Gemeente Amstelveen zet systemen wegens Log4j-lek 's nachts uit
Vanwege de Log4j-kwetsbaarheid heeft de gemeente Amstelveen besloten om de online dienstverlening te beperken en bepaalde systemen 's nachts uit te zetten. "Vanwege een wereldwijd beveiligingslek neemt de gemeente extra veiligheidsmaatregelen. Uit voorzorg wordt een aantal systemen dagelijks tussen 20.00 en 07.00 uur offline gezet", aldus de gemeente.
De veiligheidsmaatregelen kunnen ervoor zorgen dat inwoners binnen deze tijden bepaalde zaken niet online kunnen aanvragen of melden. Hoelang de voorzorgsmaatregelen nodig zijn kan de gemeente, die excuses voor het ongemak maakt, nog niet zeggen.
Gemeente Hof van Twente
Eerder besloot de gemeente Hof van Twente de systemen wegens het beveiligingslek offline te halen. Daardoor was het drie dagen niet mogelijk om paspoorten en rijbewijzen uit te geven. Ook geboorte- en overlijdensaktes konden niet worden afgegeven. Inmiddels zijn de systemen weer online.
"Het was een forse maatregel om onze systemen tijdelijk uit de lucht te halen. Het is enorm vervelend voor inwoners en ook voor onze eigen mensen. Maar met de gegevens van onze inwoners willen we geen enkel risico nemen", stelde burgemeester Ellen Nauta-van Moorsel.
Update
De gemeente Amstelveen laat weten dat de maatregel vanaf 22 december niet meer van toepassing is en alle systemen weer zijn ingeschakeld.
Reacties (24)
Wat ze ook kunnen doen is een bordje bij de voordeur zetten met de vraag of de inbrekers gelieve niet tussen 7:00 en 20:00 willen inbreken.
Zucht,het is niet alsof ze dat tegen zal houden.
Zucht,het is niet alsof ze dat tegen zal houden.
Als het internet niet werkt gaat iedereen dood ?
Daar moet je tog serieus over nadenken.
Daar moet je tog serieus over nadenken.
Door Anoniem: Wat ze ook kunnen doen is een bordje bij de voordeur zetten met de vraag of de inbrekers gelieve niet tussen 7:00 en 20:00 willen inbreken.
Zucht,het is niet alsof ze dat tegen zal houden.
Zucht,het is niet alsof ze dat tegen zal houden.
Waarom zou dit niet helpen?
Overdag heb je dan mensen die monitoren.
Security trough obscurity!
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Door Anoniem:
Waarom zou dit niet helpen?
Overdag heb je dan mensen die monitoren.
Door Anoniem: Wat ze ook kunnen doen is een bordje bij de voordeur zetten met de vraag of de inbrekers gelieve niet tussen 7:00 en 20:00 willen inbreken.
Zucht,het is niet alsof ze dat tegen zal houden.
Zucht,het is niet alsof ze dat tegen zal houden.
Waarom zou dit niet helpen?
Overdag heb je dan mensen die monitoren.
24/7 heb je systemen die monitoren en alerts afgeven, overdag heb je de mensen die dat dan zien en er niks van snappen, al die mailtjes en SMS jes en paniekerige kerstboom die ne monitoring-scherm is.
Als je je asset management, en je monitoring, alerting en security niet op orde hebt, dan laat het overdags ook maar gewoon uit staan.
Dit is toch wel een dramatisch teken aan de wand. Ik kan mij niet aan de veronderstelling onttrekken dat zoiets gebeurt op advies van de IT die het netwerk in onderhoud heeft.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Door Ard van Wiersum: Dit is toch wel een dramatisch teken aan de wand. Ik kan mij niet aan de veronderstelling onttrekken dat zoiets gebeurt op advies van de IT die het netwerk in onderhoud heeft.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Dat werd bij elk, zich respecterend, bedrijf gedaan!Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Door Ard van Wiersum: Dit is toch wel een dramatisch teken aan de wand. Ik kan mij niet aan de veronderstelling onttrekken dat zoiets gebeurt op advies van de IT die het netwerk in onderhoud heeft.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Mooie tijden, met Y2K. Ik werd ervoor naar Bangkok gestuurd. Waar onze firma voor de helft eigenaar was, min 1%. Want in Thailand moest er altijd een Thai het laatste woord hebben. Volgens mij is dat nog zo. Als de Thaise koning voorbij kwam, of de koningin, dan mocht je niet bij de ramen gaan staan. En toen al overal verboden te roken, behalve beneden in de parking. Aldus en regelmatig rokend, stond daar een andere consultant uit Australië. Een hele goeie, met allemaal checklists. Voor Y2K. De man rookte nog meer dan ik, want die kreeg helemaal niks gedaan of medewerking. Dus we zagen elkaar regelmatig.
