image

D66 en PvdA vragen minister om structurele inzet van ethische hackers

dinsdag 15 juni 2021, 12:28 door Redactie, 15 reacties
Laatst bijgewerkt: 15-06-2021, 14:49

D66 en de PvdA hebben demissionair minister Grapperhaus van Justitie en Veiligheid gevraagd of hij structureel ethische hackers wil inzetten om naar kwetsbaarheden in digitale systemen te zoeken. Dat blijkt uit Kamervragen die Kamerleden Van Ginneken (D66) en Kathmann (PvdA) stelden naar aanleiding van berichtgeving door de Volkskrant over een inbraak op de systemen van de politie door de Russische veiligheidsdienst SVR in 2017.

"Onderzoekt de regering structureel of de digitale beveiligingsystemen op orde zijn? Zo nee, waarom niet en bent u hiertoe bereid? Zo ja, zijn er meer overheidssystemen die slecht beveiligd zijn? Zo ja, welke?", vragen beide Kamerleden aan Grapperhaus. Die willen ook van de minister weten waarom de politie niet structureel monitorde of de systemen veilig waren.

Bronnen stelden tegenover de Volkskrant dat de monitoring van systemen bij de politie niet afdoende was en de loggegevens niet in orde waren waardoor niet kon worden achterhaald waar de aanvallers toegang toe hadden gekregen. Naar aanleiding van de inbraak zijn zowel de monitoring als het Security Operations Center (SOC) onderhanden genomen.

Een aantal projecten om de beveiliging te verbeteren zou nog steeds lopen. Van Ginneken en Kathmann willen dat Grapperhaus duidelijk maakt welke beveiligingsmaatregelen nog niet zijn ingevoerd en wat de gevolgen hiervan zijn op de digitale weerbaarheid van de politie. Ook moet de minister laten weten of de belangrijkste data van de politie nu wel veilig is.

Als laatste vragen ze Grapperhaus naar de inzet van ethische hackers. "Bent u bereid om structureel ethische hackers in te zetten om te zoeken naar gaten in de digitale systemen?" De minister heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (15)
15-06-2021, 12:35 door Anoniem
“structureel ethische hackers wil inzetten om naar kwetsbaarheden in digitale systemen te zoeken“

Hoe gaat men dat vormgeven?

Een Hackaton, gratis schirts zijn een leuk idee maar liever zie ik een behoorlijke bounty belasting vrij voorbij komen.
15-06-2021, 13:03 door Anoniem
Het begint er echt op te lijken dat de kamerleden zijn begonnen aan de moeilijke cyberwoorden die het lekker doen in vragen. Kan het antwoord wel bedenken (kunnen ze zelf ook):

1. Het is niet onze verantwoordelijkheid, geen mandaat of iets anders juridisch om het niet te hoeven doen
2. Het is niet vitaal (bijvoorbeeld deze)
3. Het zijn niet onze systemen
4. het zijn te veel systemen
5. we weten niet hoeveel systemen en dat weten de eigenaren ook niet
6. we kunnen ook niet weten hoeveel systemen slecht beveiligd zijn
15-06-2021, 13:08 door Anoniem
maar dan geen 'red team' want dat zouden communisten kunnen zijn :-)
15-06-2021, 13:34 door Anoniem
De structurele inzet van ethische hackers is nog steeds geen structureel onderzoek of de digitale overheidssystemen op orde zijn. Dat doe je dagelijks met bijvoorbeeld vulnerability management systeem dat continue naar kwetsbare systemen zoekt.
15-06-2021, 13:43 door [Account Verwijderd]
Door Anoniem: Het begint er echt op te lijken dat de kamerleden zijn begonnen aan de moeilijke cyberwoorden die het lekker doen in vragen. Kan het antwoord wel bedenken (kunnen ze zelf ook):

1. Het is niet onze verantwoordelijkheid, geen mandaat of iets anders juridisch om het niet te hoeven doen
2. Het is niet vitaal (bijvoorbeeld deze)
3. Het zijn niet onze systemen
4. het zijn te veel systemen
5. we weten niet hoeveel systemen en dat weten de eigenaren ook niet
6. we kunnen ook niet weten hoeveel systemen slecht beveiligd zijn

Kamerleden worden niet geacht een specialisme, in dit geval IT, te beheersen.

