image

Hackwedstrijd gemeente Den Haag levert 125 bugmeldingen op

dinsdag 28 september 2021, 09:29 door Redactie, 17 reacties

De hackwedstrijd die de gemeente Den Haag gisteren organiseerde en waarbij de digitale infrastructuur van de gemeente werd getest heeft in totaal 125 meldingen van kwetsbaarheden opgeleverd. Het ging onder andere om onveilige toegang tot accounts, verouderde software, de mogelijkheid tot het injecteren van kwaadaardige code op een website en een account dat volledig kon worden overgenomen.

"Wij zijn blij met de bevindingen en zijn al aan de slag om deze op te lossen. Sommige punten zijn op de dag zelf al opgelost door ons team of de betreffende leverancier", zegt Jeroen Schipper, chief information security officer bij de Gemeente Den Haag. Vanwege de coronapandemie vond Hâck The Hague dit jaar volledig digitaal plaats. Er deden 206 deelnemers mee, afkomstig uit 22 landen. In totaal waren er twaalf geldprijzen tussen de 500 en 2000 te winnen.

Naast het testen van de eigen systemen wil de gemeente Den Haag met de wedstrijd ook studenten enthousiasmeren voor een carrière in cybersecurity. "Dat is hard nodig, want de vraag naar cybersecurity-specialisten zal de komende jaren alleen maar toenemen", zo laat de gemeente weten.

Reacties (17)
28-09-2021, 09:43 door Anoniem
Deelt de gemeente Den Haag de bevindingen ook met de andere 351 gemeenten in Nederland?
28-09-2021, 09:48 door Anoniem
Goed dat dit allemaal gevonden is, maar wordt deze kennis ook met andere gemeentes gedeeld? En waarom heeft elke gemeente zijn eigen IT, kost meer geld en lagere kwaliteit.
Waarom dat ook niet centraal beheren?
Lijkt mij veiliger en goedkoper
28-09-2021, 10:30 door Bitje-scheef
Door Anoniem: Goed dat dit allemaal gevonden is, maar wordt deze kennis ook met andere gemeentes gedeeld? En waarom heeft elke gemeente zijn eigen IT, kost meer geld en lagere kwaliteit.
Waarom dat ook niet centraal beheren?
Lijkt mij veiliger en goedkoper

Ben ik niet met je eens, niet iedere gemeente heeft dezelfde IT behoefte.
Neem Amsterdam bijvoorbeeld, zet dit af tegen de gemeente Montfoort.
Kostenverdeling ?
28-09-2021, 10:33 door MathFox
Door Anoniem: En waarom heeft elke gemeente zijn eigen IT, kost meer geld en lagere kwaliteit.
Waarom dat ook niet centraal beheren?
Lijkt mij veiliger en goedkoper
De gemeente is zelf verantwoordelijk voor haar organisatie en dus ook voor de IT. Maar veel gemeentes werken samen net andere gemeentes in de regio.
Ik vind dat een "on-site" systeembeheerder een stuk kwaliteit biedt: van hardware klaarzetten tot het geven van (beveiligings-) instructies voor het systeemgebruik. Een bezuiniging hier kan de productiviteit van de ambtenaren flink laten afnemen.
28-09-2021, 10:38 door Anoniem
Door Anoniem: Deelt de gemeente Den Haag de bevindingen ook met de andere 351 gemeenten in Nederland?

Bevindingen die voor alle gemeenten gelden worden gedeeld met de Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten, die deel het weer met de andere sectoren zoals bv de zorg, het hoger onderwijs en de rijksoverheid.
Dat is bij de vorige edities ook gebeurd en heeft wel eens een CVE opgeleverd die wereldwijd is gedeeld.
28-09-2021, 11:28 door Anoniem
Door MathFox:
Door Anoniem: En waarom heeft elke gemeente zijn eigen IT, kost meer geld en lagere kwaliteit.
Waarom dat ook niet centraal beheren?
Lijkt mij veiliger en goedkoper
De gemeente is zelf verantwoordelijk voor haar organisatie en dus ook voor de IT. Maar veel gemeentes werken samen net andere gemeentes in de regio.
Ik vind dat een "on-site" systeembeheerder een stuk kwaliteit biedt: van hardware klaarzetten tot het geven van (beveiligings-) instructies voor het systeemgebruik. Een bezuiniging hier kan de productiviteit van de ambtenaren flink laten afnemen.
In praktijk zijn kleine IT afdelingen "te klein" om ook mbt alle operationele vereisten goed bezig te kunnen zijn (backups, software updates, hardware, security response, virtualisatie, gebruikersbeheer, netwerk infra, ... ga maar door). Security is vaak een heel gespecialiseerde en wordt snel "onvoldoende" ingevuld.
28-09-2021, 11:35 door Erik van Straten
Door Anoniem: Waarom dat ook niet centraal beheren?
Lijkt mij veiliger en goedkoper
Dat denk ik niet: hoe meer gegevens van waarde in één keer bemachtigd kunnen worden door kwaadwillenden, hoe meer dat waard is en dus hoe meer zij daarvoor over zullen hebben.