Op een dag legde ik hem uit hoe het volgens mij zat. Daar in Bangkok. Heel simpel. Zou er op klokslag 12 met het jaar 2000 alles de soep in lopen, dan was het gewoon onze schuld. Als buitenlandse consultants. Zou er niks mis gaan, dan was het bewijs dat die buitenlanders weer met een smoes over Y2K gevaren veel te dure facturen naar binnen hadden geduwd. Dus logisch dat niemand meewerkt! Het kan niemand wat schelen of het in de soep loopt, want er zit toch buitenlands geld in. Terwijl als ze wél wat zouden doen, ze misschien de schuld ook nog krijgen. Terwijl de koning langsrijdt.
Ik ben er trouwens met een sisser weggekomen. Ruim voor het eind van het jaar. Met een etentje van de firma daar en een horloge met hun logo erop. Dat ik er thuis niks slechts over kon zeggen. Maar die blik van die Australiër met al zijn echt super checklists, al puffend tussen de autos, die ben ik nooit vergeten. Nobody likes a clever dick. In elk geval had ik een horloge en was terug thuis voor het steekspel zou beginnen.
Door Anoniem:
Door Ard van Wiersum: Dit is toch wel een dramatisch teken aan de wand. Ik kan mij niet aan de veronderstelling onttrekken dat zoiets gebeurt op advies van de IT die het netwerk in onderhoud heeft.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Dat werd bij elk, zich respecterend, bedrijf gedaan!Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Mijn bedrijf had dat indertijd vooraf al uitgesloten.
Controleren, inventariseren en waar nodig verhelpen/voorkomen voordat de datum aangebroken was. En dat hoefde uiteindelijk maar op een handjevol (<30) plekken in de verschillende stukken hard- en software die we hadden.
Dus die nacht was er geen extra oogje nodig van de IT.
Het is maar hoe je je werk doet en voorbereid.
Het grote verschil tussen de milleniumbug en Log4j is, dat de mileniumbug ruimschoots op tijd aangekondigd was en je je er als bedrijf dus op kon voorbereiden.
Dat is met een plotseling ontdekte "gatenkaas" als Log4j niet het geval. Dus dan zijn risico inschatting en noodmaatregelen soms noodzakelijk.
Met zo'n kwetsbaarheid zit je liever aan de veilige kant, ipv dat het hele hebben en houwen van je burgers plots op straat ligt (oid).
Door Anoniem:
Waarom zou dit niet helpen?
Overdag heb je dan mensen die monitoren.
Door Anoniem: Wat ze ook kunnen doen is een bordje bij de voordeur zetten met de vraag of de inbrekers gelieve niet tussen 7:00 en 20:00 willen inbreken.
Zucht,het is niet alsof ze dat tegen zal houden.
Zucht,het is niet alsof ze dat tegen zal houden.
Waarom zou dit niet helpen?
Overdag heb je dan mensen die monitoren.
Zet gewoon een beheerder naast de server op een stoel. Die let wel op of er ingebroken wordt.
On topic : dit is natuurlijk security van lik-mijn-vestje. Hof van Twente is al eens gehackt en handelt goed. Uit die systemen tot ze veilig weer aan kunnen. Blijkbaar moet Amstelveen toch eens gehackt worden voor ze door hebben dat het menens is.
Door Anoniem:
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Ik kan me niet voorstellen dat een iemand uit de IT zoiets bedenkt. Dit klinkt eerder naar ambtenaren- of managementlogica.
Genoeg (Nederlandse) 24/7 Managed Detection and Response clubs die Amstelveen hadden kunnen helpen, erg triest om te zien hoe knullig hier men mee omgaat. Ik hoop dat de interne security dienstverlening gedurende de dag wel capabel genoeg is voor de verantwoordelijkheid die men heeft.
Door Anoniem:
Ik kan me niet voorstellen dat een iemand uit de IT zoiets bedenkt. Dit klinkt eerder naar ambtenaren- of managementlogica.
