Vlaanderen presenteert plan om gemeenten te beveiligen tegen cybercriminelen

De Vlaamse overheid gaat Vlaamse gemeenten helpen om zich te beveiligen tegen cybercriminelen. In het plan zit onder meer een audit, toolkit en een pakket met pentesten. Het plan volgt na ransomware die de gemeente Willebroek vijf dagen platlegde.

Het testen van de systemen van de gemeenten lijkt het voornaamste onderdeel te zijn van het plan. Zo schrijft DataNews over een audit die de systemen moet doorlichten op onder meer kwetsbaarheden. Bij zo'n audit betaalt Binnenlands Bestuur twee derde van de kosten, waarvoor twee miljoen euro is voorzien. Ook kunnen gemeenten die dat willen zich laten hacken door studenten aan de Hogeschool West-Vlaanderen. Vier studenten van de opleiding Computer & Cyber Crime Professional komen dan enkele dagen de systemen en processen van een gemeente controleren. De studenten voeren pentesten en sociale testen uit. Bij deze laatste categorie laten ze bijvoorbeeld een usb-stick ergens liggen, of starten ze een phishingscampagne. Dit ethisch-hacken-traject moet dit najaar starten.

De gemeenten krijgen straks ook een draaiboek dat ze vertelt wat ze moeten doen bij een cyberaanval. Hierin worden bijvoorbeeld de verschillende rollen voor leden van het bestuur, voor de ict-afdeling en de communicatie uitgelegd. Hier wordt ook aangeraden om snel een netwerk te isoleren, het maken van back-ups bij een aanval te stoppen en experts zo snel mogelijk bij elkaar te krijgen. Gemeenten krijgen daarnaast tips om tijdens een cyberaanval alsnog te kunnen blijven werken, zoals om laptops met een 4g-verbinding te gebruiken.

Gemeenten worden volgens dit plan tevens beter ingelicht over responsible disclosure policies. Zo moet het voor inwoners straks makkelijker worden om een lek in een gemeentelijk computersysteem te melden. Gemeentelijke werknemers krijgen tot slot opleidingen rond ict en veiligheid, zodat ook zij weerbaarder zijn voor cyberaanvallen.

De plannen van de Vlaamse overheid zijn een direct gevolg van een ransomware-aanval waar de Vlaamse gemeente Willebroek eerder dit jaar mee te maken kreeg. Op vrijdagnacht 24 januari werd de gemeente volgens De Tijd aangevallen door criminelen die een onbekende hoeveelheid aan bitcoins eisten. Pas na vijf dagen was de gemeente volledig operationeel. Het is onduidelijk of de gemeente de criminelen betaalde, de gemeente zei volgens Computable destijds dit niet van plan te zijn.

Door Hayte Hugo

Redacteur

15-05-2020 • 10:57

36

Reacties (36)

Sorteer op:

Weergave:

Lijkt me een goed idee, de studenten leren bij en de gemeenten kennen hun kwetsbaarheden.
Waarom kan een gemeente (toch wel van hoog belang) niet gewoon betalen voor professionele aandacht?
Ze laten toch ook gewoon een cateringbedrijf de catering verzorgen? Of halen ze daar ook studenten voor naar binnen?
Hoewel ik je bedenking snap moeten deze studenten ook de kans krijgen om bij te leren. Vaak zijn dit ook de meest innovatieve breinen die op nieuwe manieren iets proberen dus is het resultaat voor de gemeenten zeker ok.

