Belastingdienst gaat beleid voor usb-sticks verder aanscherpen
De Belastingdienst gaat het beleid voor het gebruik van usb-sticks deze maand verder aanscherpen, zo heeft demissionair staatssecretaris Van Rij van Financiën aan de Tweede Kamer laten weten. Afgelopen juni werd bekend dat de fiscus personeel twaalfhonderd keer een ontheffing heeft gegeven voor het gebruik van usb-sticks. Standaard zijn usb-poorten op laptops van de Belastingdienst uitgeschakeld, waardoor ook usb-sticks niet zijn te gebruiken. Het usb-beleid werd ingevoerd vanwege de problemen met de veiligheid van gegevens bij de fiscus.
Begin 2017 stelde toenmalig staatssecretaris Wiebes dat ontheffingen voor het gebruik van usb-sticks alleen in "uiterste gevallen" werden verleend. Dat bleek niet te kloppen. Ontheffingen worden "ruimhartig" door de fiscus aan het eigen personeel verleend. Volgens Van Rij zijn er situaties waarbij het niet mogelijk is om data via e-mail of File Transfer uit te wisselen. Naar aanleiding van het aantal ontheffingen vroeg het CDA aan de staatssecretaris of er geen veiligere methodes voor digitale informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd kan worden, dan met een usb-stick.
"In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer en als dat niet mogelijk is, gebruik te maken van e-mail", reageert Van Rij (pdf). "Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen of de organisatie waar de informatie ligt), niet aangesloten is op het internet."
Het gaat dan bijvoorbeeld om een kassasysteem dat alleen een usb-poort heeft om de informatie die in de kassa opgeslagen is, uit te kunnen lezen. "Juist om de veiligheid van het gebruik van een usb-stick te verhogen, heeft de Belastingdienst als maatregel ingevoerd dat informatie die op een usb-stick geplaatst wordt, automatisch versleuteld wordt", legt de staatssecretaris uit.
Binnen de Belastingdienst wordt een usb-ontheffing standaard voor de duur van één jaar verstrekt en in de systemen vastgelegd. Daarna moet de ontheffing opnieuw worden aangevraagd. Deze standaardtermijn is wel in te korten tot een kortere periode, maar niet te verlengen buiten de één jaar. Medio deze maand voert de Belastingdienst een aangescherpt beleid voor usb-ontheffingen in, meldt Van Rij. De aanscherping ziet met name op een concretere beschrijving van de taken en verantwoordelijkheden van de manager en het toezicht op de juiste uitvoering van de werkzaamheden.
De client-software die je moet installeren voegt een https server toe op jouw PC, waarmee jouw browser kan communiceren, met links zoals https://local.connectme.us:43003/v5/connect/info/version.
De "lol" is dat een DNS-lookup local.connectme.us als antwoord 127.0.0.1 zou moeten geven. Echter, de betrokken nameservers ondersteunen niet eens DNSSEC: https://internet.nl/site/local.connectme.us/2304759/#sitednssec.
Gaat https je dan redden? Nee. Aanvankelijk werd elke client (de serversoftware daarin) met dezelfde private key uitgeleverd, met als gevolg dat die private key werd gepubliceerd en het certificaat werd ingetrokken (https://crt.sh/?id=2311240538).
Ik heb geen zin om opnieuw uit te zoeken welke gore truc ze momenteel uithalen om https zonder foutmeldingen te laten werken. Maar het zou mij niet verbazen als er een rootcertificaat aan je PC wordt toegevoegd (met eigen CA) of dat een browser-plugin nodig is die je belazert waar je bij staat.
Dit is amateuristich gepruts, IBM onwaardig (ze zullen Aspera vast voor veel geld hebben ingelijfd).
Ben je gedwongen om deze junk te gebruiken, voeg dan in elk geval toe aan de hosts file:
::1 local.connectme.us
Eerder schreef ik hier ook al over: https://www.security.nl/posting/788626/Kritiek+lek+in+IBM+Aspera+Faspex+gebruikt+voor+ransomware-aanvallen#posting788650 en, uitgebreider, in https://www.security.nl/posting/646927/IBM+Aspera+Connect+security
Of dit veiliger is dan USB-sticks, waag ik te betwijfelen...
Nee, IBM Aspera Connect
Wat een leipe shit is dat zeg! Bij veel andere overheidsinstellingen gebruiken ze https://pleio.nl/
Maar goed, de BD staat erom bekend dat ze honderden legacy apps hebben draaien, waar ze maar niet vanaf komen.
Moet die club niet eens opgeheven worden en vanaf de grond opnieuw gebouwd? Er heerst ook een zeer giftige bedrijfscultuur, weet ik van veel collega's die daar hebben gewerkt.
Nee, IBM Aspera Connect
Wat een leipe shit is dat zeg! Bij veel andere overheidsinstellingen gebruiken ze https://pleio.nl/
Maar goed, de BD staat erom bekend dat ze honderden legacy apps hebben draaien, waar ze maar niet vanaf komen.
Moet die club niet eens opgeheven worden en vanaf de grond opnieuw gebouwd? Er heerst ook een zeer giftige bedrijfscultuur, weet ik van veel collega's die daar hebben gewerkt.
Kan me nog een voorbeeld herrineren uit mijn tijd als IT manager bij een joint project met een niet nader te noemen gemeente waarbij ze het nodig vonden een applicatie te schrijven omdat er in een van de citrix geleverde programma's geen knop zat voor printen en men te lui was om CTRL + P in te drukken. Instead hadden ze er een app gemaakt waar je document in sleepte en dan werdt het geprint of opgeslagen als pdf. Tot .docx en .docm om de hoek kwam kijken en de boel direct uiteraard liet crashen en het terug naar de tekentafel kon.
Soms vinden ze zo'n ding weleens in de gang op buiten bij de ingang, dan vind men het zo zielig dat ze hem wel moeten adopteren.
Even voeden met behulp van de laptop, en dat arme ding is er weer helemaal bovenop.
Wat een pretentie van iemand die nog geen drie alinea's kan lezen :
Uit het artikel wat je niet gelezen hebt maar waar je wel op reageert :
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.