Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties, 12.752 views •

Minister Opstelten van Veiligheid en Justitie antwoordt op kamervragen van D66 dat overheidsorganisaties en bedrijven zelf verantwoordelijk zijn voor de beveiliging van vitale scada-systemen. De veiligheid van die systemen staat ter discussie.

D66-kamerleden Hachchi en Schouw stelden hun vragen aan de minister naar aanleiding van het artikel 'Scada-beveiliging: een structureel probleem', dat eind januari op Tweakers.net verscheen. De afgelopen maanden werden vraagtekens gezet bij de beveiliging van industriële beheersystemen: deze veelal maatschappelijk vitale systemen zouden kwetsbaar zijn en soms van buitenaf te beheren zijn door kwaadwillenden.

De kamerleden wilden van de minister weten welke veiligheidseisen de overheid stelt aan de scada-systemen en hoe er toezicht op wordt gehouden. "Organisaties binnen de overheid en de commerciële sector zijn zelf verantwoordelijk voor hun scada-systemen", schrijft Opstelten. Dit geldt ook voor systemen die op internet aangesloten zijn, al wijst de minister wel op de grotere veiligheidsrisico’s die hiermee gepaard zijn. Hij verwijst wat betreft veiligheidseisen naar een checklist van het Nationaal Cyber Security Centrum die naar vitale organisaties is verstuurd, maar deze is pas begin dit jaar opgesteld en rondgestuurd.

Ook is er geen centraal toezicht op vitale systemen, blijkt uit de antwoorden: "Toezicht op de veiligheid van scada-systemen ligt bij sectorale toezichthouders, die vallen onder de relevante vakdepartementen." Wat betreft het gevaar van usb-sticks voor cruciale industriële infrastructuren, wijst Opstelten opnieuw naar de eigen verantwoordelijkheid van de organisaties. Ook vitale organisaties moeten wat betreft deze risico's zelf toezien op het opstellen en naleven van beveiligingsprotocollen en het opvolgen van adviezen van het NCSC.

In Europees verband zou de veiligheid van scada inmiddels ook op de agenda staan. Op initiatief van energie-netwerkbedrijf Alliander en TNO is het project European Network for Cyber Security, of ENCS, gestart om tot een test- en trainingsfaciliteit te komen dat gericht is op de beveiliging van scada-systemen. De faciliteit moet halverwege dit jaar van start gaan.

Reacties (23)

Als de minister geen enkele verantwoordelijkheid heeft, waar hebben we dan ministers voor.
Als er een hackaanval op belangrijke infrastructuur in Nederland plaats vindt kan de overheid toch niet zeggen 'daar hebben we niks mee te maken'?
Raar standpunt, een kleine overheid is leuk VVD maar kerntaken lijken me toch wel handig.
De minister is verantwoordelijk voor overheidsinstellingen niet voor commerciŽle bedrijven. Die krijgen wel advies maar moeten zelf actie ondernemen.
Lijkt me vrij logisch.
De overheid heeft juist veel uitbesteed en geprivatiseerd.
Ziehier het probleem daarmee, of in ieder geval met de invulling die minister Opstelten eraan geeft. Er is dus een checklist, en een privaat initiatief maar geen formele verplichting om aan een of andere kwaliteitsstandaard te voldoen. Verantwoordelijkheid is leuk, maar we schieten er met z'n allen weinig mee op als we een zondebok kunnen aanwijzen wanneer bijvoorbeeld het spoornet omvergehacked wordt. Het spoor is dan namelijk nog steeds gehacked.
Het spoor wordt door ProRail onderhouden en beheerd.
ProRail is wel een zelfstandig bedrijf maar de Nederlandse staat is wel 100% eigenaar van de aandelen en in die zin dus ook verantwoordelijk voor hetgeen met het spoort gebeurt.
Het spoor, de beveiliging hiervan hacken, is dus wel een potentieel gevaar waar de minister verantwoordelijkheid zou moeten nemen.
Dit geldt dus niet voor alle scada systemen.

[Reactie gewijzigd door HoppyF op 17 maart 2012 14:01]

Nee, een aandeelhouder is niet verantwoordelijk voor de bedrijfsvoering. Een aandeelhouder kan hoogstens aansturen op bepaalde verbeteringen.
Er is nog wel een verschil tussen 'een aandeelhouder' en 100% eigenaar.
De staat zou eigenaar van de infrastructuur blijven, dus verantwoordelijk...
Ministers zijn er tegenwoordig om de belangen van grote commerciŽle instellingen te behartigen en te zorgen dat het gepeupel zich netjes blijft gedragen. Ze wouden niet voor niets de gang naar de rechter onbetaalbaar maken voor het gepeupel.
Uiteraard is de organisatie die gebruik maakt van een scada systeem zelf verantwoordelijk voor de beveiliging daarvan. Tenminste, in de commerciŽle sector. Bij overheden zijn de overheden zelf natuurlijk verantwoordelijk voor de uitvoering van de beveiliging maar dient er wel controle te zijn op de beveiliging van de systemen. Hier kunnen regels over worden opgesteld en worden gehandhaafd. Bijvoorbeeld: een scada-systeem mag niet zomaar aan het internet hangen.
Ik weet niet wat je precies bedoeld met "mag niet zomaar aan het internet hangen" maar veel mensen denken dat een zogenaamde "air gap" tussen internet en een SCADA systeem helpt om virussen en inbraken te voorkomen. Dat is een fabel en een recept voor problemen als men door de air-gap denkt dat het SCADA systeem niet beveiligd hoeft te worden.

