Minister Schultz: scada-systemen Rijksoverheid zijn veilig
Minister Schultz van Haegen van Infrastructuur en Milieu laat in antwoord op Kamervragen weten dat er geen beveiligingsproblemen zijn met de door de Rijksoverheid beheerde scada-systemen. Gemeenten zijn wel zelf verantwoordelijk.
De vragen, afkomstig van twee SP-Kamerleden, waren gesteld naar aanleiding van een reportage van EenVandaag. Daarin was te zien hoe via scada-systemen beheerde gemalen van de gemeente Veere op afstand waren te bedienen na het invoeren van een eenvoudig wachtwoord. Verder zouden onder andere pompsystemen in de riolering kwetsbaar zijn.
Volgens Schultz zijn bruggen, sluizen en gemalen die door Rijkswaterstaat op afstand worden beheerd voor een groot deel niet met het internet verbonden. Deze waterwerken zouden lokaal worden bediend worden of via een ander netwerk beheerd, terwijl sommige objecten ook via beveiligde verbindingen worden aangestuurd. De minister laat verder weten dat de beveiliging periodiek wordt gecontroleerd, maar over het beheer door gemeenten kan de minister geen uitsluitsel geven.
Schultz stelt in haar beantwoording verder dat de Rijksoverheid geluisterd heeft naar de adviezen van de Nationaal Coördinator Terrorismebestrijding. Zo zouden 'lokale internetverbindingen' vervangen zijn door een centraal en goed beveiligd netwerk van Rijkswaterstaat. Dit systeem zou constant gemonitord worden. Volgens de minister zijn er geen aanwijzingen dat er beveiligingsproblemen zijn met de door Rijkswaterstaat beheerde scada-systemen. Mochten deze toch worden gevonden, dan belooft Schultz 'corrigerende maatregelen' te treffen.
Reacties (62)
Ik lees dat morgen alle gemalen uit en alle sluizen open staan 
Uit ervaring (lees vanuit mijn werk) weet ik dat er van een aantal waterschappen de SCADA systemen via een VPN kunnen benaderen. Deze zijn over het algemeen wel veilig. Dus alle zal wel mee vallen. En daarbij als dat zo is, dan duurt het minder dan een dag en dan staat half Nederland onderwater.
Ik lees dat jij mijn "grap" op "dat er geen beveiligingsproblemen zijn" niet snapt 
Want bij de overheid zijn NOOIT problemen, tot dat er mensen gaan graven.
Snap niet dat politici deze uitspraken nog durven te maken. Ze kunnen op hun klompen aanvoelen dat dit tegen ze wordt gebruikt.
Laat ik het anders zeggen;
De kans is zeer aannemelijk dat er, om het tegendeel te bewijzen, binnenkort, door script kiddies, gemalen(detectie poortjes) uit en sluizen(draaideuren) open worden gezet.
(Detectie poortjes en draaideuren van de tweedekamer
)
Want bij de overheid zijn NOOIT problemen, tot dat er mensen gaan graven.
Snap niet dat politici deze uitspraken nog durven te maken. Ze kunnen op hun klompen aanvoelen dat dit tegen ze wordt gebruikt.
Laat ik het anders zeggen;
De kans is zeer aannemelijk dat er, om het tegendeel te bewijzen, binnenkort, door script kiddies, gemalen(detectie poortjes) uit en sluizen(draaideuren) open worden gezet.
(Detectie poortjes en draaideuren van de tweedekamer
)[Reactie gewijzigd door Freemann op maandag 12 maart 2012 15:36]
Zijn Kalbfleisch en Westenberg dan al veroordeeld?
Ik ben het eens met je mening, maar als een minister per definitie zegt dat het allemaal niet zeker in orde is, dan doet hij het ook verkeerd.
Jij geeft al aan dat een politicus nooit mag zeggen dat alles waterdicht is. Hoe zou jij reageren als dit door elke politicus werd aangekondigd op het nieuws. "Ja, weten niet zeker of alles in orde is".
De politicus geeft aan dat het in orde is, maar zal ( hopelijk ) dit nog laten uitzoeken. Het blijft natuurlijk altijd lastig om de juiste antwoorden te geven aan het volk, gezien veel mensen de "correcte" antwoorden niet zal snappen / accepteren.
Jij geeft al aan dat een politicus nooit mag zeggen dat alles waterdicht is. Hoe zou jij reageren als dit door elke politicus werd aangekondigd op het nieuws. "Ja, weten niet zeker of alles in orde is".
De politicus geeft aan dat het in orde is, maar zal ( hopelijk ) dit nog laten uitzoeken. Het blijft natuurlijk altijd lastig om de juiste antwoorden te geven aan het volk, gezien veel mensen de "correcte" antwoorden niet zal snappen / accepteren.
"Hoe zou jij reageren als dit door elke politicus werd aangekondigd op het nieuws. "Ja, weten niet zeker of alles in orde is". "
Het zou de eerste politicus zijn waar ik op zou stemmen...
Het is een feit dat de overheid hun ICT zaakjes regelmatig niet op orde heeft.
Het onderkennen van dit probleem is de allereerste en meest belangrijke stap die gemaakt moet worden.
Een politicus die deze problemen bij de bron aanpakt is mijn held.
