image

"Elke gemeente moet eigen hacker krijgen"

maandag 2 april 2012, 12:30 door Redactie, 19 reacties

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten. Toch is het niet zo erg zoals onlangs door EenVandaag werd weergegeven, aldus Polman.

De boodschap dat de SCADA-systemen van menig gemeente zo lek als een mandje is, is volgens Polman erg door de media opgeblazen.
"Van een reëel risico was volgens mijn Veerse collega geen sprake. En er is tijdig en volgens de geldende procedures ingegrepen", zo laat hij VNG Magazine weten.

Wel is het SCADA-voorval een 'wake up call' die gemeenten met de neus op de feiten drukt. ICT-beveiliging zou namelijk niet bij iedereen tussen de oren zitten. "De beveiliging is iets voor de techneuten, wordt vaak gedacht. Pas als het misgaat, wordt het serieus genomen", zegt Polman.

Vertrouwen
DigiNotar en Lektober hebben volgens hem daarbij ook hun positieve kanten. "Het gaat bij gemeenten vaak om cruciale informatie. Als die op straat komt te liggen, of ze valt in handen van mensen die er niets mee te maken hebben, is dat funest voor het vertrouwen van de burger in de overheid. Die burger mag ervan uitgaan dat zijn gegevens bij de gemeente in goede handen zijn. Betrouwbaarheid is een voorwaarde voor de legitimatie van de overheid."

Ethische hackers
Polman durft de stelling aan dat alle gemeenten weleens ongewild en onbewust hebben meegewerkt aan onrechtmatigheden of criminele activiteiten. "We moeten dus op het terrein van informatievoorziening en -beveiliging de samenwerking binnen de gemeente en met de andere overheden structureel beter op orde krijgen."

Om dat te bereiken ziet de burgemeester van Bergen op Zoom ook een rol voor ethische hackers weggelegd. "Gemeenten zouden best ethische hackers in dienst kunnen nemen", zegt Polman.

"Iemand die de organisatie continu probeert te betrappen op lekken en veiligheidsrisico’s van informatiesystemen. Een gemeente die haar eigen organisatie hackt klinkt raar, maar bij allerlei besluiten kijken we naar risico’s en monitoren en toetsen we. Bij het plaatsen van nieuwe speeltoestellen kijken we toch ook eerst naar de veiligheid?"

Reacties (19)
02-04-2012, 12:49 door Anoniem
Grappig om dit te lezen; systeembeheerders daar zien niet eens in waarom de Flash gepatcht moet worden!
02-04-2012, 13:06 door Anoniem
Het lijkt mij niet verstandig om iedere gemeente zijn eigen hacker te laten aannemen. Doe dat dan op de een of andere manier gezamelijk. Deel de kennis en ervaring met andere gemeentes. Probeer niet per gemeente weer zelf het wiel uit te vinden.

Peter
02-04-2012, 13:13 door anoniem lafbekje
15 jaar te laat maar toch +1
02-04-2012, 13:22 door Anoniem
Door Anoniem: Het lijkt mij niet verstandig om iedere gemeente zijn eigen hacker te laten aannemen. Doe dat dan op de een of andere manier gezamelijk. Deel de kennis en ervaring met andere gemeentes. Probeer niet per gemeente weer zelf het wiel uit te vinden.

Peter

Sluit me hierbij aan. Nationaal team.
02-04-2012, 13:33 door Anoniem
Mooi, ik kan niet wachten om met mijn CEH te starten.
02-04-2012, 13:45 door Duck-man
Dit lijkt nieuw maar het gebeurt al. Er zijn gemeentes die elk jaar hun computer beveiliging laten doorlichten, door een extern bureau. En ook actief inbreken in het systeem hoort daarbij.
02-04-2012, 13:52 door Anoniem
@Duck-man, ook bij actief inbreken, ik neem aan dat je PEN-test bedoelt, is dat maar een moment opname. De volgende dag al kan een zero-day exploit toegang geven tot het systeem.
Dat hou je niet tegen, maar een zekere monitoring en alertheid bij de beheerders doet hier wonderen.
02-04-2012, 13:59 door Anoniem
Door Anoniem: Grappig om dit te lezen; systeembeheerders daar zien niet eens in waarom de Flash gepatcht moet worden!

Agge mar leut et mee Flash
02-04-2012, 14:00 door WhizzMan
Alleen al omdat de hacker z'n eigen broodheer moet hacken, is het een slecht plan. Zoiets moet altijd door een onafhankelijke instantie gedaan worden, om zorgvuldigheid en integriteit te waarborgen.

Wat wel slim zou zijn, is als er bij elke gemeente iemand met kennis van zaken zich bezig houdt met informatiebeveiliging en het nemen van preventieve maatregelen en bijstellen van beleid. Dat is geen hacker over het algemeen, maar iemand die vooral verstand heeft van processen, methodieken, architectuur en beleid.
02-04-2012, 14:02 door Anoniem
Met 1 keer per jaar een penetraite test ben je altijd te laat.
Als er bij een penetratie test niets gevonden wordt is nog steeds niet zeker dat je geen probleem hebt. De "bad guy" heeft namelijk eindeloos meer tijd. Als je aan de andere kant, wel iets vind dan heb je een groot probleem.