Je mag er trouwens niet vanuit gaan dat dit gratis gebeurt. De hogeschool zal hiervoor normaal wel een vergoeding vragen aan de gemeenten. Ik weet niet hoe het is in Nederland maar in België gebeurt het vaak dat bedrijven universiteiten en hogescholen betalen om een project te laten uitvoeren door studenten. Het resultaat is misschien niet altijd perfect maar vaak goed genoeg.
De prijs is +- €2000 voor de gemeente. Overigens ga ik het hier niet laten doen omdat ik weet dat ze hier grandioos gaan falen op een test. Ik wil eerst de kwetsbaarheden die ik zelf al heb gevonden oplossen om dan vervolgens de dingen te laten nakijken die ik heb gemist (bron: ik werk sinds een paar weken als it'er in een Belgische gemeente).
haal dat rapportje en zie het niet als kritiek, maar als en hulpmiddel om je skillz optimaal te focussen ;)
Ik zeg niet dat ik het nooit laat doen hé. Enkel dat ik eerst mijzelf wil inwerken en een aantal zaken aanpassen. Er zijn hier zo goed als geen uitgeschreven procedures en policy's i.v.m. in- en uit dienst gaan, wachtwoorden, etc. Ik heb op mijn vorig werk een audit gehad (ook bij een openbaar bestuur) en het eerste dat ze doen is daar naar vragen.
Het heeft geen nut je kelder te testen op waterdichtheid als er 100 gaten in je bodem zitten. Je gaat die eerst herstellen en dan pas testen.
Het heeft absoluut wel nut. Zeker als je nieuw in dienst bent geeft dit je een"mandaat" om acties te ondernemen. Niemand van de beslissingsnemers gaat tegen zo'n audit in. Je eigen autoriteit durven ze wel in vraag stellen. Ik ben hier 20+ jaar mee bezig en heb al inmenging gezien van bestuursleden die daarnaast hun geld verdienen als fruitkweker of melkboer maar dus wel een uitgesproken mening over IT en cyberveiligheid hebben. Probeer die maar eens op een onderbouwde manier op andere gedachten te brengen.
Je kan ook verschillende lagen van defensie hebben en als ze al door de eerste laag geraken, is de tweede laag soms niet meer testbaar. Dus als Horla al weet heeft van het lek in de eerste laag en niet in de tweede laag, heeft het geen nut gehad.
Althans zo zie ik het toch, ik ben geen kenner van pentesting en dergelijke.
Ik zou je toch aanraden om die test te laten uitvoeren. Het rapport zal meer autoriteit geven aan jouw (eerder gecommuniceerde) bevindingen, en dus heb je een grotere kans om de problemen ook effectief te kunnen/mogen aanpakken.
Gelukkig heb ik een deftig budget om de fysieke en virtuele servers dit jaar nog te vervangen (gisteren heb ik ontdekt dat er hier nog een Windows 2003 server draait. Ik viel van mijn stoel 8)7 ) én heb ik ondertussen zo'n 7 jaar ervaring in de ambtenarij. Ze weten dat ze moeten investeren dus het grootste deel van het werk is al gedaan. Nu is het voornamelijk papiermolen en de politiek overtuigen.
Ik heb mijn reactie nu drie maal gelezen maar snap nog altijd niet hoe je er uit haalt dat ik bang ben mijn job te verliezen. Ik zeg dat ik eerst de zelf gevonden problemen wil oplossen en dan pas een audit wil laten doen. Die "ze" in de 2de lijn gaat over de gemeente hé, niet de studenten. En als je als it'er niet tegen verandering kan, zal je netwerk niet lang blijven draaien.
Ik snap dit ook niet,

Je geeft mij inderdaad nergens die indruk, (je post hierboven is trouwens de eerste die het woord student vermeld)

@3svb ben je zeker dat je niet de post van Killcercow gelezen, vervolgens iets van Horla dat hij eerst zelf wil auditten (wat toevallig een reactie was op iemand die positif was over studenten), en vervolgens een onterechte conclusie hebt getrokken (ik heb zo'n vermoeden want heb het in het verleden zelf al meegemaakt dat ik zo bijna een foute aanname deed)

@zenlord
En een Audit onmiddellijk aan een ander overlaten (pro of student maakt niet uit.)
Je doet voor een externe audit ALTIJD eerst een interne audit. (elke grote organizatie waarvoor ik gewerkt heb deed en doet dit)
hiervoor hebben grote firma's meestal zelfs een interne audit dienst.
ik heb mensen weten ontslagen worden als er bij een externe edit teveel naar boven komt.

Wil je bijvoorbeeld een bepaalde certificering krijgen (die bijvoorbeeld nodig om een bepaald product te kunnen verkopen), moet je dit laten auditten, Als er een paar keer na elkaar problemen worden gevonden is het vaak zo dat je een boete krijgt of een cooldown periode is voor er weer een nieuwe audit kan gebeuren.