Inderdaad, ze weten gewoon niet of alles in orde is.
En stellen dat het wel zo is is misleiding en bewuste onwetendheid om de eigen achterwerk te redden mocht het misgaan.
Het zou de eerste politicus zijn waar ik op zou stemmen...
Het is een feit dat de overheid hun ICT zaakjes regelmatig niet op orde heeft.
Het onderkennen van dit probleem is de allereerste en meest belangrijke stap die gemaakt moet worden.
Een politicus die deze problemen bij de bron aanpakt is mijn held.
Inderdaad, ze weten gewoon niet of alles in orde is.
En stellen dat het wel zo is is misleiding en bewuste onwetendheid om de eigen achterwerk te redden mocht het misgaan.
Dat klopt. Een probleem bestaat ook pas iemand er een probleem van maakt.Want bij de overheid zijn NOOIT problemen
Dus het is pas een probleem wanneer the shit has hitteth the fan.
Regeren is vooruitzien. Maar in achterafgelul zijn ze goed in Den Haag.
SCADA systemen houden zich vooral bezig met het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen en regelen traditioneel niet zo veel.
SCADA Regelsystemen zijn alleen maar veilig als de supervisory control laag niet remote te besturen is. En dat is van oudsher ook het idee achter supervisory control: Niet dat je een industrieel systeem decentraaal kunt besturen.
allereerst vind ik het knap dat de minister dit zelf durft te zeggen, App Klink (Ab natuurlijk) durfde dat ook. Tot dat het EPD omviel door een kwetsbaarheid dat al twee jaar gepatched had moeten zijn.
Dat bepaalde partijen de VPN gebruiken om toegang te krijgen zegt niks over de veiligheid van de systemen zelf. Daarnaast leert de praktijk dat toegang tot VPN's geen hele grote opgave is..... en dus toegang tot de scade systemen ook niet (het valt absoluut niet mee en het is zeer ernstig gesteld met dergelijke objecten)
Het is hoogst waarschijnlijk dat deze systemen bol staan van veiligheidslekken omdat deze systemen vaak jaren geleden zijn ontwikkeld en beveiligingslekken nooit zijn verholpen of aan het ligt gekomen doordat er weinig onderzoek op plaats vind.
Tot slot vergeet men de fysieke aanval en gaat men ervanuit dat dergelijke aanvallen allemaal via het internet gepleegd zullen worden. Wanneer mensen naar het doel object gaat is daar vaak een schakelkast te vinden, als mensen deze open maakt komt men al een heel eind zonde de tussen komst van bijv. een VPN.
Na dit bericht is het wachten op de eerste grapjas die laat zien dat het er niks van de bewering van de minister klopt..... vaak is het toch een verminderde hoeveelheid kennis die er voor zorgt dat dit soort problemen niet serieus genomen worden of zelf worden gebagataliseerd....
Dat bepaalde partijen de VPN gebruiken om toegang te krijgen zegt niks over de veiligheid van de systemen zelf. Daarnaast leert de praktijk dat toegang tot VPN's geen hele grote opgave is..... en dus toegang tot de scade systemen ook niet (het valt absoluut niet mee en het is zeer ernstig gesteld met dergelijke objecten)
Het is hoogst waarschijnlijk dat deze systemen bol staan van veiligheidslekken omdat deze systemen vaak jaren geleden zijn ontwikkeld en beveiligingslekken nooit zijn verholpen of aan het ligt gekomen doordat er weinig onderzoek op plaats vind.
Tot slot vergeet men de fysieke aanval en gaat men ervanuit dat dergelijke aanvallen allemaal via het internet gepleegd zullen worden. Wanneer mensen naar het doel object gaat is daar vaak een schakelkast te vinden, als mensen deze open maakt komt men al een heel eind zonde de tussen komst van bijv. een VPN.
Na dit bericht is het wachten op de eerste grapjas die laat zien dat het er niks van de bewering van de minister klopt..... vaak is het toch een verminderde hoeveelheid kennis die er voor zorgt dat dit soort problemen niet serieus genomen worden of zelf worden gebagataliseerd....
[Reactie gewijzigd door herbalx op maandag 12 maart 2012 16:19]
Het is nu wachten op de eerste hack die het tegenovergestelde bewijst.. Ben benieuwd hoelang dat gaat duren!
Inderdaad. Deze uitspraak van de minister valt onder de categorie "Famous last words".. Kwestie van tijd voordat de eerste hacks bekend worden gemaakt.
Waarom heb ik het gevoel dat we binnen enkele weken weer een uitzending van Een Vandaag kunnen verwachten waarin het tegendeel wordt beweerd?
Als ik zie hoe de overheid met zijn computersystemen omgaat kan ik mij niet voorstellen dat het wel zo veilig is als de minister denkt....
Als ik zie hoe de overheid met zijn computersystemen omgaat kan ik mij niet voorstellen dat het wel zo veilig is als de minister denkt....
Dit wekt bij mij heel veel wantrouwen. Ik kan me gewoon niet voorstellen dat er helemaal geen beveiligingsproblemen zijn.dat er geen beveiligingsproblemen zijn
Als ze zou zeggen dat er een handje vol problemen zijn gevonden en dat die inmiddels zijn opgelost zou ik er meer vertrouwen in hebben.