Net zo min als jij wordt geacht gespecialiseerde kennis van intensieve veehouderij te hebben om vraagtekens te zetten bij de 'kiloknallers' varkensbillen hoeft een Kamerlid ook geen opleiding tot veehouder te hebben gevolgd om vragen te kunnen stellen over het dierenwelzijn in de veehouderij.

Helder?
15-06-2021, 14:02 door Anoniem
Denk eerder dat deze partijen het woord ethiek moeten opzoeken en moeten reflecteren op hun eigen organisatie.
15-06-2021, 15:54 door Anoniem
Geen ethisch gehack maar gehakt maken van de instandhouders van onveiligheid.

Men kan beter inzetten op het afdwingen van een veiliger infrastructuur. Dus echt https-only over de hele linie en bij downgrade mogelijkheden tot http na waarschuwing een boete uitdelen. Header security verplicht stellen, CPU policies verplichten. Code libraries up to date houden en kwetsbare plug-ins patchen of anders ook een forse boete.

Men moet de CEO, die security als een "last resort issue of sluitpost op de begroting" waardeert, daarop afrekenen en niet nog eens belonen, zoals in gevallen dat degene die deze onveilige situatie aankaart nog eerder het veld moet ruimen.

Voor een dubbeltje op de eerste rang willen zitten of onveiligheid willen gedogen, omdat het en geld en betere surveillance- en/of controle-mogelijkheden oplevert, niet langer gedogen. Veilig online of anders onveilig maar helemaal offline, dat moet het mantra worden.

We weten dat Google met mitsen en maren zal komen, alsmede de softwaremakers van Billy the Gates of Hell, maar dat zij dan maar zo. Zo niet, komt er eerdaags een super cyberattack en ligt alles er voor langere tijd uit en is de ramp voor de economie en de eindgebruikers niet meer te overzien.

#sockpuppet
15-06-2021, 16:00 door Anoniem
Door Anoniem: Denk eerder dat deze partijen het woord ethiek moeten opzoeken en moeten reflecteren op hun eigen organisatie.
En daarmee vind jij het stellen van vragen aan de minister over dit onderwerp
- overbodig?
- belastingverspilling?
- zinloos want de hoge heren in den haag denken toch alleen maar aan hun eigen portemonnee?
- weet niet geen mening
15-06-2021, 16:33 door Anoniem
De ambitie is er gewoon niet om de boel dicht te timmeren.
15-06-2021, 17:05 door Anoniem
Door Anoniem: Denk eerder dat deze partijen het woord ethiek moeten opzoeken en moeten reflecteren op hun eigen organisatie.

De wijsheid is niet groter dan het verstand waar het doorheen moet.
15-06-2021, 17:09 door Anoniem
L.S.,

Zo lang het zo weinig mensen in feite echt interesseert, zal er wel niet snel van een verbeterde toestand sprake zijn.
De ongeinteresseerde massa bedraagt steeds zo'n 60%. Dat zijn de mensen, die niet op- of omkijken, 20% voor- en 20% tegenstanders bevinden zich aan weerszijden van het spectrum. De juiste 20% zorgt voor de beweging als ze genoeg meebewegenden krijgen. Als grote belanghebbenden zorgen, dat de 60% dom en inert blijven zitten klikken naar alles dat beweegt, hebben ze niets te vrezen, de voortgezette onveilige toestand brengt immers toch miljarden op en de gevolgen van de hacks komen voorlopig niet op hun bordjes maar op de bordjes van de dumbed-down terecht. Snijdt het mes toch steeds weer aan twee kanten voor de de eigen worst keurende slagers. ;) Men dronk vervolgens een glas, deed een plas en alles bleef zoals het was. De Minister Grapperhaus heeft met dat laatste vast expertise.

