Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister: computers van sluizen zitten niet aan internet en hack vereist inbraak

Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat zegt dat computersystemen van sluizen geen verbinding hebben met internet. Daardoor vereist een hack een fysieke inbraak. CDA-kamerlid Harry van der Molen stelde vragen over de beveiliging van de systemen.

Volgens de minister is de kritische waterinfrastructuur goed beveiligd. Wel gaat ze met provincies, gemeenten en waterschappen overleggen over hoe de beveiliging van de gebruikte systemen beter kan. Van Nieuwenhuizen claimt dat het risico beperkt is doordat de systemen geen internetverbinding hebben, meldt ANP.

CDA-Kamerlid Van der Molen stelde dinsdagmiddag in de Tweede Kamer vragen naar aanleiding van een artikel in Binnenlands Bestuur. Daaruit bleek dat sluizen en gemalen kwetsbaar zijn voor aanvallen. De software voor bijvoorbeeld de besturing van sluisdeuren gaat 25 tot 30 jaar mee, maar wordt doorgaans niet meer dan vijf jaar ondersteund met beveiligingsupdates.

Volgens het blad hebben waterschappen onvoldoende aandacht voor de internetbeveiliging van gemalen en sluizen. Als hackers op afstand systemen van sluizen kunnen overnemen, bestaat het risico dat ze de sluisdeuren openzetten en zo het waterpeil doen stijgen. Dat kan leiden tot bijvoorbeeld overstromingen.

Door

Nieuwsredacteur

108 Linkedin Google+

Reacties (108)

Wijzig sortering
Prima dat die sluizen offline zijn. Maar er is vrijwel geen gemeente in NL waar de rioolgemalen (al gauw enkele tientallen in een beetje redelijke plaats) niet via remote monitoring (vaak nog 2G) uitgelezen/beheerd worden. Deze hard- en software is dan ook nog vaak geleverd door een bedrijf dat gespecialiseerd is in pomptechniek (met alle respect voor dit vak, maar het is wel iets anders dan IT securtity) ergens 15 jaar geleden. Toen was dit totaal geen issue en deed die handige collega dit "er even bij".

Als zo'n pompstationnetje gehackt wordt, is er nog wel wat tijd voordat de poep de ventilator raakt. Maar meerdere tegelijk zou wel eens lastig kunnen worden. Er is geen ambtenaar die nog zelf een schroevendraaier vasthoudt, alles is lang geleden uitbesteed. Gaat de contractor dan 185 pompstations in 3 grote steden langs in 1 dag met 2 servicebussen?
Als zo'n pompstationnetje gehackt wordt, is er nog wel wat tijd voordat de poep de ventilator raakt.
Met excuses maar een rioolpompstation is nu niet een erg aantrekkelijk doelwit. Als in de VK het bericht staat dat Rusland of ISIS het Amsterdamse riool hebben kunnen laten lozen in het IJ (veel erger kan het niet worden) dan is dat reden voor veel lol op het internet. En als je ze uitzet is er ook niet al te veel aan de hand want het systeem is ontworpen op stroomstoringen die enkele dagen duren voor de stront de plee uitkomt.

Natuurlijk zijn dit dingen die bekeken moeten worden. Maar wel in de juiste volgorde van belangrijkheid. Schiphol platleggen is waarschijnlijk makkelijker en vele malen schadelijker. Onze stroom/water voorziening en data netwerken zijn belangrijk, zonder die werkt vrijwel niets. Riool is nog altijd voor een behoorlijk deel gemaakt op zwaartekracht.
Je hebt zeker een punt, er zijn belangrijkere/ergere zaken die kunnen gebeuren. Maar doe zoiets eens als er 3 dagen zware neerslag valt, iets dat we nu al meemaken en waarschijnlijk vaker gaan zien.
De sluizen, het riool, de watertoevoer en de stroom levering zijn natuurlijk allemaal lam te leggen. Dit zou de normale gang van zake flink verstoren. Maar om dit te gebruiken als terroristische actie? Lijkt me niet echt zo nuttig.
Echter als een dergelijk systeem gegijzeld kan worden. Dan zou je het kunnen gebruiken voor afpersing. Naar mijn mening ligt daar meer mogelijkheid voor de slimme crimineel. _/-\o_
Nog meer reden om hier wat aan te doen, anders moeten we straks nog een wiki artikel maken over 'de bruine gijzeling van 2017/2018'
dit is natuurlijk een generiek bericht voor generieke media.
Want in werkelijkheid zitten de objecten ('kunstwerken') wel degelijk aangesloten op internet, maar niet op het generieke mainstream internet.
Internet in de breedste zin van het woord is wel degelijk van toepassing, maar dat is niet wat het gros van de populatie verstaat onder 'internet'.