Nu klinkt het alsof een ambtenaar opdracht heeft gekregen om een lijst op te stellen in Excel welke onderdelen problematisch zijn, maar daar geen zin in had en een lege Excel sheet heeft teruggestuurd.
edit:
@c70070540:
Je vergist je, een minister is wel degelijk verantwoordelijk voor het falen van zijn/haar ministerie. Ministeriële verantwoordelijkheid heet dat.Omdat als hij/zij wel issues in die sheet had gezet, dan had hij/zij een andere job moeten zoeken wegens incompetentie qua beveiliging, want de minister zal daar niet voor opstappen natuurlijk.
[Reactie gewijzigd door beany op maandag 12 maart 2012 15:31]
Omdat als hij/zij wel issues in die sheet had gezet, dan had hij/zij een andere job moeten zoeken wegens incompetentie qua beveiliging, want de minister zal daar niet voor opstappen natuurlijk.
Overheden die zichzelf controleren en rapporteren daarop… Kansloos.
Vooral de opmerking: voor een groot deel niet met het internet verbonden
Voor een groot deel niet betekend dat een deel wel met internet is verbonden. Disaster to happen.
En systemen die niet met internet zijn verbonden (al dan niet indirect) bestaan volgens mij vrijwel niet. Let op woord 'vrijwel', ze zijn er wel, maar erg weinig.
Overheden die zichzelf controleren en rapporteren daarop… Kansloos.
Vooral de opmerking: voor een groot deel niet met het internet verbonden
Voor een groot deel niet betekend dat een deel wel met internet is verbonden. Disaster to happen.
En systemen die niet met internet zijn verbonden (al dan niet indirect) bestaan volgens mij vrijwel niet. Let op woord 'vrijwel', ze zijn er wel, maar erg weinig.
Klopt vwbt die verantwoordelijkheid. Toch hoef je daar als minister niet echt voortdurend van wakker te liggen. Ook als 'jouw' ministerie er een pestzooi van maakt en je moet opstappen krijg je toch je wachtgeld wel hoor.. 
Morgen maar niet naar groningen rijden (via de afsluitdijk). ik verwacht hier toch wel het één en ander 
Dit soort berichten is toch vragen om problemen. Iedere hacker ziet dit toch als een uitdaging... 
Oh gelukkig. Als een politicus het zegt komt het allemaal goed. Die mensen hebben altijd zo goed verstand van zaken. Altijd uitgebreid geinformeerd en overal op voorbereid.
"Gaat U allen vooral rustig slapen"..
Dit is dus weer eens een voorbeeld dat we een "Ministerie van ICT zaken" met verantwoordelijke minister nodig hebben die dit soort zaken ook daadwerkelijk kunnen auditten.
Er moet nu een minister verantwoording afleggen over iets waar zij met haar portefeuile onmogelijk verstand van kan hebben. En om heel eerlijk te zijn verwacht ik dat ook niet van haar, zij is er om globaal toezicht te houden op "Infrastructuur en Milieu", dit soort zaken zou zij zich helemaal niet druk om moeten maken en ik kan me ook niet voorstellen dat ze genoeg tijd heeft om zich hier mee bezig te houden.
De regering moet eens doorkrijgen dat ICT compleet verwoven is met het normale leven en dat je dit er niet 'bij' kan doen, maar een vak apart is.
Ik ben dan ook overtuigt dat wat de minister hier zegt foutieve informatie is, puur uit onwetendheid en mensen die haar vertellen dat 'het-wel-goed-zit', zonder genoeg kennis om dit ook daadwerklijk met zekerheid te kunnen zeggen.
Er moet nu een minister verantwoording afleggen over iets waar zij met haar portefeuile onmogelijk verstand van kan hebben. En om heel eerlijk te zijn verwacht ik dat ook niet van haar, zij is er om globaal toezicht te houden op "Infrastructuur en Milieu", dit soort zaken zou zij zich helemaal niet druk om moeten maken en ik kan me ook niet voorstellen dat ze genoeg tijd heeft om zich hier mee bezig te houden.
De regering moet eens doorkrijgen dat ICT compleet verwoven is met het normale leven en dat je dit er niet 'bij' kan doen, maar een vak apart is.
Ik ben dan ook overtuigt dat wat de minister hier zegt foutieve informatie is, puur uit onwetendheid en mensen die haar vertellen dat 'het-wel-goed-zit', zonder genoeg kennis om dit ook daadwerklijk met zekerheid te kunnen zeggen.
Jij pleit voor een http://nl.wikipedia.org/wiki/Technocratie?
Ze hebben informatie ingewonnen bij de Nationaal Coördinator Terrorismebestrijding die onder het Ministerie van Veiligheid en Justitie valt. Het Nationaal Cyber Security Centrum komt ook onder deze coordinator te vallen en dat zijn echt geen jongens en meisjes die op hun achterhoofd zijn gevallen. Het hele idee "ze schreeuwen maar wat", vind ik dan ook enigzins doemdenkend.
Natuurlijk kan een Minister zelf niet 100% weten wat overal genoemd wordt. Dacht je dat de minister van Financieen zelf ieder jaar de Miljoenen Nota schrijft?