Ik zie de ontwrichting op de digitale infrastructuur slechts toenemen. Meer van hetzelfde, steeds grotere hacks met steeds meer impact. Het inzetten van truukjes als een cyrillisch toetsenbordje ergens onder te hangen om ransomware artiesten tegen te gaan is effectief, maar gemodder in de marge. Ik heb wel eens het vreemde idee, dat de autoriteiten dat hele Internet niet veiliger willen om wat voor reden dan ook. (En wat men in St. Petersburg denkt, voorlopig aan EU-voetbal).

En dat men straks ook op Internet weer wil gaan 'build back better-en'? Of ben ik dat nu alleen maar, die steeds denkt dat er niets bij toeval gebeurt op deze planeet en men het er misschien wel eens om zou kunnen doen. Zulk soort denkers worden vaak snel afgeserveerd als conspiracy-figuur, wereldvreemde 'alu-wap' en zo. Tot de geschiedenis ze achteraf gelijk moet gaan geven, hetgeen echter nooit zal gebeuren. Soms neemt de periode van gebeuren, aanvankelijke verklaring en het latere rechtgezette verhaal een periode van 75, 80 tot 100 jaar in beslag, zodat niemand van de direct verantwoordelijken er nog toe doen kunnen. Meestal echter vergeet men de aan te brengen correcties en blijft volgens Keizer Napoleon de geschiedenis een aaneengeregen partij leugens, waar alle partijen het over eens konden worden. Toch krijgt de man nog overal en niet alleen in Frankrijk de schuld van (denk aan de City of London, juist bij Trafalgar Square, kon er net nog voor de eerste golf uitbrak heen, the centre of our world(s).

Als is de onethische hacker nog zo snel, de ethische achterhaalt hem/haar wel. Maar het duurt soms wel best lang, want leugens hebben korte beentjes. We zullen wel zien wat de toekomst ons brengen zal.

#sockpuppet
15-06-2021, 17:16 door Anoniem
Door Anoniem: Geen ethisch gehack maar gehakt maken van de instandhouders van onveiligheid.

Men kan beter inzetten op het afdwingen van een veiliger infrastructuur. Dus echt https-only over de hele linie en bij downgrade mogelijkheden tot http na waarschuwing een boete uitdelen. Header security verplicht stellen, CPU policies verplichten. Code libraries up to date houden en kwetsbare plug-ins patchen of anders ook een forse boete.

Men moet de CEO, die security als een "last resort issue of sluitpost op de begroting" waardeert, daarop afrekenen en niet nog eens belonen, zoals in gevallen dat degene die deze onveilige situatie aankaart nog eerder het veld moet ruimen.

Voor een dubbeltje op de eerste rang willen zitten of onveiligheid willen gedogen, omdat het en geld en betere surveillance- en/of controle-mogelijkheden oplevert, niet langer gedogen. Veilig online of anders onveilig maar helemaal offline, dat moet het mantra worden.

We weten dat Google met mitsen en maren zal komen, alsmede de softwaremakers van Billy the Gates of Hell, maar dat zij dan maar zo. Zo niet, komt er eerdaags een super cyberattack en ligt alles er voor langere tijd uit en is de ramp voor de economie en de eindgebruikers niet meer te overzien.

#sockpuppet
Toch knap, dat je bij elk artikel, waar het maar over gaat, toch weer een sneer denkt te moeten geven richting Google en MS, terwijl Bill Gates er allang niet meer de scepter zwaait. Dat is waarschijnlijk aan jou voorbij gegaan!
15-06-2021, 18:02 door Anoniem
Bill Gates is nu slijter van iets anders. MS en Google bepalen nu eenmaal, ook in dit geval. Ik merk in ieder geval aan je reactie waar je gevoeligheden liggen. Steeds meer influencers online op allerlei forums de laatste tijd. Hoe komt dat toch? Kleuren er soms te veel mensen iets buiten de lijntjes waar binnen men acht te blijven kleuren? Jammer dan. Google is niet alleen om sneren te ontvangen. VT, https-only, code check resources. Klasse. Echt. Zou dat niet willen missen. FLoC echter om ten zeerste af te keuren. Don't be evil heette dat vroeger.
#sockpuppet
15-06-2021, 20:54 door Anoniem
Door Anoniem:
Door Anoniem: Geen ethisch gehack maar gehakt maken van de instandhouders van onveiligheid.

