Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Rekenkamer: grenscontrole Schiphol is slecht beveiligd tegen cyberaanvallen

De grenscontrolesystemen van luchthaven Schiphol zijn volgens de Algemene Rekenkamer slecht beveiligd tegen digitale aanvallen. Er wordt gebruikgemaakt van verouderde en kwetsbare software, en er wordt weinig rekening gehouden met rampscenario's.

De Algemene Rekenkamer schrijft in een rapport dat de veiligheid van systemen die de Koninlijke Marrechaussee op de luchthaven gebruikt niet op orde is. De Rekenkamer keek onder meer naar de ict-infrastructuur, maar ook naar preventieve maatregelen daaromheen en naar de rampenplannen die klaarliggen voor als de luchthaven met een incident te maken krijgt. De ict-systemen waar de Rekenkamer naar keek, werden onder andere gebruikt voor grenscontroles.

Het gaat om drie systemen: dat bij de zelfbediening, het systeem bij de incheckbalie en het systeem voor een 'pre-screen'. De software die voor de pre-screen en de zelfbediening wordt gebruikt, is verouderd. Het ict-systeem dat bij inchecken bij de balie wordt gebruikt, valt onder de verantwoordelijkheid van het ministerie van Defensie, maar de Rekenkamer zegt dat dat systeem nooit door de goedkeuringsprocedure van het ministerie is gekomen. Autorisatieprotocollen binnen sommige ict-systemen zijn niet op orde. 'Insider threats' zijn daarom een gevaar, schrijft de Rekenkamer. Bijna iedere Defensie-medewerker kon met een standaardwachtwoord bijvoorbeeld bij het pre-assessment-ict-systeem, dat wordt gebruikt om reizigers in een vroeg stadium van hun reis te screenen. Dat wachtwoord was volgens het Rekenkamerrapport 'via Google te vinden'. De Rekenkamer zegt bovendien dat twee van de drie systemen die zij bekeek, niet waren aangesloten op het Security Operations Center van Schiphol.

Een van de obstakels is volgens de Rekenkamer dat er verschillende partijen met verschillende rollen bij de beveiliging zijn betrokken. Zo worden sommige systemen voor het inchecken beheerd door de ministeries van Veiligheid en Defensie, maar andere, zoals het zelfbedieningssysteem, door Schiphol zelf. "Die partijen hebben soms tegengestelde belangen", schrijft de Rekenkamer. Zo wil Schiphol vooral een snellere doorstroom van passagiers, wat soms ten koste gaat van de veiligheid.

Het Ministerie van Defensie heeft weliswaar draaiboeken klaarliggen voor 'cyberaanvallen', maar die zijn erg algemeen opgesteld en worden in de praktijk niet getest. Zo worden er in de draaiboeken geen specifieke incidenten, zoals een ransomware-infectie, beschreven. "Hierdoor zien we een risico dat bij de reactie te zeer geïmproviseerd moet worden", schrijft de Rekenkamer. In de praktijk wordt ook te weinig geoefend met zulke scenario's. "Hierdoor bestaat het risico dat cyberaanvallen op deze it-systemen niet of te laat worden opgemerkt."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

20-04-2020 • 09:48

69 Linkedin

Reacties (69)

Wijzig sortering
Let op: dit gaat over de KMar en niet over Schiphol Group, KLM, LVNL of andere bedrijven samen 'Schiphol' runnen.
De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig.
Dat, en het systeem is als aanbesteding op de markt gezet en bij de KMar over de schutting geflikkerd:
Het ict-systeem dat bij inchecken bij de balie wordt gebruikt, valt onder de verantwoordelijkheid van het ministerie van Defensie, maar de Rekenkamer zegt dat dat systeem nooit door de goedkeuringsprocedure van het ministerie is gekomen.
De vraagt luidt dan wie er het mandaat heeft om dit door te drukken, want op dat dek gaat er overduidelijk iets mis.
JA en voordat iemand begint over overheid + IT bla bla. Het hele MKB heeft het zelfde probleem en en de enterprise wereld is al niet veel beter. Er is overal wel een zwak systeem te vinden.
Het zal zeker meespelen dat er allemaal verschillende partijen met elkaar moeten werken die elkaar genoeg informatie moeten geven maar ook weer niet teveel. Sommigen zijn onderdeel van de overheid sommige privaat, allemaal met andere doelen, eisen en wetgeving.