Zelfs al zou er een "Ministerie van ICT" worden opgericht, gegarandeerd dat hier dan hetzelfde commentaar weer op Tweakers komt.
Natuurlijk kan een Minister zelf niet 100% weten wat overal genoemd wordt. Dacht je dat de minister van Financieen zelf ieder jaar de Miljoenen Nota schrijft?
Zelfs al zou er een "Ministerie van ICT" worden opgericht, gegarandeerd dat hier dan hetzelfde commentaar weer op Tweakers komt.
Je zou voor de gein eens naar een congres moeten komen waar deze partijen spreken, af en toe vraag je je zelf af of ze het wel begrepen hebben . Je hebt in ieder geval het idee dat zij nog een lange weg te gaan hebben en dat ze veel behalve de juiste kennis hebben ...
Misschien. Maar een Ministerie van ICT, zou geen slecht idee zijn. Hoewel ik toch het er mee eens moet zijn. Behalve dan het Ministerie van Veiligheid. Dat hele concept staat mij echt erg tegen. Ik ben misschien een beetje ouderwets maar ik hecht toch veel waarde aan de scheiding, van uitvoerende , wetgevende en rechtsprekende macht. Iedere combinatie die daarin gemaakt word, zal ten koste gaan van de transparantie. Door het Ministerie van Justie, op de laten gaan met het Ministerie van Veiligheid (Wat natuurlijk een zelfbedacht orgaan is, wat in principe niet hand in hand hoort te gaan met het Ministerie van Justitie, gelukkig is het gecombineerd met BiZa, maar in mijn ogen heeft BiZa daar meer recht op, dan Justitie, maar dat is een hele andere discussie).
Het gaat er dan in mijn ogen ook niet om of zo orgaan wel of niet tegen kritiek van tweakertjes kan, maar eerder in welke machtsvorm het valt. Aan de ene kant zou ik graag een open internet zien, open beveiliging, en open beleid. Kennelijk is het aan de ene kant, zo dat mensen graag hun vrijheden opgeven voor de illusie van veiligheid, maar aan de andere kant is het ook zo dat mensen hun vrijheden zouden moeten koesteren.
Misschien is het eventueel in voeren van een ministerie van ICT, ook een van de punten die op enorm verzet zou kunnen stuiten, als er in eens allemaal ICT specialisten bij de overheid gaan zitten. Aan de ene kant van het bedrijfsleven, en aan de andere kant vanuit de privacy waakhonden. Dit is dan ook de reden waarom bureaucratie is dit geval zeer goed zou functioneren, maar bij een directe respons weer te langzaam zou zijn. Zolang het in de juiste machtvorm word onder gebracht. (Namelijk de uitvoerende, in mijn ogen. Waarbij juist de wetgevende, en rechtsprekende macht het beleid voeren)
Hoe langer ik hier over nadenk, hoe groter de nuances worden. Maar de conclusie blijft. Deze scada systemen zijn niet veilig
Het gaat er dan in mijn ogen ook niet om of zo orgaan wel of niet tegen kritiek van tweakertjes kan, maar eerder in welke machtsvorm het valt. Aan de ene kant zou ik graag een open internet zien, open beveiliging, en open beleid. Kennelijk is het aan de ene kant, zo dat mensen graag hun vrijheden opgeven voor de illusie van veiligheid, maar aan de andere kant is het ook zo dat mensen hun vrijheden zouden moeten koesteren.
Misschien is het eventueel in voeren van een ministerie van ICT, ook een van de punten die op enorm verzet zou kunnen stuiten, als er in eens allemaal ICT specialisten bij de overheid gaan zitten. Aan de ene kant van het bedrijfsleven, en aan de andere kant vanuit de privacy waakhonden. Dit is dan ook de reden waarom bureaucratie is dit geval zeer goed zou functioneren, maar bij een directe respons weer te langzaam zou zijn. Zolang het in de juiste machtvorm word onder gebracht. (Namelijk de uitvoerende, in mijn ogen. Waarbij juist de wetgevende, en rechtsprekende macht het beleid voeren)
Hoe langer ik hier over nadenk, hoe groter de nuances worden. Maar de conclusie blijft. Deze scada systemen zijn niet veilig
"Zelfs al zou er een "Ministerie van ICT" worden opgericht, gegarandeerd dat hier dan hetzelfde commentaar weer op Tweakers komt."
Als er een minister ICT komt en die gaat ACHTERAF roepen dat het allemaal wel weer veilig is dan zou die per direct naar huis gestuurd moeten worden.
Reactieve acties, zo van als het kalf verdronken is, kan gewoon niet in deze tijd.
Wij hebben een vooruitziende persoon nodig die proactief de boel aanpakt.
Buiten dat (en jij vind dat doemdenken) is het onmogelijk dat alles helemaal beveiligd is dus die uitspraak is pertinent onwaar.
Het KAN gewoon niet. Het is geen kwestie van gevoel, het is een kwestie van logica.
Als er iemand is die op gevoel speelt dan is het wel de minister die de boel probeert te sussen door te stellen dat het in orde is.
Leuk dat ze informatie heeft gewonnen bij de club terrorismebestreiding maar dat zegt nog niets over wat ze uiteindelijk hebben geleerd en hoe ze dat toegepast hebben.
