image

"Systeembeheerder met wachtwoord welkom2020 is slachtoffer, geen dader"

dinsdag 3 januari 2023, 15:24 door Redactie, 45 reacties

Als het gaat om cybersecurity wordt de verantwoordelijkheid voor incidenten vaak bij slachtoffers gelegd, maar een systeembeheerder met het simpele wachtwoord welkom2020 is geen dader maar een slachtoffer. Dat stelt Bibi van den Berg, hoogleraar cybersecurity governance. Ze houdt zich bezig met onderzoek naar hoe overheden en organisaties sturing kunnen geven aan digitale veiligheid.

Volgens Van den Berg is het onmogelijk voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit er dan ook voor om cybersecurity voor gemeenten gedeeltelijk op een hoger collectief niveau te organiseren. Nu verschilt de aanpak nog per gemeente, alsmede de hoeveelheid kennis en bewustwording die gemeenten in huis hebben, in budgetten en menskracht.

"Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid. Het is raar dat we bij digitale veiligheid de verantwoordelijkheid bij de burgemeester neerleggen", merkt Van den Berg op. Daardoor worden ook verantwoordelijkheden op de verkeerde plek gelegd en wordt er vaak naar slachtoffers gewezen, aldus de hoogleraar, die daarbij ook wijst naar de inbraak bij de gemeente Hof van Twente.

"Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen", stelt Van den Berg. Er zijn echter veranderingen op dit gebied gaande. Zo legt de Nederlandse Cybersecuritystrategie een grotere verantwoordelijkheid bij de partijen die systemen aanbieden.

Die systemen moeten op voorhand gaan voldoen aan wet- en regelgeving en technische standaarden. Ook in de aankomende Europese Cybersecurity Act wordt dat opgenomen. "Logisch eigenlijk, want voor bijvoorbeeld je koffiezetapparaat is het allang zo geregeld dat die moet voldoen aan veiligheidseisen en dat het niet aan jou is om te zorgen dat ie veilig is", laat de hoogleraar in een artikel van het Nederland Genootschap van Burgemeesters weten.

Reacties (45)
03-01-2023, 15:33 door Anoniem
Ben ik het totaal niet mee eens. Als jij zo'n slecht wachtwoord gebruikt in een productie omgeving vraag je er bijna om om gehackt te worden.
Er zijn genoeg tools beschikbaar om veilige passworden te gebruiken en bewaren.
03-01-2023, 15:34 door Anoniem
"Ja hallo u spreekt met politie Amsterdam-zuid"

"Goedendag meneer, ik ben zojuist terug van vakantie en ik had alle ramen en deuren in mijn huizen open laten staan. En nu, drie weken later, is dus alles weggehaald en zo te zien hebben er een paar junks de nacht doorgebracht in mijn huis"

"Ja meneer dat is heel vervelend voor u, u bent overduidelijk slachtoffer van de situatie en als huis eigenaar bent u hier niet de
verantwoordelijke voor deze kwestie."

Misschien moeten we Willem Alexander verantwoordelijk maken dan hebben we dit probleem ook niet meer.
03-01-2023, 15:56 door Anoniem
Wat een nonsens opmerking van mevrouw van den Berg.
Het is inderdaad voor dit moment beter om cybersecurity op een hoger niveau dan de gemeente te faciliteren en hier dwingend advies voor te geven en dit centraal te controleren. Waarom? Omdat de gemeenten nog niet het kennis niveau hebben wat vereist is voor de huidige praktijk.

Als tegenwoordige systeembeheerder moet je weten wat er in de security wereld speelt en waar je tegen moet wapenen. Systeembeheerders die een wachtwoord zoals welkom2020 gebruiken moeten acuut op non-actief gesteld worden. Deze personen zijn niet FIT genoeg voor hun huidige werkzaamheden en moeten eerst goede kennis opbouwen en aantonen dat ze dat in de praktijk toepassen.

-KH
03-01-2023, 16:01 door Anoniem
Wordt mijn vooroordeel over systeembeheerders toch weer bevestigd.
Zo’n wachtwoord gebruikt mijn oma niet eens.
Ik vind wel dat we van het slachtoffer geen dader moeten maken.
03-01-2023, 16:02 door Anoniem
Door Anoniem: Ben ik het totaal niet mee eens. Als jij zo'n slecht wachtwoord gebruikt in een productie omgeving vraag je er bijna om om gehackt te worden.
Er zijn genoeg tools beschikbaar om veilige passworden te gebruiken en bewaren.

Dus een griet met een rokje korter dan haar heupen vraagt erom om verkracht te worden? Ze vroeg er toch om?

