Kamervragen over beveiligingslekken in Citrix en Microsoft SharePoint
In de Tweede Kamer zijn vragen aan demissionair minister Van Weel van Justitie en Veiligheid gesteld over actief misbruikte kwetsbaarheden in Citrix NetScaler en Microsoft SharePoint. Nieuw Sociaal Contract (NSC) wil van de bewindsman weten welke impact de beveiligingslekken op de Nederlandse overheid en samenleving hebben gehad. Ook is Van Weel gevraagd hoeveel organisaties slachtoffer van de aanvallen zijn geworden.
Onlangs maakte het Openbaar Ministerie bekend dat het vanwege mogelijk misbruik van het Citrix NetScaler-lek had besloten om systemen van internet los te koppelen. De Dienst Justitiële Inrichtingen (DJI) maakte vandaag bekend dat er onderzoek naar de eigen Citrix-systemen wordt gedaan. "Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in NetScaler", vraagt NSC-Kamerlid Six Dijkstra.
De minister moet daarnaast duidelijk maken of hij van plan is om de aanval op het OM aan een land toe te kennen. Six Dijkstra wil verder weten in hoeverre het Nationaal Cyber Security Centrum (NCSC) en de relevante doelgroepen elkaar weten te vinden als het gaat om het opvolgen van beveiligingsadvies, delen van indicators of compromise (IoC’s) en het melden van gecompromitteerde systemen met betrekking tot de Citrix- en SharePoint-lekken. Van Weel heeft drie weken om de vragen te beantwoorden.
Het Openbaar Ministerie trekt eindelijk de stekker eruit – letterlijk – en dat klinkt stoer, maar het voelt een beetje alsof de kapitein besluit van boord te springen nadat het schip al is gezonken. De DJI doet “onderzoek” naar eigen systemen. Gokje: men ontdekt over drie maanden dat patchbeheer toch iets handiger kan dan via Excel.
En dan de vraag of we de aanval aan een land kunnen toeschrijven. Natuurlijk, want cybercriminelen houden zich altijd netjes aan landsgrenzen en laten een visitekaartje achter. "Groetjes uit Moskou."
Het NCSC doet haar best, maar als niemand luistert, blijft het bij roepen in de digitale woestijn. Het delen van IoC’s is mooi, maar misschien moeten we eerst zorgen dat iemand überhaupt snapt wat een IoC is.
Kortom: als je de IT-veiligheid van cruciale overheidsdiensten runt alsof het een hobbyproject op zolder is, moet je niet verbaasd zijn als het fout gaat. Succes met de Kamervragen.
Het Openbaar Ministerie trekt eindelijk de stekker eruit – letterlijk – en dat klinkt stoer, maar het voelt een beetje alsof de kapitein besluit van boord te springen nadat het schip al is gezonken. De DJI doet “onderzoek” naar eigen systemen. Gokje: men ontdekt over drie maanden dat patchbeheer toch iets handiger kan dan via Excel.
En dan de vraag of we de aanval aan een land kunnen toeschrijven. Natuurlijk, want cybercriminelen houden zich altijd netjes aan landsgrenzen en laten een visitekaartje achter. "Groetjes uit Moskou."
Het NCSC doet haar best, maar als niemand luistert, blijft het bij roepen in de digitale woestijn. Het delen van IoC’s is mooi, maar misschien moeten we eerst zorgen dat iemand überhaupt snapt wat een IoC is.
Kortom: als je de IT-veiligheid van cruciale overheidsdiensten runt alsof het een hobbyproject op zolder is, moet je niet verbaasd zijn als het fout gaat. Succes met de Kamervragen.
Aannames, aannames en nog een aannames; en daarmee best stemmingmakend. Of werk je bij het OM en weet je precies wat er aan de hand is? Weet jij dat updates niet tijdig zijn uitgerold; of was de compromitatie voor het beschikbaar zijn van een patch?
Ik heb trouwens liever iemand die met Excel zorgvuldig netjes alle patches uitvoerd en controleerd dan iemand die een prachtig, machtig iSMS en automatisering heeft op basis van set&forget en vervolgend nooit kijkt naar alle updates die fout gaan.
Moeten alle mivd-aivd-trollen weer andere kant op rollen
Het Openbaar Ministerie trekt eindelijk de stekker eruit – letterlijk – en dat klinkt stoer, maar het voelt een beetje alsof de kapitein besluit van boord te springen nadat het schip al is gezonken. De DJI doet “onderzoek” naar eigen systemen. Gokje: men ontdekt over drie maanden dat patchbeheer toch iets handiger kan dan via Excel.
En dan de vraag of we de aanval aan een land kunnen toeschrijven. Natuurlijk, want cybercriminelen houden zich altijd netjes aan landsgrenzen en laten een visitekaartje achter. "Groetjes uit Moskou."
Het NCSC doet haar best, maar als niemand luistert, blijft het bij roepen in de digitale woestijn. Het delen van IoC’s is mooi, maar misschien moeten we eerst zorgen dat iemand überhaupt snapt wat een IoC is.
Kortom: als je de IT-veiligheid van cruciale overheidsdiensten runt alsof het een hobbyproject op zolder is, moet je niet verbaasd zijn als het fout gaat. Succes met de Kamervragen.
Aannames, aannames en nog een aannames; en daarmee best stemmingmakend. Of werk je bij het OM en weet je precies wat er aan de hand is? Weet jij dat updates niet tijdig zijn uitgerold; of was de compromitatie voor het beschikbaar zijn van een patch?
Ik heb trouwens liever iemand die met Excel zorgvuldig netjes alle patches uitvoerd en controleerd dan iemand die een prachtig, machtig iSMS en automatisering heeft op basis van set&forget en vervolgend nooit kijkt naar alle updates die fout gaan.
Ik ben het persoonlijk 100% met hem eens. Het zijn zeker geen aananmes, deze incompetantie steekt keer op keer zijn hoofd op. Bij alle ministeries, lokale overheid en overheids instanties. Iedereen die met Citrix werkt weet verder donders goed dat het legacy meuk is want zelfs Citrix profileerd zich niet meer met 'terminal servers' of de VDI ellende van vroeger.
Verder weten we al dat patches niet op tijd zijn uitgerold, dat kan je gewoon via Google vinden. Dus de enige die hier aannames doet, dat ben jij helaas....
Je eindrelaas slaat verder eigenlijk nergens op? Het gaat om het eindresultaat en dat is hier dus een letterlijke ramp.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?