Vooralsnog, zonder verdere bewijzen, roep ik ook "ze schreeuwen maar wat" want de geschiedenis heeft geleerd dat over dit soort zaken regelmatig ronduit gelogen wordt door hoge ambtenaren.
Wat verder opvalt is dat dit in 1 maand gefixed is.
Dat geloof ik nooit.
SCADA systemen zijn meestal grotendeels custom systemen waar je niet even een programmeur voor inhuurt die jaren oude systemen even van een beveiligingslaagje gaat voorzien.
Waarschijnlijk is nu alleen dan de verbinding (grotendeels?) veiliger gemaakt maar zoals hierboven ergens al staat is een VPN verbinding niet altijd een afdoende beveiliging.
: /
Als er een minister ICT komt en die gaat ACHTERAF roepen dat het allemaal wel weer veilig is dan zou die per direct naar huis gestuurd moeten worden.
Reactieve acties, zo van als het kalf verdronken is, kan gewoon niet in deze tijd.
Wij hebben een vooruitziende persoon nodig die proactief de boel aanpakt.
Buiten dat (en jij vind dat doemdenken) is het onmogelijk dat alles helemaal beveiligd is dus die uitspraak is pertinent onwaar.
Het KAN gewoon niet. Het is geen kwestie van gevoel, het is een kwestie van logica.
Als er iemand is die op gevoel speelt dan is het wel de minister die de boel probeert te sussen door te stellen dat het in orde is.
Leuk dat ze informatie heeft gewonnen bij de club terrorismebestreiding maar dat zegt nog niets over wat ze uiteindelijk hebben geleerd en hoe ze dat toegepast hebben.
Vooralsnog, zonder verdere bewijzen, roep ik ook "ze schreeuwen maar wat" want de geschiedenis heeft geleerd dat over dit soort zaken regelmatig ronduit gelogen wordt door hoge ambtenaren.
Wat verder opvalt is dat dit in 1 maand gefixed is.
Dat geloof ik nooit.
SCADA systemen zijn meestal grotendeels custom systemen waar je niet even een programmeur voor inhuurt die jaren oude systemen even van een beveiligingslaagje gaat voorzien.
Waarschijnlijk is nu alleen dan de verbinding (grotendeels?) veiliger gemaakt maar zoals hierboven ergens al staat is een VPN verbinding niet altijd een afdoende beveiliging.
: /
Dit soort zaken hoort thuis bij defensie. Eventuele aanvallers zijn niet scriptkiddy om de hoek, maar nation State hackers (leger aanvallend land).
Eventuele aanvallen van andere landen, ook via internet, horen niet door een minister te worden afgehandeld maar door een defensieonderdeel ism AIVD.
Als een land als Iran, China, Korea, Israël of wie dan ook ons wil aanvallen dan doen ze dit geavanceerd met een scada als doel. Waterleidingsbedrijf platleggen is effectiever als het terugtrekken van een ambassadeur.
Aanval op Waterleidingsbedrijf is vergelijkbaar met het schieten van een raket op een marineboot. Dit hoort thuis bij defensie.
Dat een minister zo'n uitspraak doet geeft aan hoe slecht het is gesteld met onze it.
Opmerkingen hieronder van rws medewerkers benadrukken dit; "je veilig voelen omdat je insider info nodig hebt om te weten wat je moet doen" en "het is alleen benaderbaar via VPN"... Ja, klinkt bijna hoopgevend en dit was inderdaad in 1976 ofzo nog best veilig.
Eventuele aanvallen van andere landen, ook via internet, horen niet door een minister te worden afgehandeld maar door een defensieonderdeel ism AIVD.
Als een land als Iran, China, Korea, Israël of wie dan ook ons wil aanvallen dan doen ze dit geavanceerd met een scada als doel. Waterleidingsbedrijf platleggen is effectiever als het terugtrekken van een ambassadeur.
Aanval op Waterleidingsbedrijf is vergelijkbaar met het schieten van een raket op een marineboot. Dit hoort thuis bij defensie.
Dat een minister zo'n uitspraak doet geeft aan hoe slecht het is gesteld met onze it.
Opmerkingen hieronder van rws medewerkers benadrukken dit; "je veilig voelen omdat je insider info nodig hebt om te weten wat je moet doen" en "het is alleen benaderbaar via VPN"... Ja, klinkt bijna hoopgevend en dit was inderdaad in 1976 ofzo nog best veilig.
Dit soort zaken hoort thuis bij defensie. Eventuele aanvallers zijn niet scriptkiddy om de hoek, maar nation State hackers (leger aanvallend land).
Eventuele aanvallen van andere landen, ook via internet, horen niet door een minister te worden afgehandeld maar door een defensieonderdeel ism AIVD.
Als een land als Iran, China, Korea, Israël of wie dan ook ons wil aanvallen dan doen ze dit geavanceerd met een scada als doel.
offtopic:
Je bent duidelijk niet op de hoogte van bevriende en vijanden. Israel is bevriend met Nederland. Korea bestaat uit Zuid-Korea, een rustig land En Noord-Korea, onrustig maar hebben geen belang in Nederland net zoals China ook niet om de boel op stelten te zetten.
Er blijft dus weinig van je statement heel. Sterker nog. Nederland heeft niet echt politieke vijanden.