Dus ja, het zit wel degelijk verbonden met 'internet', maar wel via geisoleerde netwerken waar je niet zomaar bij komt zonder eerst diverse providers diep te hacken.

Telemetrie op basis van eigen APN's bijvoorbeeld. Sim-kaarten met aparte abonnementen en APN's zijn dan nodig, en software-matig worden die ook nog apart geconfigureerd of ze wel of niet binnen mogen komen. Een 'rogue'-SIMkaart zal dus niet zomaar binnen kunnen komen.
Tenzij je dus de telecomproviders gaat hacken en via hun netwerken naar de geisoleerde APN's gaan en dan maar de weg weten te vinden.

De industriële automatisering dient heel wat langer mee te gaan en wordt minder vaak geupdatet dan kantoorautomatisering.
Ik vind het dan ook weinig meer dan een storm in een glas water.
Nee, ze draaien niet op commerciële Windows-installaties, hebben niet de nieuwste virusscanners nodig... maar dat komt omdat het compleet andere systemen zijn en hebben niet dezelfde beveiliging nodig als standaard windows-pc's.
Die worden minder vaak geupdatet, hoeft in theorie ook niet. Is aparte apparatuur waar de gemiddelde scriptkiddies ook geen verstand van hebben.

Maar goed, strict genomen 'liegt' de minister dus, want de systemen hangen wel degelijk aan internet, maar het is haar vergeven want ze krijgt haar memo ook maar onder de neus geschoven.
Je gaat niet al die duizenden gemaaltjes fysiek langs. Daar stop je SIM-kaarten in die uitbellen voor het doorsluizen (pun intended) van telemetrie-gegevens zodat je op afstand in je dashboards kan zien wat de status is, en evt. op afstand besturen.

Ja, beveiliging kan en moet veel beter, maar het is niet vergelijkbaar met de lekke mandjes genaamd IoT.
Aandacht voor beveiliging is goed, maar anderszijds zullen 'de Russen' die sluis echt wel op afstand kunnen besturen als ze ECHT zouden willen. Maar laten we ons afvragen: waarom zouden de Russen dan willen? Een rioolgemaal uitzetten zodat het riool overstroomt, of een watergemaal zodat het land onder loopt. Dat wil je alleen op basis van betaling om lol te trappen, of als de oorlog uitbreekt en je wil de tegenstander afleiden. Er is alleen fysieke schade mee toe te brengen, maar de meeste hackers willen dat niet; die willen economische schade danwel zelf geld verdienen.
Dus het zal niet zo'n vaart lopen.
Anderszijds komt het soms op me over dat dit propaganda is verspreid door mensen die de waterschappen op willen heffen omdat het oude democratische boerensysteem ze een doorn in het oog is, maar denken vervolgens niet na dat het werk nog steeds gewoon gedaan moet worden, ongeacht of het aparte waterschapsbesturen zijn of dat het een speciale divisie van Rijkswaterstaat is.

Zoals gezegd: het is geen generieke automatisering. Het zijn geen huis-tuin en keukencomputers van de gemiddelde burgers die allang onderdeel zijn van een aantal wereldwijde botnets.
Ze kunnen beter meer aandacht besteden aan het 'drie keer kloppen' voor de gemiddelde burger tbv banken die miljoenen verliezen door phishing.

Aandacht voor beveiliging van dergelijke landelijke veiligheidsaspecten is zeer belangrijk, maar laten we met z'n allen dan wel nuchter blijven en geen onzin uitkramen omdat we ergens iets hebben horen roepen over Russische hackers en 'updates'.

[Reactie gewijzigd door tyrunar op 13 december 2017 08:51]

Hoe worden die dan op afstand bediend?
Heel veel kabels.... En gebruik van schotels. Het zelfde als het systeem van rijkswaterstaat. Dat hangt ook niet aan het netwerk maar zijn aparte kabels voor getrokken.
En geen van die kabels loopt naar een systeem dat wel aan het internet hangt ?
Rijkswaterstaat heeft een eigen glasnetwerk dat beheerd wordt door KPN, maar gescheiden is van het reguliere internet.
Je bedoelt o.a. de haagse ring welke door de overheid gebruikt wordt? Deze hebben toch echt wel een koppeling met Internet ergens.

Dit weet ik, omdat wij ze toch echt in onze DC hadden. Oke een aparte POP enzo. Maar genoeg servers die via internet te benaderen waren en via deze ring.