Schiphol zelf is gewoon een private commerciële partij die vastgoed ontwikkelt en verhuurt en faciliteiten aanbiedt aan private bedrijven voor de catering (GateGourmet etc.), bagageafhandeling (Swissport etc.), inchecken (luchtvaartmaatschappijen zelf of uitbesteedt aan Menzies etc.) enzovoorts.

Daar bovenop komen dan nog overheidsdiensten als de Douane (houden zich uitsluitend met goederen bezig en vallen onder de Belastingdienst en dus Ministerie van Financiën), de Marechaussee voor de grenscontrole (houden zich uitsluitend met mensen bezig en vallen onder het Ministerie van Defensie).

Laten we even een hypothetisch scenario langsgaan om te kijken wat er allemaal bij komt kijken.

Stel:
Xavier Martinez is een ondernemer die in Amsterdam woont.
Hij zit straks op vlucht KL1234 die 6 mei uit New York op Schiphol landt.
Hij heeft een Spaans paspoort met nummer ZAB254002
Zijn geboortedatum is 3 April 1975
Hij vliegt met één stuk ruimbagage

Wie moet er dan wat weten?
Schengen
De Verenigde Staten zitten niet in Schengen en dus moet Xavier de KLM ruim voordat de vlucht vertrekt zijn Advance Passenger Information (API) geven. De KLM moet dat namelijk ruim voor dat de vlucht vertrekt doorgeven aan het Schengen API systeem zodat die weten dat Xavier Angel Maria Martinez met geboortedatum 3 April 1975 en paspoortnummer ZAB254002 op 6 mei het Schengen gebied binnen gaat komen.

Als er niet direct een alarm wordt geslagen bij die gegevens (hij staat niet als gezocht in Europol databases of bij Nederlandse politie en justitie, zijn paspoortnummer staat niet als gestolen opgegeven in het Schengen Information System etc.) dan wordt die informatie alleen doorgegeven aan de Marechaussee op Schiphol zodat die weten dat Xavier op 6 mei aan de grenscontrole zou kunnen verschijnen. De externe Schengengrens behoort tot de strengste en meest geavanceerde grenscontroles in de wereld en in Nederland zitten die buitengrenzen op de verschillende vliegvelden. De Marechaussee bewaakt die buitengrens namens het hele Schengen gebied.

Bagage
De KLM moet dus namen, geboortedatum en paspoortnummer weten maar zal ook nog het bagagenummer van zijn ruimbagage bijhouden. Dat zal de Marechaussee niet veel interesseren maar als Swissport, die straks op Schiphol zijn bagage zal verwerken, zijn ruimbagage kwijt raakt gaat Xavier niet naar Swissport maar naar KLM. Die zullen vervolgens aan Swissport moeten melden dat bagagestuk XYZ dat op KLM1234 zat kwijt is.

Swissport hoeft verder niet de geboortedatum, nationaliteit en paspoortnummer van Xavier te weten. Liever niet zelfs.

Douane
De Douane houdt zich niet bezig met mensen, alleen met goederen. Zij bewaken niet Schengen (voor mensen) maar de Europese Interne Markt (voor goederen). Het zal hen dan ook minder kunnen schelen wat Xaviers nationaliteit of paspoortnummer is. Ook EU burgers als Xavier kunnen niet zomaar onbeperkt invoeren in hun ruimbagage. Er zitten maxima in qua waarde, beperkingen op etenswaren (voor voedselziekten) en bijvoorbeeld accijnzen. De Douane moet dus wel weten welke koffer bij wie hoort maar de belangrijkste informatie voor hen is dat Xavier uit een land buiten de Europese Interne Markt komt gevlogen. Kwam hij uit Oostenrijk binnengevlogen is dat een ander verhaal, dan zijn er geen grenzen voor goederen want Oostenrijk en Nederland zitten allebei in de Interne Markt.

Schiphol
Schiphol moet weten dat er een passagier op een KLM vlucht via Schiphol heeft gezeten aangezien Schiphol per passagier kosten in rekening brengt bij de luchtvaartmaatschappijen. Daarom kun je bij een gemiste vlucht ook geld terug krijgen. Het vliegveld kan geen kosten in rekening brengen (en de luchtvaartmaatschappij had lagere brandstofkosten etc.).