Momenteel zijn Iran en Syrie de meest instabiele factoren in het Midden-Oosten en daar ligt Nederland niet.Israel zorg wel dat ze zich rustig houden.
Je bent duidelijk niet op de hoogte van bevriende en vijanden. Israel is bevriend met Nederland. Korea bestaat uit Zuid-Korea, een rustig land En Noord-Korea, onrustig maar hebben geen belang in Nederland net zoals China ook niet om de boel op stelten te zetten.
Er blijft dus weinig van je statement heel. Sterker nog. Nederland heeft niet echt politieke vijanden.
Momenteel zijn Iran en Syrie de meest instabiele factoren in het Midden-Oosten en daar ligt Nederland niet.Israel zorg wel dat ze zich rustig houden.
[Reactie gewijzigd door Nozem1959 op maandag 12 maart 2012 21:17]
Nozem: de wereld bestaat niet uit goed en slecht. China heeft waarschijnlijk al een aantal maal laten zien wat ze kunnen door iets in oa de VS aan te vallen. China en VS zijn officieel vriendjes.
Iran is daarnaast niet instabiel, die weten best aardig waar ze mee bezig zijn. De VS en eu kunnen het daar wellicht niet mee eens zijn, maar Iran is niet instabiel. Iran is overigens redelijk bevriend met Rusland en China. Deze 3 landen hebben samen een heel groot deel van energievoorraad en hebben samen meer geld als wij (VS en eu) bij elkaar schuld hebben....
Dat Nederland niet in het midden oosten ligt is ook niet heel relevant.
Iran is daarnaast niet instabiel, die weten best aardig waar ze mee bezig zijn. De VS en eu kunnen het daar wellicht niet mee eens zijn, maar Iran is niet instabiel. Iran is overigens redelijk bevriend met Rusland en China. Deze 3 landen hebben samen een heel groot deel van energievoorraad en hebben samen meer geld als wij (VS en eu) bij elkaar schuld hebben....
Dat Nederland niet in het midden oosten ligt is ook niet heel relevant.
Een VPN is ook leuk en aardig, maar in principe zouden veiligheidskritische zaken zoals gemalen, sirene's en dergelijk via een apart netwerk moeten gaan zoals NAFIN (Netherlands Armed Forces Integrated Network) - een veilig en snel glasvezelnetwerk gebruikt door drie krijgsdelen van Defensie en de Marechaussee. En ook voor correspondentie tussen de NAVO en Defensie.
Het ligt er immers toch en er is meer dan genoeg bandbreedte om simpele SCADA webinterfaces te bedienen.
Als het goed genoeg is om PATRIOT stellingen op afstand te bedienen, duizenden telefoontjes door te voeren en videoconferenties te houden, moet een sluis ook wel lukken.
Het ligt er immers toch en er is meer dan genoeg bandbreedte om simpele SCADA webinterfaces te bedienen.
Als het goed genoeg is om PATRIOT stellingen op afstand te bedienen, duizenden telefoontjes door te voeren en videoconferenties te houden, moet een sluis ook wel lukken.
[Reactie gewijzigd door Pyronick op maandag 12 maart 2012 22:23]
zoals velen hier al aangeven is het vragen om moeilijkheden..
Dus alles wat niet in beheer is van de rijksoverheid is niet meegenomen in het onderzoek en kan (en ongetwijfeld zal voor een deel) alsnog kwetsbaar zijn. Een zeer kwalijke zaak lijkt me. Ik begrijp niet waarom Schultz hiermee weg probeert te komen.Gemeenten zijn wel zelf verantwoordelijk.
[Reactie gewijzigd door ravenger op maandag 12 maart 2012 15:34]
"Mee weg probeert te komen"? Er wordt gezegd: "wij hebben op nationaal niveau alles in orde, maar wij kunnen geen garantie geven voor lokaal niveau." Dat is niet ergens mee weg proberen te komen, dat is zeggen waar het op staat. Lokale overheden zullen gegarandeerd een briefje hebben gekregen dat ze de boel goed moeten controleren, maar iets anders kan de rijksoverheid niet doen.Ik begrijp niet waarom Schultz hiermee weg probeert te komen.
Ik ben voor mijn werk betrokken bij een groot aantal infra gerelateerde projecten. Sowieso heeft Rijkswaterstaat een eigen netwerk, koppelingen met internet zijn uit den boze, alle koppelingen die er zijn, zijn dermate hoog beveiligd dat een hack hiervan hooguit voor wat ongemak kan zorgen. Bedieningen en dergelijke zijn dermate goed beveiligd dat je er minimaal insider kennis voor nodig hebt om überhaupt wat te kunnen. Ook moet je intern in het netwerk zitten, wat in feite al niet mogelijk is door de toegepaste infrastructuur en beveiliging.
Bedenk wel dat het netwerk van Rijkswaterstaat niet alleen bruggen en sluizen bedient, maar ook de snelwegen en tunnels.
Natuurlijk is alles te hacken, maar zaken van Rijkswaterstaat niet zo eenvoudig als hierboven beschreven, wat dan ook duidelijk een Gemeente inrichting is.
Bedenk wel dat het netwerk van Rijkswaterstaat niet alleen bruggen en sluizen bedient, maar ook de snelwegen en tunnels.
