image

"ICT-beveiliging bij lagere overheden om te janken"

zondag 19 februari 2012, 14:29 door Redactie, 25 reacties

De manier waarop lagere overheden met ICT-beveiliging omgaan "is af en toe om te janken", aldus Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen. Jacobs was te gast in het televisieprogramma Buitenhof. Daar sprak hij over de kwetsbaarheid van de Nederlandse infrastructuur voor cyberaanvallen. Deze week komen Amerikaanse en Nederlandse veiligheidsexperts bij elkaar om te praten over de gevaren van 'cyberspace'.

Bij de inlichtingendiensten en politie zitten volgens de professor "competente mensen". Het zijn echter de overheden die meer moeten investeren in mensen met echte kennis. "Niet managers. Mensen met een technische achtergrond. Die zijn moeilijk te vinden."

Kennis
Niet alleen ontbreekt het veel lagere overheden aan de vereiste expertise en kennis, ze staan niet eens stil bij de mogelijkheid van een aanval. "Het wachtwoord voor de sluizen bij de gemeente Veere was Veere. De aanvaller heeft de sluizen niet opengezet, maar had dat wel kunnen doen", liet Jacobs weten.

Hij verwijst daarbij naar een uitzending van EenVandaag, waarin werd aangetoond dat veel Nederlandse SCADA-installaties, bijvoorbeeld bij sluizen en gemalen, slecht beveiligd zijn.

Reacties (25)
19-02-2012, 15:13 door Anoniem
Ik heb nieuws voor je: Dat is niet alleen bij de lagere overheden zo... Triest maar waar.
19-02-2012, 16:30 door [Account Verwijderd]
[Verwijderd]
19-02-2012, 16:44 door Anoniem
Mwhaaahaaa.. heb het zelf meegemaakt. Ze hebben vaak wel beleidsnota's... "Stuurgroepen" (alle gemeentebonzen van het ambtenarenapparaat bij elkaar) aan het stuur is vragen om problemen. Gemeenteraden krijgen alleen het mooie praatje te horen. Aan alle gemeenteraden in Nederland: hebben de ambtenaren een ICT-stuurgroep voor ICT-beveiliging samengesteld, ren dan heel hard weg! Alle projecten met stuurgroepen gaan de belastingbetaler heel veel geld kosten.

Maar denken jullie dat diegene met macht dit uit handen zullen geven aan technici?

Zie NS-ProRail. De onderaannemers moesten het doen maar hangen letterlijk ONDER aan de hiërarchie. Voor wat kruimels. Dat noemt men in Den Haag dan marktwerking.

Dus de definitie van marktwerking is "alles opdelen in onafhankelijke entiteiten die dan met elkaar de strijd aangaan voor de laagste prijs. De entiteiten kunnen wel een hiërarchische keten vormen waar we met "beleid" sturing aan geven. Voor dit beleid hebben we een leger managers nodig. Zodat er aan het eisenpakket wordt voldaan.". Gemeente Veere had zo te zien niet een een eisenpakket (wachtwoordbeleid) dus zelf overheidswerk doen ze slecht. En daar betalen wij dan belasting voor.
19-02-2012, 17:14 door Anoniem
Niet alleen bij de overheid is het om te janken. Wordt KPN ook tot de overheid gerekend, oh nee.
19-02-2012, 17:20 door Anoniem
Als het gebruik van voor-de-hand-liggende / simpele wachtwoorden het criterium is om te bepalen of iemand voldoende technisch onderlegd is om zijn werk te doen (zoals de sluisbeheerder in Veere), dan kan een heel groot deel van de Nederlanders weer terug naar school gestuurd of ontslagen worden.

En dan hebben we het nog niet eens over de management/directie/poltieke laag die er geen enkele interesse voor heeft.
19-02-2012, 17:32 door Erik van Straten
Zou deze sluis soms ook aan een SCADA systeem met internetaansluiting hangen? http://www.rheden.nu/Article/View/580/sluis-apeldoorns-kanaal-blijkt-niet-vernield
... De politie heeft donderdag uitgebreid onderzoek gedaan bij en rondom de sluis. Hieruit is volgens de politie niet gebleken dat sprake is geweest van een vernieling. De politie onderzoekt nog hoe het kan dat de sluis (deels) was geopend. ...
19-02-2012, 17:53 door S-q.
Ja; zelfs ik kon een glimlach even niet onderdrukken toen ik het hem hoorde zeggen.

Belangrijk punt is geld.
De mensen die een Stux achtige kwaliteit misschien kunnen weghouden van die systemen, zijn erg duur.
En ik heb het gevoel dat lagere overheden dat geld gewoon niet hebben.

