News
ASAPCLOUD.

Zo neemt de digitale transformatie binnen gemeenten een nog grotere vlucht

De kostenpost ICT bij gemeenten is groeiende en de strijd om de juiste ICT-talenten is fel. Belangrijke ontwikkelingen die vertragend zouden kunnen werken bij de digitale transformatie binnen gemeenten. Niets is minder waar. Een kwestie van omdenken.

Drijvers voor stijgende ICT-kosten bij gemeenten

ICT-kosten bij gemeenten zijn stijgende. De gemiddelde kosten per inwoner voor ICT liggen, met gemiddeld 84 euro, twee euro hoger dan vorig jaar. Gemeenten geven inmiddels 2,8 procent van hun begroting uit aan ICT. Hiervoor zijn een aantal oorzaken te noemen. Ten eerste wordt het netwerk van burgers, werkgevers en andere organisaties plus de onderlinge samenwerkingsverbanden steeds groter en complexer. ICT speelt hierbij een belangrijke rol en logischerwijs stijgen dus ook de daarmee gepaard gaande kosten. Daarnaast stijgt de druk om de burger centraal te stellen; nieuwe vormen van digitale dienstverlening doen hun intrede en dat vereist een nieuwe, digitale, manier van werken.

The war on talent

Deze veranderingen vragen om ICT-talent. Gemeenten moeten de concurrentie aangaan met ICT-organisaties om dat talent aan te trekken. Met de krapte op de arbeidsmarkt en de beperktere budgetten van de gemeenten – in vergelijking met het bedrijfsleven – geen eenvoudige opgave, om het woord onmogelijk maar te vermijden. Gevolg? Er worden – met name voor de beheerfuncties – steeds vaker externe ICT’ers ingehuurd, waarmee het streefpercentage van maximaal 10% inhuur door gemeenten ruimschoots wordt overschreden. Volgens de ICT Benchmark Gemeenten 2019 van M&I/Partners vraagt dit om strategisch personeelsbeleid. Of is er ook een alternatief?

Denken in slimme oplossingen

Wij zouden ASAPCLOUD niet zijn als we niet zouden denken in slimme oplossingen. Want waarom moeten de toenemende beheertaken eigenlijk door ICT-personeel worden uitgevoerd, ongeacht het feit of dit nu interne of externe medewerkers zijn? Wat als je taken en activiteiten van de beheerorganisatie automatiseert? Dan geeft dit op veel fronten lucht en kun je de focus verleggen. In plaats van je druk te maken over het aantrekken van getalenteerd ICT-personeel, kun je je focussen op de kwaliteit van output van de geautomatiseerde oplossingen. Daarmee zal ook de focus van het bestaande ICT-team verschuiven van het uitvoeren van beheertaken naar interne ontwikkelingen die ertoe doen. Denk daarbij aan ontwikkelingen op het gebied van de omgevingswet, smart city-ontwikkelingen of Common Ground, de beweging die Nederlandse gemeenten onder de vlag van ‘Samen Organiseren’ hebben ingezet om de dienstverlening aan inwoners en ondernemers te verbeteren met slimmere en modernere ICT. Op deze manier hoeven ICT-medewerkers zich niet meer bezig te houden met de beheerorganisatie, maar helpen gemeenten hun talenten om zich te kunnen ontwikkelen en het verschil te maken. Zo staat niets de digitale transformatie van gemeenten meer in de weg.

Meer weten?

Nieuwsgierig naar hoe wij kunnen helpen de ICT-afdelingen van gemeenten te ontlasten? Neem vrijblijvend contact met ons op via het contactformulier of via 0348 – 200 000 en we vertellen je er alles over.

/door

September Patch Tuesday

Beste IT beheerders, vaar niet blind op de CVSS score alleen, want je gaat geheid nat!

 

September Patch Tuesday

Zeer recent is de September Patch Tuesday uitgekomen die oplossing biedt voor een totaal van 81 geidentificeerde kwetsbaarheden. Het patchen van het besturingssysteem op zowel clients als servers verdient de prioriteit van elke IT-organisatie. Van de patches uitgebracht in September Patch Tuesday, worden volgens de Common Vulnerability Scoring System (CVSS score) 17 patches gedefinieerd als critical. De overige patches worden volgens de CVSS gedefinieerd als belangrijk.

