Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 55, views: 22.521 •

Verscheidene ict-systemen van overheid en bedrijfsleven zijn kwetsbaar omdat zij hun beveiliging niet op orde hebben, zo stelt het Nationaal Cyber Security Centrum in een rapport. Verscheidene incidenten zouden gemakkelijk te voorkomen zijn geweest.

In een dreigingsbeeld dat elk jaar wordt gepubliceerd stelt het Nationaal Cyber Security Centrum dat in hun rapportageperiode verscheidene hacks op ict-systemen van overheid en bedrijfsleven voorkomen hadden kunnen worden als de beveiliging op orde was geweest. Door het ontbreken van basale beveiligingsmaatregelen, zoals goede wachtwoorden en software-updates, was een deel van de incidenten te voorkomen geweest. Daarbij zorgden datalekken en malware bij overheidssystemen voor de grootste problemen. De cyberorganisatie pleit voor het navolgen en implementeren van beveiligingsmaatregelen om dergelijke incidenten in de toekomst te voorkomen.

Het Nationaal Cyber Security Centrum kwam tevens met een dreigingsanalyse voor de overheid, waarbij digitale spionage door andere landen hoog op de lijst van bedreigingen staat. Ook zouden beroepscriminelen een grote dreiging vormen, waarbij spam en het verspreiden van malware voor de meeste problemen zorgen. Ook het bedrijfsleven en burgers zouden hier onder te lijden hebben, waarbij ook identiteitsfraude als dreiging wordt genoemd. Dreiging van terroristen wordt als 'laag' gekwalificeerd.

Alhoewel er verscheidene kwetsbaarheden zijn waargenomen, claimt de cyberbeveiligingsorganisatie dat er vergeleken met vorig jaar geen nieuwe vormen van dreiging zijn ontdekt. Daarbij zou de aanvaller nog wel steeds in het voordeel zijn, mede doordat kwaadwillenden steeds sneller in staat zijn om ontdekte kwetsbaarheden uit te buiten. Tevens ontbreekt het een aantal organisaties, waarbij geen namen werden genoemd, aan kennis op het gebied van cyberveiligheid. Ook de doorsnee internetgebruiker zou niet voldoende kennis van beveiliging hebben.

De bevindingen zijn onderdeel van het Cybersecuritybeeld Nederland, dat wordt gepubliceerd met als doel om de Nederlandse cyberveiligheid te analyseren. De dreigingsanalyse werd vorig jaar voor het eerst gepubliceerd, kort na de oprichting van de Nationaal Cyber Security Centrum.

Reacties (55)

als ze elk jaar zo'n dreigingsbeeld opstellen, waarom komt dat dan nu pas naar boven?
"De dreigingsanalyse werd vorig jaar voor het eerst gepubliceerd, kort na de oprichting van de Nationaal Cyber Security Centrum."

Omdat in dit geval het pas de tweede keer is dat dit rapport opgesteld word zoals je kunt lezen in het stuk.
En het is een officieel 'captain hindsight' team waar je geen drol aan hebt maar leuk is voor de komkommertijd.
"zouden gemakkelijk te voorkomen zijn geweest"; misschien is het handig als ze zich met de bestrijding gaan bezig houden, want dit soort dingen weet iedereen toch al. Hopelijk weet de overheid het nu ook en gaan ze daar andere mensen voor inhuren..

[Reactie gewijzigd door Pikoe op 7 juli 2012 11:20]

Ervaring verkrijg je altijd achteraf. Ervaring is namelijk de kennis welke je opdoet door goede EN foute oplossingen. Het is de combinatie.

Iedereen weet dat je backups (digitaal en analoog) moet maken van je gegevens, niet alleen harddisk, maar ook ID bewijzen voor als je ze verliest. Maar doet iedereen dat consequent? Nee. Mensen gaan dat pas doen nadat het een keer is fout gegaan.

Zo was DigiNotor vergeten om een path lengte in hun root certificaten aan te brengen. Hierdoor kon Iran een intermediate certificaat aanmaken waarmee zij zelf vervolgens weer andere certificaten kon ondertekenen. Na het DigiNotar incident bleek dat zij niet de enige waren welke geen path length hadden op hun certificaten.

Daarbij zijn gebeurtenissen uit het verleden feiten en en rapporten over wat er gaat gebeuren slechts voorspellingen..

