Weil Privatsphäre so wie Datenschutz in Behörden und ihren Dienstleister immer schon fremd war, wird dies in ihre Software auch nicht berücksichtigt. Dies zeigt die Schweiz sehr deutlich.
»Edöb – Datenschutz wurde bei Xplain vernachlässigt:
Gleich vier Berichte zum Hack auf den IT-Dienstleister des Bundes wurden publiziert. Sowohl der Anbieter als auch die beteiligten Bundesämter werden darin kritisiert«
1️⃣ Man kann solche Code Reviews auch beauftragen (kostet dann, man hat aber auch den Nutzen; und mehrere Kunden können sich auch die Kosten teilen)
2️⃣ Wenn die Firma später auf die schiefe Bahn gerät oder Zweifel bestehen, kann man den Code selber betreiben oder einem Dritt-Dienstleister dazu übergeben.
(Beide Punkte hätten wohl auch bei #Xplain geholfen)
Wieso du als Dienstleister keine Cybersicherheit machen musst und trotzdem hoch kritische Daten für die öffentliche Verwaltung weiter verarbeiten darfst.
IT-Profis sollten heutzutage schon u.a. auf #Argon2 und/oder #AES setzen, wenn ihr den #online Produkten sicheren Zugang anbietet. In der #Schweiz für die #Regierung und #Polizei scheinbar nicht… grml
«#Cyberangriff – Bund hält trotz Daten-Super #GAU an gehackter #IT-Firma Xplain fest:
Spezialisten vom Bund geben grünes Licht für die weitere Zusammenarbeit mit #Xplain. Diese veröffentlicht neue Details über die #Hacking-Attacke vom letzten Frühjahr.»
Hier ein Versuch der #ThreadOfThreads-Idee: Je einen 🧵 für Englisch und Deutsch über jeden meiner Fediverse-Threads.
Initial starte ich mit der Liste der #Top10 meistgelesenen Artikel von mir. Viel Spass beim #FeiertagsLesen!
🔟 Nicht wirklich «Responsible Disclosure»: Die Extraportion Spam über die Festtage (2023-12)
Noch keine zwei Tage alt und schafft es schon in die #TopTen, wow!
6️⃣ IT-Sicherheit ist kein Bürostuhl (2023-08)
Beschaffung von IT-Lösungen und IT-Sicherheit funktioniert anders als die Beschaffung eines Bürostuhls. Dieses Bewusstsein fehlt noch in vielen Firmen und beim Bund.
Managing #ThirdParty risk, namely the potential security problems comes from using #SaaS services, will be the main challenge for the near future. And don't forget the subcontracters.
Christian Folini compared this to the #Xplain leak, without mentioning their name. #SCS23
Der #Republik-Artikel von @adfichter zu #Xplain zeigt auf, dass
1️⃣ die Behörden sich selbst immer tiefer in Abhängigkeiten zu Xplain navigiert hatten,
2️⃣ für diesen Lock-In keine Exit-Szenarien existieren und
3️⃣ Due Diligence vernachlässigt wurde (wieso?).
Übrigens: Ein IT-Sicherheitszertifikat wie #ISO27001 oder #SoC2 sagt nichts über die tatsächliche Sicherheit aus, nur dass man viel Text dazu geschrieben hat.
United Kingdom's Greater Manchester Police (GMP) said earlier today that some of its employees' personal information was impacted by a ransomware attack that hit a third-party supplier.
Wow, nochmals in Causa #Xplain: Fedpol hat mich jetzt nochmals hingehalten, Fristverlängerung nach BGÖ-Gesetz beantragt, geschrieben dass bis 14.9 die Gesuche bearbeitet werden.
Und heute erschien die Stellungnahme: BGÖ ist nicht anwendbar wegen laufenden Untersuchungen.
🤬🤬🤬
@adfichter Weisst Du was der Bundesrat mit "Schliesslich lässt der Bundesrat auch Massnahmen prüfen, um sicherzustellen, dass die derzeit von Xplain für die Polizei sowie für Sicherheits- und Migrationsbehörden erbrachten Leistungen in jedem Fall gewährleistet werden können." meinen könnte? #xplain#hack