Schiphol hoeft verder niet de geboortedatum, nationaliteit en paspoortnummer van Xavier te weten. Liever niet zelfs.

Verder heeft Schiphol een faciliterende functie. Het is een commercieel bedrijf en verschaft/verhuurt ruimte aan Albert Heijn, de Douane, Etos, KLM, de Marechaussee, Ryanair, Suit Supply, enzovoorts. Nou is het voor die exploitatie natuurlijk ideaal om precies te weten hoeveel Spanjaarden, Nederlanders, Vietnamezen, Chilenen, Nigerianen etc. er op 6 mei op Schiphol zullen zijn, inclusief leeftijden en liefst ook nog of ze Economy, Business of First Class hebben gevlogen. Voor de privacy van de passagier is dat alleen weer niet ideaal dus mag je hopen dat de systemen van de KLM of Marechaussee bijvoorbeeld dat soort informatie niet ook doorsturen.


Kortom, er spelen dus allerlei veiligheids- juridische en commerciële aspecten mee die deels onder verschillende wetgeving en onder verschillende verantwoordelijkheden zullen vallen. Deze systemen genoeg aan elkaar koppelen maar ook niet teveel is nog best een flinke klus.

[Reactie gewijzigd door Maurits van Baerle op 20 april 2020 15:39]

Al hoewel dit natuurlijk erg zorgelijk is, vraag ik mij af hoe de rekenkamer hiermee komt. Dit lijkt mij nou niet de instantie met kennis van Cyber Security, of heb ik dat mis?
De rekenkamer, huurt hier voor experts in bijvoorbeeld fox it ( ik noem er maar even een), en op basis daarvan schrijven zij weer een rapport.
Dit soort Interne audits worden gedaan door de Auditdienst Rijk
https://www.rijksoverheid...auditbeleid/auditdiensten
Niet alleen op Financieel vlak maar ook op IT en beveiligings vlakken.

[Reactie gewijzigd door Tmaster op 20 april 2020 10:05]

In dit geval is het een voornamelijk papieren exercitie geweest, met één praktijktest met specialisten van het Ministerie van Defensie (zie §2.4 van het rapport).
Je hebt gelijk inderdaad,Specialisten van het Ministerie
van Defensie.
In dit geval is het een voornamelijk papieren exercitie geweest, met één praktijktest met specialisten van het Ministerie van Defensie (zie §2.4 van het rapport).
De ervaring leert dat de praktijk altijd 10 keer erger is dan de audit. Bij een typische audit kom je weg met een antwoord als "er is geen backup" of "de backup staat achterop een bierviltje". Technisch gezien heb je dan correct antwoord gegeven.
Mensen klagen wel eens dat audits een vals beeld van de werkelijkheid controleren, maar dat is een kwestie van perceptie. Audits zijn een ondergrens, geen kwaliteitsgarantie. Als de audit mislukt dan weet je zeker dat er iets niet optimaal is. Zie de audit als een keuring bij de dokter. Een dokter kan nooit in het algemeen zeggen of je gezond bent, alleen of je een bepaalde ziekte wel of niet hebt.
Ach als je nu hoort dat in de USA overheden met software uit de jaren 70 nog werken dan valt dit nog mee 8)7
Hangt ervan af waarvoor ;) Tot redelijk kort werkte het Amerikaanse nucleaire commando systeem puur met dingen zoals het oudste formaat floppies e.d. Het werkte naar behoren. Ze hebben inmiddels gedeeltes gemoderniseerd (zonder aan veiligheid in te boeten), maar het werkte prima.

Kijk, als je een jaren '70 opgezette database met de geactualiseerde gegevens van al je inwoners aan het internet hangt met een beveiliging uit de jaren '70, dan wordt het een ander verhaal :P
Software is slechts 1 facet van een heel proces. Je kunt de modernste software hebben, maar als elders in het proces fouten worden gemaakt maakt dat ook niets meer uit. Net zoals je met crappy software maar met een goed menselijk proces er om heen prima kunt werken.
Tja, Amerikanen. Ik heb vorig jaar mijn fax moeten afstoffen omdat een formulier alleen gefaxt kon worden. Bovendien kon het alleen terwijl ik met de telefoniste aan de lijn zat die op dat moment de fax in de gaten hield. Ik kon dus ook alleen faxen tijdens East Coast kantooruren etc.

