Wilt u op de hoogte blijven van het belangrijkste financiële nieuws?
Like ons dan op Facebook. Vinden we leuk!

REACTIES

Zolang het compleet verouderde e-mailsysteem nog massaal gebruikt wordt (door overheid, bedrijfsleven en burgers) en een voorzitter van de Democratische partij in de VS (net zo'n digibeet als het halve kabinet hier) gebruik maakt van Gmail (zonder tweestaps authenticatie) en gewoon op phishing mailtjes van Russische trollen klikt (en daar godbetert zijn wachtwoord nog invult ook) is er helemaal niets veilig.
Heel dat ICT beleid van de overheid zou overgenomen moeten worden door capabele bedrijven als FoxIt, want ze hebben geen flauw idee wat de risico's zijn en hoe deze in te dammen. Ik zeg; stel bijv. iemand als Ronald Prins aan als minister van ICT, verdriedubbel het cybersecurity budget en zorg voor massale bewustwordingscampagnes. En zorg dat kritieke systemen niet zijn aangesloten op het internet of enig ander netwerk. En bij gevoelige documenten; de gewone post is zo gek nog niet.

JackRyan | 09-01-17 | 17:50

En verwijder a.u.b. alle USB-poorten uit de computers van ambtenaren/publiekelijke instanties, voordat zo'n digibeet er uit nieuwsgierigheid een op straat gevonden USB-stick in steekt.

JackRyan | 09-01-17 | 18:11

Eigenlijk is ICT niet beveiligen. De overheid moet niet afhankelijk zijn van ICT. Want de betrouwbaarheid is uiteindelijk nul komma nul. Als de "russen" er geweest zijn, kan ik ineens houder zijn van je bankpas of je krijgt ineens mijn sofi-nummer (oude naam).

Als de ICT er uit ligt, maar gaan veel bedrijven op slot en de heb het nog niet over iets simpels als elektriciteit.

Yoo2621 | 09-01-17 | 18:15

@JackRyan | 09-01-17 | 17:50
Een systeem is net zo veilig als de mensen die ermee werken, ongeacht hoeveel geld je er in investeert. In de jaren zestig wisten mensen al dat de enige manier om een systeem absoluut veilig te maken bestaat uit het volledig loskoppelen, in beton gieten en afzinken in een trog.

En dat is nog steeds zo. Het is nog net niet zo erg als de deur wagenwijd open laten staan, maar zo lang mensen overal maar op klikken in de veronderstelling dat wat ze lezen ook klopt zullen er altijd andere mensen zijn die meekijken of de boel overnemen ten gunste van zichzelf. Helaas zijn de mensen die zich onze bestuurders wanen doorgaans niet de meest grote lichten en die blijven dus klikken hoe vaak je ze ook vertelt dat ze dat niet moeten doen.

Pierre Tombal | 09-01-17 | 19:03

gebruik maakt van Gmail (zonder tweestaps authenticatie) en gewoon op phishing mailtjes van Russische trollen klikt
JackRyan | 09-01-17 | 17:50
-
Zolang er nog veel onzin en zin uitgekraamd wordt over digitale beveiliging, is het wel lastig voor leken om te bepalen wat je wel en niet moet doen.
-
Gmail is een van de e-mail services die volledig encrypt zijn, dus niet zoals sommige, alleen de inlog, maar ook het lezen, schrijven en versturen van email. Kul dus.

Tweetraps authenticatie voegt NIETS toe aan goed gekozen en "bewaarde " inlognaam en wachtwoord: die raad je namelijk niet en vind je niet. Dus Winter2017 is geen goed wachtwoord, evenals 1234AB1, je postcode, of verjaardag. Tweetraps is vooral een telefoonnummer vanger om (commerciële) redenen.

E-mail van onbekenden lees je niet, die mik je ongelezen weg. Helemaal als er een bijlage bij zit. Ik ben zuinig op mijn e-mail adres, maar ook ik ontvang een berg rotzooi e-mail op mijn webmail adres.

Overheidswebsites zouden verplicht geheel https moeten zijn: het gaat niemand ene donder aan dat je op die website zit. Laat staan dat ze mogen weten waarvoor je daar op zit. Vaak is het privé, of zakelijk (uitkering, lapje grond kopen, een zaak daar beginnen) en dat maakt dat er misbruik van kan worden gemaakt.
Plasterk snapt er dus ook niks van.

Raider Twix | 09-01-17 | 19:24

Beveiliging staat of valt bij de wil om te beveiligen (en daar ook op toe te zien) en ook een flink stuk discipline: ik ben door de jaren heen nogal eens van werkgever gewisseld en van de 14 e-mailadressen die ik in de afgelopen 22 jaar via een werkgever heb 'mogen' gebruiken werkten er bij mijn laatste rondje langs de velden nog welgeteld 10 (TIEN)! Ook inlogcodes voor andere systemen blijken gewoon nog te werken, óók van systemen waar echt helemaal niemand iets te zoeken heeft.

