Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties, 11.962 views •

De ict-veiligheid bij de overheid moet 'sterk verbeteren'. Dat is het oordeel van de Onderzoeksraad voor Veiligheid, die donderdag een onderzoek naar het DigiNotar-incident presenteerde. Nederland was destijds onvoldoende voorbereid.

DiginotarDe Nederlandse overheid was 'niet voorbereid op een aantasting van haar digitale veiligheid', oordeelt de Onderzoeksraad in een rapport dat donderdagmiddag is gepubliceerd.

Bovendien hield de overheid geen rekening met de mogelijkheid dat een certificaatautoriteit gekraakt zou kunnen worden, terwijl een gevolg had kunnen zijn dat de communicatie binnen bijvoorbeeld rechtbanken of de Belastingdienst stil was komen te liggen. Ook hadden gegevens van burgers en bedrijven kunnen worden onderschept.

In de herfst van vorig jaar bleek dat de certificaatautoriteit DigiNotar, die veel certificaten aan de overheid leverde, was gehackt. DigiNotar hield de kraak wekenlang onder de pet. Over het algemeen wordt aangenomen dat ontvreemde DigiNotar-certificaten zijn gebruikt in Iran om dissidenten te bespioneren. Omdat de overheid zwaar op DigiNotar-certificaten leunde, was het moeilijk om de gecompromitteerde certificaten in te trekken.

Volgens de voorzitter van de Onderzoeksraad, Tjibbe Joustra, houden overheidsorganisaties er te weinig rekening mee dat het op beveiligingsgebied ook mis kan gaan. "Risico's kun je niet uitsluiten, maar je moet wel weten wat die risico's zijn", stelt Joustra. "De overheid moet zijn zaken op orde hebben."

Dat is belangrijk omdat het eigenlijk bijna verplicht is om via ict met de overheid te communiceren, zegt Joustra. Het is vrijwel altijd makkelijker om digitaal zaken te doen met overheidsorganisaties. "Daarom mag de overheid strenger beoordeeld worden dan het bedrijfsleven", zegt hij. "De veiligheid van digitaal verkeer moet gewaarborgd worden." Ook moet de overheid 'terughoudend' omgaan met digitaal gegevensverkeer. De overheid zou zich moeten afvragen of de verwerking van gegevensverkeer de risico's wel waard is.

Complicerende factor is dat de overheid zelf weinig expertise in huis heeft. "De overheid leunt te veel op externe experts", zegt Erwin Muller, lid van de Onderzoeksraad. De OPTA en overheidsautomatiseerder Logius hielden bovendien geen goed toezicht op DigiNotar.

Kort nadat de Nederlandse overheid in september het vertrouwen in DigiNotar opzegde, ging het bedrijf failliet. Dat er desondanks nog steeds door DigiNotar uitgegeven certificaten worden gebruikt bij de communicatie tussen de overheid en ondernemers, is geen ideale situatie, vindt de Onderzoeksraad. "Dat was een bewuste afweging. Je zou willen dat het niet nodig is, maar in dit geval is dat wel zo", aldus Muller in antwoord op vragen van Tweakers.net. Veel ondernemers beschikken nog over DigiNotar-certificaten. "En in dit geval levert het geen beveiligingsproblemen op." Wel is het belangrijk dat de overheid op dit gebied redundant wordt en dus een alternatief op de plank heeft liggen. "Dat besef is nu wel doorgedrongen."

De Onderzoeksraad doet de overheid een aantal aanbevelingen. Zo moeten bestuurders hun 'verantwoordelijkheid nemen' voor beveiliging; nu zou dat nog te vaak worden overgelaten aan ict-afdelingen. Volgens Muller moet ict-beveiliging ook op bestuurdersniveau worden besproken. Ook moet de ict-beveiliging 'systematisch' worden aangepakt, waarbij overheidsorganisaties zich aan bestaande standaarden moeten houden. De overheid moet zich bovendien tegenover het publiek verantwoorden voor de ict-beveiliging. Tot slot moet er strenger toezicht komen op de uitgifte van overheidscertificaten.

De Onderzoeksraad heeft naast het DigiNotar-incident ook de ict-veiligheid bij een aantal overheidsorganisaties onderzocht, waaronder gemeenten. Te vaak hebben wethouders geen idee hoe het met de ict-beveiliging is gesteld, blijkt uit het onderzoeksrapport.

Gerelateerde content

Alle gerelateerde content (45)

Reacties (34)

Reactiefilter:-134029+112+20+30
Moderatie-faq Wijzig weergave
Logische uitkomst, maar is er binnen dit onderzoek ook gekeken naar het kosten aspect?
Het zelf in dienst nemen van experts lijkt me een dure grap. Tegen dergelijke hacks is weinig preventief te doen, in de praktijk wordt er toch pas gereageerd nadat het mis is gegaan.
De conclusie van dit onderzoek is nou juist dat er niet afdoende is gereageerd. Waar het om gaat is dat je je zaakjes goed op orde hebt, zodat je adequaat kunt reageren. Bijvoorbeeld door een set alternatieve certificaten uit te rollen waar je allang over beschikte in het geval van een hack, en natuurlijk überhaupt een draaiboek hebben voor dat soort situaties.