Kom op zeg, zelfs als de voordeur helemaal openstaat dan nog kan het slachtoffer nooit de schuldige zijn.
03-01-2023, 16:09 door Anoniem
Ik zie meerderen reageren met verwijt richting gemeentes terwijl dit ook gewoon in de privaatsector gebeurd.
Van den Berg heeft gelijk.
Zowel bedrijven als overheidsinstanties zijn laks om zowel tijd als geld in hun infrastructuur en werkwijzen te steken, soms omdat men teveel oog heeft op winst, maar ook gewoon omdat we in een tijd leven waarbij het nog niet duidelijk is hoe groot de kans is dat wordt aangevallen als je jouw digitale omgeving niet goed onderhoud.
criminelen plukken daar met veel plezier de (laaghangende) vruchten van.

Maakt niet uit of het een instantie of bedrijf is. Strakke afspraken, werkwijzes, en een sterke digitale fundering zijn essentieel voor beiden.
Geen enkele 'domme gebruiker' die je daar iets van kan verwijten als een of meerdere bovenstaande dingen ontbreken.

De tijd zal het leren.

'The best way to make management enthousiastic about fire-safety is by burning the building across the street.'
03-01-2023, 16:13 door Anoniem
En het monitoren van vreemde aanlogpogingen op het account?
Onder welke verantwoordelijkheid lag dat?
03-01-2023, 16:20 door Anoniem
Deze hoogleraar propageert dus eigenlijk dat we met z'n allen zonder de verkeersregels te kennen aan het verkeer mogen deelnemen? Want ja, ik snap best dat "Volgens Van den Berg is het onmogelijk voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken" geldt voor een bepaalde groep ambtenaren, maar ik vind voor een systeembeheerder toch wel een minimale kennis op het gebied van de regeltjes en do's en dont's op internet vereist.

Ik maak iets te vaak mee dat "systeembeheerder" gewoon een functie is waarop zomaar even iemand neergezet wordt die ergens anders binnen de gemeente z'n werk niet meer kan doen. En dat is een volledig verkeerde insteek; want anders zou je-m net zo goed als "burgemeester" neer kunnen zetten. Maar ja, dat kan niet, want een burgemeester heeft verantwoordelijkheid... en een systeembeheerder niet dan?

Juist door deze uitspraak van deze hoogleraar zorgt ervoor dat dat te lage niveau bij een aantal gemeenten in stand blijft. Schandalig.
03-01-2023, 16:25 door Anoniem
Een wachtwoord is pas "slecht" als je het eenmaal weet. Dan weet iedereen hier te vertellen dat het slecht is.
Maar zolang je nog niet weet wat het wachtwoord is (en je geen toegang hebt tot wachtwoordhashes) is er geen
verschil.

Ook is het niet zo dat een wachtwoord als welkom2020 vergelijkbaar is met "je deur open laten staan".
Het is vergelijkbaar met je ramen en deuren gesloten hebben met hang en sluitwerk zoals in Nederland standaard
op huizen gemonteerd wordt. Het houdt een toevallige passant tegen, maar een moedwillige inbreker loopt zo naar
binnen.

We zijn in de situatie terecht gekomen dat IT'ers verwachten dat iedereen zware stalen deuren en ramen met professioneel
hang- en sluitwerk monteert, en dan nog wordt er gezemeld dat je "dat merk ook niet had moeten nemen" of dat je
slagbestendige glas niet van een voldoende kwaliteit was.

Ik denk dat overheden het voortouw moeten nemen, vanuit hun justitieel en geweldsmonopolie, om de daders van
cybercriminaliteit op te sporen, op te pakken en te berechten. Wij kunnen dat als burgers niet, en het kan niet van
ons verwacht worden dat we ons tot de tanden bewapenen.
03-01-2023, 16:28 door Anoniem
Als de opdrachtgever letterlijk dat wachtwoord geeist had, dan was de systeembeheerder slachtoffer...
Zodra de beheerder zelf hat ww. kan kiezen wordt die ook verantwoordelijk voor die keuze.
En een beheerder die dit buiten een demo/test omgeving doet is geen beheerder, maar meer een trojaans paard.
03-01-2023, 16:32 door Anoniem
Door Anoniem: En het monitoren van vreemde aanlogpogingen op het account?
Onder welke verantwoordelijkheid lag dat?

Makkelijk gezegd. Je gaat er nu vanuit dat zulke dingen worden gemonitord en dat het management al in de buidel heeft getast om dit alles te realiseren inclusief een waterdichte werkwijze, tweestapsverificatie, het opschorten van ongebruikte accounts waarvan het toegang nog is ontsloten, het forceren van het wijzigen van het standaard wachtwoord, het inlichten van gebruikers over het omgaan met digitale informatie, de werkdruk van de betreffende systeembeheerder, de kennis van de betreffende systeembeheerder, en hoe erg het management ervan overtuigd is dat deze dingen nodig zijn. En zo kan ik nog wel even doorgaan.

Als je aan een werknemer vraagt of diegene goed werk wil leveren zegt 99% volmondig ja.
Als je dat aan het management vraagt krijg je meestal de vraag 'hoeveel dat gaat kosten?'.