Een vriend van mij heeft ooit eens een software contract afgesloten met een Amerikaanse partij. Kregen ze een cheque van 1,2 miljoen dollar opgestuurd. Zo'n papieren ding met een handtekening!

Het is soms net alsof de Amerikanen het bestaan van het internet nog moeten ontdekken.
Het aparte is idd dat de Amerikanen op bepaalde gebieden heel veel doen en voorlopen maar op andere gebieden weer extreem ouderwets zijn.

Ooit meegemaakt op een beurs, 2 rijen 1 links 1 rechts voor 1 grote kantine. Wil je een hotdog bestellen, aan mijn kant moest ik wachten want deze waren nog niet klaar, wel aan de andere kant, dus pak je er daar toch eentje, nee dat was echt een andere afdeling.

Filmset flodder in USA hebben ze dubbele aantal mensen nodig want regels zijn er om gek te worden. Doe je mee als achtergrondvulling geen probleem. zZegt de regisseur echter tegen 1 van deze personen iets dan moet hij meer betaald krijgen.

Zo zijn er nog meer belachelijke inflexibele regels.

Maar goed ontslaan en de bekende doos hup weg is dan ook weer normaal. Heel apart allemaal.
De AR heeft best goede auditors op dit onderwerp, dus het is niet vreemd dat ze hiernaar kijken.
Heb een keer een opdracht moeten doen schiphol. Laat ik het zo zeggen dat servers(compaq desktop computers :'( ) in een bezemkast bewaren waar productiedata over heen gaat daar normaal is.

[Reactie gewijzigd door com2,1ghz op 20 april 2020 09:53]

De NDA waren ze ook vergeten :+
Hoe lang geleden was dit? Als dit 10 a 20 jaar geleden is dan snap ik dat wel. Ik verwacht dat dit nu niet meer zo is en dat ze gewoon een data center hebben ergens.
Assumption is the mother of all fuckups.

Maar op dit moment is het redelijk rustig op Schiphol. Mooie tijd om dit op orde te brengen nu er weinig mensen in gevaar komen dat systemen het even niet doen.
Nouja, je kunt niet zomaar even een rijtje aan servers tevoorschijn toveren he. En dat moet je alles nog inrichten, dat doe je niet zomaar eventjes. Dit duurt vaak jaren aan planning en uitvoering.
Dan moeten ze maar tweakers inhuren. Die doen altijd alles perfect in een paar uurtjes ;-)
Dat was een praktijk die je vroeger op heel veel plekken tegenkwam voor niet-kritische systemen. Het is een verschil of dat gebruikt werd voor de security of om de bestemmingen op de monitoren boven de counters te tonen.
Ik heb Schiphol al meerdere keren gewaarschuwd dat het heel simpel mogelijk is voor mensen om bagage op een vlucht te krijgen waar ze zelf niet met meevliegen. Ik heb nog steeds geen verbetering gezien of überhaupt antwoord gekregen.

Ik ben er maar van uit gegaan dat de controle op explosieve stoffen in bagage wel goed genoeg is om voor mezelf nog met een gerust hart in een vliegtuig te durven stappen.

Edit: Typo

[Reactie gewijzigd door Skit3000 op 20 april 2020 10:04]

Ik heb m'n Tweakers account weer afgestoft om hierop te reageren. Dit is helemaal niet 'heel simpel mogelijk', eerder simpelweg onmogelijk. Baggage Reconciliation systemen zorgen ervoor dat ingecheckte ruimbagage op de juiste vlucht zit, waar de passagier 'op zit'. Als de bijbehorende passagier niet boardt, moet de koffer weer van boord.

De boardingprocedure kan niet afgesloten worden zonder dat die koffer van boord is, zonder afgesloten boarding geen correct loadsheet en zonder correct loadsheet gaat geen enkele piloot de lucht in.
Weet je dat zeker? Ik heb namelijk bij een klm vlucht koffers ingecheckt, maar niet geboard omdat ik vertraagd was bij douane. Ik was dus te laat bij de gate waardoor ik dus niet kon boarden. Maar mijn koffer ging wel de reis maken!
Geen enkel systeem is 100% waterdicht. Als het bij jou een keer fout ging wil natuurlijk niet zeggen dat het altijd zo gaat zoals jij beschrijft. Het zou een probleem zijn als het mogelijk is om bewust een koffer mee te sturen zonder dat je zelf meereist.

