijk.

Het ergste van dit geheel de meeste componenten voor beveiligd netwerk hebben ze al!

Kijk jij snapt het .... het is echt onbegrijpelijk die digibeten ..... 10 jaar geleden deden wij het al veiliger dan die malloten daar...... overheid = ict faal .... steeds maar weer (maar ja het is ons geld wat daar verkwanselt word dus ach who cares)
27-11-2020, 09:43 door Nova
Ach, zo kunnen we tenminste ook eenvoudig kijken of ze allemaal wel present zijn ;-)
Ze blijven dit doen, omdat beveiliging het blijkbaar niet wint en het hun aandacht zeker niet heeft.

Wens jullie een fijne dag en alvast een goed weekend!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.