Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties, 13.627 views •

Minister Ivo Opstelten van Veiligheid en Justitie ontkent dat de overheid te weinig heeft gedaan om de cyberaanval via het Citadel-virus af te slaan. Hij roept wel nutsbedrijven en andere instanties met kritieke infrastructuur op om ip-adressen door te geven.

Als het Nationaal Cyber Security Centrum alle ip-adressen heeft van bedrijven met belangrijke functies, zoals bedrijven die water, energie en internetverbindingen leveren, kan het NCSC die bedrijven sneller op de hoogte stellen van dreigingen, zei Opstelten vrijdagmiddag naar aanleiding van berichtgeving van de NOS donderdag. De NOS concludeerde na eigen onderzoek dat de overheid te weinig had gedaan met kennis over het virus en het botnet dat het aan het opzetten is geweest.

Opstelten zegt voldoende te hebben gedaan, schrijft het persbureau ANP in een artikel dat op Nu.nl is gepubliceerd. "We hebben alles gedaan wat in ons vermogen lag", aldus de minister. Daarbij doelde hij niet alleen op het ministerie, maar ook op het NCSC, dat bedrijven heeft gewaarschuwd.

Bij de cyberaanval is een enorme hoeveelheid gevoelige data buitgemaakt, zoals patiëntgegevens, wachtwoorden, creditcardgegevens en geheime bedrijfsinformatie. De aanval via het virus vond vorig jaar plaats en infecteerde veel overheidsinstanties, waaronder gemeenten. 

Reacties (49)

Ik vind het vreemd dat digibeten de uiteindelijke beslissingen mogen nemen over dit soort zaken. Zo zal ICT altijd een faal blijven bij de overheidsinstellingen. Men kan beter wat tweakers hier zeggenschap over geven.
Het ergste is nog dat ze zich als het goed is wel laten adviseren door mensen met verstand.

Alleen dan begrijpen ze het nog steeds niet, of kiezen voor de voor hun voordeligste oplossing. Vooral het laatste. Is later altijd makkelijk afschuiven als er iets fout gaat. Dan is het ineens 'complex'.
"Het ergste is nog dat ze zich als het goed is wel laten adviseren door mensen met verstand."

Als het goed is, ja.

Een paar jaar geleden weet ik nog dat het UWV een paar miljoen euro had uitgegeven aan nieuwe software om de callcentra beter te integreren met de verschillende systemen die de verschillende uitkeringen (WW, ZW, WIA, etc.) gebruikten.

Waar het uiteindelijk op neer kwam is dat een ICT-bedrijfje een prachtig verkooppraatje had gehouden aan de hoge bazen, die op hun beurt (compleet digibeet) zeer onder de indruk waren en zonder twijfel tekenden.

Bij de release van de software begonnen medewerkers (waaronder ik, destijds) meteen te klagen over functies die misten, in de veronderstelling dat er nog wijzigingen aangebracht konden/mochten worden. Maar helaas, het ICT-bedrijf had heel mooi in de clausule vermeld dat het een "as is"-deal was.

Dus nee, de overheidsinstanties laten zich niet altijd adviseren en struikelen uiteindelijk over hun eigen arrogantie. Nou is dit natuurlijk het UWV en geldt dit niet perse voor de andere takken van de overheid, maar hoe dan ook, er word dus wel met miljoenen gesmeten door mensen die de ballen verstand er van hebben.

Edit: dit geldt overigens niet alleen voor het ICT-gebied. Ook qua infrastructuur is de overheid niet de snuggerste. Vier jaar geleden investeerde de belastingdienst 10 miljoen euro in een nieuw kantoor in Groningen, waar zowel de IB-groep, douane, belastingtelefoon en FIOD in moesten passen. In ruil daarvoor zouden de vier foeilelijke torens die destijds door de verschillende instanties gebruikt werden tegen de vlakte gaan en ruimte maken voor nieuwbouw.
Toen het kantoor (wat overigens op een fucking titanic boot lijkt) af was, bleek dat het te klein was en konden er maar 2 foeilelijke torens tegen de vlakte. Nu staat er een gigantisch, imponerend en modern gebouw, met daarnaast twee armzalige flatjes (die wat weg hebben van een ouderwetse school) ernaast. Ben benieuwd in hoeverre ze daarin geadviseerd zijn. Daar gaat 10 miljoen euro van ons belastinggeld.