En financieel: als je weet dat een audit gaat fallen (wegens punten die je zelf al weet).
Dan dien je na het rechtzetten van de punten, een nieuwe audit te laten doen. en dit tot alles in orde is
Als je dan elke keer denkt een ander (externe audit) moet dit maar voor mij uitzoeken.
En ik kan me voorstellen dat een kleine organisatie na enkele keren door zijn budget zit, en vervolgens niet eens het budget meer heeft om de nodige aanpassingen te doen.
Er zit wel een klein probleem in je gedachtengang. Je bent als persoon (niet specifiek naar jou toe bedoeld, maar algemeen, dus ook voor mezelf) het minst geschikt om je fouten op te sporen. Je groeit in een situatie door de tijd heen, waarna je helemaal niet objectief of kritisch kan zijn (onbewust) wat betreft potentiële risico's bij je informatieverwerking.

Een externe bron (zelfs onervaren studenten) hebben dikwijls een veel nuchtere kijk op je situatie. Bovendien krijgen deze studenten een draaiboek mee, waar ze als student heel nuchter mee omgaan. Wat afwijkt is fout of op zijn minst verdacht en moet in detail bekeken worden.

(wat betreft de opmerking dat ambtenarij niet graag veranderd ... 90% van de mensen wil niet veranderen, enkel tweakers zoeken steeds een nieuwe uitdaging. Commercieel is dat voor een bedrijf, ofwel de kerntaak om te zoeken naar innovatie, ofwel onbetaalbaar)
Dus je doet werk, waar jij niet voor betaald wordt, omdat je nog leert.
Maar dat werk is wel goed genoeg om voor te betalen.
En dat werk is goed genoeg om de gevoelige data van een gemeente en haar burgers te beschermen.
Maar als je eenmaal je papiertje hebt wordt je door de volgende groep studenten weggeconcurreerd. Broodroof noemen we dat in het goed Nederlands.
Ja en nee ,scholen worden gefinancierd met belastinggeld dus zijn studies ook ,aanschouw het als een soort stage.Is in België tegenwoordig een mode stage doen en niet betaald worden waar je recht op heb.
Maar dit zal wel aanschouwt worden als lespakket .
Waarom kan een gemeente (toch wel van hoog belang) niet gewoon betalen voor professionele aandacht?
Ze laten toch ook gewoon een cateringbedrijf de catering verzorgen? Of halen ze daar ook studenten voor naar binnen?
Fundamenteel ben ik het met je eens, pragmatisch gezien weet ik echter dat de meeste gemeentes dat niet kunnen/willen betalen. Het blijft natuurlijk altijd een keuze wat je met je geld doet en je kan het maar 1 keer uitgeven.

Je kan boos worden en stampvoetend eisen dat er meer geld komt, maar uit ervaring kan ik je vertellen dat je daar niet veel mee opschiet ;)

De standaard reactie is zoiets als: "dat is wel erg duur, kun je even bewijzen dat het noodzakelijk is?"
Dat is een klote reactie omdat zo'n audit er nu juist is om te laten zien waar de problemen zitten. Maar het is het werk van zo'n bestuurder om goed op de centen te passen.

Een fatsoenlijke audit & pentest laten uitvoeren kan veel geld kosten terwijl de resultaten vaak best wel een open deur zijn voor systeembeheer, zoals dat je systemen regelmatig moet patchen. Dat wisten ze zelf ook wel, maar met de audit in de hand kunnen ze aantonen dat ze meer middelen nodig hebben om dat te doen.
Een koffie juffrouw kost 'iets' minder dan een goede beveiligingsexpert en studenten weten (nog) niet veel beter dat ze in de bedrijfssector veel en veel meer kunnen verdienen als ze daadwerkelijk goed zijn...

Ik was toevallig gister opzoek naar iets en kwam een artikeltje tegen over security experts in de VS en dat gaf aan dat de gemiddelde inkomsten voor die branch $124.000/jaar waren... Ik ben deze niet gaan lezen en heb geen idee of dit accuraat is en/of actueel, dus neem maar mee met een flinke zak zout, maar ik weet dat hier in NL een goede security expert over het algemeen ook niet goedkoop is...
Mooi initiatief, heel veel (kleinere) lokale besturen zijn zich zelfs niet bewust van de gevaren, of hebben geen kennis en middelen om te auditten, laat staan zich te beschermen... Toch hebben deze organisaties een pak gevoelige persoonsgegevens opgeslagen..
Laten we eens beginnen met uitrollen van fatsoenlijke beveiling van email. het gebruik van SPF, DKIM EN DMARC is nog dermate laag in adoptie, dat veel bedrijven en overheden nogsteeds erg vatbaar zijn voor email spoofing. (Hey, onze CEO vraagt of we even wat geld kunnen overmaken naar dit nummer, het email address klopt dus het zal wel kloppen!)