[Reactie gewijzigd door wica op 12 december 2017 17:33]

Het hoeft maar een device te zijn met Wifi aan of een gsm verbinding..
KPN heeft zelf wel internet, een mannetje die onderhoud moet doen op het glasnetwerk kan dus 'gehackt' worden en een opdracht krijgen om kabel x om te wisselen met kabel y. En daarna wordt je data weggesluisd.
Weggesluisd hehe ;)
Dit is niet helemaal waar. Op een aantal plekken zijn dit soort systemen weldegeljk op het reguliere internet aangesloten. In dit soort gevallen wordt er gebruik gemaakt van een VPN.

Bron: werkgever
Nee, 100% gescheiden. Landelijk dekkend.

Overigens alleen mogelijk in een rijk- en dichtbebouwd land als Nederland. Dit is bijvoorbeeld in Rusland, Amerika etc onmogelijk.
Nee, 100% gescheiden. Landelijk dekkend.
Landelijk dekkend impliceert dat er een heleboel computers aan dat netwerk hangen. Computers met USB poorten, waar mensen mee werken die fouten maken, Tenzij elke machine die aan dat netwerk hangt 24/7 bewaakt wordt zie ik niet in hoe dit niet nog steeds fout kan gaan.
In dit artikel gaat het er vooral om de vraag; is het mogelijk het systeem te benaderen zonder fysieke toegang. Daarop is het antwoord; Nee, want het systeem is 100% gescheiden van het publieke internet en landelijk dekkend.

Met fysieke toegang, mensen met virussen op USB sticks etc kun je wel schade aanrichten, maar nog steeds niks op remote overnemen. In het ergste geval kun je het systeem plat leggen met een geschreven virus. Maar fysieke toegang blijft nodig in het controle centrum (rijkswaterstaat). Ik ga er vanuit dat je daar niet zomaar binnen komt en dat het net zo goed beveiligd is als een gemiddeld datacenter met alle bijbehorende procedures als screening.

* edit; typo

[Reactie gewijzigd door michelsoe12 op 12 december 2017 17:21]

In dit artikel gaat het er vooral om de vraag; is het mogelijk het systeem te benaderen zonder fysieke toegang. Daarop is het antwoord; Nee, want het systeem is 100% gescheiden van het publieke internet en landelijk dekkend.
Dat vind ik geen voldoende antwoord. Als het systeem aan een landelijk dekkend netwerk hangt, wie controleert dan continue ALLE machines die aan dat netwerk hangen ? Het zal niet de eerste keer zijn dat een air-gapped netwerk toch aan het internet blijkt te hangen omdat 1 van de machines aan dat netwerk ook een internet verbinding heeft door een fout of gewoon incompetentie. Het diginotar gebeuren is een mooi voorbeeld hiervan.
Maar fysieke toegang blijft nodig in het controle centrum (rijkswaterstaat).
Nee, fysieke toegang is nodig tot EEN van de machines die in dit landelijk dekkende netwerk hangt. Dit zijn potentieel honderden of duizenden machines die beveiligd moeten worden.

[Reactie gewijzigd door Aaargh! op 12 december 2017 18:11]

100% veiligheid bestaat niet. Maar door een systeem al van het publieke netwerk af te houden en eigen kabels te trekken voor een eigen netwerk sta je al 3-0 voor. Niets is onmogelijk.

[Reactie gewijzigd door michelsoe12 op 12 december 2017 18:28]

Duizenden wegkantsystemen hangen eraan (MTM, camera's en DRIP's). Zat opties om een kast open te trekken. Daarnaast wordt er black fiber van andere partijen gebruikt....
Daarnaast wordt er black fiber van andere partijen gebruikt....
Dark Fiber betekend toch juist dat het niet gebruikt wordt?
Yep, maar ook dat fysiek gezien RWS en KPN geen toezicht hebben op de kabel en putten en men er nog wat makkelijker bij kan
De vraag is dus of het idd 100% gescheiden is en niet 1 of meerdere pc's zijn die toch internet verbinding hebben, c.q met een ander netwerk. Het hoeft er in de duizenden maar eentje te zijn en je zit op het netwerk.

Gezien het grote aantal missers van de overheid op ict gebied zou ik er niet raar van te kijken staan dat er vast een paar tussen zitten die dubbele aansluiting hebben.
Wat ik weet is dat het infrastructuur van Rijkswaterstaat waarmee matrixborden etc worden aangestuurd + hardware waarmee we ze kunnen bedienen 100% gescheiden is van alle andere machines die andere doelen hebben.