[Reactie gewijzigd door Dan0sz op 15 februari 2013 18:58]

Het probleem is dat dit een openbare aanbesteding is, en die is aan bepaalde regels gebonden (zo is de situatie in BelgiŽ iig).

Als een overheidsinstelling (in jouw geval het UWV) externen een taak wil laten uitvoeren (of dit nu hosting of een volledig integratieproject is), moet dit via een openbare aanbesteding gebeuren. Simpel gesteld moet het overheidsbedrijf een document opstellen, waarin alle eisen opgelijst staan (de RFQ). Vervolgens kunnen (privť) ondernemingen hun voorstel indienen. Het overheidsbedrijf is dan verplicht een minimum aantal voorstellen in overweging te nemen, en is daarna bijna verplicht het goedkoopste te nemen.

Het probleem in heel deze situatie is dat alles op voorhand al vastgelegd moet worden. Voor alle bijkomen problemen (alles buiten de as-is dus), moeten bijkomende contracten afgesloten worden (en dus het aanbestedingsproces doorlopen worden). Door specifieke constructies (bvb raamwerkcontracten) kan dit ietwat versoepeld worden, maar het is niet zoals bij een privť onderneming dat er zomaar een contract uitgebreid kan worden.

Dit stelsel is in plaats gezet om eerlijke concurrentie mogelijk te maken, en om overheidsdiensten zo efficiŽnt mogelijk te laten werken. Jammer genoeg heeft het dus ook zijn nadelen :) .

[Reactie gewijzigd door Carrein op 15 februari 2013 19:11]

In nederland gaat dit ook zo.
De truc is dan dat je je als nog goed laat informeren en dan je aanbesteding zo formuleert dat je een goed product krijgt of dat het bedrijf dat je op voor hand het meest geschikt vind het enige bedrijf is dat dit product kan leveren.
Het is echt niet de schuld van europese aanbestedingen dat je een slecht product krijgt dat heb je als overheids bedrijf echt nog wel zelf in de hand.
Je moet het alleen wel goed aanpakken. Wat dus vaak niet gebeurd
Dar mag je toch mee oppassen. Als 1 van de inschrijvende firma's het vermoeden heeft dat je het op deze manier probeert te doen dan kan je je aan een proces voor de Raad van State verwachten.

Als die de klacht gegrond verklaart dan gaat die firma met 10% van het aanbestede bedrag lopen zonder er wat voor te hoeven doen. Er zijn genoeg firma's die bij aanbestedingen inschrijven enkel en alleen hiervoor. Die weten dan goed genoeg dat ze het nooit kunnen halen maar gaan dan op zoek naar zo'n "fouten" in je aanbesteding.

Als ze gelijk krijgen moet je heel de aanbesteding opnieuw uitschrijven. Zeker erg grote projecten lopen dan zware vertraging op (de procedure voor Raad van State duurt x weken/maanden, daarna terug je aanbesteding maken en publiceren, heel de procedure opnieuw doen,...)
Vaak genoeg komen ze daar ook wel mee weg. Zie bijvoorbeeld project 'GOUD'. In deze aanbesteding stonden specifieke eisen waardoor de aanbesteding eigenlijk enkel door Microsoft kon worden vervuld, i.p.v. de eisen over wat er daadwerkelijk met de werkplek moest kunnen worden gedaan.

http://www.rijksoverheid....van-het-project-goud.html
Call centers hebben veelal al zeer slechte software, zag eens een keer waar wel 8 applicaties werden gebruikt en dan moet een medewerker binnen paar minuten ff een gesprek voeren. Terwijl de bedienbaarheid bedroevend was. Zolang ze met dat soort meuk werken zullen we nooit goede call centers hebben in Nederland.

Ander punt is: het IP adres doorgeven
Maar wat als een bedrijf geen statisch IP adres heeft, dan hebben ze er in sommige gevallen gewoon bar weinig aan. Je mag toch aannemen dat de overheid en helemaal een cyber security center dat wel doorheeft? anders kunnen we beter het geld gaan besparen voor nuttige dingen.