Je hebt de zin
De bevindingen zijn onderdeel van het Cybersecuritybeeld Nederland, dat wordt gepubliceerd met als doel om de Nederlandse cyberveiligheid te analyseren.
wel gelezen? Of ben jij nu al bezig met het analyseren van 2013?
Maar dit is niets nieuws , dag geleden nog op tweakers van zakelijke gebruikers van KPN die op een standaard wachtwoord over al bij konden.

Bij de politie hebben ze dacht ik onlangs de persoon weggeschopt die verantwoordelijk was voor de ICT puinhoop daar.
Mooi filmpje

Dit soort rapporten verschijnen jaar in jaar uit en toch blijven mensen er in geloven. De conclusie van het rapport is dan ook een verzameling open deuren intrappen zonder dieper na te denken over de problematiek. Als je bijvoorbeeld na 20 jaar nog steeds roept:

- de doorsnee internetgebruiker zou niet voldoende kennis hebben van beveiliging hebben.
- Door het ontbreken gebruik van basale beveiligingsmaatregelen, zoals goede wachtwoorden en software-updates, was een deel van de incidenten te voorkomen geweest

Ergens moet toch een keer een lampje gaan branden. Een keer moet toch het licht aangaan. Voor gewone gebruikers is het hele gebeuren, te onbegrijpelijk, omslachtig, hinderlijk. Na veertig jaar vruchteloze pogingen om gebruikers op te voeden zou men toch eens tot de conclusie mogen komen dat het niet aan de gebruikers ligt maar aan de systemen zelf.

De veiligheid van een systeem moet niet afhankelijk worden gemaakt van een ijzeren discipline van alle participanten. Met tientallen, honderden, duizenden, miljoenen zijn gaten dan gegarandeerd. Wij maken de veiligheid van dijken in ons land toch ook niet afhankelijk van dat alle gebruikers er elke dag heel voorzichtig overheen rijden. Als je dat soort afhankelijkheden inbouwt dan garandeer je problemen.

Veiligheid begint bij het ontwerp van het systeem, het hele systeem. En het systeem moet zo ontworpen zijn dat de gebruiker het niet verkeerd kan doen. Maar voor de systeembouwer is dat helemaal niet zo aantrekkelijk, want dat betekent dat het lastiger wordt om de schuld af te schuiven. Daarbij krijg ik toch sterk de indruk dat naarmate er meer mensen een boterham verdienen aan de onveiligheid van systemen een structurele oplossing onmogelijk wordt. Werk hebben is een ding, werk houden een ander.

[Reactie gewijzigd door Magalaan op 7 juli 2012 17:24]

Daar gaat tijd overheen om dit soort problemen goed op te kunnen pakken zodat ook bijvoorbeeld leken goed met beveiliging om zouden kunnen gaan met het 'basaal' beveiligen. Er zijn genoeg gereedschappen om te kunnen gebruiken maar als de gemiddelde leek het te moeilijk vind om ze te gebruiken dan wordt het schreeuwen in de leegte.

En ja, heel veel problemen zou je inderdaad bij ontwerp al kunnen afvangen maar voor gebruiksvriendelijkheid heb je meer tijd en ervaring nodig om een goede en makkelijke implementatie te maken. Alleen dan moet het wel gebeuren en helaas duurt het te lang om dat voor elkaar te krijgen en dat hoeft juist niet.
Jouw voorbeeld van de dijken is een hele mooie. Echter gaat deze ook mank. Het mooie van het internet bijvoorbeeld, is dat iedereen die dijken mag bouwen. Velen storten een bulk zand en denken daarmee klaar te zijn. De hobbyisten die voor de buurman of sportvereniging een website in elkaar timmeren. Incluiding moi.

Sommigen denken iets verder na en investeren iets meer tijd om de dijk ook van klei en wellicht basaltstenen te voorzien. En dan heb je nog een aantal proffesionele partijen die de dijken aan allerlei regels onderwerpen en ervoor zorgen dat die dingen gewoon goed genoeg zijn.

Een groot veiligheidsissue is dus dat iedereen maar dijkenwebsites mag bouwen, ook al hebben ze er geen enkel verstand van. Maar dat is ook een groot goed van het internet, de vrijheid om het te mogen doen.
Zijn we nu dan bij een stadium aan het belanden dat we die vrijheid in moeten gaan perken ten behoeve van de veiligheid?