Over het algemeen komt het advies van CISO's af, welke ook vaak niet bekend staan in gemeenteland als degenen die het meeste licht geven. Probleem is de politiek en de achterlijke gedachtengang om toch iets te moeten doen of gedaan hebben. Het is net als die man die bij iedere halte waar de bus stopt een handje zout naar buiten strooit tegen roze olifanten. Als je hem confronteert met het feit dat roze olifanten niet bestaan zal hij beweren dat wat hij doet dus effect heeft. Zo werkt het ook een beetje in onze maatschappij, mensen doen maar wat om tenminste maar iets gedaan te hebben. Alleen in de praktijk blijkt dan vaak dat ze beter niets hadden kunnen doen want de maatregel kan soms erger dan de kwaal zijn.Door Anoniem:
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Ik kan me niet voorstellen dat een iemand uit de IT zoiets bedenkt. Dit klinkt eerder naar ambtenaren- of managementlogica.
Ik vraag me af of ze bij Amstelveen, en alle andere gemeenten die hun systemen hebben uitgezet, nagedacht hebben over eventuele rampen die zich voor kunnen doen en waarvoor de veiligheidsregio de gemeentelijke informatiesystemen moet raadplegen over eventuele slachtoffers. Ik vrees dat ze daar niet over nagedacht hebben.
Door Anoniem:
Ik kan me niet voorstellen dat een iemand uit de IT zoiets bedenkt. Dit klinkt eerder naar ambtenaren- of managementlogica.
Door Anoniem:
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Kan deze ITér die dit bedacht heeft de laan uit? Ik heb ooit iemand moeten overtuigen om zijn server te beveiligen terwijl die het liefst zijn server 's nachts uit wou zetten vanwege portscannende chinezen. Alsof die op onze tijdzone letten...
Ik kan me niet voorstellen dat een iemand uit de IT zoiets bedenkt. Dit klinkt eerder naar ambtenaren- of managementlogica.
Precies dit. Voor mij een absoluut zwaktebod en een teken dat je dus niet in control bent over je eigen IT domein. De angst regeert voor bad publicity en ransomware. Voor LOG4J zijn er al voldoende mitigerende maatregelen, ook voor de datum van dit schrijven. Dus als je nu dan nog steeds een kwetsbaar systeem aan Internet hebt hangen doe je iets niet goed. En zeker niet als je deze dan overdags weer online brengt met dezelfde kwetsbaarheid erin.
Voor mij dus een gevalletje onkunde.
Door Anoniem:
Door Ard van Wiersum: Dit is toch wel een dramatisch teken aan de wand. Ik kan mij niet aan de veronderstelling onttrekken dat zoiets gebeurt op advies van de IT die het netwerk in onderhoud heeft.
Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Dat werd bij elk, zich respecterend, bedrijf gedaan!Het doet mij ook een beetje denken aan het bedrijf waar ik werkzaam was 21 jaar geleden, die voor de nacht van 31 december 1999 op 1 januari 2000 hadden geregeld dat de IT een extra oogje in het zeil hield voor het geval de veronderstelde en gevreesde millennium bug zou toeslaan.
Inderdaad . En in de voorafgaande periode van alles nalopen hebben we er dingen uitgehaald die inderdaad een storing gegeven zouden hebben.
Door Anoniem: Ik vraag me af of ze bij Amstelveen, en alle andere gemeenten die hun systemen hebben uitgezet, nagedacht hebben over eventuele rampen die zich voor kunnen doen en waarvoor de veiligheidsregio de gemeentelijke informatiesystemen moet raadplegen over eventuele slachtoffers. Ik vrees dat ze daar niet over nagedacht hebben.
Dit is te kort door de bocht.
Amstelveen zet een aantal systemen uit. Niet alles.
Lezen is ook een kunst.
Bij een ramp zijn er verschillende scenario's denkbaar (ik werk er zelf niet) waarbij de regio toch de juiste informatie krijgt.
Bv via het landelijke GBA (basisregistratie personen) al dan niet icm de BAG (Basisregistratie Adressen en gebouwen).
Of anders door de systemen intern te bevragen. (via een rapportage tool, sql, de applicatie-schermen).
Vanwege een wereldwijd beveiligingslek neemt de gemeente extra veiligheidsmaatregelen. Uit voorzorg wordt een aantal systemen dagelijks tussen 20.00 en 07.00 uur offline gezet.