Men kan beter inzetten op het afdwingen van een veiliger infrastructuur. Dus echt https-only over de hele linie en bij downgrade mogelijkheden tot http na waarschuwing een boete uitdelen. Header security verplicht stellen, CPU policies verplichten. Code libraries up to date houden en kwetsbare plug-ins patchen of anders ook een forse boete.

Men moet de CEO, die security als een "last resort issue of sluitpost op de begroting" waardeert, daarop afrekenen en niet nog eens belonen, zoals in gevallen dat degene die deze onveilige situatie aankaart nog eerder het veld moet ruimen.

Voor een dubbeltje op de eerste rang willen zitten of onveiligheid willen gedogen, omdat het en geld en betere surveillance- en/of controle-mogelijkheden oplevert, niet langer gedogen. Veilig online of anders onveilig maar helemaal offline, dat moet het mantra worden.

We weten dat Google met mitsen en maren zal komen, alsmede de softwaremakers van Billy the Gates of Hell, maar dat zij dan maar zo. Zo niet, komt er eerdaags een super cyberattack en ligt alles er voor langere tijd uit en is de ramp voor de economie en de eindgebruikers niet meer te overzien.

#sockpuppet
Toch knap, dat je bij elk artikel, waar het maar over gaat, toch weer een sneer denkt te moeten geven richting Google en MS, terwijl Bill Gates er allang niet meer de scepter zwaait. Dat is waarschijnlijk aan jou voorbij gegaan!

Afgezien van de sneer naar Microsoft heeft anoniem 14:45 wel een punt.

Veilige infrastructuur is wel degelijk te maken. Dan moet je bereid zijn daarvoor de consequenties te nemen. We (mensheid) hebben al eerder belangrijke verbeteringen laten zien.
ooit:
- was het onveilig om te reizen: regelgeving over wegen, vervoersmiddelen, gedrag
- konden we niet goed meer ademhalen: milieuwetgeving (die zich ook nu nog ontwikkelt)
- was gezondheid een probleem: handen wassen, riolering, etc.

Nu (hier) is informatieveiligheid het onderwerp.
Er is niet 1 enkel dingetje dat je kan doen om informatieveiligheid te bereiken. Dat kan alleen met een set aan international toegepaste maatregelen. Die zullen verschillende verdienmodellen van grootverdieners negatief beinvloeden (net als ooit de luchtvervuiling). Dus kan informatieveiligheid alleen maar bereikt worden in een (internationaal) wettelijk kader met daarin aansprakelijkheden en sanctiemogelijkheden. Pas dan zijn de grootverdieners bereid.

Overigens: ik kan veilige infra maken, maar het ontbreekt me aan financiele middelen. Ik denk dat veel meer mensen dit best zou kunnen.
15-06-2021, 21:30 door karma4 - Bijgewerkt: 15-06-2021, 21:38
Ze kunnen beter inzetten op gedegen beheer met sevurity als basis dan via ethisvhe havkers te gaan dweilen met de kraan open.

Bronnen stelden tegenover de Volkskrant dat de monitoring van systemen bij de politie niet afdoende was en de loggegevens niet in orde waren waardoor niet kon worden achterhaald waar de aanvallers toegang toe hadden gekregen. Naar aanleiding van de inbraak zijn zowel de monitoring als het Security Operations Center (SOC) onderhanden genomen.
Typische reactie vanuit ethische hackers met onvoldoende kennis en inzicht hoe het echt zit.
Daar staat tegenover de manager en projectleider die iets voortijdig afvinkt om het kpi resultaat. Budget op, project als succes afgemeld terwijl er nog veel open staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.