Systemen dichttimmeren: prima. Maar schoon dan ook je user-accounts acuut op zodra iemand de organisatie verlaat. Onnodig te zeggen dat al die mailaccounts en inlogdingetjes allemaal gerelateerd zijn aan (semi-)overheidsinstellingen.

Ik zal er nooit misbruik van maken maar het is werkelijk een fluitje van 'n cent. Ergo: Plasterk kan lullen wat 'ie wil maar hij praat pe0p. Amateurisme FTW!

Reinaert | 09-01-17 | 19:38

Raider Twix | 09-01-17 | 19:24 | +
In een perfecte wereld waarin iedereen voor elke website een ander sterk werkwoord bedenkt en deze alleen in zijn hoofd bewaart en er geen phishing sites en keyloggers bestaan heb je gelijk.
In een andere wereld is tweetraps authenticatie best een flinke extra horde voor kwaadwillenden. (je ziet niet voor niets half zakelijk Nederland met een RSA token aan zijn sleutelbos)

joozd | 09-01-17 | 19:45

@ JackRyan | 09-01-17 | 17:50
Dan ben je er nog niet. Want in zijn uitvoerende dienst wemelt het nog van lieden met een IQ van

F. von Zeikhoven | 09-01-17 | 19:47

Raider Twix | 09-01-17 | 19:24
Ik kraam geen onzin uit. Als je van Gmail naar iemand anders (met een andere e-mailprovider) een e-mail stuurt, dan is er helemaal niets versleuteld (tenzij je PGP e.d. gebruikt). Dat valt gewoon te onderscheppen door kwaadwillenden. E-mail is namelijk per definitie een compleet verouderd systeem, net zoals Flash, dat hoognodig vervangen moet worden door een modern alternatief.

Een belangrijke figuur als Podesta binnen een grote partij in het machtigste land ter wereld zou geen gebruik moeten maken van een gratis e-maildienst als Gmail. Net zoals Henk Kamp geen gebruik had moeten maken van Gmail. Het is gewoon amateuristisch en gemakzucht. Als Google dat wil dan kunnen ze alles meelezen van bewindslieden, dat zou natuurlijk niet moeten mogen.

Als Podesta tweestaps authenticatie had ingeschakeld, dan had zijn e-mail nooit "gekraakt" geweest en waren die e-mails nooit gelekt. Ze hebben hem immers toch wel zijn wachtwoord ontfutseld, tegen jouw theorie in, middels een phishing mailtje (hoe knullig wil je het hebben). Dat kan overigens ook gebeuren middels een keylogger. Tweestaps authenticatie voorkomt op zo'n moment dat iemand toegang krijgt, ondanks de menselijke fout.
Overigens hoeft tweestaps authenticatie niet per se met een telefoonnummer/SMS te gebeuren. Kan ook op vele andere manieren.

En als tweestapsauthenticatie niet werkt, verklaar dan eens waarom systeembeheerders e.d. wel altijd dit soort inlogmethodes gebruiken?

BTW, een wachtwoord zou minstens 6 á 7 diceware woorden lang moeten zijn. Alles daaronder is in principe te kraken (ligt eraan hoeveel kWh/€ en tijd je er voor over hebt). Zie ook: theintercept.com...

En zoals PierreTombal/Reinaert terecht opmerken, het valt of staat met kennis en discipline.


JackRyan | 09-01-17 | 20:06

Raider Twix | 09-01-17 | 19:24
En https is nog geen garantie voor een veilige verbinding, want daar kan nog steeds van alles mis mee zijn: www.ssllabs.com...

JackRyan | 09-01-17 | 20:15

"Ik kraam geen onzin uit. Als je van Gmail naar iemand anders (met een andere e-mailprovider) een e-mail stuurt, dan is er helemaal niets versleuteld (tenzij je PGP e.d. gebruikt). Dat valt gewoon te onderscheppen door kwaadwillenden. E-mail is namelijk per definitie een compleet verouderd systeem, net zoals Flash, dat hoognodig vervangen moet worden door een modern alternatief."
@JackRyan | 09-01-17 | 20:06

Verouderd of niet, wanneer de andere kant jouw bericht niet kan ontcijferen kan je net zo goed niks sturen. In de regel houdt dit in dat het laatste deel van de communicatie vrijwel altijd onversleuteld is en laat dat nou net het deel zijn waar een man in the middle attack het meest zinvol is omdat daar de minste ruis bestaat. Wat jij roept is niet nieuw maar is bewust terzijde geschoven omdat het niks wezenlijks toevoegt. Voor wie die extra veiligheid wel wil is er PGP, waarbij verzender en ontvanger onderling de versleuteling hebben afgesproken, maar dat werkt dus niet wanneer dezen geen bekenden van elkaar zijn. Zoals bijvoorbeeld een kiezer die zijn volksvertegenwoordiger emailt. Ik vermoed dat er zelfs ICT beveiligingsdeskundigen zijn die dat onmogelijk maken niet echt een heel goed idee vinden.

