Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

04/04/2022

Overheid wil red teaming uiterlijk in 2025 vast opnemen in planning en begroting

Lees het originele artikel hier
Cyber Defense

De rijksoverheid wil red teaming, waarbij de digitale veiligheid van systemen, processen en mensen wordt getest, uiterlijk in 2025 vast opnemen in de testplanning en begroting. Ook komt er een normenkader voor securitytesten. Dat laat staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer weten.

Bij red teaming wordt door een red team een realistisch aanvalsscenario toegepast om beveiligingsmaatregelen, op het gebied van mensen, processen en techniek te testen. Zo kunnen zwakheden worden vastgesteld, kan het personeel worden getraind en wordt gemeten in welke mate de organisatie 'in control' is op het gebied van informatiebeveiliging. Daarnaast creëert een red team oefening awareness.

Eind vorig jaar wilde een meerderheid in de Tweede Kamer dat er zou worden onderzocht of een 'cyberstresstest' bij de rijksoverheid kan worden uitgevoerd, net zoals nu bij banken het geval is. Dat onderzoek is nu uitgevoerd. "De belangrijkste, en positieve, conclusie is de bevestiging dat red-teamingtesten al binnen onderdelen van de rijksoverheid worden toegepast", aldus Van Huffelen.

Volgens de staatssecretaris is het voor het uitvoeren van de beveiligingstests belangrijk dat er een vertrouwde omgeving beschikbaar is, zowel fysiek, digitaal als sociaal. "Verder is het van belang dat de uitkomsten en bevindingen zo worden geformuleerd dat ze voor andere organisaties binnen de rijksoverheid dan de geteste organisatie bruikbaar zijn. Informatie over specifieke kwetsbaarheden zal daarmee in principe vertrouwelijk blijven", laat ze verder in de brief weten.

Om red teaming verder bij de rijksoverheid in te zetten is een plan van aanpak opgesteld. Zo komt er een gezamenlijke jaarlijkse testkalender, die ook wordt uitgevoerd, een veilige omgeving waarbinnen kennis, opgedaan vanuit de testen, gedeeld kan worden en een proces om bevindingen deelbaar te maken. Het is de bedoeling dat de basis hiervoor dit jaar wordt gerealiseerd, om daarna verder door te groeien.

"Uiterlijk in 2025 zal de ambitie volledig zijn ingebed in de rijksbrede manier van werken en zijn red-teamingtests vast opgenomen in de testplanning en begrotingscyclus", stelt de staatssecretaris. Tegen deze tijd is het ook de bedoeling dat er een normenkader beschikbaar is voor securitytesten, waarbij ook naar ketens wordt gekeken.

Niet iedereen heeft toegang tot de middelen waar de overheid toegang toe heeft. Voor een Redteam is hele specifieke en dure kennis nodig. Vanuit Cert2Connect bieden wij de Cymulate Breach and Attack Simulation oplossing aan, welke u instaat stelt om meer dan 90% van de testen zelf uit te voeren en de overige 10% te vergemakkelijken.

Neem contact met ons op voor een Demo

Contact
22/03/2022

Onderzoek: 30 procent Log4j-instances nog altijd kwetsbaar

Lees het originele artikel hier
Cyber Defense

Dertig procent van de applicaties, servers en andere systemen die van Log4j gebruikmaken is nog altijd kwetsbaar, zo stelt securitybedrijf Qualys op basis van eigen onderzoek. Op 9 december werd er een kritiek lek in de Log4j2-library gevonden, waardoor het mogelijk is om systemen op afstand over te nemen.

72 uur na de bekendmaking van het beveiligingslek had Qualys naar eigen zeggen al bijna één miljoen aanvalspogingen gezien. Het bedrijf baseert zich op cijfers van het eigen cloudplatform, waarmee het "it assets" kan scannen. Log4Shell, zoals het beveiligingslek in Log4j wordt genoemd, werd in meer dan drie miljoen kwetsbare instances aangetroffen. Meer dan twee maanden later is dertig procent van de Log4j-instances nog altijd kwetsbaar.

Uit het onderzoek bleek verder dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is en meer dan de helft van de kwetsbare applicaties het stempel "end-of-support" heeft. Voor deze applicaties zullen dan ook waarschijnlijk geen beveiligingsupdates meer verschijnen.

Het installeren van beveiligingsupdates of andere mitigaties duurde gemiddeld zeventien dagen. Systemen die vanaf afstand kon worden aangevallen werden daarbij sneller gepatcht (twaalf dagen) dan interne systemen. Log4Shell werd in meer dan 2800 webapplicaties aangetroffen. "Aangezien webapplicaties publiek toegankelijk zijn, was dit de voor veel bedrijven de eerste verdedigingslinie om vroege aanvallen af te slaan", zegt Mehul Revankar van Qualys.

Controleer uw omgeving met Cymulate en zie welke systemen interne en extern kwetsbaar zijn en wat de mate is dat de geexploit kunnen worden.

Neem contact met ons op
09/03/2022

Kuipers: onbekend hoeveel ziekenhuizen door cyberaanvallen zijn geraakt

Lees het originele artikel hier
Cyber Defense

Het is onbekend hoeveel Nederlandse ziekenhuizen en andere zorginstellingen de afgelopen jaren door cyberaanvallen zijn geraakt, zo laat minister Kuipers van Volksgezondheid weten. De minister reageerde op Kamervragen van de VVD, die opheldering had gevraagd naar aanleiding van berichtgeving in de media dat Nederlandse ziekenhuizen kwetsbaar zijn voor cyberaanvallen.

"Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen", antwoordt Kuipers op vragen van VVD-Kamerleden Rajkowski en Tielen. Volgens de minister zijn zorgaanbieders, zoals ziekenhuizen, verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. "Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen."

Rajkowski en Tielen wilden ook weten hoeveel Nederlandse ziekenhuizen en andere zorginstellingen de afgelopen jaren zijn getroffen door cyberaanvallen, om wat voor soort aanvallen het ging en in hoeveel gevallen de continuïteit van de zorg in gevaar is gekomen als gevolg van een cyberaanval. "Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht", reageert de minister.

Hij voegt toe dat Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, de afgelopen drie jaar ruim dertienhonderd hulpverzoeken en meldingen van (cyber)incidenten heeft ontvangen. Zo lieten vorig jaar vijf zorginstellingen weten dat ze waren geraakt door een ransomware-aanval, vier meer dan in 2020. Verder stelt Kuipers dat hij met de sector en Z-CERT samenwerkt om de zorg weerbaarder te maken.

Cert2Connect heeft tal van oplossingen welke organisaties zelf hun security controls laten valideren. Hierdoor kunt u zelf testen  wanneer het u uitkomt en verzekerd u uwzelf en uw patienten, clienten en medewerkers dat u niet de volgende in de lijn bent. Neem contact op met ons en wij vertellen u over de mogelijkheden.

Neem contact met ons op
Load more