Hackersgroep LulzSec (omg wat een exposure, GJ) heeft de oorlog verklaard aan overheden, banken en andere grote instanties. "Operation Anti-Security" #AntiSec is gelanceerd in de vorm van een oproep aan iedereen die wil om mee te doen aan een grootschalige en voortdurende poging zoveel mogelijk geheime informatie te verkrijgen. Anonymous doet alvast mee...
Het is een soort Wikileaks 2.0. Waar Julian Assange de informatie aangeleverd kreeg, gaat LulzSec het gewoon halen. En in tegenstelling tot hun eerdere acties niet gewoon-omdat-het-kan (voor de Lulz), maar echt met een ideologische inslag, zo lijkt het. Ik had eerlijk gezegd best een beetje sympathie voor deze beweging. Ze legden feilloos bloot hoe gevaarlijk het internet is, wat inderdaad nodig is omdat mensen het maar niet willen begrijpen. Met deze actie krijgt het wel een iets andere draai en verliest de club mijn sympathie. Ik ben er namelijk van overtuigd dat geheimen soms noodzakelijk zijn en een buitenstaander kan het noodzakelijke niet van het vermijdbare scheiden; althans het lijkt niet eens de bedoeling te zijn het te proberen. Niet van Julian Assange en dus ook niet van LulzSec of Anonymous.
Nu wil ik deze dreiging voor onze overheid eens afzetten tegen een ervaring die ik heel recent had bij 1 van onze ministeries (ik zal maar geen namen noemen om het nog een beetje spannend te houden). Daar stond de beheerder van hun desktop beveiliging op het punt van vertrekken en die had zichzelf afgevraagd wie dat eigenlijk van hem over moest nemen. Hij had zelf dat beheer min of meer er altijd een beetje bij gedaan, wat neerkwam op hooguit 1 controlemoment per week en dat is nog hoog ingeschat. De vraag of dat voldoende aandacht voor endpoint beveiliging is, moest nog beantwoord worden. Even voor de duidelijkheid mijn antwoord: neeneeNEEN! Vooral niet als je zoals bij dit ministerie je gebruikers compleet vrij op het internet laat: geen content-scanning in http, en ook geen url-filtering. De enige beveiliging = anti-virus, die tegenwoordig elke dag 75.000 nieuwe virussen moet leren kennen in de vorm van een update. 1 gemiste update in 2011 staat gelijk aan een half jaar gemiste updates 10 jaar geleden. En dat controleer je dus NIET 1x per 2 weken maar gewoon elke dag, 7 dagen per week, 365 dagen per jaar. Inderdaad ja.
Het controleren van je beveiligingstechnologie is zoals het bekijken van de beelden van een bewakingscamera. Als je niet zeker weet dat die camera het nog doet: wat is dan het nut? Een grove fout is dat men in de IT Security vaak calamiteiten denkt op te lossen door technologie aan te schaffen. Weer in vergelijk met die camera: als je mazzel hebt, wordt ie opgehangen...
Nee NL overheid, u kunt maar beter direct beginnen in actie te komen. Als ze bij de N zijn is het te laat.
Geen opmerkingen:
Een reactie posten