En zo zien we dat sommige real life issues ook weer één op één te vertalen zijn naar de virtuele wereld, want ook in de echte wereld worstelen we met hoeveel vrijheid we op moeten geven ten behoeve van de veiligheid....
Zijn we nu dan bij een stadium aan het belanden dat we die vrijheid in moeten gaan perken ten behoeve van de veiligheid?
Nee, maar je mag toch wel van de overheid en professionele (commerciële) partijen enige know-how verwachten, of in elk geval dat ze die inhuren?
Sommigen denken iets verder na en investeren iets meer tijd om de dijk ook van klei en wellicht basaltstenen te voorzien. En dan heb je nog een aantal proffesionele partijen die de dijken aan allerlei regels onderwerpen en ervoor zorgen dat die dingen gewoon goed genoeg zijn.
De analyse van NCSC is dat het vaak over "amateurs" gaat. Of in elk geval amateuristisch gedrag:
Een groot veiligheidsissue is dus dat iedereen maar dijkenwebsites mag bouwen, ook al hebben ze er geen enkel verstand van. Maar dat is ook een groot goed van het internet, de vrijheid om het te mogen doen.
In welke mate voldoen deze bedrijven aan een ISO-20000/27001 certificaat dan. Dat is toch tegenwoordig een must voor een relatief belangrijk of groot bedrijf met gevoelige data?
ISO 20000 zegt niets over het up-to-date houden van software of over het implementeren van beveiliging. Als alle procedures beschreven zijn en de procedure "software up-to-date" staat daar niet tussen, dan kan je alsnog perfect ISO 20000 zijn..
Niet perse, maar het zegt genoeg over het onderhouden van verbeterprocessen en feedback loops om te kunnen stellen dat bepaalde oude software bijgewerkt moet worden om dat je je klanten dan beter kan bedienen, namelijk, betere kwaliteit bieden om dat in dit geval op het vlak van beveiliging je dan eerder voldoet aan de verwachtingen.
ISO certificaten die je noemt zijn alleen voor kantoor omgevingen geldig in de Industriële automatisering spreek je over IA95/ISA99.
Natuurlijk voor de meeste Tweakers niet echt nieuws dit, behalve dat het dan nu in het rapport is vermeld. Het is toch eigenlijk te stom voor woorden dat dit tegenwoordig nog kan, het is een kleine moeite om bij te houden en niet echt lastig..
En toch zijn het ook juist Tweakers die basale beveiliging uitschakelen op hun eigen systemen omdat het maar lastig is.

Commentaar hebben is makkelijk, maar hoeveel mensen hier op T.net hebben niet geroepen dat ze UAC in windows Vista meteen uitschakelden?
Vreselijk dit...
Soms heb ik het gevoel dat mijn thuisserver veiliger is dan de systemen van de overheid.
Bij uw thuis server loopt ook zoveel volk niet rond. In ieder groot bedrijf loopt tegenwoordig zelfs degene die de koffiemachiene komt nakijken met een portable rond. Die hoeft zich ook maar in te pluggen, en die zit al direct achter de firewall.

't is allemaal zo simpel nog niet, je moet alles dichttimmeren, maar je moet ook nog zorgen dat het werkbaar is.
Daar zijn hele basale oplossingen voor zoals b.v. VLANs zodat deze niet direct verbonden zijn met het interne netwerk, gewoon zorgen dat het verkeer richting gevoelige gedeeltes gescheiden is van de kantoren.
Wat vaak gedaan wordt hierbij is eerst analyse van het interne vekeer voor een bepaalde periode en vervolgens worden er services/vereisten vastgelegd welke toegelaten worden.

Voor wat betreft externe aanvallen is het vaak een kwestie van goede richtlijnen mbt updates/security checks wat in de overheid lastig is aangezien ze veel outsourcen en dus totaal geen overzicht hebben.

Als de overheid een centrale ICT dienst zou maken welke volledig in eigen beheer is heb je al een goed begin, wordt een flinke taak gezien de omvang maar zeker niet onmogelijk.

[Reactie gewijzigd door RickDB op 7 juli 2012 11:11]

bwa het moet daarom het koffie toestel niet zijn. Je copier zal ook wel met je servers verbonden zijn om gelijk welke reden. Hoeveel van die toestellen scannen niet naar een map of doen geen authenticatie op active directory.

't is maar even die uittrekken, mac adress overnemen en ik zit al in een vlan die connectie met je servers toestaat ;)

'k zeg het, 't is allemaal zo simpel nog niet
Blijft toch een simpele kwestie van vastleggen wat voor requirements deze scanner/applicance heeft.