Natuurlijk is alles te hacken, maar zaken van Rijkswaterstaat niet zo eenvoudig als hierboven beschreven, wat dan ook duidelijk een Gemeente inrichting is.
Fijn om te horen, maar aangezien ik de nodige Overheids-ICT faalprojecten heb gezien, blijf ik toch met de nodige scepsis zitten. Dat de SCADA-systemen van Rijkswaterstaat van buitenaf dichtzitten wil ik nog wel geloven, maar hoe zit het wanneer er een trusted server aan de binnekant wordt gehacked? Daar zit namelijk altijd het grote gevaar.
Trust is a Weakness
(Vrij naar "Uplink")
Trust is a Weakness
(Vrij naar "Uplink")
Veel overheids ICT projecten worden uitgevoerd door externe (commerciele) partijen dus het lijkt me dat scepsis altijd wel nodig is, niet alleen bij overheidsprojecten.
Overigens kiest de meerderheid van de kiezers voor ingrijpende bezuiningen op de kwaliteit van de overheidsdienstverlening en dus ook automatisch voor minder expertise bij de uitvoerende organisaties wat betreft ICT: bezuinigingen die op termijn waarschijnlijk meer zullen kosten dan ze op korte termijn opleveren.
Overigens kiest de meerderheid van de kiezers voor ingrijpende bezuiningen op de kwaliteit van de overheidsdienstverlening en dus ook automatisch voor minder expertise bij de uitvoerende organisaties wat betreft ICT: bezuinigingen die op termijn waarschijnlijk meer zullen kosten dan ze op korte termijn opleveren.
Misschien toch deze site eens bezoeken
http://scadahacker.com/howto.html
Je kan dus zeggen ja alles is veilig , ja tuurlijk uit het standpunt van jouw ogen misschien wel , zo zie je dat dus bv ook in Chrome / IE / Firefox waar dus enkele 10 tallen of zelfs honderden mensen aan werken die eigenlijk ook denken dat het veilig is maar er toch weer exploits op duiken die het tegendeel bewijzen.
Als je zou zeggen het is veilig tot een level waar je alles geprobeerd heb om de veiligheid te garanderen zou ik zeggen ok.
Maar hackers vinden altijd wel iets dat heeft het verleden bewezen en de toekomst zal het ook wel uitwijzen.
http://scadahacker.com/howto.html
Je kan dus zeggen ja alles is veilig , ja tuurlijk uit het standpunt van jouw ogen misschien wel , zo zie je dat dus bv ook in Chrome / IE / Firefox waar dus enkele 10 tallen of zelfs honderden mensen aan werken die eigenlijk ook denken dat het veilig is maar er toch weer exploits op duiken die het tegendeel bewijzen.
Als je zou zeggen het is veilig tot een level waar je alles geprobeerd heb om de veiligheid te garanderen zou ik zeggen ok.
Maar hackers vinden altijd wel iets dat heeft het verleden bewezen en de toekomst zal het ook wel uitwijzen.
Tuurlijk SCADA systemen an sich zijn te hacken, maar wat Bill_E en nog wat andere in dit topic proberen duidelijk te maken is dat RWS zijn eigen glas- / koper netwerk heeft, wat alleen aan het internet hangt als het niet anders kan en daar meerdere typen beveiliging op zit.
Gemeenten, provincies en waterschappen is inderdaad een ander verhaal.
Gemeenten, provincies en waterschappen is inderdaad een ander verhaal.
Ja ik snap de stelling van Bill_E maar je zin "wat alleen aan het internet hangt als het niet anders kan" zegt dus al genoeg.
Dus je timmert het dicht zo ver als het gaat , veilig ?.
Dus je timmert het dicht zo ver als het gaat , veilig ?.
Ik ken het netwerk niet goed genoeg om te durven beweren dat het helemaal niet gekoppeld is, misschien dat een ander daar uitsluitsel over kan geven, maar als er slechts enkele koppelingen in zitten is het natuurlijk makkelijker te monitoren wat er overheen gaan dan als elk object apart gekoppeld is.
Ik beweer overigens niet dat het niet gehackt kan worden, alleen wel dat er (zeker voor een overheidsinstantie) best goed over nagedacht is.
Ik beweer overigens niet dat het niet gehackt kan worden, alleen wel dat er (zeker voor een overheidsinstantie) best goed over nagedacht is.
Zoals al gesteld hierboven Er wordt niets bestuurd.SCADA, afkorting van Supervisory Control And Data Acquisition, is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen. (Soms ook al eens onterecht distributed control systems (DCS) genoemd.)
mrlammers in 'nieuws: Minister Schultz: scada-systemen rijksoverheid zijn veilig'
Daarbij betreft het gescheiden systemen, en netwerken.