Security moet vanaf het begin in de hele lifecycle worden meegenomen. Beginnen met awarenes, security requirements etc. Daarnaast zouden er harde consequenties moeten zijn voor het niet voldoen aan de security eissen. Dat is nu niet het geval.
02-04-2012, 14:05 door Anoniem
Duck-man graag even contact via mail: redactie@vngmagazine.nl. Alvast thnx!
02-04-2012, 14:05 door Anoniem
Laat ze alsjeblieft eerst hun eigen systeembeheerders serieus nemen. En ik denk dat groot percentage aan bezoekers hier ook wel weet wel groot bedrijf uit nederland bij gemeentes steevast hetzelfde wachtwoord gebruikt. Om te huilen.
02-04-2012, 14:14 door Anoniem
volgens mij zijn alle hackers "ethische hackers" zijn ze dit niet, dan zijn het geen hackers maar criminelen, of loop ik nu zo ver achter, dat de term hacker is afgezakt naar het niveau, wat jan met de pet denkt, als ie het woord hacker hoort?
02-04-2012, 14:41 door SirDice
Door Anoniem: Het lijkt mij niet verstandig om iedere gemeente zijn eigen hacker te laten aannemen. Doe dat dan op de een of andere manier gezamelijk. Deel de kennis en ervaring met andere gemeentes. Probeer niet per gemeente weer zelf het wiel uit te vinden.
Mee eens. Lijkt mij een mooie job voor GOVCERT.
02-04-2012, 14:43 door Anoniem
Mee eens. Lijkt mij een mooie job voor GOVCERT.

GovCERT bestaat niet meer..... Maar inderdaad, misschien een mooie taak voor het NCSC (of voor externe pentesters die door hun worden aangestuurd).
02-04-2012, 15:23 door SirDice
Door Anoniem:
Mee eens. Lijkt mij een mooie job voor GOVCERT.

GovCERT bestaat niet meer..... Maar inderdaad, misschien een mooie taak voor het NCSC (of voor externe pentesters die door hun worden aangestuurd).
Ah, inderdaad. Het NCSC dan.

Vanaf 1 januari 2012 is GOVCERT.NL opgegaan in het Nationaal Cyber Security Centrum (NCSC). Het NCSC draagt bij aan het vergroten van de weerbaarheid van de Nederlandse digitale samenleving. Het is een samenwerkingsplatform van bedrijfsleven, overheid en wetenschap met als kerntaken: expertise en advies, response op dreigingen en incidenten en versterking van de crisisbeheersing.
02-04-2012, 16:38 door User2048
Door WhizzMan: Alleen al omdat de hacker z'n eigen broodheer moet hacken, is het een slecht plan. Zoiets moet altijd door een onafhankelijke instantie gedaan worden, om zorgvuldigheid en integriteit te waarborgen.

Wat wel slim zou zijn, is als er bij elke gemeente iemand met kennis van zaken zich bezig houdt met informatiebeveiliging en het nemen van preventieve maatregelen en bijstellen van beleid. Dat is geen hacker over het algemeen, maar iemand die vooral verstand heeft van processen, methodieken, architectuur en beleid.

Volgens mij heet zo iemand een Information Security Officer. Aangezien gemeenten veel informatie van burgers en bedrijven beheren lijkt die functie mij wel handig. Ik ben niet zo thuis in de lokale overheid, maar ik hoop dat gemeenten deze functie al kennen.
02-04-2012, 16:46 door Anoniem
Door User2048: Volgens mij heet zo iemand een Information Security Officer. Aangezien gemeenten veel informatie van burgers en bedrijven beheren lijkt die functie mij wel handig. Ik ben niet zo thuis in de lokale overheid, maar ik hoop dat gemeenten deze functie al kennen.

Er zijn grofweg twee soorten ISO's. De ene loopt al jaren rond bij de gemeente en ziet er op toe dat de kluis stevig is en dat er goede sloten op de buitendeuren zitten. Hij let er ook op dat de juiste personen gescreend worden. Hij heeft vaak echter geen verstand van digitale informatie en wat daar bij komt kijken.

Het beste wat hij kan zeggen, is dat de servers met de informatie in de kluis moeten staan. Voor de veiligheid van de kluis is het niet toegestaan een gat te boren voor een kabel voor netwerk. De oplossing! Maar dat blijkt vaak niet practisch te zijn en dus trekt hij zijn handen verder af van de beveiliging van digitale informatie. Dat is bij veel gemeenten ook de reden dat alles geprint moet worden. Dan is het weer fysiek en kan hij wat zeggen over de beveiliging.

De tweede ISO is degene die digitaal geschoold is. Die zie je nog niet zo vaak.

Peter
02-04-2012, 17:20 door Anoniem
Ach ja waarom niet elke wijk een eigen hacker? Of elke straat? Het zou ook handig kunnen zijn voor de gewone burger. Die kan dan even aanbellen en vragen: meneer de hacker weet u mischien of en wie mijn pc heeft gehackt? Kunt u mij helpen om mijn pc weer schoon en veilig te krijgen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.