Dingen zoals scan to folder kan je natuurlijk vrij simpel scheiden en heeft geen directe toegang nodig tot de gevoelige servers en Canon (de grotere MFP's) biedt ook methodes om veilig gegevens op te halen of te versturen.
Mac spoofing werkt b.v. al niet als je de VLAN id op poort niveau bepaald wat bij de grotere bedrijven vaak gedaan wordt.

Het is en blijft tijdsrovend maar is toch echt een verplichting voor de overheid om alles zo veilig mogelijk te houden als er omgegaan wordt met gevoelige gegevens die nooit en te nimmer in handen mogen komen van kwaadwillende.

[Reactie gewijzigd door RickDB op 7 juli 2012 11:27]

Ik blijf wel op de zelfde poort zitten, als die copier. Dus uw switch ziet geen verschil, of het ik het nu ben of die copier.

Ik zal misschien niet direct op je gevoelige servers geraken. Maar ik zit al vrij ver op je netwerk, en ik kan al vrij veel gegevens van je netwerk verzamelen, zonder dat het me echt moeite kost.
Daarvoor hebben we 802.1x toch... werkt ook prima op een LAN.
Alleen met 802.1x kom je er niet. Je zal ook in je netwerk er voor moeten zorgen dat verkeersstromen gescheiden blijven. Zo kan je MAB (MAC Authentication Bypass) en het spoofen van het MAC Adres jezelf voor doen als printer. Maar als het netwerk zo is ingericht dat de printer allen verkeer kan ontvangen op poort 9100, kan versturen naar een mailserver op 465 (secure met authenticatie) en wellicht nog iets naar een folder weg mag schrijven, dan kan je relatief weinig met je laptop en gespoofed mac adres.

Nog mooier is om profiling toe te gaan passen i.c.m. 802.1x (of dACL's).

Het kan allemaal dicht getimmert worden en hartstikke veilig gemaakt worden. De enige problemen zijn tijd en geld (en tijd kost ook weer geld). Een 802.1x project bij een bedrijf met meerdere vestigingen duurt maanden. Als je daar NAC/Profiling nog op wilt hebben (nog meer interactie met de werkplek) kan je daar nog een aantal maanden bij optellen voordat het een beetje goed werkt.

Ik heb het meegemaakt dat bij een klant een nieuwe security officer aan de macht kwam en die had allemaal nieuwe richtlijnen e.d. opgesteld. Ook steun van de directie (de geldschieters) etc. Dat netwerk was onveilig en moest helemaal dicht getimmerd worden.... Totdat ze doorkregen wat de (financiele) impact te zien kregen. Toen bleek dat de kosten niet in verhouding stonden tot de baten.
't is maar even die uittrekken
port disabled, contact network admin
Dat zie je niet, dat ik die stekker uittrek. Of je zou iedere keer op port disabled komen, iedere keer als de copier uitgezet wordt. Dus copier uitzetten. Netwerkkabel uittrekken, in router of portable steke, alles aanzetten.

En ik ben vetrokken. Ik zeg het, het blijft weinig moeite kosten.
Je vergeet voor het gemak even dat je dan misschien alleen maar op TCP 9001 kan communiceren met een IP of een beperkte range. En wat ga je met die 802.1x doen? En als het een beetje goed opgezet is hangt er wel 24x7 monitoring aan die copier...

Natuurlijk is het makkelijk, gewoon even een bestaand apparaat zoeken waar je fysieke toegang tot hebt, en dan verbinding stelen, maar dat is ook nog een punt, hoe kom je aan die fysieke toegang? Kom je verder dan de lobby zonder ID?
En als het een beetje goed opgezet is hangt er wel 24x7 monitoring aan die copier...
Zie topic. ALS het een beetje goed opgezet is, IS er basale beveiliging. Het gaat juist fout als @subnet12 langskomt terwijl er vanalles aan schort.
uhm, waar is jou kennis. Je kunt wel degelijk zien of de verbinding verbroken word, ook als het apparaat uit staat.
Dreiging van terroristen wordt als 'laag' gekwalificeerd.
I.c.m. dit artikel over Cyber Warfare lijkt me de conclusie eigenlijk: Als ze willen kunnen ze een enorme schade aanrichten, maar we hopen/verwachten niet dat ze daar op uit zijn. Ik ben blij dat de veiligheid van de Nederlandse burger gewaarborgd wordt door wishful thinking...