De machines die aangesloten staan hebben maar 1 mogelijkheid : het kunnen bedienen van het infrastructuur. Camera's staan hier los van. Die hangen wel aan machines die indirect toegang hebben tot het publieke net.

Ik ken de technische aspecten van de systemen zelf niet, maar het lijkt mij dat er en aparte software is geschreven voor de machines die het infrastructuur bedienen, en dat opties als USB sticks etc niet bestaan om veiligheidsredenen.

Wellicht een idee dat Tweakers eens langs gaat voor een interview?

[Reactie gewijzigd door michelsoe12 op 12 december 2017 19:27]

Inderdaad, de denkfout dat een netwerk dat niet met het internet verbonden is ook volledig veilig is staat ook wel bekend als the Air Gap Myth .

Leuke anekdote: Ik was bij een vestiging van een multinational in de VS aan het werk waar het besturingsnetwerk volledig los was gekoppeld van de rest van het netwerk. Op een bepaald moment moesten we de twee toch koppelen en ontdekten dat het ontkoppelde deel van het netwerk niet alleen alle updates miste, maar ook nog eens bomvol virussen stond. Geen idee hoe die erop waren gekomen, maar bij een concurrent in dezelfde sector hoorde ik dat de nachtploeg nog wel eens een USB stick met spelletjes mee wilde nemen om de tijd te doden.
Dit moet je wel een beetje in het juiste perspectief blijven zien. Blijft natuurlijk lastig om 185 gemalen te besmetten op die manier. Het zijn meestal oersaaie installaties waar zelden iemand komt, laat staan 's nachts spelletjes gaat zitten spelen.
Het zijn vaak geen x86 PC's met windows. Tenzij er bijvoorbeeld HMI panelen op zitten met XP wat nog veel voor komt. Maar oude PLC's en hun protocollen onderling liggen vaak blood en open zonder encryptie. Eenmaal op het netwerk kan je met wat simpele bibliotheekjes makkelijk data in PLC's schieten van de welbekende merken. Dus spelletjes op die systemen spelen zal wel mee vallen. Het is echter dat de XP machines waar HMI runtime op draait gewoon zwaar verouderd is en dus makkelijk als tussenstation te maken voor een exploit richting de PLC's.

Er is een reden waarom Siemens bijvoorbeeld af wil van de S7-300 PLC's die makkelijk te hacken zijn. :) Als je binnen bent kun je alles met de wat semi-oudere serie PLC's.(De eerste PLC's met ethernet netwerken) Dus je kan alles in de war gooien. Kun je nog beter PLC's hebben die nog veel ouder zijn met super antieke seriële protocollen die praktisch niks kunnen. Maar dat maakt het alleen iets moeilijker, niet onmogelijk.

[Reactie gewijzigd door Texamicz op 13 december 2017 08:29]

Klopt, maar als je er niet bij kan komen via het internet dan is het risico beperkt.
Nee, 100% gescheiden. Landelijk dekkend.

Overigens alleen mogelijk in een rijk- en dichtbebouwd land als Nederland. Dit is bijvoorbeeld in Rusland, Amerika etc onmogelijk.
Als dat zo is, hangt toch het hele systeem aan het internet?
Sinds wanneer dan? want toen ik er werkte (lelystad) was er "gewoon" internet.

Gewoon in de trant van geaudit, alles werd gelogd. Ik heb zelf de netwerken nog opgeleverd van diverse buiten lokaties. OA ijsseloog, de sluis bij Lelystad ( Houtrib sluis). De lokatie afsluitdijk had toen geen internet, er stond toen een meter water in die ruimte. Heeft mij wat belletjes gekost wie e.a. moest uitvoeren om dat op te lossen. Was trouwens de eerste keer dat ik KPN een compliment kon geven.
Totdat die systemen (op het OT netwerk) samen komen op een pc binnen een IT netwerk. Een systeem met een browser en mail.
En tada, blijkt de boel via een ‘proxy’ (malware op die pc) ineens wel benaderbaar of het internet op te kunnen.
Via een eigen WAN-netwerk evt? Of bijvoorbeeld via X.25 of een ander packetswitch-protocol.

Of een of andere vorm van draadloze verbindingen.
X.25? 1980 heeft gebeld en willen hun technologie terug.

[Reactie gewijzigd door JackBol op 12 december 2017 17:18]

so? de jaren zestig hebben gebeld naar je bank en willen ook hun backend systemen terug....

@breakers
Je zou verbaasd zijn wat men bij banken nog uit die periode gebruikt. (dit gaat over meer dan apparatuur, want het ging in eerste instantie over een protocol). Maar bv cobol ;-). Je zou trouwens verbaasd zijn wat er soms nog in de backend allemaal draait.

