Dit doe ik standaard in elk laravel project. Alle user events worden gelogd, zoals het maken/verwijderen/inzien/wijzigen. Raar dat de overheid er nu mee komt

“ Alle handelingen in de politiesystemen worden al automatisch bijgehouden. Maar om misbruik van de informatie vroegtijdig te ontdekken, analyseert de politie landelijk voortaan ook proactief patronen, ….”

ff lezen
Er staat niet dat ze logging gaan doen, er staat dat ze logging gaan _analyseren_ .
(vast automatisch/AI en noem maar op).

Het geldt wel in meer situaties - dat de logging er is , is mooi - maar als je er niet naar kijkt, of pas naar kijkt als de zaak in de soep gedraaid is, is dat nogal jammer.
En zeker goed als ze lekkende agenten eerder vinden, en niet pas aan het eind van een moord onderzoek als alle sporen teruggelopen worden.

Wel raar eigenlijk dat ze zo met fluwelen handschoenen langs de COR moeten - ik had gedacht dat er al lang een standaard disclaimer/arbeidsovereenkomst oid zat dat gedrag/gebruik van systemen bekeken mag worden.

Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.

Doen de eigen medewerkers dit?

Aan de eind van de dag draait het hoofd van dienst alle computermuizen om als de devices schoon bevonden zijn.

Lijkt me een goede routine. Niemand zijn Google mail account open laten staan? Cache geleegd?

Leren coderen via de politie, eerste computer zo aangeschaft. De tijden zijn veranderd.

De belastingdienst heeft wel een SOC, maar daar houden ze gewoon wat DDoS status / system usage bij.
Echte systeem logs heb ik ze daar niet zien bijhouden. Dat kan echter inmiddels veranderd zijn.

Ik ben bang dat de Nederlandse overheid te veel red tape/bureaucratie heeft voor een effectieve SOC met SIEM&IDS...

Ale je denkt dat wat ze hier gaan doen bij een SOC/SIEM/IDS hoort ben je een ongelofijke amateur .
Leuk hoor, dat je de woordjes SOC/SIEM/IDS kent . Nuttige zaken . Maar - DIE GAAN HIER NIET OVER.
Die zoeken externe hackers/intruders.

Dit gaat over het analyseren (technisch) valide access, vanaf valide terminals, door geauthoriseerde accounts .
Alleen - accounts die hun boekje te buiten gaan met wat ze over wie opzoeken. Misschien omdat ze voor wat centen 'even iemand natrekken' . Of omdat het vriendje van hun dochter door het systeem gooien.

Dat vind je (ook) de systeem logging - is iemand zo ijverig dat ie op zondag avond nog even een kenteken natrekt , of is het een omgekochte opvraging. Waarom vraagt een agent uit midden-nederland iets op over een persoon uit noord-brabant .
Dat type analyse - en dat is niet voor een SOC of IDS, maar voor een interne recherche afdeling.

Zeer waarschijnlijk, gezien alle vertrouwelijkheid.

In het artikel staat

Welke effecten heeft deze maatregel op het meer of minder voorkomen van gerechtelijke dwalingen.

Zal niet de eerste keer zijn dat politie ism met justitie levens verwoest door tunnelvisie. Hierbij zijn uiteraard ook OvJ en RC betrokken.

Bevragingen buiten een opsporingskader kan een moreel hoger doel hebben, namelijk tegengaan van gerechtelijke dwalingen, of verspilling van middelen door eenzijdig opsporingsonderzoek.

Maar als ik lees dat het een leidinggevende is die vragen gaat stellen aan de agent, dan vrees ik dat deze maatregel het gerechtelijke dwalingen en frauduleus opsporingsonderzoek juist in de hand werkt.

Dit naast digitale dossiervorming (en de te verwachten lekken uit dossiers) gaat het allemaal niet veiliger en vriendelijker worden.

uitzending EenVandaag over 'Politie gaat scherper controleren welke informatie agenten opvragen'
zaterdag 10 februari 2024, item vanaf 13m:15s

https://npo.nl/start/serie/eenvandaag/seizoen-11/eenvandaag_5103/afspelen

Lekken aan criminelen wordt stuk lastiger voor agenten: einde aan rondneuzen in BlueView. "We schrokken ons wild."

https://www.ad.nl/binnenland/lekken-aan-criminelen-wordt-stuk-lastiger-voor-agenten-einde-aan-rondneuzen-in-systemen~aad73ddf/

Oh, zijn er dan onbetrouwbare Politie agenten dan? Wie zag dat nu aankomen? Graag ook verplicht bij alle andere ambtenaren invoeren graag.

Ik denk dat het hier vooral gaat om het opsporen van lekken van informatie naar de onderwereld.
En om overmatige nieuwsgierigheid van agenten (staat mijn overbuurman in de systemen) in te tomen.