Het liefste zie ik ook DNSSEC uitgerold, dan kunnen de DNS records die de SPF, DKIM en DMARC policies bevatten tenminste niet worden aangepast door een hacker via DNS poisoning , en kun je direct ook DANE implementeren om STARTTLS af te dwingen en te beschermen tegen MITM attacks.

[Reactie gewijzigd door Blacklight447 op 26 juli 2024 02:57]

technische configuratie zijn zeer zeker belangrijk, maar geen vervanging voor testing en audits.
Bovendien zal zo'n audit vast dergelijke kwetsbaarheden naar boven brengen en dus juisteen bijzonder goed startpunt zijn. Beter dan gewoon random best practices implementern. Wat heb je aan DMARC als port 3389 gefw'd wordt naar de domaincontroller?
Ik weet dat het geen audits vervangt, maar het is al een relatief simpele manier om de beveiliging te verbeteren, en het is ook relatief makkelijk te controlleren of het goed is geconfigureed. Daarom snap ik ook niet waarom de adoptie nog zo laag.
Akkoord, maar ik denk dat we er mogen van uit gaan dat de 'testing en audits' voldoende kwetsbaarheden zullen blootleggen: tot op vandaag zijn de gemeenten volledig aan hun eigen lot overgelaten, en dat wil zeggen dat er *bijzonder* veel problemen zullen worden vastgesteld.

Waarom niet gewoon een datacenter oprichten (of een deel ervan afhuren) met de centrale overheid en iedere gemeente een basispakket aan (veilige) software aanbieden? Laat de gemeenten nog een greintje autonomie om bepaalde taken met eigen paketten uit te voeren (als daar vraag naar zou zijn), maar biedt op z'n minst de basis aan als centrale overheid: ik heb geen idee hoeveel percent van de taken van een gemeente universeel zijn, maar het lijkt mij dat het overgrote deel (90+% ?) kan gestandaardiseerd worden en vervolgens eenvoudig beheerd.

Als we nu de huidige infrastructuur gaan auditeren en testen, dan zie ik het al voor mij dat we binnen 12 maanden de publicatie van een rapport zien (met schandalige cijfers), en dat daarop enkele scriptkiddies of hackerscollectieven even de pijlen richten op de gemeentelijke infrastructuren en dat men dan pas zal echte maatregelen nemen...
"begin met wat je hebt"
even alle infa en processen omgooien is zelfs in een bedrijfje onhaalbaar, laat staan bij een overheid.
Hey, onze CEO vraagt of we even wat geld kunnen overmaken naar dit nummer, het email address klopt dus het zal wel kloppen!
There is no fixing stupid people...
Dat klinkt heel erg bot, maar mensen waarbij niet direct een belletje gaat rinkelen van "Zo doet ie dat normaal gesproken nooit!" en er even achteraan gaat bellen (en dan niet het tel# van die mail gebruiken) of het wel klopt ga je nooit kunnen beschermen met SPF, DKIM EN DMARC. Er zijn immers zoveel andere kanalen waarmee hetzelfde bereikt kan worden...

Dat betekend niet dat ik geen groot voorstander ben van SPF, DKIM EN DMARC gebruiken, maar het is geen 'oplossing', slechts een van de vele stappen die je neemt qua beveiliging.

Mijn eerste reactie op de titel van het artikel was meer van "Gaan ze dan alle servers/PCs uitzetten?"... ;-)

[Reactie gewijzigd door Cergorach op 26 juli 2024 02:57]

En toch... heb zelf ook al mails zien rondgaan die de naam van een belangrijk persoon gebruiken maar een privaat email adres. Er staat dan in dat ze ofwel bestolen zijn danwel een koffer of iets dergelijks vergeten zijn of gewoonweg waarbij de kredietkaart geblokkeerd is en dan vragen ze om geld over te maken of bijvoorbeeld om iTunes kaarten te gaan kopen (of hoe dat tegenwoordig ook noemt).