Deze twee zinnen zijn kennelijk genoeg voor velen om te concluderen dat de IT'ers bij de gemeente Amstelveen volslagen incompetent zijn. Wie weet zijn ze dat ook wel, maar besef wel dat deze twee zinnen vrijwel zeker niet rechtstreeks bij de IT'ers vandaan komen maar via de nodige bestuurslagen en de afdeling Publiekszaken naar buiten zijn gekomen. Iedereen die dat leest zou moeten beseffen dat je daarmee eigenlijk geen donder weet, behalve dan dat een aantal systemen 's nachts uit de lucht is.Je kan hier volgens mij niet uit concluderen dat men daar heeft besloten door te draaien met een lekke versie van Log4j en hoopt dat als er maar mensen met hun neus bovenop zitten men snel genoeg kan ingrijpen om schade te voorkomen. Dat kan je niet concluderen omdat er ook andere mogelijkheden zijn.
Een mogelijkheid is bijvoorbeeld dat men wel degelijk de nieuwste versie heeft geïnstalleerd, niet de gelegenheid heeft gehad om de werking van de systemen met de nieuwe library zo grondig te testen als men normaal zou doen bij een change, en daarom mensen direct paraat wil hebben om eventuele problemen op te vangen als de systemen operationeel zijn. Alleen zitten we middenin de feestdagen en wie weet gunt men de IT'ers wel dat ze daarvan kunnen genieten, en heeft men daarom besloten dat ze het zich wel even kunnen permitteren om de systemen niet 24 uur per etmaal in de lucht te houden.
Dat klopt maar ten dele met gewichtige termen als "veiligheidsmaatregelen" en "voorzorg", maar je weet hoe berichten vervormd worden door mensen die dingen goed willen laten klinken, zeker als het over meerdere schijven loopt die er allemaal hun plasje over doen.
Ik heb geen idee of de mogelijkheid die ik bedacht heb waar is, maar mijn punt is ook niet dat ik gelijk zou hebben maar simpelweg dat er meer verklaringen mogelijk zijn dan alleen pure incompetentie.
Aan degenen die wel meteen concludeerden dat het incompetentie is: jullie zou ik niet als probleemoplosser in dienst willen hebben, want jullie demonstreren duidelijk dat jullie bij onvolledige informatie niet beseffen hoe weinig jullie eigenlijk weten. Ook zetten jullie niet meerdere alternatieve verklaringen naast elkaar maar nemen de eerste mogelijkheid die bij jullie opkomt meteen voor waar aan.
Wie weet doen de IT'ers van de gemeente Amstelveen het wel veel beter.
Dit klinkt natuurlijk idioot, en het is ook vrij idioot. Echter, om een aantal redenen kan het snachts uitzetten toch nuttig en effectief zijn:
1. risco- en schadebeperking; minder tijd om systemen aan te vallen en meer tijd om problemen op te merken (overdag)
2. urgentieverhoging; door de dienstverlening kunstmatig te beperken zullen er managers wakker worden geschud en zal een moeizaam lopende zaak nu mogelijk wel de nodige aandacht krijgen (ook al is het pas na de vakantieperiode)
3. juridische aansprakelijkheid; hoewel een goede aanklager hier doorheen moet kunnen prikken kan de verdediging aandragen dat er wel degelijk (nood)maatregelen getroffen zijn
Het kan natuurlijk ook faliekant misgaan daar dit nieuws nu wereldkundig is gemaakt: er komen mogelijk/waarschijnlijk hackers af op de grote rode targets die ze zelf op de systemen hebben gezet en juist door de (aangekondigde) maatregelen vindt er een lek plaats. Mochten de systemen daadwerkelijk kwetsbaar zijn en belangrijke gegevens bevatten of processen aansturen, dan is het risico nu wel heel groot geworden. Als dit langer dan 2 à 3 dagen of misschien nog een week of 2 moet gaan duren dan kunnen ze de boel beter helemaal offline halen.
Lijkt met dat hier hoe dan ook een leuke opdracht moet kunnen worden uitgesleept door een beveiligingsbedrijf. Een cursusje bestuur en marketing zou ook niet misstaan.