Dit soort problemen radicaal (bij de wortel) aanpakken is de enige juiste manier.
03-01-2023, 16:39 door Erik van Straten
Door Anoniem: En het monitoren van vreemde aanlogpogingen op het account?
Onder welke verantwoordelijkheid lag dat?
En wie is verantwoordelijk voor het vaststellen dat het kennisniveau van zo'n systeembeheerder voldoende is om diens werk fatsoenlijk uit te kunnen voeren?

En wie controleert of systeembeheerders hun werk daadwerkelijk voldoende betrouwbaar uitvoeren, daar voldoende middelen en tijd voor krijgen, daar bijtijds de juiste en fatsoenlijke opleidingen voor volgen, en slagen voor de bijpassende examens?

Als een "systeembeheerder" zo'n wachtwoord instelt voor toegang vanaf internet, heeft diens werkgever ernstig gefaald, want zo iemand verdient die titel niet. Helaas vermoed ik dat dit voor heel veel mensen geldt die roepen dat zij "systeembeheerder" zijn.
03-01-2023, 16:49 door Anoniem
Door Erik van Straten:
Als een "systeembeheerder" zo'n wachtwoord instelt voor toegang vanaf internet, heeft diens werkgever ernstig gefaald, want zo iemand verdient die titel niet. Helaas vermoed ik dat dit voor heel veel mensen geldt die roepen dat zij "systeembeheerder" zijn.

Ik ben het er niet mee eens. Het komt overeen met de huiseigenaar die een standaard cylinderslot op de voordeur heeft,
en glas in de deur. Het is een naar de gewoonten normale beveiliging, waar de normale passant niet doorheen komt,
maar de crimineel met een stoeptegel of een boormachine zo langs loopt.
Alleen dat noemen we niet "de huiseigenaar heeft ernstig gefaald" maar "de inbreker is een hufter die de gevangenis in
moet". Zolang cybercriminelen niet gepakt worden (en als dat om een of andere reden niet kan, zolang die mechanismen
niet buiten bedrijf gesteld worden door de overheden) dan blijven we deze ongelijke wapenrace houden.
Als die beheerder een beter wachtwoord gekozen had, dan was het dat ie geen 2-factor authenticatie had.
Als ie wel 2-factor authenticatie had dan was het dat die 2e factor niet goed genoeg was, bijvoorbeeld SMS gebruikt.
Als ie dit wel goed voor elkaar had, dan was het dat ie Windows gebruikt heeft ipv BSD.
En zo is er altijd wel wat fout aan wat de beheerder gedaan heeft.
Maar de eigenlijke fout ligt bij de gewetenloze criminelen die in andermans systemen inbreken voor eigen gewin!
03-01-2023, 16:58 door Anoniem
Ik dacht dat de gemeente Hof van Twente het slachtoffer was en de dader een of meerdere cybercriminelen.

De systeembeheerder is slechts een van de actoren bij de gemeente Hof van Twente, geen slachtoffer en geen dader.

Hij heeft het wel gemakkerlijker gemaakt voor de cybercriminelen met zo'n wachtwoord.
03-01-2023, 17:05 door Erik van Straten
Door Anoniem: Een wachtwoord is pas "slecht" als je het eenmaal weet.
Ook.

In https://tweakers.net/plan/3806/met-project-no-more-leaks-voorkomt-de-politie-veel-schade-bij-bedrijven.html?showReaction=18289856#r_18289856 beschreef ik recentelijk wat zwakke en sterke wachtwoorden zijn (wellicht moet ik dat op deze site eens overdoen; trollen zat maar in elk geval lijken de wappies wat minder actief op deze site de laatste tijd).

"Welkom2009" staat gewoon in de "Smaller Wordlist (Human Passwords Only)" uit 2010! in https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm.

Daarbij moet je begrijpen dat meer mensen doen wat John Opdenakker op 1 jan. schreef in https://infosec.exchange/@j_opdenakker/109613735826804043:
Don’t forget to increment the year in your password!

@Redactie: security.nl wil links met een @ erin nog steeds niet clickable maken. Een @ vóór de domeinnaam toestaan is onwenselijk, maar achter de eerste / achter de domeinnaam lijkt mij geen probleem - of zie ik wat over het hoofd?
03-01-2023, 17:36 door Anoniem
Een systeembeheerder met als wachtwoord "Welkom2023" is geen slachtoffer, maar de hoofdverantwoordelijke.
03-01-2023, 17:53 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Als een "systeembeheerder" zo'n wachtwoord instelt voor toegang vanaf internet, heeft diens werkgever ernstig gefaald, want zo iemand verdient die titel niet. Helaas vermoed ik dat dit voor heel veel mensen geldt die roepen dat zij "systeembeheerder" zijn.