Voor mensen die het niet begrijpen, het simpelste voorbeeld van afwijkend gebruik detectie is het opzoeken van een persoon in de politiesystemen, die in de straat woont van de agent die het opzoekt. Dat kan een signaal zijn van misbruik voor privé doeleinden zoals bij frictie in de eigen buurt, net als bijvoorbeeld: het systeem stelt vast dat een agent de eigenaar van een auto heeft opgezocht, enkele uren voordat deze auto op naam van de agent werd gezet (verkoop). Of een agent zoekt familieleden, partner van familieleden op, ga zo maar door. Ik hoop ook echt dat dit soort 1 + 1 scenario's ook echt geïmplementeerd worden. Ik ken meerdere agenten uit mijn sociale kring en familie, en de voorgenoemde voorbeelden komen vaker voor dan je zou denken. Gebruik voor prive doeleinden of uit bezorgdheid over iemand, bijv. de nieuwe partner van een familielid natrekken, mag gewoon niet, die regels zijn er niet voor niks.

Het begint vaak met iets redelijk onschuldigs, je zoekt informatie op over het nieuwe, dubieuze vriendje van je dochter.

https://www.parool.nl/nederland/lekken-aan-criminelen-wordt-lastiger-voor-agenten-verdachte-zoekacties-automatisch-gedetecteerd~bad73ddf/

Die zijn er wel degelijk. Genoeg andere problemen welke meer prio hebben dan wat logs.
Reageren op ophef zonder gedegen achtergrond is de gangbare aanpak van in het blinde wat rondjes lopen.

Trouwens automatische profilering met belangrijke impact mag helemaal niet van de AP,
Alleen laten ze in deze hum overtuiging rond profilering ineens vallen.

Hey slimmerik ooit gehoord over internal threat detection? Denk jij dat bijvoorbeeld DC's niet interne verkeer monitoren? Ja daar zijn wel die voorzieningen ook voor bedoeld. Als jan die op vakantie hoort te zijn volgens HR ineens data benaderd vanaf een locatie horen er alerts te gaan. Als piet kopies maakt van gevoelig bestempelde data of beter poogde tot hoort er een alert te gaan. Je snapt de definitie van SIEM right?

Waarom denk je dat we redteaming events hebben en fysieke pentests omdat soort shit onder andere te trainen.
Het is niet aan een SIEM of IDS om te bepalen of iets mis is enkel afwijkend en de SOC medeweker kan vervolgens gepaste actie treffen.Weet je wat wel bedoeld is specifiek voor externe hackers? Firewalls.

Capslock gaat je bericht geen extra waarde geven.
En als je 20 jaar als DC manager amateur vindt prima maar dan wil ik niet weten waar jezelf tot hoort.

Internal threat analyse is typisch 'technisch fout' verkeer.
scans/recon vanaf clients , kortom , "intrusion detection" .
_dat_ is wat SIEMs en IDS - INTRUSION detection systemen zoeken.

En - zoals het artikel (en mijn posting) uitleggen - de scope van dit politie project gaat verder.


Precies - PEN testing. Ook nuttig, maar niet waar de politie in dit project mee aan de slag gaat.
Dat je deze punten noemt laat alleen maar zien dat je (nog) niet snapt wat de politie nu in dit project gaat doen.


Blijkbaar is die 20 jaar ervaring (2 jaar ervaring, en dat 10x achter elkaar ? ) niet genoeg om het verschil te begrijpen tussen "hackers die intern gekomen zijn" en "valide medewerkers met valide authorisatie die vanaf een valide werkplek dingen doen waar hun authorisatie niet voor bedoeld is"

Bijzonder, want het artikel was echt vrij duidelijk - en zowel mijn als andere posters schreven dat ook.

Want waar kom jij mee - verdere detectie van (eventueel intern gekomen) hackers en hun mogelijkheden , want je noemt redteaming en pentesting. Dat laat alleen maar nog meer zien dat je niet snapt wat de politie nu (pas?) gaat doen - en ook dat je niet ziet dat dit buiten gebruikelijke IDS/pentest/ fysieke _intrusion_ scope valt.

Het is helemaal normaal dat een arts in het ziekenhuis het dossier van een patient bekijkt - zolang de arts betrokken is bij de behandeling. het is alleen fout als het een BN'er is en de arts die BNer niet als patient heeft.
HR medewerker kijkt naar salaris . Normaal als er een zakelijke reden voor is. Niet OK als ze kijkt of die lekkere bink van de expeditie nog wat te makken heeft voor ze 'm gaat daten.
En de politie is een van de instellingen die noodzakelijkerwijs erg veel vertrouwelijke gegevens _kan_ inzien, _mag_ inzien als het deel is van werk , en NIET mag inzien (laat staan delen) als het een persoonlijk belang is van de agent is.

Dat type analyse van gebruikslogging - zeker pro-actief - is vrij zeldzaam (sommige ziekenhuizen doen het ook, soms pro-actief, soms alleen achteraf als er een BNer lag) .
En dit valt niet in scope van een SIEM, IDS , redteam, of pentesting.

Blijkbaar lastig dat er kaders zijn die buiten/voorbij je bekende kader gaan.

Het valt mij ietwat tegen dat de politie dit blijkbaar nu _pas_ (proactief/structureel) wil gaan doen, want de noodzaak is de afgelopen jaren zo af en toe al gebleken. Vaak pas 'via de andere deur' - tapgegevens en vondsten bij criminelen wezen naar een 'mannetje bij de politie' die ze gebruikten om dingen te laten natrekken of gewaarschuwd te blijven over lopende onderzoeken.

Mijn perceptie is dat de 'normale' bewaking - SIEMs,IDS en bergen toegangscontroles en pasjes best voor elkaar is bij de politie.