Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 11.802 •

De ict-veiligheid bij de overheid moet 'sterk verbeteren'. Dat is het oordeel van de Onderzoeksraad voor Veiligheid, die donderdag een onderzoek naar het DigiNotar-incident presenteerde. Nederland was destijds onvoldoende voorbereid.

DiginotarDe Nederlandse overheid was 'niet voorbereid op een aantasting van haar digitale veiligheid', oordeelt de Onderzoeksraad in een rapport dat donderdagmiddag is gepubliceerd.

Bovendien hield de overheid geen rekening met de mogelijkheid dat een certificaatautoriteit gekraakt zou kunnen worden, terwijl een gevolg had kunnen zijn dat de communicatie binnen bijvoorbeeld rechtbanken of de Belastingdienst stil was komen te liggen. Ook hadden gegevens van burgers en bedrijven kunnen worden onderschept.

In de herfst van vorig jaar bleek dat de certificaatautoriteit DigiNotar, die veel certificaten aan de overheid leverde, was gehackt. DigiNotar hield de kraak wekenlang onder de pet. Over het algemeen wordt aangenomen dat ontvreemde DigiNotar-certificaten zijn gebruikt in Iran om dissidenten te bespioneren. Omdat de overheid zwaar op DigiNotar-certificaten leunde, was het moeilijk om de gecompromitteerde certificaten in te trekken.

Volgens de voorzitter van de Onderzoeksraad, Tjibbe Joustra, houden overheidsorganisaties er te weinig rekening mee dat het op beveiligingsgebied ook mis kan gaan. "Risico's kun je niet uitsluiten, maar je moet wel weten wat die risico's zijn", stelt Joustra. "De overheid moet zijn zaken op orde hebben."

Dat is belangrijk omdat het eigenlijk bijna verplicht is om via ict met de overheid te communiceren, zegt Joustra. Het is vrijwel altijd makkelijker om digitaal zaken te doen met overheidsorganisaties. "Daarom mag de overheid strenger beoordeeld worden dan het bedrijfsleven", zegt hij. "De veiligheid van digitaal verkeer moet gewaarborgd worden." Ook moet de overheid 'terughoudend' omgaan met digitaal gegevensverkeer. De overheid zou zich moeten afvragen of de verwerking van gegevensverkeer de risico's wel waard is.

Complicerende factor is dat de overheid zelf weinig expertise in huis heeft. "De overheid leunt te veel op externe experts", zegt Erwin Muller, lid van de Onderzoeksraad. De OPTA en overheidsautomatiseerder Logius hielden bovendien geen goed toezicht op DigiNotar.

Kort nadat de Nederlandse overheid in september het vertrouwen in DigiNotar opzegde, ging het bedrijf failliet. Dat er desondanks nog steeds door DigiNotar uitgegeven certificaten worden gebruikt bij de communicatie tussen de overheid en ondernemers, is geen ideale situatie, vindt de Onderzoeksraad. "Dat was een bewuste afweging. Je zou willen dat het niet nodig is, maar in dit geval is dat wel zo", aldus Muller in antwoord op vragen van Tweakers.net. Veel ondernemers beschikken nog over DigiNotar-certificaten. "En in dit geval levert het geen beveiligingsproblemen op." Wel is het belangrijk dat de overheid op dit gebied redundant wordt en dus een alternatief op de plank heeft liggen. "Dat besef is nu wel doorgedrongen."

De Onderzoeksraad doet de overheid een aantal aanbevelingen. Zo moeten bestuurders hun 'verantwoordelijkheid nemen' voor beveiliging; nu zou dat nog te vaak worden overgelaten aan ict-afdelingen. Volgens Muller moet ict-beveiliging ook op bestuurdersniveau worden besproken. Ook moet de ict-beveiliging 'systematisch' worden aangepakt, waarbij overheidsorganisaties zich aan bestaande standaarden moeten houden. De overheid moet zich bovendien tegenover het publiek verantwoorden voor de ict-beveiliging. Tot slot moet er strenger toezicht komen op de uitgifte van overheidscertificaten.