[Reactie gewijzigd door white modder op 12 december 2017 22:21]

Zijn echt geen computers of netwerkapparatuur meer in gebruik uit de jaren '60.
ik heb een paar jaar geleden gehoord dat ze nog IBM mainframes gebruiken bij sommige banken. of die uit de 60s of 70s zijn mag je zelf uitzoeken.
Daar geloof ik helemaal niks van. Ten eerste zijn de eerste internetprotocollen pas eind jaren zestig / begin jaren zeventig bedacht, laat staan dat er binnen een paar jaar conmerciele bedrijven mee werkten.

Je bedoelt dat je je vergist hebt en dat je er bij nader inzien ook niets over kunt vinden via Google.

Ten tweede is hardware uit die begintijd zo gruwelijk groot, traag en gebruikt het zoveel energie dat banken alleen daarom al lang en breed zouden zijn gestopt met zulke museumstukken.

@white modder Cobol is een programmeertaal, geen protocol. Een protocol wordt beschreven in een programmeertaal.

Jullie zijn in de war met de NS en Shell, die oude PC's voor spoorwissels en weegbruggen vergeten. Dan gaat zo'n ding na uiterlijk 15, 20 jaar kapot en heeft niemand een backup en is er even paniek omdat alles een paar dagen stil ligt.
Ik heb me niet vergist, ik weet dat ik dat van horen zeggen heb.

bijv.
https://www.quora.com/Why...he-transaction-level-data
als jij meer bronnen wilt mag je lekker zelf googlen, spuit elf.
Quora is een vraag-en-antwoord site waar iedereen op kan posten. Dus hoe betrouwbaar is de informatie die er op staat? Als het nou wikipedia was, waar men elkaar kan corrigeren..

Maar goed, er wordt gesproken over een serie mainframe modellen met de naam zSseries die bedacht is in 2000. Dus niet jaren '60 of '70.
Nou weet je wat ik ga doen, speciaal voor jou, elke keer dat iemand mij iets interessants vertelt zoals over die mainframes dan ga ik zelf bij een bank een afspraak maken om te praten over hun IT architectuur om het te factchecken.

nee maar ff serieus ga zelf googlen als je me niet gelooft

hier is nog een bron dan ben ik klaar
https://www.fnlondon.com/...-from-archaic-it-20170912
:) Toch niet. De schrijfster gooit weliswaar aan het begin van dat het artikel – compleet met foto van een IBM uit 1969! – hardware uit de jaren '70 én software uit de jaren '70 op één hoop, onder de noemer 'IT'. Verder worden er geen details over de hardware gegeven. Daardoor is het feitelijk geschreven alsof die hardware van 50 jaar geleden nog steeds in gebruik is.

Dat is totale onzin en wordt dan ook meteen onderuitgehaald in de eerste reactie:
The title of this article vividly displays the authorś ignorance on the topic of IT infrastructure in the Financial Services industry. No bank runs an ´old´ IBM mainframe. The author really needs to do some homework and understand the difference between legacy client specific software and the current technology that allows clients to continue running said legacy software.
De schrijfster probeert zich er nog uit te lullen:
[…]The article is making the point that, over the years, upgrades rather than overhauls mean banks now have to spend a lot of money maintaining old mainframes and middleware.[…]
een reactie – van een andere lezer – daarop maakt meer dan duidelijk wat iedereen denkt als hij dit artikel leest:
YBobeldijk - you've missed the point. Top banks are not running old mainframes, they are running modern mainframes - which have been cloud capable long before "cloud" became a trendy term. And oh, by the way, the modern mainframes run modern OPEN operating systems and tried and true mature operating systems. The banks may not have upgraded their code - but why fix what isn't broken?

[Reactie gewijzigd door breakers op 13 december 2017 22:14]

Okay dan draaien ze 50 jaar oude code die voor 50 jaar oude mainframes is geschreven op nieuwere compatibele hardware. Punt blijft staan. Ze geven heel veel geld uit aan het onderhouden van legacy systemen die door praktisch niemand anders meer worden gebruikt.

[Reactie gewijzigd door Origin64 op 14 december 2017 15:42]

het gaat over zaken die gebruikt worden in de jaren 60.... dus o.a. programmeertalen... want dat valt allemaal onder technologie.. en daar ging de zin over waar ik op reageerde... En cobol is een programmeertaal die nog bij banken wordt gebruik in backendsystemen. Ik ben nergens mee in de war. Dat jij dat nu probeert te vernauwen naar alleen protocollen of alleen systemen is jouw probleem. Daar ging mijn reactie niet over.