[Reactie gewijzigd door K-aroq op 20 april 2020 11:33]

Onder bepaalde omstandigheden ('outside passenger control') kan hiervan worden afgeweken, maar daar horen wel extra checks bij. Wat die voorwaarden en checks zijn is geen publieke informatie volgensmij, of althans lastig te vinden ;) .

Dat maakt het gelukkig nog steeds in principe niet mogelijk om inderdaad een koffer mee te sturen zonder zelf aan boord te zitten.
Die wordt normaal gesproken weer uit het vliegtuig gehaald. Hoe weet je dat dat bij jouw koffer niet is gebeurd?
Volgens Europese regels mag dat niet. Vandaar dat je altijd de melding hoort: "Mr [x], you're delaying the flight. Immediate boarding please at gate [y], or we will proceed to offload your luggage." Ontdekt men na het sluiten van de gate maar voor het opstijgen dat een passagier niet aan boord is, dan moet het vliegtuig zo nodig nog op de runway rechtsomkeert maken (zelf meegemaakt) om óf de passagier te laten boarden, óf de baggage alsnog uit het ruim te halen.

[Reactie gewijzigd door Cocytus op 20 april 2020 12:26]

Regels kunnen er zijn, maar toch echt gebeurt.
Normaal gesproken wordt de bagage weer van boord gehaald als de passagier zich niet meldt
Daar tegenover heb ik al 10+ keer moeten wachten omdat er koffers uit het ruim moeten omdat iemand niet op tijd bij de gate komt. Maar mijn eigen koffer is eens op een andere vlucht terecht gekomen omdat ik (volgens KLM-medewerker) een oude barcode-sticker was vergeten eraf te halen.

Dus het systeem zal goed zijn, maar incidenten zijn er. Maar of je het bewust voor elkaar kan krijgen vraag ik mij af.

[Reactie gewijzigd door Dennisdn op 20 april 2020 11:13]

Weet je dat heel zeker? Jouw koffer kan ook (een tijdje) in de opslag hebben gelegen, wachtend op iemand die hem kwam ophalen. En dat kan dan zijn geweest om hem op een andere vlucht te zetten, eentje waar jij ook op zit, of om hem mee te geven aan iemand die hem bij jou thuis aflevert.
Weet ik heel zeker, na onderzoek bleek de koffer op de bagageband te liggen op de plaats van bestemming ;)
Ga er even vanuit dat mijn Schiphol ervaring ondertussen 20+ jaar oud is, maar dat zou betekenen dat er nimmer nooit meer bagage 'misplaatst' wordt? Dus die 'stapel' in de bagagekelder is er niet meer?

Het proces liep als volgt:
- Bagage werd bij inchecken op 'de band' gezet
- Dit kwam uit in de bagage kelder, meestal 1 vlucht per band, maar niet altijd.
- Dan werd het door goedkoop personeel met de hand in karretjes geplaatst of in unsecure alu containers (afhankelijk van de vlucht).
- Vervolgens werden deze naar het vliegtuig gereden en van de karretjes met de hand in het ruim geladen (ook weer afhankelijk van de vlucht). Daar werd niet per item gechecked of het voor die vlucht was.

Daarnaast waren de labels van papier en wilde er nog wel eens eentje losraken en er op (verkeerd) terug 'geplakt' worden. Personeel plaatste wel eens een koffer op een verkeerd karretje, een karretje achter het verkeerde wagentje, afgevallen bagage terug op verkeerde kar, etc. Alleen El-Al had een complete keten waarbij alles onder controle het ruim in ging.

Afhankelijk van de incheckbalie, waren er inderdaad nog wel eens banden die open genoeg waren dat onbevoegden iets op de band konden zetten. Daarnaast was zeker in de nacht veel balies niet open en wilde er wel eens kinderen die zich verveelden achter de balies (met de banden) spelen. we hebben er wel eens eentje weg moeten jagen omdat die de band op wilde de kelder in... En het proces voor 'uitzonderlijke' bagage was in veel gevallen ook niet waterdicht (El-Al en BA daargelaten).

