image

CDA wil opheldering waarom NCSC niet naar kwetsbare systemen mag scannen

woensdag 6 oktober 2021, 15:00 door Redactie, 15 reacties

Het CDA heeft demissionair minister Grapperhaus van Justitie en Veiligheid om opheldering gevraagd waarom het Nationaal Cyber Security Centrum (NCSC) niet op internet naar kwetsbare systemen mag scannen en wat moet worden gedaan om dit alsnog te realiseren. Aanleiding voor de Kamervragen van CDA-Kamerleden Amhaouch en Palland zijn berichten dat de overheid te traag is met het delen van dreigingsinformatie en het bedrijfsleven een eigen alarmsysteem gaat opzetten.

Zo mag het NCSC op dit moment geen scans uitvoeren om te kijken welke organisaties risico lopen. Ook zou het volgens critici weken duren voordat informatie vanuit de overheid bij organisaties terechtkomt. "Deelt u de signalen vanuit de praktijk dat het Nationaal Cyber Security Centrum de urgentie en het tempo volledig onderschat en daarmee in bepaalde gevallen niet van meerwaarde lijkt te zijn? Hoe gaat u dat verbeteren?", zo vragen de Kamerleden aan de minister.

"Op welke vlakken zorgt de Algemene verordening gegevensbescherming (AVG) voor knelpunten? Welke grondslagen zijn er nodig, bijvoorbeeld in de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI), om gegevens als ip-adressen te kunnen delen?", willen Amhaouch en Palland verder weten. Grapperhaus moet daarnaast duidelijk maken welke stappen er worden gezet om het NCSC meer mogelijkheden te geven wanneer het gaat om niet-vitale onderdelen in de samenleving.

De minister moet tevens laten weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden. "Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?", stellen Amhaouch en Palland de vraag. Grapperhaus moet binnen drie weken met een reactie op de vragen komen.

Reacties (15)
06-10-2021, 15:10 door Anoniem
De minister moet tevens laten weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden.
Eh... omdat het MIJN systeem is en de overheid er geen moer mee te maken heeft wat ik met MIJN configuratie doe?
"Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?
Wat dacht je van gewoon 'niet?'
06-10-2021, 16:10 door Anoniem
Daar heb je geen scan voor nodig. Volgens de feiten hier op security.nl iedereen die windows gebruikt.
06-10-2021, 16:11 door Anoniem
Door Anoniem:
De minister moet tevens laten weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden.
Eh... omdat het MIJN systeem is en de overheid er geen moer mee te maken heeft wat ik met MIJN configuratie doe?
"Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?
Wat dacht je van gewoon 'niet?'

Denk alsjeblieft eerst na voordat je wat post, of post gewoon niet.
06-10-2021, 16:17 door Anoniem
Door Anoniem:
De minister moet tevens laten weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden.
Eh... omdat het MIJN systeem is en de overheid er geen moer mee te maken heeft wat ik met MIJN configuratie doe?
"Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?
Wat dacht je van gewoon 'niet?'
Wees maar niet bang. Het NCSC is op geen enkele wijze geinteresseerd in jouw systeem. Het gaat om systemen van partijen waar het NCSC wel mee te maken heeft.
06-10-2021, 16:18 door Anoniem
... dat het Nationaal Cyber Security Centrum de urgentie en het tempo volledig onderschat ...
Mijn ervaring met het NCSC is dat het geen kwestie van onderschatten is, maar een kwestie van gebrek aan mandaat. De wet moet dus anders.
06-10-2021, 16:53 door Anoniem
Door Anoniem:
... dat het Nationaal Cyber Security Centrum de urgentie en het tempo volledig onderschat ...
Mijn ervaring met het NCSC is dat het geen kwestie van onderschatten is, maar een kwestie van gebrek aan mandaat. De wet moet dus anders.
Niet alleen van mandaat, ook van budget, helemaal los van de vraag of het wenselijk is. Dat laatste is voor mij niet het geval.
06-10-2021, 18:41 door karma4
Door Anoniem: Daar heb je geen scan voor nodig. Volgens de feiten hier op security.nl iedereen die windows gebruikt.
Al die websites Linux (lamp stack) webformulier cookies sql code injectie, hard code userids-passwords met de massale no-sql databases lijkt me naats al het IOT spul (linux) een veel groter probleem dan de desktop als endpoint.
Inderdaad heb je daar geen scan voor nodig.
Kwalijker is het ontbreken van gesegmenteerde netwerken met een geteste DR strategie.
06-10-2021, 20:23 door Anoniem
Door karma4:
Door Anoniem: Daar heb je geen scan voor nodig. Volgens de feiten hier op security.nl iedereen die windows gebruikt.
Al die websites Linux (lamp stack) webformulier cookies sql code injectie, hard code userids-passwords met de massale no-sql databases lijkt me naats al het IOT spul (linux) een veel groter probleem dan de desktop als endpoint.
Inderdaad heb je daar geen scan voor nodig.
Kwalijker is het ontbreken van gesegmenteerde netwerken met een geteste DR strategie.