[Reactie gewijzigd door white modder op 13 december 2017 13:01]

Jij reageerde op '1980 heeft gebeld en willen hun technologie terug' met 'de jaren zestig hebben gebeld naar je bank en willen ook hun backend systemen terug....'. Als je dat nu oprekt naar 'zaken uit de jaren zestig'. Dan kun je het ook verdedigen met 'ja maar we gebruiken nog steeds elektriciteit. :P

Pascal is pas van 1970, nooit zo populair geworden en al helemaal niet bij mainframes.
Wat ik laatst tegenkwam MQTT. Een IOT protocol van IBM wat meelift op TCP/IP

Ik had er al wat van gelezen maar had het idee dat het een op zichzelf staand protocol is maar het lift mee en dan word het redelijk onzichtbaar...


BTW tcp/ip is ook packetswiching. Ik heb hier nog ergens een heel oud artikel liggen waarin ze zeggen dat packetswitching helemaal niet mogelijk is. Is iets anders uitgepakt, net als die 640 KB van ome Bill Gates:-)

[Reactie gewijzigd door Bardman01 op 12 december 2017 17:22]

Heeft Gates nooit gezegd trouwens.
QUESTION: I read in a newspaper that in 1981 you said, ``640K of memory should
be enough for anybody.'' What did you mean when you said this?

ANSWER: I've said some stupid things and some wrong things, but not that. No
one involved in computers would ever say that a certain amount of memory is
enough for all time.
https://groups.google.com.../mpjS-h4jpD8/9DW_VQVLzpkJ
"Van Nieuwenhuizen claimt dat het risico beperkt doordat de systemen geen internetverbinding hebben".
Klopt. Maar de systemen die de systemen bedienen hangen weldegelijk aan internet. Hoe ik dat weet?

In 2011 heb ik dat zelf geïmplementeerd op een aantal sluizen in Drenthe. Reden voor die klus was destijds o.a. "moderniseren". Angst voor doemscenario's zoals "open deuren" heb ik echter niet, reeds besproken hierboven; Beveiliging ging conform strenge richtlijnen (die aan verandering onderhevig zijn). Zoals dat toen ging is het aannemelijk (doch nooit zeker als buitenstaander) dat mijn werk van toen ook weer is geactualiseerd is. Waar ICT beveiligingstechnologieën aan verandering onderhevig zijn, is implementatiebeleid dat ook.
Die sluizen in drenthe zijn sinds de overgang naar afstandsbediening echt huilen met de pet op. Dit even vanaf de scheepskant bekeken. Alle keren dat ik er met mijn vakantiebootje langs moest waren er diverse storingen. Ok, alle nieuwe systemen hebben kinderziektes, maar geen 2 jaar lang toch?

Het hele idee van de afstandbediening was bezuiniging, maar aan wat er nu uitgegeven is aan storingsmonteurs hadden ze de brugwachters volgens mij nog 10 jaar van kunnen aanhouden. /rant

Gezien de storingsgevoeligheid in normaal gebruik heb ik ook niet zo'n vertrouwen in de beveiliging.
Meeste als niet alle sluizen hebben de fysieke kracht helemaal niet om die deuren open te doen tegen de kracht van het water in. Die deuren staat een gigantische kracht op die alleen te overwinnen is door het water aan de andere kant van de deur op het zelfde niveau te brengen.

Moet ze nog zien hacken door de wetten van de natuurkunde heen.

[Reactie gewijzigd door BenBlue op 12 december 2017 18:10]

Behalve bij een roldeur, welke in Nederland ook bij zeer grote sluizen wordt gebruikt, kunnen naar mijn inziens wel degelijk geopend worden.
De puntdeur zoals in het plaatje van het artikel, zijn inderdaad niet te openen als het hoger gelegen water tegen de deur aan drukt.
De deur zelf niet maar de schuif die in die deuren zitten kunnen wel gewoon geopend worden.
En als het verschil in waterniveau niet al te hoog is kan de deur wel geopend worden.
Er is echter een voor terroristen veel makkelijkere manier om dat te doen. Gewoon met springstof..
Waterstanden in de maas kan men wel regelen via een stuw, naast de stuw zit dan wel een sluis waarbij jou verhaal klopt dat de deuren fysiek niet te openen zijn.