Veelvuldig komt het voor dat de IT beheerders en -organisaties er voor kiezen om enkel die patches te testen en op te nemen in de update releases voor servers en clients die gedefinieerd zijn als critical. Omwille van een gebrek aan capaciteit worden patches die gedefinieerd zijn als belangrijk vaak uitgesteld dan wel uberhaupt niet getest en opgenomen in de update releases. Hier ontstaat de mogelijkheid dat het mis gaat.

 

2 Zero-day kwetsbaarheden volgens CVSS gedefinieerd als belangrijk

Van de 81 oplossingen in de uitgekomen September Patch Tuesday, zijn er 2 gerelateerd aan Zero-day kwetsbaarheden. Een Zero-day (CVE-2019-1214) in het Windows Common Log File System-stuurprogramma biedt een aanvaller, die vooraf toegang tot het netwerk nodig heeft, een manier om bevoegdheden te verhogen door een speciaal vervaardigde applicatie uit te voeren. Dit beveiligingslek is van invloed op alle ondersteunde versies van Windows op de server- en clientzijde.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1214

Een andere zero-day (CVE-2019-1215) in het Winsock-component, geeft een indringer die toegang heeft verkregen met lokale authenticatie de mogelijkheid om code uit te voeren met verhoogde rechten. Dit beveiligingslek treft ook alle ondersteunde Windows op de server- en clientzijde.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1215

Beide kwetsbaarheden of beveiligingslekken, Zero-day (CVE-2019-1214) en (CVE-2019-1215), worden volgens CVSS gedefinieerd als belangrijk, niet als critical. Hierdoor dreigen ze niet de prioriteit te krijgen van IT beheerders en -organisaties, die ze weldegelijk verdienen. Het is belangrijk om niet alleen naar de ernstgraad en de CVSS score te kijken om te bepalen of de patch wel of niet wordt meegenomen in de update release, ook andere factoren spelen een belangrijke rol. Zo is het van belang dat er kritsch wordt gekeken naar het applicatielandschap en wordt beoordeeld wat de impact is van de security updates op het applicatielandschap.

Windows Update voor de service stack

Naast de September Patch Tuesday krijgen alle Windows-systemen een update voor de Service Stack. Microsoft geeft in een uitgebracht advies (ADV990001) aan dat voordat de laatst cummulatieve update wordt verricht, de voorgaande updates voor onderhoudsstacks zijn uitgevoerd.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV990001

Het belang van de volgordelijkheid in uitvoering van patches, wordt ook door overeenkomstige Knowledge-Based artikelen onderschreven. Wordt de volgordelijkheid niet aangehouden dan is het gevolg dat beveilingsupdates niet correct arriveren en niet correct of helemaal niet worden geinstalleerd.

Het feit dat alle Windows-systemen deze update vereisen, wijst op een belangrijke wijziging van Microsoft, mogelijk komt deze al in de aankomende maanden.

IT-organisaties en beheerders moeten deze update bovenaan hun prioriteitenlijst plaatsen, doen ze dit niet dan zouden ze wel eens onaangenaam verrast kunnen worden wanneer Patch Tuesday uit komt en hun systemen geen beveiligingsupdates meer kunnen installeren.

 

We OPTIMISE Your Infrastructure – Update Ready

Resumerend, kunnen we stellen dat een aantal zaken van belang zijn. IT beheerorganisaties dienen kritisch te kijken naar de uitgebrachte patches, te beoordelen wat de consequenties zijn voor de eigen applicatielandschap waarbij er verder wordt gekeken dan de CVSS critical gedefinieerde patches. Daarnaast dient de IT beheerorganisatie zich bewust te zijn van de volgordelijkheid welke nauwsluitend dient te worden gevolgd om beveiligingsupdates correct te laten landen. Dat gezegd hebbende blijft het uiteraard zo dat elke patch die wordt uitgebracht het belangrijk is dat deze wordt getest en gevalideerd alvorens deze wordt opgenomen in de update release voor servers en clients.

