RDI !?

Vincent, Zou je een openhartige dialoog aan durven over onderstaande observaties?

a) https://gratis-4107367.jouwweb.nl/struisvogelpolitiek/2ekamer-commissie-j-v

b) https://gratis-4107367.jouwweb.nl/struisvogelpolitiek/abdo-abro-virbi-bio-wbni-blijken-structureel-disfunctioneel

Wat precies…? Ben wel nieuwsgierig 😀
https://www.linkedin.com/posts/anna-de-wit-sqcic_bbn3tbb1-failures-are-ignored-by-cisos-ugcPost-7435729142685429760-HkBc

Dat er spionage & sabotage Toegang genegeerd blijkt te worden :( door ivoren toren CISO's en BZK/JenV. Ondanks vele meldingen in de media de laatste tijd.
Die PAN apparatuur zou volgens VIRBI en ABDO helemaal niet gebruikt mogen worden voor ''beveiliging'' van BBN2/3 & TBB1/2 omgevingen !

In een notendop: Die PaloAlto 'security' systemen worden in Nederland veel gebruikt voor grote organisaties beveiliging van netwerken. Maaaaar het is eigenlijk USA spionage apparatuur waarmee er onopgemerkt volledige toegang op afstand is en informatie over al het netwerkverkeer en over alle gebruikers geprofileerd word !

Bij het "reverse engineren" van dat systeem komt dat in beeld, hoe 't werkelijk onder de motorkap in elkaar zit, en is het ook niet zo moeilijk om zelf "root access" = volledige toegang te krijgen en aanpassingen te doen.🙈🙉🙊👥

~ Retorische vraag: Welke CISO's en Security Architecten hebben "Goedkeuring" gegeven om dat 'product' te gebruiken voor BBN3/TBB1 classified verwerkende infra ?
* in die lijst namen zit een intrigerende gemene deler...🚩

Hoe dan wel? Is er een opensource oplossing? Of een EU / NL alternatief die in de gehele keten van de dienst “secure” is…?

En wat is de kans dat deze partij / leverancier dan op termijn niet wordt verkocht aan bijv. een Amerikaanse partij…?

Oplossing zit 'm niet in een product of leveranciers, maar in een wat andere methode voor de beveiliging!

Als je de infra componenten op zich volgens "Safeguard" methode inricht, dan heb je geen extra security producten nodig om evt kwetsbaarheden te gaan mitigeren (logisch).

De nodige IT componenten kies je uit de vele opensource opties die beschikbaar zijn, zodat je volledige inzicht en controle kan hebben ..en.. zelf aanpassingen (laten) doen waar nodig. !Zonder afhankelijkheid van grillen van productleveranciers die onder een regime 'achterdeuren' moeten inbouwen. !
Die opensource componenten dienen dan Niet zo maar (Default Config) in gebruik genomen te worden, maar eerst netjes binnen de "Safeguard" structuur ingericht en geplaatst te worden om evt kwetsbaarheden uit te sluiten.
*klinkt zo wat te abstract, maar als je de details eenmaal weet, dan is het net zo eenvoudig als het maken/bakken van een goed brood (iets dat je kan leren en dan pas "vanzelfsprekend" is.)

Bijv al vele jaren lang bij o.a. Belastingdienst en Jubit/Justnet+Rechtspraak en Gemnet en TenneT/Alliander en Schiphol en .. zeer ernstige beveiliging tekortkomingen geconstateerd, die apatisch maar verzwegen worden omdat o.a. de CIO's & CISO's de hoop hebben opgegeven wat betreft leveranciers integriteit. ~Dus dondersgoed weten dat ze troep producten in huis halen, maar angst hebben voor opensource en ^eigenverantwoordelijkheid^ voor compliance, dus 't maar afschuiven op grootste leveranciers als excuse dat die het wel 'beter' zouden kunnen~
Terwijl er voldoende wel degelijke opties beschikbaar zijn, ..als.. men maar die band met de 'big tech' bedrijven zou "willen" verbreken om weer op eigen benen te kunnen staan.

