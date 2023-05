Had dat externe bedrijf dan ook z'n 2fa laten lekken? Of was er geen 2fa?

Was het nodig dat zo'n extern bedrijf bij gevoelige data van gemeente kan? Met alleen een VPN-account? Of ontbrak er intern ook nog wat aan beveiliging?





Natuurlijk moet zo'n extern bedrijf ook zorgvuldig zijn maar fouten worden nu eenmaal gemaakt. Wachtwoorden lekken regelamtig uit, daar zal je rekening mee moeten houden. Zo'n bedrijf moet ook maatregelen treffen zoals het gebruik van een password manager (en aandringen op mfa) en anti-virusmaatregelen. Dat gaat echter nog steeds niet voorkomen dat wachtwoorden uitlekken.



Ik weet niet wat er aan de hand is en hoeveel de gemeente goed/fout heeft gedaan en hoeveel dat bedrijf. Iedereen kan pech hebben en ook met de meest geavanceerde beveiliging glipt er af en toe iets door heen. Maar omdat het nieuwsbericht alleen een uitgelekt wachtwoord noemt suggereert dit dat er bij die gemeente ook nog wel een hoop te verbeteren is.



Laat het overigens een waarschuwing zijn dat een VPN eigenlijk geen beveiliginsmiddel is. Het is een hulpmiddel dat je kan gebruiken als beveiligingsmiddel maar dat moet je wel zelf inrichten. Je kan het ook "verkeerd" inrichten en de boel minder veilig te maken.



Een VPN (van dit soort) is als een deur.

Een deur is beter dan een open gat.

Een deur met een slot is beter dan een deur zonder slot.

Een blinde muur is beter dan een deur met een slot.



Een slecht ingerichte VPN geeft extra ingangen in je netwerk.



Als je een VPN gebruikt om langs je enige beveiligingslaag te gaan dan kun je misschien beter geen VPN gebruiken.

Als je nog zo'n netwerk hebt met alleen een dikke kasteelmuur aan de buitenkant dan heb je sowieso al 20 jaar zitten slapen en is er vast nog veel meer mis met je netwerk (let op: dit is ongeveer de standaard bij kleinere organisaties).