De stuw geeft echter wel invloed op de waterstand en die kan omhoog of omlaag waardoor er wel invloed is op een waterstand. Geen idee of die ook niet verbonden zijn met een netwerk.
Sommige sluizen hebben ook hefdeuren. Daar zitten nog steeds belangrijke sluizen bij. Uit mijn hoofd: Bernardsluizen en Twentekanaal.
+Kreekraksluizen
Heh? Er zitten gewoon kleine hefdeurtjes in de sluisdeuren. Bij alle sluizen.
Ik heb daar gewerkt en weet dat ze liegt.
Gaat nog wat worden met die muts. Er zijn daar Inderdaad pc's die geen internet hebben. Maar die zijn dan verbonden, let op, met een modem.

Ze hebben daar alle soorten een maten van pc's server en besturing systemen. Veel hobby werk, soms ook gewoon goed boerenverstand. Ze hebben in de de monding van de IJssel op het ketelmeer, IIsseloog een eiland en zelfs daar hebben ze internet. Mag wat kosten hé.

Was wel leuk als je daar een pc moest repareren of vervangen, kostte altijd een hele dag. afspraak maken wachten op het rijkswaterstaat bootje, meevaren, je werk doen, wachtten om mee terug te gaan met het bootje, en dan naar huis of nog ff langs de vestiging RW Lelystad.
Modem dat terugbelt naar vast geprogrammeerd nummer nadat juiste toegangscode is ingevoerd ?
Nope, kon niet eenvoudiger. Het was nog net geen acoustic modem hahaha.

Over oud gesproken ik weet nog een groot bedrijf dat één van zijn key zaken af laat hangen van een 8 inch floppy machine. dus niet 5 en een kwart floppy drive maar een complete machine waar zo'n drive inzit. Gaat ie stuk, dan staan zo plus minus 500 man stil, tot op de dag van vandaag. ongelofelijk en niet te begrijpen.

Staan wel wat reserve onderdelen, maar toch.

[Reactie gewijzigd door Bardman01 op 12 december 2017 17:39]

Je hebt er gewerkt, met andere woorden: je werkt er niet meer. En hoe lang was dat geleden? Want zomaar iemand een leugenaar noemen zonder zelf recente feiten te kennen is natuurlijk verdomd gevaarlijk.
Dusdanig lang cq kort geleden dat ik zeker weet dat ze zoiets niet in die tijd kunnen implementeren.
Zou wel moeten, en heb ik in vergaderingen meerdere malen aangehaald.
Wel eens geprobeerd om een bedrijf van internet af te sluiten? Zelfs de waterstanden gaan via een openbaar GSM net. Ook leuk als je meteen gif bootje ergens vast komt te zitten...


En @keenan001 ik maak iemand rustig voor leugenaar uit, hooguit dat ik trollen tegenkom of mijn kop stoot. Maar diagrams of ip adressen op een openbare site zetten, is van een andere orde. Maar als jij daar geen moeite mee hebt zal e.a. privé mailen en mag jij dat doen. Vooral met die nieuwe wetten op komst :-)
Hoe zullen we het noemen uitlokking van een strafbaar feit
Kom dan eerst even met betrouwbare bronnen. Als je iemand publiekelijk voor leugenaar uitmaakt neem ik aan dat je daar geen moeite mee hebt. (En nee, iets wat je ooit gezien hebt is geen betrouwbare bron. Een betrouwbare bron zijn recente netwerk diagrams en IP designs).
Ook dan kan het nog zijn dat er risico bestaat, al is het niet zo eenvoudig. Ik vond de film Zero Days wel interessant wat dat betreft. Er werd o.a. in uitgelegd hoe je de zogenaamde 'air gap' als hacker kon overbruggen met een virus infectie:
http://www.imdb.com/title/tt5446858/
Zo ver ik weet werden een aantal onderhoudsbedrijven van de ultracentrifuges geïnfecteerd met Stuxnet, om zo als het Paard van Troje binnen een omgeven te krijgen dat geen internetverbinding had.
En daar was wél een leger aan bewaking, letterlijk, om de "airgap" te beveiligen! :?
Dat ze niet aan het internet zitten wil nog niet perce zeggen dat je op locatie moet zijn om ze te hacken, als ze daar wel in het netwerk te bereiken zijn moet je dus het netwerk eerst hacken.