Ik ben het er niet mee eens. Het komt overeen met de huiseigenaar die een standaard cylinderslot op de voordeur heeft,
en glas in de deur. Het is een naar de gewoonten normale beveiliging, waar de normale passant niet doorheen komt,
maar de crimineel met een stoeptegel of een boormachine zo langs loopt.
Iemand die systemen aan internet hangt en wel eens access-logs of firewall-logs bekeken heeft (of over dat soort risico's op diens opleiding had geleerd of desnoods ooit op internet gelezen had, zoals in https://isc.sans.edu/data/trends.html), had geweten dat op internet criminelen aan de lopende band sloten proberen te lock-picken, uit te boren of stenen door ruiten proberen te gooien. Deze vergelijking slaat dus kant noch wal.

Iemand die dat niet weet moet zichzelf geen systeembeheerder noemen, en om te beginnen moet een gemeente (of een ingehuurd beheerclubje) zo iemand niet zulk werk laten doen.
03-01-2023, 17:57 door Anoniem
Door Anoniem: Ben ik het totaal niet mee eens. Als jij zo'n slecht wachtwoord gebruikt in een productie omgeving vraag je er bijna om om gehackt te worden.
Er zijn genoeg tools beschikbaar om veilige passworden te gebruiken en bewaren.

Helemaal mee eens!
03-01-2023, 18:31 door Anoniem
Wat een onzin. Van een systeembeheerder mag verwacht worden dat die enige kennis heeft over wat er speelt op het gebied waar deze voor verantwoordelijk is. Een soort van 'knap wachtwoord' hoort daar wel bij.
Dan zou je nog de discussie aan kunnen wat dan wel een behoorlijk wachtwoord is. Die wordt al wat lastiger. Dat een 'welkom2020' het niet gaat worden, dat is overduidelijk.

Als je dat niet op de rit hebt, dan ben je daarmee geen dader. Maar om het nou gelijk een slachtoffer te noemen? De betreffende persoon had gewoon beter moeten weten - en dus ook presteren!
03-01-2023, 18:57 door Anoniem
Iemand die als ww Welkom2020 gebruikt is in mijn ogen geen ICT'er maar een amateur en dat komt uit de mond van iemand die ict'er bij de overheid is.....
03-01-2023, 19:18 door karma4
Door Anoniem: Wordt mijn vooroordeel over systeembeheerders toch weer bevestigd.
Zo’n wachtwoord gebruikt mijn oma niet eens.
Ik vind wel dat we van het slachtoffer geen dader moeten maken.

Mijn vooroordeel over sturlui aan wal wordt bevestigd.
De vraag of het wel.open mocht staan naar internet wordt niet een gesteld. Als je verwacht dat met firewalls doir anderen je wel veilig bent dan is het daar al mis gegaan. Zo jaren 90.
03-01-2023, 19:21 door karma4
Door Anoniem: ......
En zo is er altijd wel wat fout aan wat de beheerder gedaan heeft.
Maar de eigenlijke fout ligt bij de gewetenloze criminelen die in andermans systemen inbreken voor eigen gewin!
Eens, vermoedelijk is er bij velen die roepen dat de ander het fout gexaan heeft heel wat te vinden wat niet goed is.
03-01-2023, 21:00 door Anoniem
Wat is dit voor een betoog? Is dit het academisch denken? Jawadde.
Laten we eerlijk blijven - willen wij een dure studielening afsluiten om mensen dit soort van orakels te laten uitspreken? Dan is madamme Soleil een pak goedkoper en misschien is de uitleg nog zinvoller dan dit.
03-01-2023, 22:05 door Anoniem
Mijn vooroordeel over sturlui aan wal wordt bevestigd.
De vraag of het wel.open mocht staan naar internet wordt niet een gesteld. Als je verwacht dat met firewalls doir anderen je wel veilig bent dan is het daar al mis gegaan. Zo jaren 90.
Mijn vooroordeel dat niet alleen koks lange messen dragen wordt weer eens bevestigd.
Wie beweert dat een firewall sowieso niet beschermt, moet terug naar school.
03-01-2023, 23:15 door Anoniem
Door Anoniem:
Door Anoniem: En het monitoren van vreemde aanlogpogingen op het account?
Onder welke verantwoordelijkheid lag dat?

Makkelijk gezegd. Je gaat er nu vanuit dat zulke dingen worden gemonitord en dat het management al in de buidel heeft getast om dit alles te realiseren inclusief een waterdichte werkwijze, tweestapsverificatie, het opschorten van ongebruikte accounts waarvan het toegang nog is ontsloten, het forceren van het wijzigen van het standaard wachtwoord, het inlichten van gebruikers over het omgaan met digitale informatie, de werkdruk van de betreffende systeembeheerder, de kennis van de betreffende systeembeheerder, en hoe erg het management ervan overtuigd is dat deze dingen nodig zijn. En zo kan ik nog wel even doorgaan.

Als je aan een werknemer vraagt of diegene goed werk wil leveren zegt 99% volmondig ja.
Als je dat aan het management vraagt krijg je meestal de vraag 'hoeveel dat gaat kosten?'.

Dit soort problemen radicaal (bij de wortel) aanpakken is de enige juiste manier.