Wil je als IT-beheerorganisatie volledig up-to-date zijn waarbij updates vooraf getest en gevalideerd worden alvorens ze geautomatiseerd op je server infrastructuur landen? Zonder dat je voor onaangename verassingen komt te staan? Speciaal hiervoor bieden wij de solution: We OPTIMISE Your Infrastructure – Update Ready aan. Hiermee ben je verzekerd van de juiste prioriteitstelling binnen de beschikbare updates; houden we rekening met de juiste volgordelijkheid; worden de patches getest en gevalideerd alvorens deze geautomatiseerd op je server infrastructuur worden geïnstalleerd. Bovendien, houden we rekening met onderlinge afhankelijkheden van ketenapplicaties of -clusters bij geautomatiseerd updaten.

Met We OPTIMISE Your Infrastructure – Update Ready zorgen wij ervoor dat geidentificeerde kwetsbaarheden / beveiligingslekken op een zorgvuldig en snelle wijze effectief worden weggenomen. Wij nemen de verantwoordelijkheid voor gedegen Patchmanagement uit handen waardoor IT organisaties zich kunnen richten op activiteiten die bijdragen aan het primaire proces. Meer weten hoe wij ook uw IT beheerorganisatie kunnen ontlasten? Neem dan contact op via onze contact pagina

 

Dennis.

/door
Beveiligingsupdates? Wacht niet tot het digitale kalf verdronken is!

Beveiligingsupdates? Wacht niet tot het digitale kalf verdronken is!

We schreven al eerder over de mogelijke kwetsbaarheid van infrastructuren en het belang van een goede digitale beveiliging. Toch blijkt opnieuw dat bij tientallen Nederlandse bedrijven en organisaties de voordeur van hun interne netwerk wagenwijd openstaat. De kwetsbaarheid waarover in dit nieuwsbericht wordt gesproken, wordt veroorzaakt door een lek in de VPN-diensten van onder andere FortiGate-producten, de netwerkbeveiligingsplatforms van het bedrijf Fortinet. In het specifieke geval in dit nieuwsbericht zijn kwetsbaarheden ontdekt bij onder andere de Rijksoverheid en lokale overheden, maar ook bij grote, bekende ict-(beveiligings-)bedrijven die instanties als het Ministerie van Defensie als klant hebben. Fortinet heeft in april al beveiligingsupdates uitgebracht waarmee het lek gedicht kan worden, maar daar zit nou net de crux.

Even uitstellen kan geen kwaad. Toch?

Als organisatie heb je nu eenmaal niet altijd direct de capaciteit beschikbaar om nieuwe patches uit te rollen. Als je dan ook nog verwacht dat er sprake zal zijn van een downtime, is het besluit om een update even uit te stellen snel genomen. Ook het gevoel van schijnveiligheid – ‘We hebben toch FortiGate? Ons kan niks gebeuren!’ – kan ervoor zorgen dat de mogelijke gevolgschade niet helemaal duidelijk is. Tenslotte ontbreekt het vaak ook aan inzicht in wat de impact kan zijn als je de patch niet uitvoert.

Voorkom dat je de put moet dempen

Maar die impact kan gigantisch zijn; namelijk dat je gehackt wordt met alle mogelijke gevolgen van dien, zoals infectie met malware of spionage-software. Als je wacht tot het digitale kalf verdronken is, kan het wel eens heel lastig worden om de put te dempen. Dat wil je voorkomen. Dat betekent dus dat je resources moet vrijmaken en moet accepteren dat je te maken krijgt met een downtime van je systeem. Dat heeft weer allerlei gevolgen voor je verplichtingen aan de business. Maar op het moment dat je vanaf buitenaf gehackt wordt, is er een heel ander probleem op te lossen.

We GUARANTEE your security innovation

Hoe fijn is het als je als organisatie niet meer zelf hoeft na te denken over wat het effect van een nieuwe patch op je infrastructuur is en hoe je om moet gaan met downtime? Dat je de grip houdt op je primaire proces, je systemen blijven draaien en er tegelijkertijd zeker van bent dat er geen kwetsbaarheden in je infrastructuur ontstaan? Onze oplossing We GUARANTEE your security innovation MANAGED FORTIGATE zorgt daarvoor. Nieuwe patches gaan eerst bij ons intern door de digitale mangel: we testen zo’n patch van voor naar achter en van onder naar boven en we bekijken wat de invloed van de patch is op de infrastructuur. Pas als we zeker zijn dat alles aan alle kanten klopt, rollen we zo’n patch uit.