Bill_E in 'nieuws: Minister Schultz: scada-systemen rijksoverheid zijn veilig'
juist vanwege de veilighheid.Om te voorkomen dat andere computersystemen de werking van de processen frustreren en vice versa, is het noodzakelijk om een vorm van scheiding tussen de procesbesturing en andere informatiesystemen aan te brengen. Dit principe heet in dit verband Cybersecurity. In de wereld van de informatiebeveiliging wordt het als domeinscheiding onderkend: het scheiden van netwerken door toepassing van onder meer VLAN's en firewalls.
http://nl.wikipedia.org/w...acquisition#Cybersecurity
Inmiddels,dd 7-3 heeft het Nationaal Cyber Security Centrum een checklist voor de Scada beveiliging opgesteld
Het NCSC wees al eerder op de beveiliging van deze systemen.Het Nationaal Cyber Security Centrum heeft een checklist gepubliceerd om te komen tot een betere beveiliging van ICS/SCADA systemen. De aandacht van hackers en security onderzoekers voor de beveiliging van procesbesturingssystemen (ICS/SCADA) neemt de laatste tijd zichtbaar toe. In het bijzonder systemen die direct vanaf internet bereikbaar zijn liggen onder vuur. Maar deze internetconnectie is niet het enige potentiële beveiligingsprobleem voor procesbesturingsomgevingen. De nu uitgebrachte checklist is bedoeld om uw organisatie te helpen bepalen of de ICS/SCADA omgeving afdoende beveiligd is op basis van maatregelen die als ‘good practice’ beschouwd worden.
https://www.ncsc.nl/actue...g-ics-scada-systemen.html
[Reactie gewijzigd door Nozem1959 op maandag 12 maart 2012 21:42]
Ik voel me nu bijna veilig. Je moet insider info hebben, en er zijn bijna geen internet aansluitingen.
Kijk eens naar stuxnet. Daar was 1 USB stick voldoende voor het platleggen van een heel nucleair programma.
Ik ken de it projecten van de overheid, deze gaan er vanuit dat de burger dom is, een architect van accenture of atos alwetend is, en dat je met wat simpele beveiligingsmaatregelen een hack kan tegengaan.
Ik denk dat het landschap van de overheid gehackt kan worden door scriptkiddy, het puistenkoppie op de hoek.
Een groter gevaar is de inside hacker: de projectmedewerker die een zakcentje nodig heeft. Zoals je aangeeft is het systeem hiervoor niet veilig.
Nog groter is het gevaar van nation states. Ik vertrouw absoluut niet erop dat nl bestand is tegen een toegepaste aanval zoals stuxnet.
Kijk eens naar stuxnet. Daar was 1 USB stick voldoende voor het platleggen van een heel nucleair programma.
Ik ken de it projecten van de overheid, deze gaan er vanuit dat de burger dom is, een architect van accenture of atos alwetend is, en dat je met wat simpele beveiligingsmaatregelen een hack kan tegengaan.
Ik denk dat het landschap van de overheid gehackt kan worden door scriptkiddy, het puistenkoppie op de hoek.
Een groter gevaar is de inside hacker: de projectmedewerker die een zakcentje nodig heeft. Zoals je aangeeft is het systeem hiervoor niet veilig.
Nog groter is het gevaar van nation states. Ik vertrouw absoluut niet erop dat nl bestand is tegen een toegepaste aanval zoals stuxnet.
LOL,.
En als iemand een Stuxnet-achtige tool schrijft dan ben je nog steeds het haasje..
En als iemand een Stuxnet-achtige tool schrijft dan ben je nog steeds het haasje..
Ik weet bij welke projecten jij betrokken ben, maar ik zie bijvoorbeeld waterschappen en de NS/Pro-rail ook als overheid organisatie. Aangezien de minister er op een of andere manier ook voor verantwoordelijk is. Daar heb ik vanuit mijn werk wel mee te maken. En ik kan daar vanuit thuis via het internet gewoon naar inbellen via een VPN. Die SCADA/PLC/... systemen zijn dus gewoon via het internet te bereiken en aan te sturen. Ik zou zelfs (als ik zou willen) verschillende germalen aan en uit kunnen zetten.
Moet eerlijk zeggen of ik niet weet of ze eigenlijk onder Rijkswaterstaat valt of niet, maar zou het wel zeggen met de sluizen van de waterschappen.
Overigens is het grootste probleem van de SCADA systemen. Er wordt niet over na gedacht dat het standaard wachtwoord aangepast moet worden. Want er wordt vaak gezegd: De server hangt toch niet aan het internet. Men vergeet dan dood leuk veel systemen aan een productie netwerk hangen waarop ingebeld kan worden.
Moet eerlijk zeggen of ik niet weet of ze eigenlijk onder Rijkswaterstaat valt of niet, maar zou het wel zeggen met de sluizen van de waterschappen.
Overigens is het grootste probleem van de SCADA systemen. Er wordt niet over na gedacht dat het standaard wachtwoord aangepast moet worden. Want er wordt vaak gezegd: De server hangt toch niet aan het internet. Men vergeet dan dood leuk veel systemen aan een productie netwerk hangen waarop ingebeld kan worden.
Meer dan dat zelfs nog:Bedenk wel dat het netwerk van Rijkswaterstaat niet alleen bruggen en sluizen bedient, maar ook de snelwegen en tunnels.
http://nl.wikipedia.org/w...trol_and_data_acquisitionSCADA systemen worden (samen met een DCS) onder andere ingezet voor:
* Verkeersregeling
* Attracties (bijvoorbeeld Vogel Rok Efteling)
* Chemische industrie
* Papierfabrieken
* Klimaatregelsystemen
* Sluizen, gemalen en bruggen
* Parkeergarages
* Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
* Supervisie en regeling van windturbines
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