De Onderzoeksraad heeft naast het DigiNotar-incident ook de ict-veiligheid bij een aantal overheidsorganisaties onderzocht, waaronder gemeenten. Te vaak hebben wethouders geen idee hoe het met de ict-beveiliging is gesteld, blijkt uit het onderzoeksrapport.

Gerelateerde content

Alle gerelateerde content (45)

Reacties (34)

Logische uitkomst, maar is er binnen dit onderzoek ook gekeken naar het kosten aspect?
Het zelf in dienst nemen van experts lijkt me een dure grap. Tegen dergelijke hacks is weinig preventief te doen, in de praktijk wordt er toch pas gereageerd nadat het mis is gegaan.
De conclusie van dit onderzoek is nou juist dat er niet afdoende is gereageerd. Waar het om gaat is dat je je zaakjes goed op orde hebt, zodat je adequaat kunt reageren. Bijvoorbeeld door een set alternatieve certificaten uit te rollen waar je allang over beschikte in het geval van een hack, en natuurlijk überhaupt een draaiboek hebben voor dat soort situaties.

[Reactie gewijzigd door .oisyn op 28 juni 2012 12:15]

Het is ook erg gevaarlijk om maar op een extern bedrijf te vertrouwen. Ze doen nu heel veel via Fox-it. Die zijn wel te vertrouwen waarschijnlijk. Maar wat als China of een ander land ze ook in dienst neemt?
Hetzelfde voor geld voor Defensie, je kan ook zeggen dat dat een dure grap is. Maar je kan niet vertrouwen op een particulier leger :)
Fox-It te vertrouwen? http://www.automatisering...-lijst-spyware-aanbieders

En je andere punt: Amerika maakt veel gebruik van particuliere legers. Beter voor de PR: http://en.wikipedia.org/wiki/Blackwater_Security_Consulting

[Reactie gewijzigd door BCC op 28 juni 2012 13:27]

Om Fox-IT onbetrouwbaar te noemen omdat ze tools maken is natuurlijk compleet van de pot gerukt.
Onzin, de experts kunnen voor meerdere ministeries werken en daar mensen opleiden en adviseren. Zo'n expertgroep is goedkoper dan steeds externe mensen inhuren.
Slechte ict beveiliging, maar willen wel in de aanval gaan blijkbaar als een defensie onderdeel.

edit: apart, blijkbaar is een ontopic reactie/mening over dit onderwerp ongewenst...

[Reactie gewijzigd door Daisai op 28 juni 2012 15:09]

Altijd fijn dit. Ondertussen ben ik wel verplicht mijn biometrische gegevens aan de gemeente te geven wanneer ik binnenkort een nieuwe ID-kaart moet aanvragen.
Inderdaad. Gelukkig slaan ze tegenwoordig de vingerafdruk slechts voor de tijd op dat het maken van de kaart duurt. Daarna worden ze weer uit de database verwijderd.

Maar ik vraag me maar af of mijn vingerafdruk dan ook echt weg is. Ik neem aan dat de gemeente ook dagelijks een backup weg schrijft en hoe lang word die weer (onzorgvuldig) bewaard? Draaien de databases in clusters? Loopt die synchronisatie wel goed? Enzovoorts.

Maar laat de overheid vooral door gaan met dit soort biometrisch gegevens op te slaan. Straks liggen er miljoenen vingerafdrukken op straat en kan het bewijsmiddel wat al jaren gebruikt word ineens niet meer als bewijs gebruikt worden in een civiele procedure. Maar het word er allemaal zoveel veiliger op????