Natuurlijk is sinds die tijd 9/11 voorbij gefietst en mag ik hopen dat het een stuk secuurder gaat dan vroeger...
dat zou betekenen dat er nimmer nooit meer bagage 'misplaatst' wordt?
Bij verreweg de meeste bagage gebeurt dat echter niet. Als een terrorist zou proberen bagage op een vlucht mee te krijgen zonder zelf mee te vliegen, is de kans zo klein dat dat lukt, dat het voor zo iemand de moeite en het risico niet meer waard is.
En ik heb vastgesteld dat er een manier is waarbij je een koffer op een vlucht kunt krijgen waar je zelf niet op zit. Zoals gezegd ga ik er wel van uit dat er geen gevaarlijke substanties in deze koffer kunnen zitten omdat die normaal er ook uitgehaald zouden moeten worden. Ik denk alleen dat deze controle de voornaamste reden is dat iemand die een vliegtuig op wilt blazen geen bom in zijn of haar koffer stopt; als ze de bom vinden weten ze jou ook te vinden. De afschrikwekkende werking van een arrestatie na controle is hier dus al genoeg, zelfs als deze controle maar een steekproef op 10% van de bagage is. Stel dat diezelfde persoon nu een koffer aan boord van een toestel kan krijgen zonder zelf aan boord te hoeven stappen en dus kan verdwijnen voordat er mogelijk iets wordt ontdekt en er een arrestatiebevel wordt uitgeschreven, dan is een kans op ontdekking van 10% of zelfs 90% heel acceptabel; je zorgt dan gewoon dat je 10 verschillende explosieven aan boord van 10 verschillende vluchten krijgt en dan komt er waarschijnlijk wel eentje door de controle.

Dit is natuurlijk alleen als er geen 100%-controle op explosieven in bagage wordt uitgevoerd. Ik denk wel dat Schiphol dat doet. Er zijn daarnaast nog genoeg andere zaken die mensen graag aan boord van een vliegtuig krijgen zonder de kans er mee op heterdaad betrapt te worden. Denk aan drugs, geld, diamanten, levende dieren, etc.
Dank je wel voor het afstoffen. Het klopt inderdaad dat als jij een koffer incheckt maar niet het vliegtuig in gaat, je koffer van boord wordt gehaald. Ik heb het over een scenario waar geen checks op plaatsvinden.
0Anoniem: 310408
@Skit300020 april 2020 10:28
Ik heb Schiphol al meerdere keren gewaarschuwd dat het heel simpel mogelijk is voor mensen om bagage op een vlucht te krijgen waar ze zelf niet met meevliegen.
Wel ik denk dat elke krant dan graag met je wil spreken! Maar komt dat door cyberveiligheids problemen of trek je er iets anders bij?
Wel ik denk dat elke krant dan graag met je wil spreken!
Dat heb ik ook altijd gedacht gedacht. Ook aan de pers gemeld. Ik heb ooit een container gehad met aardige partij documenten van zorginstelling
https://tweakers.net/foto...ZXH4MdjolYz206ff8rHF3.jpg

Zorginstelling & afval verwerker hebben aardig gefaald. Zulke documenten horen niet in een bouw&sloop container en ze zijn hem niet leeg komen brengen.

Data was redelijk gevoelig. Naam, adres, BSN, IBAN, geboortedatum, adres van vele duizenden klanten.

Pers had geen interesse.

[Reactie gewijzigd door RobbyTown op 20 april 2020 10:45]

Tja, er is maar 1 mens voor nodig om een datalek te creëren door dozen in de verkeerde container te gooien.