M.a.w. het verband tussen de waarde van een set gegevens is niet lineair met het aantal gegevens in die set.

Bovendien kunnen zelfs kleine verschillen in aanpak (hier tussen gemeenten) de kans aanzienlijk verkleinen dat in korte tijd gegevens van alle Nederlandse burgers worden buitgemaakt.

Anders gezegd, door waardevolle gegevens (voor cybercriminelen) te centraliseren, vergroot je de potentiële impact van beveiligingsincidenten, terwijl het nog maar de vraag is of je de kans op die incidenten verkleint (vooral als je denkt dat centraliseren onder de streep goedkoper is): aanvallers zullen beter hun best doen want de waarde van de buit is groter.

Ik denk dat data segmentatie nog veel te weinig aandacht krijgt in vergelijking met netwerksegmentatie, dat al snel zinloos blijkt als aanvallers admin privileges weten te verkrijgen (zoals bijvoorbeeld beschreven in https://www.security.nl/posting/722639/Microsoft+ontdekt+backdoor+voor+Active+Directory+Federation+Services-servers).
28-09-2021, 12:13 door Anoniem
Door Anoniem:
Door Anoniem: Deelt de gemeente Den Haag de bevindingen ook met de andere 351 gemeenten in Nederland?

Bevindingen die voor alle gemeenten gelden worden gedeeld met de Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten, die deel het weer met de andere sectoren zoals bv de zorg, het hoger onderwijs en de rijksoverheid. Dat is bij de vorige edities ook gebeurd en heeft wel eens een CVE opgeleverd die wereldwijd is gedeeld.

Over de Informatiebeveiligingsdienst voor Nederlandse gemeenten

De IBD draagt namens gemeenten bij aan de Baseline Informatiebeveiliging Overheid (BIO) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.

https://www.informatiebeveiligingsdienst.nl/over-de-ibd/


Engelse afkortingen

CERT Computer Emergency Response Team nooddienst bij netwerkstoringen
CISRT Computer Security Incident Response Team nooddienst bij beveiligingsincidenten


Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht: één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normen.

https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/
28-09-2021, 13:34 door Anoniem
Wat is de betekenis van “verouderde software” precies. Bedoelt men: die sw is versleten, werkt niet meer zoals ooit bedoeld, we hebben een nieuwe versie en als je een supportcontractafsluit krijg je de nieuwe versie? Een oude versie wil niet meteen zeggen ,kwetsbaar,
28-09-2021, 13:41 door Anoniem
Hahaha stelletje domme sukkels

< 30.000 euro voor dit allemaal

Is minstens 300.000 euro waard!


Jullie maken de markt kapot
28-09-2021, 14:12 door Anoniem
Door Erik van Straten: Ik denk dat data segmentatie nog veel te weinig aandacht krijgt in vergelijking met netwerksegmentatie, dat al snel zinloos blijkt als aanvallers admin privileges weten te verkrijgen

http://www.qubes-os.org/intro/

Zie afbeelding. Een illustratie van de toepassing van data segmentatie door middel van isolatie, op het niveau van een besturingssysteem. Qubes OS is mede ontwikkeld met steun van de NLNet Foundation en het Open Technology Fund.
28-09-2021, 18:58 door Anoniem
Mooi initiatief en mooie samenwerking van de gemeente den Haag.
Dit zouden meer bedrijven moeten doen om de cyber weerbaarheid te verhogen.
28-09-2021, 19:31 door Anoniem
Door Anoniem: Deelt de gemeente Den Haag de bevindingen ook met de andere 351 gemeenten in Nederland?

Eigenlijk toch wel vreemd dat we als inwoners van gemeenten zoveel betalen voor decentrale ICT, waarom moet gemeente1 een andere site hebben dan gemeente2?

Politieke partijen in die gemeenten kunnen er ook wat van. Kun je serieus rijk van worden als hoster / developer. Allemaal wiel opnieuw aan het uitvinden.
29-09-2021, 08:26 door Anoniem
Door Anoniem:
Door Anoniem: Deelt de gemeente Den Haag de bevindingen ook met de andere 351 gemeenten in Nederland?

Eigenlijk toch wel vreemd dat we als inwoners van gemeenten zoveel betalen voor decentrale ICT, waarom moet gemeente1 een andere site hebben dan gemeente2?

Politieke partijen in die gemeenten kunnen er ook wat van. Kun je serieus rijk van worden als hoster / developer. Allemaal wiel opnieuw aan het uitvinden.

Inderdaad en daarom is die overheid oa zo duur. Maar maakt niet uit joh.. alles cirkelt de economie weer in krijg je als excuus.