Pierre Tombal | 09-01-17 | 21:02

Pierre Tombal | 09-01-17 | 21:02 |
Juist daarom moet het e-mailsysteem wereldwijd z.s.m. op de schop en vervangen worden door een open source modern systeem, waarbij alles standaard volledig versleuteld verstuurd wordt, incl. bijlagen e.d. En waarbij verzenders/ontvangers ook veel beter te verifiëren zijn (ter voorkoming van spoofing e.d.), zodat je zeker weet dat de verzender ook daadwerkelijk degene is die je denkt dat het is (denk bijv. aan een systeem als de blauwe vinkjes bij Twitter).
Die volksvertegenwoordiger zou ervoor kunnen kiezen zijn publieke PGP sleutel naast zijn e-mailadres te vermelden, op de website van het parlement. Desondanks is PGP eigenlijk alleen weggelegd voor degenen die security-minded zijn en dus niet voor het algemene publiek (digibeten, waaronder volksvertegenwoordigers en burgers), aangezien het niet heel simpel te gebruiken is en er discipline voor nodig is. Het is uiteindelijk slechts een omslachtig lapmiddel voor het verouderde e-mailsysteem. Ook kun je makkelijk fouten maken bij het gebruik van PGP, als je niet oplet.
95% van de gebruikers zijn in principe digibeet en zouden bijv. middels o.a. verplichte tweestaps authenticatie, een nieuw modern e-mailsysteem en verplichte beveiligde verbindingen tegen zichzelf in bescherming genomen moeten worden.
Waarom dit niet allang in UN of OECD verband samen met de grote tech-bedrijven is aangepakt begrijp ik totaal niet, aangezien de exponentieel steeds belangrijker wordende digitale infrastructuur niet meer tegen te houden is.
Ook zou de Autoriteit Persoonsgegevens er nog veel strakker bovenop moeten zitten, zowel in het voorkomen als bij het bestraffen van datalekken door organisaties. Daarom zeg ik, verdriedubbel het ICT-beveiligingsbudget en stel capabele en bewezen bewindvoerders aan, die kennis van zaken hebben. Het begint natuurlijk al bij het in voldoende mate opleiden van capabele security specialisten op de universiteit.

JackRyan | 09-01-17 | 22:20

Plasterk vergeet hier even de hoofdreden waarom SSL/TLS ooit ontstaan is. Namelijk om een AUTHENTICITEIT van de website te garanderen. Omdat op een gegeven moment de SSL certificaten zonder echte controle werden uitgegeven is men uiteindelijk met de EV-SSL certificaten gekomen. Deze certificaten zorgen voor het groene blok met de naam van het bedrijf in de adresbalk.

Mijn bedrijf voorziet bedrijven van een backend systeem. Sommige klanten willen vaak een server welke volgens bepaalde specificaties is opgesteld. Daarom heb ik gekozen voor wildcard EV-SSL certificaten van DigiCert. Voor 600 dollar zijn alle subdomeinen (inclusief de mailserver) beveiligd met TLS (SSLv3 is verouderd) en de klant ziet ALTIJD de groene naam in de adresbalk. Net als banken hameren wij erop dat je hierop controleert voordat je credentials invoert.

Want phishing websites hebben vaak wel SSL, maar geen EV-SSL certificaten en dat is een simpele manier om te voorkomen dat credentials uitlekken. Hoeveel consumenten zullen daadwerkelijk weten dat je alleen via DigiD kunt inloggen op het UVW? Ik weet zeker dat als ik een phishing website neerzet op de url wwwuwv.nl (let op geen punt achter www), meer dan 50% gewoon de credentials invoert op mijn phishing website. Consumenten zijn niet technisch en je mag dit ook niet verwachten . Daarnaast betaal je belasting zodat de overheid zorgt voor een veilige omgeving (althans dat was de originele gedachte). Een veilige internet omgeving voor alle overheidwebsites behoort gewoon de standaard te zijn. En als je als overheid geen budget meer hebt, kun je altijd nog naar alternatieven zoals Let's Encrypt kijken waar je GRATIS certificaten kunt krijgen. De certificaten zijn 90 dagen geldig en na 60 dagen kun je volautomatisch een 'renewal' doorlopen.