Deze keer was het een niet handig gekozen wachtwoord van een systeembeheerder, de volgende keer een patch gemist in patch Tuesday, of een 0day.
Monitoren op normaal gedrag en hierdoor vreemd gedrag kunnen constateren is wellicht het minimale wat men nu zou moeten doen.
SIEM op identities is een must, dat was zo in 2020 maar zeker nu ook in 2023.
04-01-2023, 00:16 door Anoniem
Ik denk knuffeltrutje. Wat ik, als gebruikelijk, altijd lief bedoel. Ook voor academici met een basisuitkering. Want die zijn ook maar slachtoffer van hun omstandigheden. Net als burgemeesters. Die kunnen er ook niks aan doen dat ze daar maar moeten zitten. Met die ketting om. Het zal je maar gebeuren. Voor de rest wil ik graag 2023 nog even welkom heten. Dat zal je ook maar gebeuren. Heel dat 2023. Daar ben je nu al slachtoffer van. Of had je dat zelf gekozen dan, dat het welkom 2023 ging worden.
04-01-2023, 07:02 door Anoniem
Hilarisch hoe hier iemand die totaal ongeschikt is voor z'n werk toch nog bijstand krijgt.
Doet je toch afvragen hoeveel mensen hier toevallig voorbij komen waaien maar zelf nog nooit iets in de industrie hebben gedaan.
Als je dit soort accounts open zet naar het www dan moet je gewoon per direct ontslag krijgen, in mijn tent was je er direct uitgevlogen(en waarschijnlijk ook nooit aangenomen geweest.)
Bij overheden werkt dat anders, dan moet je eerst in je onderbroek met een feestmuts op naar kantoor gaan en zelfs dan denk ik niet dat je ontslagen gaat worden.
04-01-2023, 07:47 door Anoniem
Nou mevrouw van den Berg, neem maar ontslag of ga terug naar school, want je moet zoveel geleerd hebben om zo dom te zijn.

Hoezo slachtoffer, je bent gewoon niet lekker als je zo'n simpel wachtwoord gebruikt.
04-01-2023, 08:06 door Roger63
Zo te zien heeft hier (vrijwel) niemand het stuk van Prof. Van den Berg gelezen. Dat is nochtans zeer lezenswaardig.

Uiteraard is welkom2020 zelfs voor een beginnend systeembeheerder geen handige keuze, maar de discussie over dit detail leidt af van de kern van de zaak. Systeembeheerders zien zich geconfronteerd met een wereld van digitale dreigingen die hun begripsniveau (ver) te boven gaan en krijgen niet de steun die zij nodig hebben om hun werk goed te doen. In die zin zijn zij slachtoffer (van een gebrekkige systeeminrichting), niet dader. Daar kan ik het alleen maar mee eens zijn. Als je het betoog van Prof. Van den Berg goed leest, dan zie je dat zij het ook zo bedoelt.

De kern van het betoog van Prof. Van den Berg is overigens dat het geen goed idee is om de verantwoordelijkheid voor cyberveiligheid op gemeentelijk niveau in zijn geheel op het bordje van de burgemeester (het publiek van haar betoog!) te leggen, maar dat dit onderwerp deels collectief moet worden georganiseerd (op rijksniveau, neem ik aan). Ook daar kan ik het alleen maar mee eens zijn: burgemeesters hebben uitzonderingen daargelaten niet de benodigde affiniteit met het onderwerp.
04-01-2023, 08:53 door Anoniem
De systeembeheerder was de zwakste schakel in mijn beleving en natuurlijk is de burgemeester/gemeentesecretaris verantwoordelijk. Het is zijn/haar taak om mensen te faciliteren. Als je de dienstverlening gaat digitaliseren dan zul je dus mensen daar neer moeten zetten die ook affiniteit hier mee hebben. Het is echter politiek alom en daar is het credo: als je kunt afschuiven dan moet je afschuiven want het pluche is heilig!
04-01-2023, 09:13 door Anoniem
Door Roger63: Zo te zien heeft hier (vrijwel) niemand het stuk van Prof. Van den Berg gelezen. Dat is nochtans zeer lezenswaardig.

Uiteraard is welkom2020 zelfs voor een beginnend systeembeheerder geen handige keuze, maar de discussie over dit detail leidt af van de kern van de zaak. Systeembeheerders zien zich geconfronteerd met een wereld van digitale dreigingen die hun begripsniveau (ver) te boven gaan en krijgen niet de steun die zij nodig hebben om hun werk goed te doen. In die zin zijn zij slachtoffer (van een gebrekkige systeeminrichting), niet dader. Daar kan ik het alleen maar mee eens zijn. Als je het betoog van Prof. Van den Berg goed leest, dan zie je dat zij het ook zo bedoelt.