[Reactie gewijzigd door tormentor1985 op 28 juni 2012 12:20]

Gelukkig slaan ze de vingerafdrukken tijdelijk op?http://www.powned.tv/nieu..._nederlandse_vingera.html

Ik moet binnenkort een nieuw paspoort aanvragen in het buitenland (kan niet meer in Nederland aangezien ik ben uitgeschreven), maar ik moet wel m'n biometrische gegevens afstaan. ik hou m'n hart vast, maar ik voorzie een unencrypted mailtje met mijn gegevens over internet richting Den Haag om m'n nieuwe paspoort te laten maken. Blij mee? Nee, Heb ik een keuze? Helaas niet....
Ach het is een kwestie van tijd of de vingerafdrukken worden van je gestolen op het moment dat er iemand met een RFID reader naast je in de trein gaat zitten. Net zoals dat nu al met creditcardnummers + verificatie code gebeurt.

Zoals ze in Amerika al zeggen, je kan net zo een t-shirt aantrekken met daarop je creditcard nummer en je verificatie code. Het komt min of meer op hetzelfde neer.

Wat doen ze vervolgens? Hoge straffen (9 jaar) geven voor dit soort fraude. Maar goed als je het slim aan pakt komt niemand erachter. Nog even en er zijn antennes te koop die kaarten op tientallen meters afstand uit kunnen lezen. Zo kan je door een rondje te rijden in een wijk al snel achterhalen welke id kaarten er ineens missen en rustig een inbraak plegen. Je bent immers verplicht je kaart altijd bij je te hebben.
En ook het op (grote) afstand uitlezen va RFID is al mogelijk... http://tweakers.net/nieuw...allen-meters-afstand.html

Zijn er geen ontwikkelingen die het mogelijk maken om een soort 'approve' knop op je paspoort te zetten? Er wordt een verzoek tot het lezen van de gegevens van je paspoort rfid gemaakt en je moet je vinger op een bepaalde plek houden om dat verzoek tot lezen te autoriseren. Nu is rfid min of meer een continu door alle apparaten opvraagbaar medium.
Nou, dat kun je wel vergeten, je zal toch echt hoogstpersoonlijk moeten gaan.
Straks liggen er miljoenen vingerafdrukken op straat en kan het bewijsmiddel wat al jaren gebruikt word ineens niet meer als bewijs gebruikt worden in een civiele procedure.
Omdat het namaken van een vinger opeens makkelijker is geworden? Als je vingerafdrukken wilt verzamelen is dat toch niet zo'n punt? Draagt iedereen in je omgeving de hele tijd handschoenen?

Waarom zou het als bewijsmateriaal opeens onbruikbaar worden?
"Ook moet de overheid 'terughoudend' omgaan met digitaal gegevensverkeer. De overheid zou zich moeten afvragen of de verwerking van gegevensverkeer de risico's wel waard is."
Nee, papier met een handtekening is betrouwbaar. Het lijkt mij zaak dat de overheid meer investeert in eigen expertise en die ook ziet vast te houden. Niet leunen op externe adviseurs (zoals de onderzoekers terecht stellen) die precies zo adviseren dat ze telkens weer terug kunnen komen. Mijns inziens wordt het tijd voor de NL overheid dat ze zich gaat focussen op een lange termijn strategie inzake digitale communicatie.

Maar de uitspraak dat de overheid zich moet afvragen of digitaal gegevensverkeer de risico's wel of niet waard is lijkt mij toch wel een gepasseerd station.
Precies, men gaat er altijd blindelings van uit dat de oude, analoge situatie wel veilig en solide was.
Dat zie je ook bij mensen die weigeren bankzaken via internet te doen en nog steeds met overschrijvingsformulieren werken. De kans op fraude met internetbankieren is niet nul, maar zeker vele malen kleiner dan de ouderwetse overschrijvingsformulieren.
Er staat: of verwerking van de dataverkeer het risico wel waard is.

Nee dat is het niet want een digiid is per definitie niks, geen persoon of bedrijf het valt niet te controleren.