1. risco- en schadebeperking; minder tijd om systemen aan te vallen en meer tijd om problemen op te merken (overdag)
2. urgentieverhoging; door de dienstverlening kunstmatig te beperken zullen er managers wakker worden geschud en zal een moeizaam lopende zaak nu mogelijk wel de nodige aandacht krijgen (ook al is het pas na de vakantieperiode)
3. juridische aansprakelijkheid; hoewel een goede aanklager hier doorheen moet kunnen prikken kan de verdediging aandragen dat er wel degelijk (nood)maatregelen getroffen zijn
Het kan natuurlijk ook faliekant misgaan daar dit nieuws nu wereldkundig is gemaakt: er komen mogelijk/waarschijnlijk hackers af op de grote rode targets die ze zelf op de systemen hebben gezet en juist door de (aangekondigde) maatregelen vindt er een lek plaats. Mochten de systemen daadwerkelijk kwetsbaar zijn en belangrijke gegevens bevatten of processen aansturen, dan is het risico nu wel heel groot geworden. Als dit langer dan 2 à 3 dagen of misschien nog een week of 2 moet gaan duren dan kunnen ze de boel beter helemaal offline halen.
Lijkt met dat hier hoe dan ook een leuke opdracht moet kunnen worden uitgesleept door een beveiligingsbedrijf. Een cursusje bestuur en marketing zou ook niet misstaan.
Niet vitaal dus. Dus bij de gemeente Den Haag zou het dus ook niet vitaal zijn...hmm iets over na te denken lol
Als je het probleem niet het hoofd kan bieden (door gebrek aan resources in de ruimste zin van het woord en info) en je wil aan Damage control doen en het zijn geen kritieke systemen dan is dit een oplossing voor de korte duur.
Zeker als je overdag er met je neus op zit. Dus als je vanuit Risk Management en mandaat heb bij de directie en tot deze conclusie komt is dat weloverwogen.
En in de werkelijke wereld spelen wel meer belangen dan de optimale solution.
Maar dan moet er wel paralellel gewerkt worden aan een solution. Waardoor dit alles tijdelijk is.
Vanuit een particulier bedrijf is dit meestal een NOGO vanwege commerciële belangen en boete clausules maar bij de overheid zijn niet alle systemen kritiek.
Klaar
Zo werkt het, zo gek vind ik het niet.
Maar het is wel een brevet van onvermogen waarbij je nog iets probeert te redden.
Ik moet er niet aan denken om zo'n keuze te maken maar ik kom uit de particuliere branche die ook diensten aan particuliere bedrijven EN aan de overheid leverde.
Maar alles staat en valt bij de betrokken belangen en impact.
In de praktijk heb ik wel ergere constructies gezien zoals dat systemen (resource servers en of toen nog BDC's) met >500 werkstations eraan een losgekoppeld keyboard hebben en ze waren vergeten de bios aan te passen zodat die door hobbelde bij een reboot.
En dat hele groepen systeem beheerders die systemen niet durfden te restarten en alles maar lieten zoals het was.
Tot ik er achter kwam en het hele circus in werking zette en aanstuurde. Zonder gigantische oogkleppen op. En zo bijzonder ben ik niet. Maar mensen hebben angsten en die kunnen zo overheersend zijn waarop er een freeze ontstaat.
Zeker als je overdag er met je neus op zit. Dus als je vanuit Risk Management en mandaat heb bij de directie en tot deze conclusie komt is dat weloverwogen.
En in de werkelijke wereld spelen wel meer belangen dan de optimale solution.
Maar dan moet er wel paralellel gewerkt worden aan een solution. Waardoor dit alles tijdelijk is.
Vanuit een particulier bedrijf is dit meestal een NOGO vanwege commerciële belangen en boete clausules maar bij de overheid zijn niet alle systemen kritiek.
Klaar
Zo werkt het, zo gek vind ik het niet.
Maar het is wel een brevet van onvermogen waarbij je nog iets probeert te redden.
Ik moet er niet aan denken om zo'n keuze te maken maar ik kom uit de particuliere branche die ook diensten aan particuliere bedrijven EN aan de overheid leverde.
Maar alles staat en valt bij de betrokken belangen en impact.
In de praktijk heb ik wel ergere constructies gezien zoals dat systemen (resource servers en of toen nog BDC's) met >500 werkstations eraan een losgekoppeld keyboard hebben en ze waren vergeten de bios aan te passen zodat die door hobbelde bij een reboot.
En dat hele groepen systeem beheerders die systemen niet durfden te restarten en alles maar lieten zoals het was.