De kern van het betoog van Prof. Van den Berg is overigens dat het geen goed idee is om de verantwoordelijkheid voor cyberveiligheid op gemeentelijk niveau in zijn geheel op het bordje van de burgemeester (het publiek van haar betoog!) te leggen, maar dat dit onderwerp deels collectief moet worden georganiseerd (op rijksniveau, neem ik aan). Ook daar kan ik het alleen maar mee eens zijn: burgemeesters hebben uitzonderingen daargelaten niet de benodigde affiniteit met het onderwerp.

Ik denk niet dat ik tijd ga hebben om het verhaal van Prof.Prof.Prof van den Berg Prof te gaan lezen. Want die krijgt eind van de maand netjes gestort. Ik niet. Ik moet het helemaal zelf bijmekaar proffen.
04-01-2023, 09:22 door Anoniem
Een systeembeheerder met een simpel wachtwoord is geen dader, geen slachtoffer, maar een prutser.
https://watbenjedan.nl/
04-01-2023, 09:25 door Anoniem
Systeembeheerders zien zich geconfronteerd met een wereld van digitale dreigingen die hun begripsniveau (ver) te boven gaan en krijgen niet de steun die zij nodig hebben om hun werk goed te doen. In die zin zijn zij slachtoffer (van een gebrekkige systeeminrichting), niet dader. .

Systeembeheerders moeten ook helemaal zich niet met security bezig houden, daar zijn security specialisten voor.
Systeembeheerders moeten lekker bezig zijn met 'next, next, finish, of in dit geval volgende, volgende, klaar'...
Lekker klikkedieklik in hun GUI van hun favoriete merk software die ze al op hun eerste opleiding gehersenspoeld heeft in het denken met de muis ipv weten en voelen wat er onder water gebeurd, zodat je ook nooit de feeling gaat krijgen met wat je eigenlijk aan het doen bent.

Klikkerdeklik en voila een Windows server online.. klikkedieklik en voila, een database online in de cloud...
Er is geen feeling met het feit dat een Windows server online brengen betekent dat je services aan zet, poorten (tcp/udp enz) open zet en dan heb ik het nog niet eens over die database in de cloud die voor de hele wereld open staat.

GUI klikkers zijn op het niveau beheerders hetzelfde als kassamedewerkers in de supermarkt... klik, piep... heeft u koopzegels of een klantenkaart van microsoft, oracle, mcafee?

En an sich is daar niets mis mee, behalve dat je erg brakke software in huis neemt voor een belachelijk hoge prijs, waar je dan werknemers hebt die overal een certificaatje voor moeten halen die wel elk jaar a muchos euros weer ververst moet worden....wanneer je maar niet denkt dat het dan ook veilig is...
En dat denken deze hoogleraren wel, gooi het maar naar de rijksoverheid, want dan komt het WEL goed... Nu ken ik genoeg mensen bij de overheid en er zijn echt wel mensen die er verstand van hebben maar laten die nou niet het beleid maken.

Een burgemeester hoeft ook geen IT Security specialist te zijn, als die maar een goede burgemeester is... en dat betekent dat als hij het niet weet en er 341 collega's zijn die hetzelfde probleem hebben, kunnen ze zelf toch iets onderlings regelen?
Ze kunnen met hun gezicht elke dag op TV komen in de corona crisis, dan kunnen ze toch ook wel effe 2 uurtje vergaderen over een gemeenschappelijk platform voor gemeenten? Zeg een <gemeente>.gemeente.overheid of zo. Elke gemeente heeft direct een eigen landingspagina, centraal beveiligd, een complete wasstraat met loadbalancers, IPS, anti-ddos, verschillende hop-on locaties, en alles volgens een vastgesteld en gecontrolleerde stramien ingeregeld. Eventueel met een koppeling voor rijksaangelegenheden (vraag hier uw rijbewijs aan, klik hier voor hondenbelasting, klik hier voor de krant die uw burgemeester heeft laten verdwijnen enz..).
04-01-2023, 10:23 door Erik van Straten
Door Roger63: De kern van het betoog van Prof. Van den Berg is overigens dat het geen goed idee is om de verantwoordelijkheid voor cyberveiligheid op gemeentelijk niveau in zijn geheel op het bordje van de burgemeester (het publiek van haar betoog!) te leggen, maar dat dit onderwerp deels collectief moet worden georganiseerd (op rijksniveau, neem ik aan). Ook daar kan ik het alleen maar mee eens zijn: burgemeesters hebben uitzonderingen daargelaten niet de benodigde affiniteit met het onderwerp.
Dat iemand eindverantwoordelijk is, betekent dat diegene betrouwbare specialisten om zich heen moet verzamelen - en betalen. Burgemeesters die denken dat je van de besparing, die ontmenselijking (aka digitalisering of automatisering) oplevert, bijvoorbeeld een nieuw stadhuis kunt bouwen, mogen vroeger of later het boetekleed aantrekken voor een datalek. Wie zijn de slachtoffers? En wordt zo'n burgemeester vervolgens ontslagen en mag deze dat ambt nooit meer vervullen? Vertrouwen in de overheid anyone?