wat een onzin allemaal..... kijk eens naar dit: https://www.security.nl/posting/724187/Onderzoek%3A+70_000+Exchange-servers+missen+belangrijke+beveiligingsupdate
06-10-2021, 21:08 door Anoniem
Door Anoniem:
Door Anoniem:
De minister moet tevens laten weten waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden.
Eh... omdat het MIJN systeem is en de overheid er geen moer mee te maken heeft wat ik met MIJN configuratie doe?
"Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?
Wat dacht je van gewoon 'niet?'

Denk alsjeblieft eerst na voordat je wat post, of post gewoon niet.
Het eerste antwoord klinkt toch logisch. Een ander gaat niet over jou systeem. Jij als eigenaar gaat daar over. Wettelijk is het zelfs verboden dat een ander zonder jou toestemming van jou systeem gebruik maakt. Scannen naar kwetsbaarheden is ook niet zonder risico. Daarom voeren bedrijven dat soort scans vaak uit onder strenge voorwaarden en binnen afgesproken tijdstippen. Een dos veroorzaken kan een risico zijn. En dat is ook verboden.
06-10-2021, 23:14 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Daar heb je geen scan voor nodig. Volgens de feiten hier op security.nl iedereen die windows gebruikt.
Al die websites Linux (lamp stack) webformulier cookies sql code injectie, hard code userids-passwords met de massale no-sql databases lijkt me naats al het IOT spul (linux) een veel groter probleem dan de desktop als endpoint.
Inderdaad heb je daar geen scan voor nodig.
Kwalijker is het ontbreken van gesegmenteerde netwerken met een geteste DR strategie.


wat een onzin allemaal..... kijk eens naar dit: https://www.security.nl/posting/724187/Onderzoek%3A+70_000+Exchange-servers+missen+belangrijke+beveiligingsupdate
Als het ene onzin is, dan ook het andere. Beide hebben problemen!
07-10-2021, 10:01 door Anoniem
Door Anoniem:
Door Anoniem:
... dat het Nationaal Cyber Security Centrum de urgentie en het tempo volledig onderschat ...
Mijn ervaring met het NCSC is dat het geen kwestie van onderschatten is, maar een kwestie van gebrek aan mandaat. De wet moet dus anders.
Niet alleen van mandaat, ook van budget, helemaal los van de vraag of het wenselijk is. Dat laatste is voor mij niet het geval.
Maar waarom kopen ze dit niet gewoon in bij een commerciele partij, of praten ze niet met DIVD, die doen het zelfs geheel belangenloos.
07-10-2021, 10:15 door Anoniem
Je systemen worden toch wel continue door hackers 'getest', het nadeel is alleen dat die je niet gaan informeren over de resultaten maar losgeld vragen als het gelukt is.

Wat is er dan zo op tegen als er een dienst is (die zijn er nu ook al, zie bijv. Shadowserver) die ook continue scant maar je WEL informeert over de uitslag? Nu doen wij dit intern elke maand zelf (Nessus) en laten we het een aantal keer per jaar extern doen door een securitybedrijf. Dat is ook erg kostbaar.
07-10-2021, 11:25 door Anoniem
Ik stel voor dat de politie ook alle voor- en achterdeuren in NL gaat checken of die wel afgesloten zijn en voorzien van keurmerk hang- en sluitwerk. En dat iedere nacht, natuurlijk.
07-10-2021, 19:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
... dat het Nationaal Cyber Security Centrum de urgentie en het tempo volledig onderschat ...
Mijn ervaring met het NCSC is dat het geen kwestie van onderschatten is, maar een kwestie van gebrek aan mandaat. De wet moet dus anders.
Niet alleen van mandaat, ook van budget, helemaal los van de vraag of het wenselijk is. Dat laatste is voor mij niet het geval.
Maar waarom kopen ze dit niet gewoon in bij een commerciele partij, of praten ze niet met DIVD, die doen het zelfs geheel belangenloos.
Met het DIVD wordt zeker gesproken. DIVD scant ook 'iedereen' (binnen hun aandachtsgebied NL)
NCSC was voor 'vitale sector' en mocht niets anders, mogelijkheden zijn al iets uitgebreid.
DTC voor bedrijfsleven (recent). Daarvan wordt aangegeven dat het niet afdoende is, dus nieuw iniiatief vanuit de private sector. In de vraagstelling lopen dus ook zaken door elkaar.
09-10-2021, 18:33 door [Account Verwijderd] - Bijgewerkt: 09-10-2021, 18:34
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.