Met een air-gap stop je script kiddies die ShodanHQ, port-scans en password guessing gebruiken om binnen te komen maar een serieuze hacker stop je er niet mee. Stuxnet en de opvolgers daarvan staan daar garant voor.
Dat soort gedetailleerde requirements moet je niet als overheid willen definieren. De overheid moet zaken definieren die onafhankelijk zijn van de gebruikte technologie. Gewoon high level KPI's dus, hoe die KPI's worden gerealiseerd is aan de uitvoerende instanties.
Dat soort gedetailleerde requirements moet je niet als overheid willen definieren. [...] Gewoon high level KPI's dus, hoe die KPI's worden gerealiseerd is aan de uitvoerende instanties.
Want? Met zo'n uitgangspunt creeer je een oncontroleerbare wildgroei aan praktische implementaties, met een navenante wildgroei aan beheer en dus kosten. Daarmee heb je dus a. een onbekende situatie (want je weet niet wie wat voor oplossing bedacht heeft, want dat is realisatie, dus 'niet belangrijk') en dus ook onbekende risico's die ook nog eens b. veel duurder in beheer is.

Wanneer bedrijven dat met hun eigen spullen doen en dat zelf betalen moeten ze dat zelf weten. Wanneer er iemand van mijn belastingcenten betaald wordt om mijn veiligheid te garanderen vind ik dat niet prima. Dat levert veel te veel risico's op. Dan maar centraal en communistisch, maar dan weet ik tenminste wat er gebeurt.

[Reactie gewijzigd door Iknik op 19 maart 2012 15:17]

Het klinkt aardig "leg de verantwoordelijkheid neer bij de organisatie zelf", maar de praktijk leert al dat het niet werkt. Minister neem uw verantwoordelijkheid, daar wordt u voor betaald.
Zit jij er dan op te wachten dat de overheid (als snel verouderde) beveiligingstechnieken voor gaat schrijven als eis? Met meer bureaucratie en ambtenaren om te kijken of het wordt nageleefd.

Je kan alle beveiligingsproblemen, zoals site hacks, overvallen ook bij de Minister van Veiligheid gaan neerleggen maar dan moet je het communistische model gaan hanteren.

edit: @ rob12424
Ik doelde op de commerciŽle sector (had ik er beter even bij kunnen zetten) en jij over de overheid. Wat betreft overheid is er dus al wel een checklist gemaakt en ben ik het met je eens.

[Reactie gewijzigd door Tazzios op 17 maart 2012 18:43]

Dat is ook niet de bedoeling. Het gaat erom de minister heeft bij de overheid ALTIJD de eindverantwoording! Hoe je het ook went of keert!

Een ministerie of een departement kan natuurlijk zelf de beveiliging regelen maar de minister moet er voor zorgen dat dit op de juiste mannier gebeurd. Dat kan op de zelfstandig mannier maar ook op de ik wil alles in handen hebben mannier. Beiden hebben zijn voor en nadelen. Punt is alleen door de huidige opzet in de maatschappij schuiven mensen hun verantwoording veel te snel af!! Vooral binnen de overheid!
Tsja. Waar begin met achterstallig onderhoud. Niet gaan prutsen maar uitbesteden.
Uitbesteden is geen toverwoord om prutswerk te voorkomen. Het is wel een uitstekend recept voor hoge kosten. Dat begint met topzware aanbestedingen waar alleen de IT-reuzen voor kwalificeren en wordt opgevolgd door grote dure projecten enzovoorts.

Zorg dat er in de eigen organisatie expertise is en dan kan je projecten uitbesteden op een manier dat de organisatie zelf de controle houdt.
En als een project misloopt is het enige wat je kunt doen nog meer uitgeven, ik bedoel uitbesteden.
Ben ik nu de enige die de omschrijving "SCADA systemen" misleidend vindt?

Uiteindelijk gaat het om alle industriele systemen die met de buitenwereld verbonden zijn.
Dit kan zijn, d.m.v. van een modem of met een router aan het internet.

Met de omschrijving SCADA beschrijf je een specifieke groep, terwijl DCS'en en pure PLC systemen buiten schot blijven.

Hierdoor kunnen klanten/gebruikers, van niet SCADA-systemen, denken dat zij niet hoeven te kijken naar hun verbindingen naar buiten.
Precies het gaat om ISA95 layer 1 en layer2, als men gewoon volgens ISA99 gaat werken is er niets aan de hand.
De normen zijn er al en uitbesteden levert alleen ellende op, is de ervaring.
Er wordt de indruk gewekt dat beveiliging alleen computers betreft terwijl de fysieke beveiliging van een installatie minstens zo belangrijk is. Bij veel bedrijven en instellingen is het net zo makkelijk om fysiek binnen komen en de boel te saboteren. Met wat voorstudie hoef je meestal helemaal niet naar binnen. Dat de afscherming van computers ook niet in orde is lijkt mij dan eerder een symptoom dan de oorzaak van het probleem.
Het blijft een kwestie van de zwakste schakel en persoonlijk vind ik dat de tweede kamer zich beter met meer belangrijke zaken bezig kan houden i.p.v. over elke internethype te debatteren.
Er was laatst ook een aflevering van Zembla, even een sluis in een polder openzetten... Oh, maar dat probleem valt onder de verantwoordelijkheid van of VROM! (of is het nog een ander... ;))

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True