Als je meer vertrouwelijke gegevens op één plaats concentreert en er dus veel meer ambtenaren toegang tot moeten hebben, wordt het beveiligen daarvan exponentieel ingewikkelder, want dat wordt al snel een honingpot voor cybercriminelen. Zie ook https://security.nl/posting/778881 en https://www.rtlnieuws.nl/nieuws/nederland/artikel/5355022/vervalsen-paspoorten-ridouan-taghi-gemeente-den-haag.
04-01-2023, 10:29 door Anoniem
Door Anoniem: Ik zie meerderen reageren met verwijt richting gemeentes terwijl dit ook gewoon in de privaatsector gebeurd.
Van den Berg heeft gelijk.
Zowel bedrijven als overheidsinstanties zijn laks om zowel tijd als geld in hun infrastructuur en werkwijzen te steken, soms omdat men teveel oog heeft op winst, maar ook gewoon omdat we in een tijd leven waarbij het nog niet duidelijk is hoe groot de kans is dat wordt aangevallen als je jouw digitale omgeving niet goed onderhoud.
criminelen plukken daar met veel plezier de (laaghangende) vruchten van.

Maakt niet uit of het een instantie of bedrijf is. Strakke afspraken, werkwijzes, en een sterke digitale fundering zijn essentieel voor beiden.
Geen enkele 'domme gebruiker' die je daar iets van kan verwijten als een of meerdere bovenstaande dingen ontbreken.

De tijd zal het leren.

'The best way to make management enthousiastic about fire-safety is by burning the building across the street.'

Zoals Security.NL het heeft opgeschreven snap ik de andere reacties hier wel. Een betere weergave van wat mevrouw stelt is te vinden op burgemeester.NL. En anders moet je haar oorspronkelijke artikel leen, maar dat mag je niet verwachten van de gemiddelde Security.NL lezer.
04-01-2023, 11:07 door informatiebeveiliger - Bijgewerkt: 04-01-2023, 11:15
Bibi heeft gelijk als je kijkt naar de IT functionaliteiten dan zijn die vaak per gemeente meer van hetzelfde. Dit zie je onder andere in de GEMMA ( GEMeentelijke Model Architectuur )

https://www.gemmaonline.nl/index.php/Gemeentelijke_Model_Architectuur_(GEMMA)

De gemeente en rijk bewegen een andere kant op. En ook burgemeesters slaan wilt om zich heen. Zo zijn er burgemeesters die de APV aanpassen om online ordeverstoringen aan te pakken.

https://www.security.nl/posting/777906/Kan+een+burgemeester+zomaar+de+APV+aanpassen+om+online+ordeverstoringen+aan+te+pakken%3F

De gemeente hebben voor het interne ICT niet eens de kennis en kunde in huis. Laat staan voor online onderzoek naar ordeverstoringen. Verder is er in Utrecht nog een burgemeester die een online gebiedsverbod oplegt.

https://www.security.nl/posting/740834/Minister+wil+niet+oordelen+over+online+gebiedsverbod+burgemeester+Utrecht

https://www.security.nl/posting/668971/Burgemeester+Utrecht+wil+opruiende+vlogs+en+sites+sneller+offline+halen

Er zijn vele mogelijkheden om een online gebiedsverbod te omzeilen. Voor uitvoering en handhaving hebben de gemeente de kennis en kunde niet in huis. Of krijgen we straks cyber BOA's voor de uitvoering?

De hierboven aangeven voorbeelden van afgelopen maanden onderbouwen nog meer de stelling van Bibi van den Berg om cyber op hoger collectief niveau te organiseren.
04-01-2023, 11:33 door Erik van Straten
Door informatiebeveiliger: De gemeente hebben voor het interne ICT niet eens de kennis en kunde in huis.
Welja, laten we de gegevens van alle Nederlanders op één plaats verzamelen en zo "goed" beveiligen dat foute medewerkers daar niet ongemerkt (zonder logging en toezicht) in kunnen grasduinen. En daarmee voorkómen dat er, om onverklaarbare redenen, 920.000 Euro aan contanten bij één medewerker op zolder gevonden wordt (https://www.security.nl/posting/780097/Medewerker+Belastingdienst+aangeklaagd+voor+ongeoorloofd+opvragen+data).

Concentreren van gegevens lost alle problemen op! (not)
04-01-2023, 11:38 door Anoniem
Door Anoniem: Een systeembeheerder met als wachtwoord "Welkom2023" is geen slachtoffer, maar de hoofdverantwoordelijke.

WOW! Dit is best wel een gevaarlijk statement. Hoofdverantwoordelijk nog wel ....