Een ICT systeem zonder goede beveiliging mag gewoon niet gebruikt worden. De beveiliging hangt natuurlijk af van de risico's en niet van de verwachting dat er iets geprobeerd wordt. Helaas zijn veel managers al blij als het ongeveer werkt. Of het dan gevaarlijk is of niet maakt ze niet echt uit.
Ik ben blij dat de veiligheid van de Nederlandse burger gewaarborgd wordt door wishful thinking...
Dat is een zeer treffende samenvatting van het artikel, in 1 regel.
En helaas ook van toepassing op andere vormen van beveiliging.
Helaas zijn veel managers al blij als het ongeveer werkt. Of het dan gevaarlijk is of niet maakt ze niet echt uit.
Dat komt omdat ze er geen gevoel bij hebben wat het kost als het mis gaat.
Bij productie-systemen kun je er prima een bedrag aan koppelen en vaak ook nog wel een kans dat het mis gaat, dus dan kun je gewoon rekenen en schuiven, maar bij beveiliging is een kost-prijs vrijwel niet te berekenen, zeker niet als je kijkt naar gevolgschade. Hierdoor wordt beveiliging nog steeds vaak als een kostenpost gezien die onnodig is.
Het voorlichtingsorgaan van slagers zegt: er wordt te weinig vlees gegeten.
De vakbond van glazenwassers zegt: ramen moeten vaker worden gewassen.
De bond van muzikanten zegt: van live muziek luisteren worden we gezonder.
Terrorisme coordinator zegt: er is nog steeds een dreiging van terrorisme.

Misschien is het waar, misschien is het niet waar.
Maar als het centrum voor tegen cybercrime preventie zegt dat we meer aandacht aan cybercrime preventie moeten besteden, dan haal ik altijd eerst mijn schouders op.

[Reactie gewijzigd door gryz op 7 juli 2012 10:57]

Je was WC-eend vergeten ;)
"En daarom adviseren wij van WC-eend, WC-eend" (geweldige slogan trouwens)

Je hebt zeker wel een punt, dat er zeker een vorm van belang is dat zij adviseren meer aandacht eraan te besteden.
Maar het is zeker wel een issue dat gebrekkige veiligheid nog steeds een onderschat gevaar is.
Zeker bij overheidssystemen, waar jij en ik direct schade van ondervinden wanneer het fout gaat.
En het is niet zo dat ze er geen geld genoeg voor uitgeven. Het zou alleen structureel beter moeten (en dat hoeft niet te betekenen meer geld) en dat is niet alleen een taak van de IT-ers, maar zou gewoon een complete mentaliteitsverandering overal op de werkvloer moeten inhouden.
Nationaal Cyber Security Centrum
National Cyber Security Centre...of gewoon Nationaal Cyber Beveiliging Centrum.

Lekker interessant doen klinken....
Wij doen enkele GB's aan dropped packets per server per dag ivm foute poorten etc. Ssh login pogingen ook enkele honderden tot duizenden per dag (alleen ssh keys, dus we lachen ons rot om de mysql username inlogs). We krijgen kilo's asn php requests op IIS servers etc. De gemiddelde poging is te treurig voor woorden, maar het volume schrikbarend.

Iedere manager of bestuurder die bagatelliseert, stuur ik gewoon de dagelijkse security log.

[Reactie gewijzigd door __fred__ op 7 juli 2012 11:36]

En dat leidt je af uit... wat?
mysql invullen in inlog gegevens is niet bepaald tegen te houden..
je kan ze uiteraard niet "goed keuren" om uit te voeren..
Bij een bedrijf eens een SIEM oplossing geinstalleerd en daar werden o.a. alle security componenten in gezet (incl. de Internet firewall, publieke webservers en een SSH server).
De security officer wilde alles zien van wat er aan dreigingen waren. Ik nog aangegeven dat het niet handig is en dat je de boel eerst moet 'tunen'. Was niet nodig, want dan ging hij ongetwijfeld dingen missen.....

Met de beheerders de boel afgeconfigureerd en ALLE mogelijke 'incidenten' & rapportage naar de sec. officer laten sturen. Gevolg was dat zijn mailbox duizenden mail per dag te verwerken kreeg. Alle internet 'ruis' triggerde events en incidenten -> mail :D
Na twee dagen hebben we het maar stopgezet en zijn we aan het tunen geslagen. Nu ontvangt hij alleen nog maar de management rapportage per mail.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Samsung Crash Smartphones Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013