Wellicht zal Opstelten ook uit de ontkenningsfase moeten stappen en inzien dat het best wel een behoorlijk serieus probleem kan worden als men dezelfde koers blijft varen.
De oplossingen zijn denk ik niet continu vergaderingen voeren en plannen op papier zetten. Een stappen plan kan elk bedrijf wel zelf bedenken (die hoef je echt niet meer te vertellen dat ze een firewall moet installeren en anti-mallware software bij windows). Het gaat er denk ik meer om dat de juiste kennis aanwezig is op allerlei punten. Een security-rapport opstellen heeft natuurlijk weinig of nauwelijks effect op de praktijk als bijna niemand het leest en laat staan er wat mee gedaan wordt en gewoon ook veel punten niet aan de orde komen die wel van essentieel belang zijn.

[Reactie gewijzigd door BoringDay op 15 februari 2013 19:14]

Ik vind het vreemd dat digibeten de uiteindelijke beslissingen mogen nemen over dit soort zaken. Zo zal ICT altijd een faal blijven bij de overheidsinstellingen. Men kan beter wat tweakers hier zeggenschap over geven.
Ministers kunnen nooit beschikken over volledige kennis van het vakgebied van ieder probleem dat ze behandelen. Daarom zijn er mensen die ze adviseren en hebben ze verschillende hulpmiddelen tot hun beschikking om toch een zo goed mogelijk geÔnformeerde beslissing te nemen.

Dat zulke dingen niet altijd juist zijn volgens iedereen is niet iets wat alleen voorbehouden is aan de ICT. Bovendien is het natuurlijk zo dat als een minister iets op een bepaalde manier zegt in een interview, het best mogelijk is dat de uitleg gewoon brak of incompleet is. Dat is slordig, maar we hebben het over een interview en niet over een wettekst.
Nou, ministers kunnen dan misschien niet alles weten over elke vakgebied, het zou toch wel fijn zijn als ze in ieder geval voldoende ingevoerd zouden zijn op het vakgebied waar ze verantwoordelijk voor zijn.
Ik vind het weinig vertrouwenwekkend dat er bijv.. op infrastructuur eigenlijk nooit een vakminister zit. Voor de ICT zou voorlopig een aparte minister moeten komen (of in ieder geval een staatssecretaris). Iemand met een degelijke ICT opleiding en ervaring in de branche. Het gaat zo vaak mis en steeds kan eigenlijk niemand erop aangesproken worden omdat er bij de mensen die erover gaan (...en ze hebben nog wel zo hun best gedaan blijkt maar weer!), gewoon geen kennis zit.
Zolang er geen minister is, kan je deze minister best aanspreken op dingen die hij niet weet maar wel zou moeten weten.

[Reactie gewijzigd door arnem_ op 15 februari 2013 18:34]

En die 20-tal genoemde tweakers blijken achteraf ook een eigen belang te hebben, ben je weer net zover, want ťťn van die heeft wel een vriendje die……. vul de rest maar in, of dacht je dat het dan anders ging, gaat enkel om relaties en gunnen. de minister is in zijn besluitvorming ook maar afhankelijk van de voorgeschotelde info, uiteindelijk blijkt de overheid gewoon te lui, te log, te bureaucratief en niet geÔnteresseerd, komt toch allemaal uit die grote pot waaruit iedereen probeert mee te overleven, het UWV missertje was maar 40 miljoen geloof ik, druppeltje op de rest van de miskleunen op jaar basis van onze geliefde overheid.
Als je amper weet wat spam is vind ik dat wel erg slecht. Iets meer kennis is wel handig.
Ik denk als een minister over veiligheid moet gaan omtrent de digitale wereld, dan moet die ook kennis van zaken hebben. Want hoe kan je iets beveiligen als je niet weet hoe het werkt.

Het probleem is als je 1 punt over het hoofd ziet dat het dan gewoon lek en onveilig is.
Niet dat ik de minister het kwalijk neem, maar er moeten wel de juiste mensen op de juist plek zitten denk ik?
Eindverantwoording ligt inderdaad op de IT afdelingen.

Maar ik denk niet een IT afdeling alle kennis in huis heeft en het kost altijd extra geld terwijl men in IT land elkaar probeert te concurreren om zo goedkoop mogelijk een dienst/product te bieden. Dan kan je wel aannemen dat het ten kosten van veiligheid/beveiliging gaat.