En de waarde van beveiliging ziet men als regel pas als de schade er is.

Dat betaalde externe beheerders er zo simpel mee omgaan zoals bij die uitzending van EenVandaag was te zien, (simpele wachtwoorden) riep zelfs bij mij een duidelijk gevoel van een "schitterende ergenis" op { ;- ))
19-02-2012, 17:57 door golem
idd geld is belangrijkste punt.
Zolang er niks gebeurt steken we er geen geld in.
Er zal intern vast wel eens iemand zijn geweest die deze problemen heeft aangekaart.
19-02-2012, 18:42 door Anoniem
Ja leuk en wel maar dan moet je het niet zo in de media brengen zo maar je slapende honden wakker. Reken er maar op dat er de komen de maanden veel gaat gebeuren bij veel van dat soort bedrijven en instanties. Hadden ze beter direct kunnen melden. Maar dit is mooier zeker zo kom je in het nieuws zo word je bekend nou fijn hoor bedankt.
19-02-2012, 18:46 door [Account Verwijderd]
[Verwijderd]
19-02-2012, 19:31 door Anoniem
Goh wat een typische reactie`s allemaal.

.1 betreffende de reactie over de stuurgroepen, ja helemaal gelijk een stelletje zogenaamde mensen van verstand die de mensen met het echte verstand vertellen wat ze moeten doen gaat nooit werken.

.,2 Betreffende de reactie over de NS, Hun ICT netwerk is 1 van de mooiste die ik tot heden in bedrijven heb gezien.
dat ze andere technische problemen hebben betreffende het bevechte van de weerselementen is een ander verhaal.

.3 KPN heeft niet per see een slecht netwerk, `t vereist alleen wel veel werk om het bij te houden gezien constante veranderingen.
tevens hebben ze bij kpn dezelfde kuren als bij andere bedrijven teveel hbo`s die denken alles te weten en te weinig MBO`s met werkelijke technische kennis. en duur joh al die hbo`rs

ter aanvulling wachtwoord beheer laat niet alleen bij overheid maar ook bij veel bedrijven veel te wensen over.
maar ter uwe informatie als je een goed wachtwoord beleid wilt opstellen dan is het iedere 3 maanden verplicht uw wachtwoord wijzigen en een wachtwoord instellen met tenminste 12 tekens welke bestaat uit hoofdletters, kleine letters en cijfers "eventueel ook symbolen".
20-02-2012, 08:19 door Anoniem
Waarom gaat het artikel over ICT beveiliging terwijl het over Informatiebeveiliging zou moeten gaan? Techniek is het probleem niet zo, een beetje sysadmin kan de boel best veilig maken maar veel beveiligingsmaatregelen struikelen juist op het organisatorische aspect. En daar gaan de techneuten niet over maar de business, die zo eigen belangen heeft. Zolang Informatiebeveiliging nog te vrijblijvend mag worden toegepast zal het een puinhoop blijven. Directeuren van diensten kunnen gewoon een advies naast zich neerleggen zonder dat er consequenties aan vast zitten. De meesten blijven maar een paar jaar op de functie dus de volgende mag het probleem oplossen. Pas als de overheid zijn hogere ambtenaren gaat afrekenen op zaken als een slechte Informatiebeveiliging en Informatiebeveiliging verplicht stelt dan zal er iets gaan veranderen. Nu ook dreigt de VNG met boetes of afsluiting van bronsystemen als gemeenten niet aan eisen voldoen. In de praktijk zal het nooit zo'n vaart lopen omdat de VNG en de overheid de dienstverlening naar de burger daarmee in de weg zit, en die is namelijk wel wettelijk geregeld.
20-02-2012, 09:23 door Anoniem
Wat bedoel je met alpha's ?
http://en.wikipedia.org/wiki/Alphas
20-02-2012, 10:46 door Anoniem
... even voor de beeldvorming: oud nieuws, maar waarschijnlijk ook niet veel veranderd in het MKB
http://www.computable.nl/artikel/nieuws/security/2346125/1276896/nederlands-mkb-is-slecht-beveiligd.html

Als je een doorsnee Nederlander vraagt over privacy, dan komt een antwoord van "ik heb niks te verbergen" en "wat moeten ze d'rmee?" Deze houding is in anders landen minder laks. (zie de voorbeelden in Duitsland met de processen tegen Google).

Als de algemene houding zo is "ik hoef niet uitgebreid te beveiligen, dan wordt mijn pc traag en waarom zouden ze bovendien mijn gegevens willen hebben?", dan werkt dat ook door naar de werkvloer.