De minister kan alleen maar met drogredenen komen waarom nog niet alle overheid websites zijn beveiligd en dat doet hij dan ook..

TuurlijkNiet | 09-01-17 | 23:32

Ach weer een politicus die de klok heeft horen luiden maar niet weet waar de klepel hangt. Ik vermoed in zijn broek. Vroeger stond hij in de weg en tegenwoordig hangt hij in de weg.

protonplof | 10-01-17 | 06:40

@TuurlijkNiet | 09-01-17 | 23:32
Phishing sites hebben uiteraard geen ssl. Als dat wel zo was zou iedereen namelijk weten wie het is, of je browser slaat alarm omdat het certificaat niet door een "vertrouwde" partij is uitgegeven en dan snapt zelfs een politicus dat er iets niet klopt.

Met "vertrouwd" tussen aanhalingstekens, want wie is of zijn clubjes als Verisign en DigiCert eigenlijk? Dat soort clubjes betalen grof geld aan onder andere Microsoft en Debian om hun certificaten standaard op jouw computer aanwezig te laten zijn zodat zij vervolgens kunnen verdienen aan het verhuren van certificaten. In wezen haalt dit het nut van ssl compleet onderuit, want in plaats van twee partijen die onderling een versleuteling afspreken is hier nu dus al sprake van (tenminste) een derde partij. De vraag die zich hierbij opdringt is of dit soort bedrijfjes überhaupt wel in staat zijn om iedereen die hun betaalt voor een certificaat wel is wie hij zegt te zijn, hetgeen uiteraard daarop wel de claim is die de certificaat uitgevers doen. Als Bank A een certificaat huurt van Verisign en iemand anders huurt er op naam van Bank A eentje bij DigiCert, kan jij dan bepalen welke de echte is?

Voor bedrijven die ad-hoc bezoekers willen aantrekken is deze aangeboden dienst uiteraard een must, maar het is feitelijk niets meer dan schijnveiligheid.

Pierre Tombal | 10-01-17 | 09:21

(je ziet niet voor niets half zakelijk Nederland met een RSA token aan zijn sleutelbos)
joozd | 09-01-17 | 19:45 | + 1

Een RSA token zorgt voor een VPN: een versleutelde verbinding, via een speciale inlog.
-
Raider Twix | 09-01-17 | 19:24
Ik kraam geen onzin uit. Als je van Gmail naar iemand anders (met een andere e-mailprovider) een e-mail stuurt, dan is er helemaal niets versleuteld
JackRyan | 09-01-17 | 20:06 | + 2

Als je naar mijn versleutelde webmail of domeinmail e-mailt, is dat versleuteld. Je weet waar je naar mailt.
-
En als tweestapsauthenticatie niet werkt, verklaar dan eens waarom systeembeheerders e.d. wel altijd dit soort inlogmethodes gebruiken?

Tweetraps authenticatie voegt NIETS toe aan goed gekozen en "bewaarde " inlognaam en wachtwoord
Beter lezen. De baas weet dat zijn werknemers Zomer2017 als wachtwoord gebruiken. Ik gebruik dat niet.
-
Raider Twix | 09-01-17 | 19:24
En https is nog geen garantie voor een veilige verbinding, want daar kan nog steeds van alles mis mee zijn: www.ssllabs.com...
JackRyan | 09-01-17 | 20:15 | + 2

Daar gaat je tweetraps dus ook.
Toch maar een postduif inhuren.

Raider Twix | 10-01-17 | 17:02

Klik ik toch even op dat NOS interview met Zalm.

Daarin staat het volgende:
"We hebben Zalm een paar stellingen met dilemma's en kwesties voorgelegd. Om te beginnen of hij voor een zwakke euro is of voor een sterke gulden? Zalm lacht. "Iedereen heeft heimwee naar de gulden, maar in de guldentijd hadden we inflatie met dubbele cijfers en dat is iedereen vergeten."

De volgende zin deed mij argwanen:
"...in de guldentijd hadden we inflatie met dubbele cijfers en dat is iedereen vergeten."

Het is een abjecte leugen. Waarom zegt hij dit? Ik heb de cijfers van het CBS er nog eens op nageslagen en sinds 1963 hadden we slechts éénmaal inflatie met dubbele cijfers, namelijk 10,2% in 1975. Hij is 64 en vergeet toch echt een stuk meer dan iedereen met een kritische geest.

Kijkt u zelf maar eens: statline.cbs.nl...

Noltie | 11-01-17 | 09:58

Reacties op dit artikel zijn gesloten