Ik kan mij voorstellen dat dit niet bewust gebeurd is. Het antwoord hierop zal natuurlijk zijn: "Dan moet je het proces goed inrichten en monitoren bij verhuizingen etc." En dat is natuurlijk waar. Maar laten we de menselijke norm ook ruimte geven: Fouten maken is menselijk.
In de basis een cyberveiligheidsprobleem.
Kwalijke zaak, helaas zal dit niet de enige (best wel) kritieke schakel in de Nederlandse infrastructuur zijn die onvoldoende is beveiligd (Wie herinnert zich dat verhaal over sluizen en bruggen die met (zwaar) verouderde software werden aangestuurd en gewoon aan het internet werden gehangen, want dat was wel makkelijk). Ik krijg af en toe het gevoel dat veel mensen die belangrijke schakels besturen onvoldoende op de hoogte zijn van de risico's die het ontbreken van fatsoenlijke beveiliging met zich mee brengt. De beveiliging in de fysieke wereld is wel op orde, maar komen daar tegenwoordig nog de meeste dreigingen vandaan? Zou het niet eens tijd worden voor een verplichte jaarlijkse pentest en als je faalt gaat de boel gewoon op slot (of iets minder rigoureus, maar je snap het idee :) )
Het is helaas altijd hetzelfde liedje. De mensen die over de budgetten gaan hebben geen verstand van techniek, dus wordt er vaak gekozen voor goedkope maar twijfelachtige oplossingen. Het belang van beveiliging wordt pas gezien wanneer het financiele schade heeft opgeleverd.
Het is helaas altijd hetzelfde liedje. De mensen die over de budgetten gaan hebben geen verstand van techniek, dus wordt er vaak gekozen voor goedkope maar twijfelachtige oplossingen. Het belang van beveiliging wordt pas gezien wanneer het financiele schade heeft opgeleverd.
In alle eerlijkheid is de andere kant van de medaille dat veilige IT afschuwelijk duur is. Hoe frustrerend het ook is snap ik wel dat organisaties maar een beperkt budget hebben dat ze niet helemaal in IT beveiliging kunnen stoppen.
Het voelt voor mij als een potje Russisch roulette. Alles direct goed regelen is onbetaalbaar en onuitvoerbaar voor een kleine start-up. Als je het wel doet dan ben je zo veel duurder dan de concurrentie die niets om veiligheid geeft dat het moeilijk zal zijn om klanten te krijgen.
Je moet dus haast wel de gok nemen met een onveilig systeem. Vroeg of laat gaat dat fout maar hopelijk heb je dan genoeg geld verdient om het probleem dan op te lossen of af te kopen.
Een deel van de nieuwe bedrijven lukt dat niet, die gaan dan failliet aan de rechtszaken van boze klanten of de reparatiekosten. Met een beetje pech wordt de software dan nog overgekocht door een ander software bedrijf dat opnieuw z'n verantwoordelijkheid niet neemt en gokt dat het goed komt.
Alleen in de meest voortkomende soort gevallen (overheid, nutsbedrijven, grote bedrijven en multinationals) is er prima financiële ruimte om de noodzakelijke apparatuur aan te schaffen en is er fysieke ruimte, maar wordt er met regelmaat een foute keuze gemaakt. De inhaalslag wordt gemaakt al een tijdje, maar het risico is zeker nog aanwezig.

Er lijkt bij te veel organisaties geen cultuur te zijn dat digitale veiligheid misschien zelfs nog belangrijker is dan fysieke veiligheid. Ik weet dat budgetten gelimiteerd zijn, maar bv bij ziekenhuizen lijkt te vaak de keuze nog te zijn 'form over function' - liever een ziekenhuis wat er stylistisch uit ziet dan de nieuwe soft-/hardware die alle databases niet alleen 'online' houdt, maar ook veilig.
Dank voor deze waardevolle aanvulling.

Eigenlijk kunnen we het de individuele bedrijven dus niet zozeer aanrekenen, maar moet het overkoepelende systeem op de schop om dit probleem structureel op te lossen...
Lekkere kort door de bocht conclusie dat mensne die over budgetten hebben geen verstand hebben van techniek. Maar wees dan consequent en zeg dan ook dat de meeste techneuten geen verstand hebben van bedrijfsvoering en van het belang van hun werk in een groter geheel.
Laat ik het dan concreter maken: De grotere organisaties waarin ik tot noch toe als IT-er werkzaam ben geweest hebben mensen in dienst die sturen op cijfers. Daar zijn ze voor opgeleid, daar hebben ze verstand van en niet zelden worden ze beloond voor het korten van budgetten en dergelijke. Ik heb dan ook regelmatig meegemaakt dat er vanuit dat perspectief besluiten werden genomen die dergelijke organisaties op de lange termijn hebben geschaad. Als je een finance medewerker uitlegt dat er drie ton moet worden neergelegd om een systeem of infrastructuur grondig te beveiligen, zal hij of zie begrijpelijkerwijs de meerwaarde van de beveiliging als onderschikt beschouwen, aangezien de beveiliging zichzelf pas op de lange termijn kan bewijzen.