Vaak zijn dit soort dingen juist wat slechte security op levert, omdat het niet remote exploitable is hoeven we daar ook geen rekening mee te houden etc. totdat er iets gebeurd waardoor het wel remote exploitable is.
Ik heb geen idee hoe de boel nu is ingericht maar als je als ict afdeling al maatregelen neemt om de aansturing niet aan het internet te hangen, dan lijkt het me dat je je monitoring en beheer van de infrastructuur ook niet aan het internet hanget en deze volledig gescheiden is van bijvoorbeeld je kantoor automatisering (die wel aan het internet verbonden is)
Voor wie kwaad in de zin heeft, is een fysieke inbraak natuurlijk geen onoverkoombare drempel.
Als men echt wil plakken ze er wel een explosief tegenaan. Ik denk niet dat veel man zal proberen om deze systemen te hacken als hun poging is om slachtoffers te maken of de zooi te ontwrichten.
Nee, maar ik neem aan dat de computers wel beveiligd zijn met een wachtwoord.
Ja duh, Username: admin, Wachtwoord: admin. :+
Ik vind het toch weer zo naïef. Ja, op papier is een computer veilig als er geen internetverbinding is, maar we weten ook hoe de praktijk is. In praktijk is het verrekte onhandig om geen netwerkverbinding te hebben. Zo onhandig dat die er vroeg of laat toch wel komt, met of zonder toestemming.

Dat hoeft niet eens met opzet te zijn, maar omdat alles op alles is aangesloten is vaak helemaal niet duidelijk of een systeem bereikbaar is voor de buitenwereld of niet. Iemand hoeft maar één keer een kabel verkeerd in te steken en het kan mis zijn. Dat zal gebeuren, mensen maken nu eenmaal fouten. Het is geen geheim dat heel internet voortdurend wordt gescanned op onveiligheden. Als zo'n 20 jaar oud industrieel systeem maar vijf minuten op internet is aangesloten kan het al gebeurd zijn.

Zelfs als het lukt om die computers nooit op internet aan te sluiten dan nog is het niet voldoen. Virussen verspreiden zich ook zonder netwerk. Dat is geen theoretische mogelijkheid maar dagelijkse praktijk. Daarvoor is het niet nodig om in te breken in een gebouw. Een besmette USB-key op de parkeerplaats laten rondslingeren is vaak al genoeg om een voet binnen de deur te krijgen.

Helaas is deze vorm van beveiliging eerder de regel dan de uitzondering. Te veel manager kijken alleen maar naar papieren checklists om een auditor tevreden te houden zonder ooit na te denken over het doel en implementatie van beveiliging.
Ik denk dat de kans veel groter is dat iemand dan gewoon fysiek inbreekt en de sluis zelf openzet.

Als het niet via het internet kan, dan is de kans gewoon heel erg klein dat een hacker deze overneemt, maar natuurlijk niet nul.

Je moet er inderdaad voor waken dat indirect de sluizen toch met het internet in verbinding staan. Een PC, printer of laptop die aan het beveiligde netwerk wordt gehangen kan al fataal zijn. Maar daar zijn ook wel manieren voor om dit tegen te gaan. Zo zou een router bijvoorbeeld certificaten kunnen eisen van elk apparaat wat op het netwerk verschijnt.
Ik denk dat de kans veel groter is dat iemand dan gewoon fysiek inbreekt en de sluis zelf openzet.

Als het niet via het internet kan, dan is de kans gewoon heel erg klein dat een hacker deze overneemt, maar natuurlijk niet nul.
Ik maak me meer zorgen over ongelukjes dan over gericht terrorisme. Antieke software is niet voorbereidt op enorme hoeveelheid ellende die internet uit kan storten. Nu hoop ik dat men toen zo slim was om te zorgen dat er niks geks gebeurt als de computer uitvalt, maar ik ben er niet gerust. Ik ziet het zo gebeuren dat een of ander virusje zo'n antieke Windows weet te kraken en probeert er bitcoins te minen tot de computer in brand vliegt (na 30 jaar stof te hebben lopen verzamelen).
Maar daar zijn ook wel manieren voor om dit tegen te gaan. Zo zou een router bijvoorbeeld certificaten kunnen eisen van elk apparaat wat op het netwerk verschijnt.
Daar ben ik het helemaal mee eens, maar onze minister lijkt het niet nodig te vinden.

[Reactie gewijzigd door CAPSLOCK2000 op 12 december 2017 18:21]

En toch heb ik het gevoel dat zodra er een partij een serieuze poging doet, het toch allemaal ineens gehackt kan worden, zonder fysieke toegang.
Er is tenslotte geen toegang tot het internet nodig, een ongeïnformeerde medewerker kan tenslotte al zomaar iets aanrichten.
Dat zou zomaar kunnen. Welliswaar gaat de heleboel over eigen data kabels, maar de elektriciteit doet dat niet, die komt gewoon van het net. Ook daarvan is al eens aangetoond dat je het net gewoon kunt gebruiken om iets te ontregelen (of zie ik dat verkeerd?) Over de kwaliteit van de software wordt niets gezegd trouwens.... Rijk + ICT= :-/

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*