Meer weten?

Dat uitrollen doen we natuurlijk niet zomaar. Ben je benieuwd wat wij met onze oplossing We GUARANTEE your security innovation MANAGED FORTIGATE voor jouw organisatie kunnen betekenen en hoe we te werk gaan? Neem vrijblijvend contact met ons op via het contactformulier of via 0348 – 200 000 en we vertellen je er alles over.

/door
Oproep: Maak de vitale infrastructuur minder kwetsbaar!

Oproep: Maak de vitale infrastructuur minder kwetsbaar!

Zo’n 1000 besturingsapparaten van de vitale infrastructuur in Nederland zijn via het Internet benaderbaar. Alles hangt tegenwoordig aan het internet en de infrastructuur wordt door digitale besturingssystemen geregeld. Recent onderzoek van de Universiteit van Twente geeft aan de er zo’n 60 plekken zijn die eenvoudig te kraken zijn. De vitale infrastructuur kan daarmee in verkeerde handen vallen.

Waarom is Nederland kwetsbaar?

Bij de vitale infrastructuur kun je denken aan bruggen, tunnels, waterwegen, maar ook aan onze energievoorziening. Ze zijn stabiel en goed gebouwd, maar door het niet updaten van de besturingssystemen van deze infrastructuur met de laatste veilige software updates worden we steeds kwetsbaarder voor aanvallen van buitenaf. Het gevolg? Plotseling werkt een brug niet meer of plotseling stopt de energietoevoer.

Waarom worden updates vergeten?

Een mogelijke reden is dat het uitvoeren van updates aan de besturingssystemen vaak betekent dat een vitaal systeem heel even uit de lucht is. Een kort moment van bijvoorbeeld geen gas of geen water levert negatieve sentimenten op. De updates worden daarom niet uitgevoerd wat de algehele veiligheid niet ten goede komt. Het algemene sentiment gaat dan helaas vóór security.

Het ontbreken van een gesloten systeem

In onze vorige blog schreven we al dat er maatschappij ontwrichtende situaties kunnen ontstaan, omdat alle vitale besturingssystemen aan het openbare internet hangen. Moet de vitale infrastructuur dan aan één gesloten infrastructuur hangen die door geen enkele hacker is aan te vallen? Dit idee klinkt goed maar daar is wel veel pro activiteit van het kabinet voor nodig. De juiste kennis en alertheid in Den Haag ontbreekt, terwijl er nu actie noodzakelijk is. Dat is een uitdagende combinatie die in tijd van urgentie nauwelijks valt uit te voeren is onze mening.

Onze oplossing

Begin nu met het uitvoeren van updates van de besturingssystemen van de vitale infrastructuur. Door patches vooraf te testen en te valideren en daarna pas uit te rollen conform de richtlijnen van de leverancier. Hierdoor voorkomen we onverwacht negatief gedrag zoals mogelijke downtime maar nog veel belangrijker de benaderbaarheid van deze besturingsapparaten wordt hierdoor flink verminderd. De kans dat vitale infrastructuur wordt gehackt, met mogelijke gevolgen zoals onlangs in Leiden het geval was, neemt dan ook sterk af. Op een gestructureerde en georganiseerde wijze patches uitvoeren verzorgen wij met We OPTIMISE your infrastructure, binnen het abonnement Update Ready.

Zorg dat Nederland minder kwetsbaar wordt door hackers

Bij de totstandkoming van deze blog hebben we ons laten inspireren door een recent artikel van Tubantia genaamd “Onderzoek Universiteit Twente: ‘Nederland kwetsbaar voor hackers.’ Je kunt hier veel aanvullende informatie teruglezen en ook een interessant radiofragment over internetveiligheid in Nederland beluisteren. Want hoe meer apparaten met het internet verbonden worden, IoT (Internet of Things) hoe hoger de urgentie om de optimale veiligheid van Nederland voor iedereen te garanderen.

Eens? We helpen er graag bij.

/door