Ik ben het met je eens dat techneuten lang niet altijd verstand hebben van bedrijfsvoering, maar wij worden dan ook zelden gevraagd om daar een beslissing over te nemen, terwijl dat andersom wel gebeurt. Als de mensen die over de bedrijfsvoering gaan duidelijk aangeven dat beveiliging er in hun ogen niet toe doet, is dat in elk geval consequent. Nu hebben we echter de kromme situatie dat dit niet wordt uitgesproken, maar achteraf wel de poppen aan het dansen zijn als er dankzij gebrekkige beveiliging iets helemaal mis gaat. In mijn ogen is dat een structureel probleem.

Maar inderdaad, mijn mening is ook maar subjectief. :)
Ik mis in dit verhaal de parktische risico's een beetje. Wat als het inchecksysteem wordt "gehackt", wat dan? Dan kan iemand inchecken die niet gaat vliegen ofzo? Wat zijn de gevolgen?

Wat ik ook mis, is hoe Schiphol zich verhoudt tot andere grote luchthavens in de wereld, en tot kleinere vliegvelden. Niet om de problemen goed te praten als ze elders erger zijn, maar om een beeld te krijgen van niet alléén Schiphol, omdat als je van Schiphol gebruikmaakt, maak je gegarandeerd gebruik van tenminste één ander vliegveld.
Een incheck systeem natuurlijk een prachtige bron van naw gegevens keurig met paspoort nummers, om lekker identiteitdiefsal te plegen en deze identiteiten voor allerhande schimmige zaken te gebruiken.
Ik zou het raar vinden als het inchecksysteem zélf dat soort gegevens opslaat. Ik zou eerder verwachten dat die uit een backend systeem worden opgevist - andere systemen moeten er immers ook gebruik van kunnen maken, zoals de incheckbalie, de automatische poortjes bij de priority lanes, de premium lounges, de toegang bij de gate, en vast nog veel meer.

Maar misschien is dat dan ook een deel van de kwetsbaarheid.

[Reactie gewijzigd door _Thanatos_ op 21 april 2020 14:18]

Dit gaat over Schiphol, niet over KLM.
KLM is niet automatisch Schiphol. Zo wordt in het artikel ook gesproken dat sommige software onder de verantwoording valt van defensie.
Verder vliegen er ook andere maatschappijen dan KLM van Schiphol.
De KLM wordt in het artikel niet genoemd. Het gaat over Schiphol.
Nee, het gaat over de grenscontrole op Schiphol.
Van Schiphol.
Dit is dus niet het geval, het artikel gaat over een onderzoek van de rekenkamer naar de beveiliging van de grenscontrole op Schiphol. Deze systemen vallen volgens het onderzoek onder de verantwoordelijkheid van de Koninklijke Marechaussee. (Dus het Ministerie van Defensie)
Eerste regel van het artikel op: https://www.rekenkamer.nl...gitalisering-aan-de-grens
"De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig."

[Reactie gewijzigd door M8T66 op 20 april 2020 11:50]

De grenscontrole valt onder de Koninklijke Marechaussee. Die zijn niet in dienst van Koninklijke Luchthaven Schiphol.
Schiphol is niet KLM :)
En Schiphol is niet Defensie of Ministerie.

De luchthaven is een keten van bedrijven en instanties, dus ook de luchtvaartmaatschappijen (waaronder KLM) en Schiphol als bedrijf. En al die onderdelen van de keten hebben IT-systemen die ook allemaal onderdeel uitmaken van het proces. Goed dat er met een keten-brede blik is gekeken.
Schiphol is (net als Rotterdam-The Hague Airport, Lelystad Airport en de helft van Eindhoven Airport) eigendom van de Schiphol Group. De eigenaren van de Schiphol Group zijn: de Staat der Nederlanden (69,77%), de Gemeente Amsterdam (20,03%), Aéroports de Paris (8,0%) en de Gemeente Rotterdam (2,2%).

KLM is een van de klanten van Schiphol.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True