ICTer moeten hun best doen om naast het "nieuwe werken" en de "ambtenaar 2.0" iedereen ervan overtuigen dat het inloggen op de gemeentelijke (mail)server met een wachtwoord van 5 tekens "intern" niet zo'n drama is, maar "van buitenaf" is dat ronduit onacceptabel. Wie ook thuis wil werken zou hogere eisen aan de manier van inloggen en beveiligen moeten accepteren, anders kom je maar gewoon naar kantoor.
20-02-2012, 10:48 door Anoniem
Handig zo'n wachtwoordbeleid:
als je een goed wachtwoord beleid wilt opstellen dan is het iedere 3 maanden verplicht uw wachtwoord wijzigen en een wachtwoord instellen met tenminste 12 tekens welke bestaat uit hoofdletters, kleine letters en cijfers "eventueel ook symbolen"
Als je dergelijke eisen stelt zul je overal post-its zien opduiken met wachtwoorden. Handiger is passphrases te gebruiken. Lange wachtwoorden die de gebruiker kan onthouden.
20-02-2012, 11:14 door spatieman
/SARCASME........
BREAKING NEWS..
Het internet is een grote poel des verderven.
als het aan de overheid ligt, wordt dat internet gewoon verboten.
20-02-2012, 11:42 door Anoniem
"als het aan de overheid ligt, wordt dat internet gewoon verboten."

Bericht van de stuurgroep 'Internet veiligheid':

De stuurgroep is zojuist uit zijn vergadering gekomen en er waren een aantal leden die deze maatregel toch wat overtrokken vonden. Na twee uur hard doorvergaderen kwamen we tot een consensus: we sluiten het internet achter een wachtwoord op.
20-02-2012, 12:20 door [Account Verwijderd]
[Verwijderd]
20-02-2012, 12:31 door Anoniem
"als het aan de overheid ligt, wordt dat internet gewoon verboten."

Bericht van de stuurgroep 'Internet veiligheid'.

De stuurgroep is zojuist uit zijn vergadering gekomen en er waren een aantal leden die deze maatregel toch wat overtrokken vonden. Na twee uur hard doorvergaderen kwamen we tot een consensus: we sluiten het internet achter een wachtwoord op.
20-02-2012, 13:15 door RickDeckardt
Dit artikel is een echte spuit 11...
20-02-2012, 13:32 door Anoniem
snap al helemaal niet waarom die installaties aan het internet hangen dat is vroeg of laat vragen om problemen
20-02-2012, 17:45 door Anoniem
ICT bungelt vaak nog in de categorie "facilitair beheer" bij gemeentes. De hele mindset loopt in zijn algeheel achter en/of er is weinig budget of dat wordt verkeerd ingezet. PC's in gemeenten zijn vaak oud en traag, en het volgende beveiligingsprobleem dient zich alweer aan: Windows XP moet echt vervangen gaan worden binnenkort. Maar ja, dan wordt het budget voor de bejaardenberg weer minder dus dat zal wel weer te ver vooruitgeschoven worden... Er zullen nog heel wat lektobers moeten volgen!

Ok, dus het volk zelf geeft weinig om privacy en beveiliging. Momenteel. Het volk kiest haar bestuurders. De bestuurders zijn een weerspiegeling van de samenleving. Dus, een gemeente kan nooit zo competent worden als de AIVD of politie. Die zijn er specifiek voor veiligheid, een gemeente voor een heel breed takenpakket (waar het volk voor kiest).

Trouwens, waarom mogen gemeente alles op ICT gebied zelf bepalen terwijl ze duidelijk er een potje van maken? De regering kan toch slimme jongens standaard infrastructuren laten bedenken, dat standaard beheerd wordt voor veiligheid en waar de gemeente de apps voor hun taken op kan laten draaien? Of is dit teveel een HSL of Betuwelijn financieel fiasco plan?

Toch denk ik dat een Deltaplannetje nodig is voor de cyberwar concreet effect krijgt voor de burger. Of zou het eerst echt goed mis moeten gaan? ING help even. Sluit internetbankieren eens 4 weken af.
20-02-2012, 17:58 door Anoniem
Die installaties hangen aan internet, dat bleek het goedkoopst bij de aanbesteding. Ze waren alleen vergeten een deugdelijk authenticatieproces erbij af te nemen. Dat krijg je als onkundigen de dienst uitmaken.
21-02-2012, 11:03 door Anoniem
Vraag aan een ICT'er : wat is een c99 shell? wedde dat ihet niet weet.
Het is triest dat veel landen al een cyber-leger hebben. en dat NL niets van beveiliging weet.
jammer.

Groet,
Jasper Koehorst
21-02-2012, 11:07 door Dev_Null
Niet alleen de beveiliging ben ik bang ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.