Tot ik er achter kwam en het hele circus in werking zette en aanstuurde. Zonder gigantische oogkleppen op. En zo bijzonder ben ik niet. Maar mensen hebben angsten en die kunnen zo overheersend zijn waarop er een freeze ontstaat.
Stoer hoor, op basis van enkele flintertjes informatie te durven concluderen dat "de IT'ers" bij de gemeente Amstelveen incompetent en weet ik veel wat al niet meer zijn. Waar is de nuance? En nee, ik werk zelf niet bij een gemeente. Maar ik vind vanuit de heup schieten op basis van zo weinig informatie wel erg gemakkelijk.
Een gemeente heeft over het algemeen zeer veel applicaties draaien. Vaak ook zeer specialistische applicaties van kleinere leveranciers, waarbij het niet altijd even eenvoudig is om vast te stellen of alles qua security continu op het juiste niveau is. Bovendien heeft een gemeente veel meer persoonsgegevens onder beheer dan het gemiddelde commerciële bedrijf. En zeer veel koppelingen met andere organisaties waar ook dergelijke informatie te vinden is. Dus ik vind dit helemaal niet zo'n rare keuze.
En: er wordt duidelijk gesproken over "enkele systemen". Dus misschien is de enige beperking wel dat je nu niet om 3 uur 's nachts een uittreksel of verlenging van je rijbewijs of paspoort kunt aanvragen. Lekker belangrijk.
Maar wat nou als deze gemeente wél dure extra IT beveiligingsexperts had ingevlogen, bijvoorbeeld omdat ze kampen met veel ziekteverzuim vanwege corona onder het eigen personeel? Dan was het ook weer niet goed geweest, want dan moet vanwege budgetoverschrijdingen volgend jaar de OZB omhoog. En we weten allemaal wat de gemiddelde inwoner daarvan vindt, waarschijnlijk inclusief een aantal eerdere reageerders hierboven...
Een gemeente heeft over het algemeen zeer veel applicaties draaien. Vaak ook zeer specialistische applicaties van kleinere leveranciers, waarbij het niet altijd even eenvoudig is om vast te stellen of alles qua security continu op het juiste niveau is. Bovendien heeft een gemeente veel meer persoonsgegevens onder beheer dan het gemiddelde commerciële bedrijf. En zeer veel koppelingen met andere organisaties waar ook dergelijke informatie te vinden is. Dus ik vind dit helemaal niet zo'n rare keuze.
En: er wordt duidelijk gesproken over "enkele systemen". Dus misschien is de enige beperking wel dat je nu niet om 3 uur 's nachts een uittreksel of verlenging van je rijbewijs of paspoort kunt aanvragen. Lekker belangrijk.
Maar wat nou als deze gemeente wél dure extra IT beveiligingsexperts had ingevlogen, bijvoorbeeld omdat ze kampen met veel ziekteverzuim vanwege corona onder het eigen personeel? Dan was het ook weer niet goed geweest, want dan moet vanwege budgetoverschrijdingen volgend jaar de OZB omhoog. En we weten allemaal wat de gemiddelde inwoner daarvan vindt, waarschijnlijk inclusief een aantal eerdere reageerders hierboven...
Door Anoniem:
Je kan hier volgens mij niet uit concluderen dat men daar heeft besloten door te draaien met een lekke versie van Log4j en hoopt dat als er maar mensen met hun neus bovenop zitten men snel genoeg kan ingrijpen om schade te voorkomen. Dat kan je niet concluderen omdat er ook andere mogelijkheden zijn.
Een mogelijkheid is bijvoorbeeld dat men wel degelijk de nieuwste versie heeft geïnstalleerd, niet de gelegenheid heeft gehad om de werking van de systemen met de nieuwe library zo grondig te testen als men normaal zou doen bij een change, en daarom mensen direct paraat wil hebben om eventuele problemen op te vangen als de systemen operationeel zijn. Alleen zitten we middenin de feestdagen en wie weet gunt men de IT'ers wel dat ze daarvan kunnen genieten, en heeft men daarom besloten dat ze het zich wel even kunnen permitteren om de systemen niet 24 uur per etmaal in de lucht te houden.
Dat klopt maar ten dele met gewichtige termen als "veiligheidsmaatregelen" en "voorzorg", maar je weet hoe berichten vervormd worden door mensen die dingen goed willen laten klinken, zeker als het over meerdere schijven loopt die er allemaal hun plasje over doen.