En spijtig genoeg zijn er mensen die daar in trappen.
Laten we eens beginnen met uitrollen van fatsoenlijke beveiling van email. het gebruik van SPF, DKIM EN DMARC is nog dermate laag in adoptie, dat veel bedrijven en overheden nogsteeds erg vatbaar zijn voor email spoofing. (Hey, onze CEO vraagt of we even wat geld kunnen overmaken naar dit nummer, het email address klopt dus het zal wel kloppen!)

Het liefste zie ik ook DNSSEC uitgerold, dan kunnen de DNS records die de SPF, DKIM en DMARC policies bevatten tenminste niet worden aangepast door een hacker via DNS poisoning , en kun je direct ook DANE implementeren om STARTTLS af te dwingen en te beschermen tegen MITM attacks.
In de sector waar ik werk worden er regelmatig rapportjes geschreven waarin alle spelers in onze sector vergeleken worden op dit soort punten. Daar komen dan mooie ranglijstjes uit waarin staat dat X procent van de sector al gebruik maakt van techniek Y, en dat onze organisatie op punt Z achter loopt op de rest van de sector.
Onze bazen hebben geen idee wat er in die rapportjes staat, maar ze weten wel of ze op plek 1 staan of niet, of onze concurrent het beter of slechter doet en of onze e-mail "groen" of "rood" is.
Ik moet altijd lachen als ik mensen zie afkomen met SPF/DKIM/DMARC omdat het als beveiliging niets voorstelt daar het geen beveiliging aan je eigen kant is, maar aan de kant van de ontvanger. Die kiest dus om de records na te kijken en om aan de hand daarvan te bepalen welke actie er ondernomen wordt. Jij mag gerust een harde fail opzetten, als de ontvangende kant niet controleert gaat de spam/phishing/... nog altijd door.

Zelf kan je beter je personeel beter trainen en bijvoorbeeld aangeven wanneer een email niet van je eigen systemen afkomstig is.
Volledig akkoord, maar als je kundig genoeg bent om SPF/DKIM/DMARC in te stellen op je eigen domein, is het een eitje om de checks voor inkomende email op de eigen server aan te zetten ook. Hoe meer admins dit doen, hoe dichter email bij 100% veiligheid komt (ook al zal die 100% nooit bereikt worden en zal er inderdaad altijd training voor de gebruikers nodig zijn).
Matrix FTW :)
Correct, dat is precies de reden om bedrijven en overheden te pushen met het adopteren van deze technieken: hoe meer mensen het gebruiken, hoe veiliger het word. Als we nu dane ook overal te implementeren om starttls af te dwingen, zodat het aantal emails dat encrypted verstuurd word net zo hoog word als het aantal websites dat https gebruikt, dan ben ik helemaal blij :)
Het ding is, zonder spf en dkim kun je email address spoofen, dus zelfs al heb je die zeldzame oplettende medewerker die het email address controleert, dan heb je er nog niks aan omdat de "from" het correcte email address is, terwijl het return address iets compleet anders is. Of moeten we nu medewerkers trainen om email headers te analyseren?
SPF/DKIM/DMARC is dan ook vooral handig om je eigen te beschermen tegen misbruik van je eigen domein tegen jezelf, zodat je geen frauduleuze mails van je eigen domein binnen kan krijgen (à la "CEO hier, kan je dit overschrijven", "kan je deze info even op mail zetten" etc).

Naar buiten toe is het inderdaad gewoon een advies. De verantwoordelijkheid ligt dan ook bij de tegenpartij. Als er iets gebeurt en ze proberen je aan te klagen, is het heel simpel. Hun emailserver staat niet goed ingesteld.

[Reactie gewijzigd door SmokingCrop op 26 juli 2024 02:57]

Ik mag hopen dat ze de afkorting, die ze op hun site gebruiken CCCP* niet communiceren naar klanten :)

Beveiliging en afkorting voor de Sovjet-Unie klinkt niet fijn ;)
Doen ze nochtans wel, ik ken die opleiding al ettelijke jaren en ik had de afkorting eigenlijk nog nooit met Rusland geassocieerd. Moest het nu USSR zijn was het een ander verhaal.
Dit is niets nieuw, dit deden we 15 jaar geleden ook al als student zijnde in Mechelen

Maar nu commercieel dus? Want studenten is gratis eh...?
Is al oud nieuws volgens mij. Meer nog, in de gemeente waar ik woon/werk is die audit net vandaag afgerond.

Op dit item kan niet meer gereageerd worden.