[Reactie gewijzigd door .oisyn op 28 juni 2012 12:15]

Het is ook erg gevaarlijk om maar op een extern bedrijf te vertrouwen. Ze doen nu heel veel via Fox-it. Die zijn wel te vertrouwen waarschijnlijk. Maar wat als China of een ander land ze ook in dienst neemt?
Hetzelfde voor geld voor Defensie, je kan ook zeggen dat dat een dure grap is. Maar je kan niet vertrouwen op een particulier leger :)
Fox-It te vertrouwen? http://www.automatisering...-lijst-spyware-aanbieders

En je andere punt: Amerika maakt veel gebruik van particuliere legers. Beter voor de PR: http://en.wikipedia.org/wiki/Blackwater_Security_Consulting

[Reactie gewijzigd door BCC op 28 juni 2012 13:27]

Om Fox-IT onbetrouwbaar te noemen omdat ze tools maken is natuurlijk compleet van de pot gerukt.
Onzin, de experts kunnen voor meerdere ministeries werken en daar mensen opleiden en adviseren. Zo'n expertgroep is goedkoper dan steeds externe mensen inhuren.
"Ook moet de overheid 'terughoudend' omgaan met digitaal gegevensverkeer. De overheid zou zich moeten afvragen of de verwerking van gegevensverkeer de risico's wel waard is."
Nee, papier met een handtekening is betrouwbaar. Het lijkt mij zaak dat de overheid meer investeert in eigen expertise en die ook ziet vast te houden. Niet leunen op externe adviseurs (zoals de onderzoekers terecht stellen) die precies zo adviseren dat ze telkens weer terug kunnen komen. Mijns inziens wordt het tijd voor de NL overheid dat ze zich gaat focussen op een lange termijn strategie inzake digitale communicatie.

Maar de uitspraak dat de overheid zich moet afvragen of digitaal gegevensverkeer de risico's wel of niet waard is lijkt mij toch wel een gepasseerd station.
Precies, men gaat er altijd blindelings van uit dat de oude, analoge situatie wel veilig en solide was.
Dat zie je ook bij mensen die weigeren bankzaken via internet te doen en nog steeds met overschrijvingsformulieren werken. De kans op fraude met internetbankieren is niet nul, maar zeker vele malen kleiner dan de ouderwetse overschrijvingsformulieren.
"Complicerende factor is dat de overheid zelf weinig expertise in huis heeft. "De overheid leunt te veel op externe experts", zegt Erwin Muller, lid van de Onderzoeksraad. De OPTA en overheidsautomatiseerder Logius hielden bovendien geen goed toezicht op DigiNotar."

Dit is het meest typerende zinnetje van het hele artikel. Overheden leunen tegenwoordig zo zwaar op externe deskundigen dat ze zelf nog amper weten wat ze doen (is mijn indruk in ieder geval). Er worden miljarden uitgegeven aan grote projecten die aanbesteed moeten worden, voor het zelfde geld kan men ook vast personeel in dienst nemen wat zich ook echt kan inleren in de situatie en ook de juiste keuzes kan maken.
Helemaal mee eens.
Richt nou gewoon 1 instituut in waar alles wordt geregeld. Flinke salarissen, flinke boetes bij misbruik, gewoon goed regelen. Het is het belangrijkste wat we hebben op dit moment en een goede bron voor werkgelegenheid. Plant dit instituut midden in het land, ergens in utrecht ofzo. Lekker droog.... Mijn idee!
Altijd fijn dit. Ondertussen ben ik wel verplicht mijn biometrische gegevens aan de gemeente te geven wanneer ik binnenkort een nieuwe ID-kaart moet aanvragen.
Inderdaad. Gelukkig slaan ze tegenwoordig de vingerafdruk slechts voor de tijd op dat het maken van de kaart duurt. Daarna worden ze weer uit de database verwijderd.

Maar ik vraag me maar af of mijn vingerafdruk dan ook echt weg is. Ik neem aan dat de gemeente ook dagelijks een backup weg schrijft en hoe lang word die weer (onzorgvuldig) bewaard? Draaien de databases in clusters? Loopt die synchronisatie wel goed? Enzovoorts.

Maar laat de overheid vooral door gaan met dit soort biometrisch gegevens op te slaan. Straks liggen er miljoenen vingerafdrukken op straat en kan het bewijsmiddel wat al jaren gebruikt word ineens niet meer als bewijs gebruikt worden in een civiele procedure. Maar het word er allemaal zoveel veiliger op????