Maar men weet natuurlijk ook niet alles en denk ook dat je beveiliging nooit aan 1 persoon over moet laten. Hier heb je meerdere mensen voor nodig. Wat de een niet weet weet wellicht de ander wel weer.
Even de knuppel in het hoenderhok gooien; 'ICT kennis' in de NL politiek in het algemeen is niet bestaand of zeer laag, en omdat falen een vast onderdeel is geworden in het 'recept' van de 'oplossingen' (variŽrend tussen het EPD, HS beveiligingssysteem, Roermond Tunnel bewaking, OV chipkaart, politie 'computer systeem, etc) als je boven de 60 bent ben je in principe niet gekwalificeerd (uitzonderingen daargelaten maar die zijn niet werkzaam in de politiek) en heb je niet de noodzakelijke kennis om inhoudelijk te beslissen over ICT zaken. Daaraan gekoppeld dat de NL politiek vaak adviezen en rapporten negeert en eigenwijs eigen beleid/wetten formuleren die van een beroerde kwaliteit zijn waardoor opvolgende regeringen vooral bezig zijn om de rommel op te ruimen die is veroorzaakt door de voorgaande regeringen. Dat is een andere discussie,
Je kan wel de politiek beschuldigen, maar wellicht lagen daar meer het probleem op gebied van management. De opdrachten zijn wellicht gewoon uitbesteed.

Je krijgt nu situaties van vingers wijzen overheid vs IT-bedrijven.
Terwijl ze juist samenwerking moeten verbeteren en het aspect veiligheid hoog in de vaandel moeten nemen. Net zo min als men veiligheid op de gebruiker wil afschuiven terwijl software producten dusdanig veilig en duidelijk gemaakt moeten worden dat zelfs iedere leek het kan snappen.

Ik begrijp wel dat iedereen alles snel en goedkoop zowel kopende als verkopende partijen.
Maar wees dan niet verbaasd dat het een keer fout kan gaan.

Je kan dan ook beter als bedrijven i.p.v. concurrent zijn een samenwerkingsverband hebben als een team. Dit zorgt voor kennisoverdracht en je kan elkaar evalueren en/of verbeteren.
Als het Nationaal Cyber Secuirity Centrum alle ip-adressen heeft van bedrijven met belangrijke functies, zoals bedrijven die water, energie en internetverbindingen leveren, kan het NCSC die bedrijven sneller op de hoogte stellen van dreigingen, zei Opstelten vrijdagmiddag naar aanleiding van berichtgeving van de NOS donderdag.
Ik weet het niet hoor, maar je hebt toch gewoon de telefoonnummers van die bedrijven? Je kunt ze gewoon bellen hoor.

En wat wil je dan naar dat IP adres sturen Ivo? Want dan weet je ook het adres ineens?
Inderdaad, kan iemand verklaren waarom hij IP adressen wil hebben om contact op te nemen?
Omdat men graag de put dempt als het half verdronken is..

Het is een beter dat het NCSC een mailinglist begint waarom instanties met kritieke infrastructuur (verplicht) op zijn aangemeld. Als het NSCS dan een virus vind kan men via de mailinglist ALLE instanties direct op de hoogte stellen zodat die instanties een extra specifieke scan kunnen uitvoeren..

Dat werkt veel beter dan wachten totdat je een keer een IP adres uit een botnet herkent en dan pas de instantie gaat benaderen en uitlegt dat hun systeem een virus heeft. Maar de politiek lost liever problemen achteraf op, dan dat men probeert de problemen te voorkomen.

Dit is [b]niet[\b] een idee van Opstelten, maar is een idee uit de koker van het ministerie Veiligheid en Justitie waarvoor Opstelten zowel politiek woordvoerder als verantwoordelijk is.
Omdat hij de betreffende IP adressen in de gaten kan houden. Mocht een virus traceerbaar zijn, of het is te monitoren, Ze creŽren als het waren een overheid firewall.. die bepaalde IP adressen in de gaten gaan houden... (moet het simpel houden he) Vervolgens kunnen ze de betreffende eigenaar contacteren en waarschuwen dat er alarmen af gaan. Dat doen ze uiteraard per telefoon.
Hij bedoelt dat als ze een bedreiging zien op die IP adressen, ze het bedrijf kunnen informeren.
Daarvoor zou het telefoonnr handig zijn inderdaad, maar ik betwijfel het of ze iets naar het IP adres sturen :)
Ik weet niet wat onze Ivo bedoelt als hij het niet vertelt :)