Net als dat je nu aangifte kan doen via internet wat een onzin en ellende.
Even een zijdelingse reactie, maar die Tjibbe Joustra is de man die zelf uit z'n functie bij het UWV is gezet ivm onregematigheden (absurde inrichting directie verdieping met allerlei marmer en WC potten van duizenden euro's belastinggeld) bij de bouw van het nieuwe hoofdkantoor.

Krijgt door de zalvende liefde van de ambtenarij/politiek deze baan en stelt dan: "De overheid moet zijn zaken op orde hebben." 8)7
Ik snap niet waarom dit omlaag gemod wordt, dit is wel degelijk relevant in mijn ogen. De uitkomst van dit onderzoek was natuurlijk wel te voorspellen, maar het is inderdaad hypocriet van meneer Joustra. Vooral als je bekijkt dat ook bij het UWV de zaken niet op orde waren en nog steeds niet zijn.

Klagen dat ze de expertise niet in huis hebben is ook onzin, dan moet je die expertise in huis halen, vooral in tijden waarin het consumentenvertrouwen laag is moet je als overheid investeren, en waar kan dit beter dan in de ICT op dit moment waar de overheid toch al zo veel terechte kritiek heeft gekregen.
(absurde inrichting directie verdieping met allerlei marmer en WC potten van duizenden euro's belastinggeld)
Dat verhaal is al lang ontkracht als onzin. Lang leven het internet waaron de onzin nooit kan sterven... Het is nog altijd vele malen makkelijker om het onzinverhaal te vinden als de correctie die erop gedaan. Kortom een hoog Geenstijl gehalte.
Het staat je vrij om te quoten en mijn mening te bestrijden maar doe dit dan wel op een inhoudelijke manier inclusief onderbouwing.

Wat betreft Geenstijl gehalte wijs ik je graag door naar de Volkskrant:
http://www.volkskrant.nl/...s-over-hoofdkantoor.dhtml of zijn wiki entry:
http://nl.wikipedia.org/wiki/Tjibbe_Joustra_(bestuurder) Want als dit zo al ontkracht is volgens jou waarom zie we hiervan dan niks terug zowel tekstueel als bronnenvermelding?

Tevens kun je los van het feit of deze man al dan niet uit z'n functie is gezet, je afvragen of iemand die eerst een uitkeringsorganisatie aanstuurt zich nu opeens bezig houdt met het beoordelen van ICT-beveiliging.
Daarbij optellend nog eens dat zijn eigen oude-werkgever ook niet echt een hoogvlieger is op IT gebied (nieuws: Mislukt ict-project UWV kost 87 miljoen euro

Kortom, overtuig me nu eens inhoudelijk waarom ik mijn mening moet bijstellen over deze man :)

[Reactie gewijzigd door Katseviool op 28 juni 2012 14:39]

Welk ministerie is verantwoordelijk voor de ICT-beveiliging? Ik zou Ministerie van Defensie verantwoordelijk maken voor de ICT-beveiling. Digitale oorlogsvoering zal in de toekomst een steeds belangrijkere rol gaan spelen. De expertises van beide gebieden kunnen gebruikt worden.
De Rijkswet Onderzoeksraad Voor Veiligheid is op 1 februari 2005 in werking getreden en de raad is op 7 februari van dat jaar officieel geïnstalleerd door de minister van Binnenlandse Zaken en Koninkrijksrelaties.
Die dus...
Centrale overheid, provincy, gemeente, allemaal veel te versnipperd. De overheid moet alles voor alle andere overheid diensten regelen. Zou nog beter zijn als ze Europees e.a. regelen, minder mensen, minder fouten. minder kosten! Niet het wiel uitvinden! Samen werken en dat vooral Europees!
Het zal je tegenvallen hoelang het duurt iets op Europees niveau te regelen. Gemiddeld moet je er 2 tot 3 jaar voor uittrekken.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013