Totale prutser ... yes ... hoofdverantwoordelijk .... eh wot?
04-01-2023, 11:55 door Anoniem
Iemand gehoord van een sterke Password Policy?
04-01-2023, 12:14 door Erik van Straten
Door Anoniem: Iemand gehoord van een sterke Password Policy?
Die vraag was al beantwoord in https://security.nl/posting/780020.
04-01-2023, 13:04 door Anoniem
Beste Bibi, u moet zich bezigen met cybersecurity en niet met psychologie.
05-01-2023, 09:28 door Anoniem
Door Anoniem: Een wachtwoord is pas "slecht" als je het eenmaal weet. Dan weet iedereen hier te vertellen dat het slecht is.
Nee een wachtwoord is ook slecht als het makkelijk te raden is. En hashes zijn in grote getalen publiekelijk beschikbaar.

Het houdt een toevallige passant tegen, maar een moedwillige inbreker loopt zo naar
binnen.
Ware het niet dat dat soort hang en sluitwerk vaak door verzekeraars niet als afdoende wordt beschouwd. Ook daar eist men dat de inbreker wat moeite moet hebben gedaan om binnen te komen.

Het begint dus inderdaad bij jezelf niet bij de overheid. Ik hoef alleen maar betere sloten te hebben dan mijn buren. Een inbreker kiest graag het makkelijkste doelwit.
05-01-2023, 10:29 door Anoniem
Door Anoniem: En het monitoren van vreemde aanlogpogingen op het account?
Onder welke verantwoordelijkheid lag dat?

Hof van Twente ingezetene hier :(. Dat werd naar alle waarschijnlijkheid niet gelogd, want dat was waarschijnlijk geen onderdeel van het outsourcing contract.

Of de gemeente ook audits heeft gehouden bij de externe partij is niet bekend. Wel om gevraagd destijds maar op alle vragen kwam het bekende "Hangende het onderzoek kunnen wij geen mededelingen doen...".

Later zijn vragen gewoon genegeerd door Hof van Twente, maar goed met overige burgerzaken zijn ze daar ook heer & meester in.....
05-01-2023, 13:33 door Anoniem
Door Anoniem:
Door Anoniem: Een systeembeheerder met als wachtwoord "Welkom2023" is geen slachtoffer, maar de hoofdverantwoordelijke.

WOW! Dit is best wel een gevaarlijk statement. Hoofdverantwoordelijk nog wel ....

Totale prutser ... yes ... hoofdverantwoordelijk .... eh wot?

Vanuit de optiek van een incompetent hoger management is de systeembeheerder de ideale zondebok. :-(
05-01-2023, 16:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een systeembeheerder met als wachtwoord "Welkom2023" is geen slachtoffer, maar de hoofdverantwoordelijke.

WOW! Dit is best wel een gevaarlijk statement. Hoofdverantwoordelijk nog wel ....

Totale prutser ... yes ... hoofdverantwoordelijk .... eh wot?

Vanuit de optiek van een incompetent hoger management is de systeembeheerder de ideale zondebok. :-(

Uiteindelijk is de gemeentesecretaris als directeur van de organisate eindverantwoordelijk. Daar wordt zo'n persoon ook rijkelijk voor betaald.

Maar van iemand die de functie van systeembeheerder heeft, mag je wel een bepaald verantwoordelijkheidsgevoel verwachten. Meer dan van een eindgebruiker.
Bij een eindgebruiker ga je er van uit dat dat een digibeet is, en dus e.e.a. voorgekauwt moet krijgen.
Van een systeembeheerder mag je verwachten dat die dat soort zaken overziet en er rekening mee houdt door adequate maatregelen te nemen.

In dit geval hebben we het over een server die van buitenaf toegankelijke was, met een account dat admin rechten had, beveiligd was met alleen maar een "simpel" wachtwoord en geen MFA oid had.
Dan ga je niet 1 keer de fout in, maar struikel je over de gemaakte fouten.

Dit waren issues die 30 jaar geleden ook al (in een iets andere vorm) bestonden en toen ook al goed beveiigd moesten worden. Extra beveiligingen bij inbellen, zware wachtwoorden (voor wat toen kon), tokens, etc. da bestond toen ook allemaal al.Ik heb er zelfs mee gewerkt toen als ontwikkelaar/"eindgebruiker".

Niets nieuws onder de zon dus.
Of je moet onder een hele grote zware steen geslapen hebben of net van school gekomen zijn,
In dat laatste geval zou ik mijn schoolgeld terug vragen.


Is de systeembeheerder eindverantwoordelijjk?
Nee, zeker niet. De organisatie draagt de verantwoordelijkheid.
Maarr de organisatie mag zich wel achter de oren krabben, en zichh afvragen of deze persoon wel op de juiste functie zit.
Of op zijn minst een meer ervaren sparruingspartner moet krijgen. Ik ga er van uit dat deze persoon zijn lesje geleerd heeft en deze fouten niet nog een keer zal maken. Maar hij heeft wel vertrouwen geschaad.


Is de systeemebeheerder slachtoffer?
Nee en ja.
Nee, hij had beter moeten weten.
Ja, van zijn eigen naiviteit of onkunde.


Is de systeembeheerder dader?
Zeker niet.
Maar hij heeft het de daders wel erg makkelijk gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.