Gewoon alle belangrijke bedrijven bellen dat er een gevaar is, of ze nu iets kunnen zien bij dat NCSC of niet. Dat noemen we voorzorgsmaatregelen nemen. En niet achteraf proberen de boel onder de mat vegen te patchen.
Lijkt me dat de IPs niet gebruikt worden voor contact, maar om makkelijker een link te leggen tussen dit soort data (waarschijnlijk iets als een lijst van ip's die getroffen zijn) en deze bedrijven. Dit zorgt er dan hopelijk voor dat de bedrijven sneller op de hoogte gebracht worden
@ NoMoreMusic "En wat wil je dan naar dat IP adres sturen Ivo? Want dan weet je ook het adres ineens?"
Ja, hij weet het telefoonnr. omdat het ip gekoppeld is met bedrijfsgegevens.
Niettemin kan het wel zijn dat Mr. Opstelten z'n vermogen* onderschat.

De secretaresse bellen ipv de systeembeheerders rechtstreeks in te lichten kan volgens hen voldoende zijn, in mijn ogen is dat onvoldoende. Maar hoe bedrijven zijn ingelicht weten we niet.

Het openbaar maken van de respons op deze scenario's is volgens mij de enige manier om dit te beoordelen, ipv een politiek figuurtje die het probeert af te wimpelen met een standaardzinnetje.

*vermogen: niet zijn financiele vermogen, maar het vermogen om daadkrachtig te reageren

[Reactie gewijzigd door Soggney op 15 februari 2013 18:04]

Een IP adres is niet voldoende want niet elk IP is statisch.
Stel dat bedrijf X ooit een IP adres krijgt die ooit bedrijf A paar maand geleden had.
Dan klopt het plaatje niet meer dan zou elke keer naar een IP lease het IP adres moeten worden doorgegeven.

Je hebt dan ook het fysieke Mac-adres nodig, zo werkt het ook bij providers.
Dan pas kan je adres gegevens koppelen.
We hebben gedaan wat we kunnen... is dat dan geen wakeup call om te zorgen dat er meer kennis in huis is om meer te kunnen doen voor zulke cruciale bedrijven? Is maar een ideetje natuurlijk.
"We hebben alles gedaan wat in ons vermogen lag", aldus de minister. Dat is precies hetzelfde als i did not have a sexual relationship with this woman.
Hij draait om de vraag heen en i.m.o. heeft de overheid ook echt niet gedaan wat er van ze verwacht wordt. Op dit moment geloof ik de media meer dan wat er uit de mond van Opstelten komt.

Overigens is de manier van handelen, zoals ze het nu willen aanpakken wel de goede manier imo, eerst de kritieke systemen beschermen en in de volgende fase de andere, minder belangrijke systemen.
Wat ik nooit snap waarom ze uberhaubt iemand die hier geen verstand over heeft aan het roer zetten.
Ik heb nooit iets gezien nog van die man wat ook werkelijk goed ging.
Wel opvallend dat dit allemaal onder de tafel is gebleven de afgelopen maanden. Zou me niets vebazen als deze bedrijven /personen opzettelijk niet zijn geinformeerd. Deze data is nog steeds aan het rondzwerven en als de NOS het kan decrypten waarom dan onze ambtenaren ook niet, we maken al gebruik van in duitsland gestolen bankgegevens dus wie weet waar deze informatie nog goed voor is. Misschien is het botnet ook nog wel te activeren mocht dat handig zijn voor bv de algemene groene kaart , terrorismebestrijding.
"We hebben alles gedaan wat in ons vermogen lag", aldus de minister
Tja, als je eigenlijk een brevet van onvermogen verdient dan kan je wel alles gedaan hebben wat binnen je vermogen ligt maar alsnog zal het te weinig zijn.
We hebben er alles aan gedaan om de overheid en het bedrijfsleven zoveel mogelijk vatbaar te maken voor virussen en hacks.

De Windows monocultuur maakt het ideaal voor criminelen om met weinig inspanning veel bij elkaar te graaien.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True