Ik heb geen idee of de mogelijkheid die ik bedacht heb waar is, maar mijn punt is ook niet dat ik gelijk zou hebben maar simpelweg dat er meer verklaringen mogelijk zijn dan alleen pure incompetentie.
Aan degenen die wel meteen concludeerden dat het incompetentie is: jullie zou ik niet als probleemoplosser in dienst willen hebben, want jullie demonstreren duidelijk dat jullie bij onvolledige informatie niet beseffen hoe weinig jullie eigenlijk weten. Ook zetten jullie niet meerdere alternatieve verklaringen naast elkaar maar nemen de eerste mogelijkheid die bij jullie opkomt meteen voor waar aan.
Wie weet doen de IT'ers van de gemeente Amstelveen het wel veel beter.
Het is hier op security.nl door bepaalde lieden, niet gehinderd door enige kennis, vrij gebruikelijk om een ander te beschuldigen van incompetentie. Dat zijn geen systeembeheerders of ontwikkelaars. Vanwege een wereldwijd beveiligingslek neemt de gemeente extra veiligheidsmaatregelen. Uit voorzorg wordt een aantal systemen dagelijks tussen 20.00 en 07.00 uur offline gezet.
Deze twee zinnen zijn kennelijk genoeg voor velen om te concluderen dat de IT'ers bij de gemeente Amstelveen volslagen incompetent zijn. Wie weet zijn ze dat ook wel, maar besef wel dat deze twee zinnen vrijwel zeker niet rechtstreeks bij de IT'ers vandaan komen maar via de nodige bestuurslagen en de afdeling Publiekszaken naar buiten zijn gekomen. Iedereen die dat leest zou moeten beseffen dat je daarmee eigenlijk geen donder weet, behalve dan dat een aantal systemen 's nachts uit de lucht is.Je kan hier volgens mij niet uit concluderen dat men daar heeft besloten door te draaien met een lekke versie van Log4j en hoopt dat als er maar mensen met hun neus bovenop zitten men snel genoeg kan ingrijpen om schade te voorkomen. Dat kan je niet concluderen omdat er ook andere mogelijkheden zijn.
Een mogelijkheid is bijvoorbeeld dat men wel degelijk de nieuwste versie heeft geïnstalleerd, niet de gelegenheid heeft gehad om de werking van de systemen met de nieuwe library zo grondig te testen als men normaal zou doen bij een change, en daarom mensen direct paraat wil hebben om eventuele problemen op te vangen als de systemen operationeel zijn. Alleen zitten we middenin de feestdagen en wie weet gunt men de IT'ers wel dat ze daarvan kunnen genieten, en heeft men daarom besloten dat ze het zich wel even kunnen permitteren om de systemen niet 24 uur per etmaal in de lucht te houden.
Dat klopt maar ten dele met gewichtige termen als "veiligheidsmaatregelen" en "voorzorg", maar je weet hoe berichten vervormd worden door mensen die dingen goed willen laten klinken, zeker als het over meerdere schijven loopt die er allemaal hun plasje over doen.
Ik heb geen idee of de mogelijkheid die ik bedacht heb waar is, maar mijn punt is ook niet dat ik gelijk zou hebben maar simpelweg dat er meer verklaringen mogelijk zijn dan alleen pure incompetentie.
Aan degenen die wel meteen concludeerden dat het incompetentie is: jullie zou ik niet als probleemoplosser in dienst willen hebben, want jullie demonstreren duidelijk dat jullie bij onvolledige informatie niet beseffen hoe weinig jullie eigenlijk weten. Ook zetten jullie niet meerdere alternatieve verklaringen naast elkaar maar nemen de eerste mogelijkheid die bij jullie opkomt meteen voor waar aan.
Wie weet doen de IT'ers van de gemeente Amstelveen het wel veel beter.
Door Anoniem: Genoeg (Nederlandse) 24/7 Managed Detection and Response clubs die Amstelveen hadden kunnen helpen, erg triest om te zien hoe knullig hier men mee omgaat. Ik hoop dat de interne security dienstverlening gedurende de dag wel capabel genoeg is voor de verantwoordelijkheid die men heeft.
Het budget voor de IT afdeling was door de politicy al uitgegeven aan leuke dingen, i.p.v. het voor het noodzakelijke onderhoud te gebruiken.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.