Dit mag van mij wel aangepakt worden en de b moet elastingen lager.

en je hoort nooit een bericht zo dit heeft de overheid een stuk efficienter aangepakt nu kunnen de belastingen wel lager. Raar he? Stel je voor dat we massaal op zoek gaan naar verbeteringsslagen dan moet dat toch invloed hebben op de kosten? En dan zou je toch de belastingen kunnen verlagen. Maar nee hoor dan verzinnen ze wel weer een andere uitgave met als excuus dat wij dat eisen...
29-09-2021, 09:09 door Ron625 - Bijgewerkt: 29-09-2021, 09:11
Door Anoniem:Kun je serieus rijk van worden als hoster / developer. Allemaal wiel opnieuw aan het uitvinden.
Juist.
Wanneer het rijk als een soort provider/hoster zou gaan werken, iedereen dezelfde software, dan kan dat een enorme besparing opleveren, omdat het uitgevonden wiel door iedereen gebruikt kan, mag en moet worden.
Een kleine gemeente kan best de software van een grote gemeente gebruiken, mogelijk dat er dan een aantal mogelijkheden niet gebruikt worden, maar dat kost hooguit diskruimte.
Daarnaast is het dan voor overheden makkelijker om personeel te lenen bij een andere overheid, tenslotte zijn ze al bekend met de software.

Zou je hetzelfde doen met websites, dan zal dat voor de burger een hoop zoek tijd besparen, bij sommige overheden (vooral kleinere gemeenten) moet je soms lang zoeken naar bepaalde informatie (en heb je het gevonden, dan klopt het vaak niet, omdat ze het zelf ook niet weten).

Het bovenstaande is bekend bij VNG, Logius en ForumStandaardisatie, maar men wil lagere overheden niet dwingen, maar voorlichten en zo proberen te motiveren.
30-09-2021, 15:35 door Anoniem
Door Ron625:
Door Anoniem:Kun je serieus rijk van worden als hoster / developer. Allemaal wiel opnieuw aan het uitvinden.
Juist.
Wanneer het rijk als een soort provider/hoster zou gaan werken, iedereen dezelfde software, dan kan dat een enorme besparing opleveren, omdat het uitgevonden wiel door iedereen gebruikt kan, mag en moet worden.
Een kleine gemeente kan best de software van een grote gemeente gebruiken, mogelijk dat er dan een aantal mogelijkheden niet gebruikt worden, maar dat kost hooguit diskruimte.
Daarnaast is het dan voor overheden makkelijker om personeel te lenen bij een andere overheid, tenslotte zijn ze al bekend met de software.

Zou je hetzelfde doen met websites, dan zal dat voor de burger een hoop zoek tijd besparen, bij sommige overheden (vooral kleinere gemeenten) moet je soms lang zoeken naar bepaalde informatie (en heb je het gevonden, dan klopt het vaak niet, omdat ze het zelf ook niet weten).

Het bovenstaande is bekend bij VNG, Logius en ForumStandaardisatie, maar men wil lagere overheden niet dwingen, maar voorlichten en zo proberen te motiveren.
Dezelfde software klinkt leuk maar de processen die daarmee moeten worden ondersteunt verschillen per gemeente. Zo keert Amsterdam de uitkering netto uit terwijl andere gemeenten dat bruto doen. Er wordt ook andere rekentabellen gebruikt voor belastingen ed.. Voor standaard zaken als BRP is er al een standaard, helaas nog te veel bij Centric, maar dat levert nauwelijks enige besparing op.
Zo'n centrale hoster moet wel kennis hebben van alle gemeentelijke processen en hoe deze in de praktijk werken en deze dan ook kunnen ondersteunen. Dat vergt wel een iets ander denk en werkvermogen van een hoster die bijvoorbeeld alleen een financieel pakket host. Juist de complexiteit van alle die wetten die gemeenten moeten uitvoeren, en veelal ook op hun eigen manier, zorgt ervoor dat centrale hosting er niet gaat komen tenzij de autonomie van gemeenten wordt afgenomen en ze volgens een vaste standaard moeten gaan werken.
30-09-2021, 20:59 door Ron625 - Bijgewerkt: 30-09-2021, 21:00
Door Anoniem:Juist de complexiteit van alle die wetten die gemeenten moeten uitvoeren, en veelal ook op hun eigen manier, zorgt ervoor dat centrale hosting er niet gaat komen tenzij de autonomie van gemeenten wordt afgenomen en ze volgens een vaste standaard moeten gaan werken.
De wetten zijn voor alle gemeenten hetzelfde.
Een manier van werken is van bovenaf op te leggen, maar dat zal een hoop tegenstand geven.
Daarom is het beter om ze voor te lichten en te motiveren, dan zullen ze veel zelf inzien en mee gaan denken aan een betere éénheid in de manier van werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.