[Reactie gewijzigd door tormentor1985 op 28 juni 2012 12:20]

Gelukkig slaan ze de vingerafdrukken tijdelijk op?http://www.powned.tv/nieu..._nederlandse_vingera.html

Ik moet binnenkort een nieuw paspoort aanvragen in het buitenland (kan niet meer in Nederland aangezien ik ben uitgeschreven), maar ik moet wel m'n biometrische gegevens afstaan. ik hou m'n hart vast, maar ik voorzie een unencrypted mailtje met mijn gegevens over internet richting Den Haag om m'n nieuwe paspoort te laten maken. Blij mee? Nee, Heb ik een keuze? Helaas niet....
Ach het is een kwestie van tijd of de vingerafdrukken worden van je gestolen op het moment dat er iemand met een RFID reader naast je in de trein gaat zitten. Net zoals dat nu al met creditcardnummers + verificatie code gebeurt.

Zoals ze in Amerika al zeggen, je kan net zo een t-shirt aantrekken met daarop je creditcard nummer en je verificatie code. Het komt min of meer op hetzelfde neer.

Wat doen ze vervolgens? Hoge straffen (9 jaar) geven voor dit soort fraude. Maar goed als je het slim aan pakt komt niemand erachter. Nog even en er zijn antennes te koop die kaarten op tientallen meters afstand uit kunnen lezen. Zo kan je door een rondje te rijden in een wijk al snel achterhalen welke id kaarten er ineens missen en rustig een inbraak plegen. Je bent immers verplicht je kaart altijd bij je te hebben.
En ook het op (grote) afstand uitlezen va RFID is al mogelijk... http://tweakers.net/nieuw...allen-meters-afstand.html

Zijn er geen ontwikkelingen die het mogelijk maken om een soort 'approve' knop op je paspoort te zetten? Er wordt een verzoek tot het lezen van de gegevens van je paspoort rfid gemaakt en je moet je vinger op een bepaalde plek houden om dat verzoek tot lezen te autoriseren. Nu is rfid min of meer een continu door alle apparaten opvraagbaar medium.
Nou, dat kun je wel vergeten, je zal toch echt hoogstpersoonlijk moeten gaan.
Straks liggen er miljoenen vingerafdrukken op straat en kan het bewijsmiddel wat al jaren gebruikt word ineens niet meer als bewijs gebruikt worden in een civiele procedure.
Omdat het namaken van een vinger opeens makkelijker is geworden? Als je vingerafdrukken wilt verzamelen is dat toch niet zo'n punt? Draagt iedereen in je omgeving de hele tijd handschoenen?

Waarom zou het als bewijsmateriaal opeens onbruikbaar worden?
Slechte ict beveiliging, maar willen wel in de aanval gaan blijkbaar als een defensie onderdeel.

edit: apart, blijkbaar is een ontopic reactie/mening over dit onderwerp ongewenst...

[Reactie gewijzigd door Daisai op 28 juni 2012 15:09]

Er staat: of verwerking van de dataverkeer het risico wel waard is.

Nee dat is het niet want een digiid is per definitie niks, geen persoon of bedrijf het valt niet te controleren.

Net als dat je nu aangifte kan doen via internet wat een onzin en ellende.
Welk ministerie is verantwoordelijk voor de ICT-beveiliging? Ik zou Ministerie van Defensie verantwoordelijk maken voor de ICT-beveiling. Digitale oorlogsvoering zal in de toekomst een steeds belangrijkere rol gaan spelen. De expertises van beide gebieden kunnen gebruikt worden.
De Rijkswet Onderzoeksraad Voor Veiligheid is op 1 februari 2005 in werking getreden en de raad is op 7 februari van dat jaar officieel geïnstalleerd door de minister van Binnenlandse Zaken en Koninkrijksrelaties.
Die dus...
Centrale overheid, provincy, gemeente, allemaal veel te versnipperd. De overheid moet alles voor alle andere overheid diensten regelen. Zou nog beter zijn als ze Europees e.a. regelen, minder mensen, minder fouten. minder kosten! Niet het wiel uitvinden! Samen werken en dat vooral Europees!
Het zal je tegenvallen hoelang het duurt iets op Europees niveau te regelen. Gemiddeld moet je er 2 tot 3 jaar voor uittrekken.
ISO 20000 & ISO 27000 anyone? Er bestaan gewoon systemen die je direct kan implementeren via een combinatie van bestuur en ICT... zo nieuw is het niet. Was vroeger ook iets als BS8000 of 8808. En ITIL, ook nog.. maar dat is vooral dienstverlening en niet zozeer security. Maar dan nog, frameworks zijn er al jaren. Waarom worden ze niet gewoon gebruikt? Ik heb mijn certificeringen toch ook...

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True