In het document aan 2e kamer commissie staat als laatste iets over hoe kennis te mogen kunnen nemen van die "Safeguard" methode (o.a. NDA).
Aan jou (en RDI) om daar een kleine moeite voor te doen om er kennis van te gaan nemen..

Het is geen commerciele methode, maar een simpele manier om beveiliging te waarborgen zonder bureaucratie complexiteiten. Puur pragmatische "How-To" regels die toegepast worden om gelaagde beveiliging te realiseren op alle losse componenten voor de gehele structuur.

#Gaat trouwens niet alleen over IT componenten, maar ook over fysieke preventie van criminele en spionage Infiltratie & kwetsbaarheid van medewerkers in sleutelposities..
[RDI heeft zelf nog steeds geen functionele preventie/detectie methode, is al lang gebleken en besproken maar genegeerd :( {{zitten wat 'medewerkers' die niet door een L3 sec_check heen zullen komen zonder kleerscheuren, maar 'binnen zitten' omdat die controle structuur er niet werkelijk is}}

RDI heeft zelf opvallend veel (geheel onnodige) kwetsbaarheid, lekkages en non-compliance issues.
RDI zou een Prove of Concept (PoC) met de eigen org kunnen doen, om dan ook zelf het Goede Voorbeeld te gaan geven, naar iedereen...

Ps.
Vincent, een oprechte vraag aan jou over kern van beveiliging bureaucratie probleem:
Waaaarom laat RDI de ISO27001 corruptie toe !?
Waarom mogen organisaties die overduidelijk niet voldoen aan die norm en wet & regelegeving, toch wel van RDI😇 oogluikend een certificaat "Kopen" bij bedrijven zoals DEKRA,DNV,KIWA,enz !!?

Vincent Toms 3:46 PM

Als ik je goed begrijp is SAFEGUARD een oplossing? Ook voor ISO certificeringen , ABRO, VIR BI, SOC2 en “secure by design”?

Kunnen anders wel een keer fysiek afspreken in Den Haag. Communiceert makkelijker 🙂

VT@> Als ik je goed begrijp is SAFEGUARD een oplossing? Ook voor ISO certificeringen , ABRO, VIR BI, SOC2 en “secure by design”?

# Eenduidige antwoord op jou vraag is: JA, dat is het.

Zodra je het onderliggende basis principe weet, is het ook geheel vanzelfsprekend.
Te vergelijken met "Eureka" moment van Archimedes.

Geef maar aan waneer je er daadwerkelijk openhartig over in gesprek wil gaan. 🤔

--
{Ps.
? Neem aan de je inmiddels weet dat er diepgaande "inside info" al lang en breed bekend is over hoe o.a. RDI operationeel intern werkt, als gevolg van sec-off functies bij wat BBN3 class. type orgs en van RDI'rs.
Dus.. we er niet geheimzinnig over hoeven doen wat er liever verzwegen word voor de schone schijn van RDI's publieke imago, maar gewoon pragmatisch man en paard kunnen noemen. }
Dat het dus maar een retorische vraag is, "Waarom.. RDI het al heel lang oogluikend gedoogd ...". Bedoeld om te zien of je wel/niet eerlijk de inhoudelijke materie bespreekbaar wil hebben.

Kunnen deze week, of begin volgende week.
Geef maar aan wat je uitkomt, en zorg er voor dat we er rustig 3 uurtjes de tijd voor kunnen nemen met een potje thee er bij.
--
Zou je als teken van goodwill wel die elementaire vraag oprecht willen beantwoorden:: Waarom.. RDI het al heel lang oogluikend gedoogd dat er grootschalige corrupte handel in ISO27001/NEN7510 certifecering gaande is, dat o.a. onze vitale infra Beveiliging ondermijnd heeft met een bureaucratische compliance SchijnVertoning.

.
...