Structurele back-up voor Nederlandse politie duurt nog jaren

De Nederlandse politie werkt aan een structurele back-upvoorziening voor het geval dat ze wordt aangevallen met ransomware. Volgens minister Yesilgöz van Justitie en Veiligheid duurt het nog jaren voor deze structurele back-up er is. Wel zouden er al andere 'maatregelen' zijn.

Het kunnen herstellen na een cyberaanval is volgens minister Dilan Yeşilgöz-Zegerius een van de speerpunten van het cybersecurityprogramma van de politie. Daarom is de politie hier een Cyberrecovery-project voor gestart. Dit project werkt aan verschillende initiatieven, waaronder een structurele back-upvoorziening. Het maken hiervan vergt echter wel een 'meerjarige doorlooptijd', schrijft de minister.

De politie heeft naast die structurele back-up wel 'maatregelen' genomen om te kunnen herstellen van een ransomwareaanval. Hier deelt de minister geen details over. Het ontwikkelen van zo'n structurele back-up duurt lang, omdat er binnen de politie niet genoeg menskracht zou zijn. De financiële middelen zijn wel geregeld.

Naast back-ups, heeft de politie het Security Operations Center uitgebreid. Daardoor voldoet deze volgens de minister 'beter aan de eisen van deze tijd, inclusief een automatiseringsstraat en goede cyberonderzoekfaciliteiten'. Zo moet het soc cyberaanvallen beter kunnen detecteren en analyseren, en zou het sneller passende maatregelen kunnen nemen en adviseren.

Met het cybersecurityprogramma focust de politie op acht basismaatregelen van het Nationaal Cyber Security Centrum. Projecten binnen dit programma zijn versneld, mede door de incidenten met Solarwinds en Log4j.

Reacties (122)

SilentDecode 20 juni 2022 11:42

Ik kan wel ff een Veeam servertje voor ze neerzetten hoor. Het is tenminste beter dan niks.
Anno 2022 verwacht je tenminste wel een backupoplossing, zeker als je het publiceerd. Zelfs ik maak gewoon backups..

feuniks @SilentDecode • 20 juni 2022 12:10

Ik geloof dat je niet helemaal weet hoe ransom aanvallen bij grote bedrijven / overheden werken. Vaak zijn ze al maanden ongemerkt binnen en merk je pas iets als men wil dat je iets merkt. Dan vallen de systemen uit en is alle data ineens versleuteld. Als je vervolgens gaat restoren, dan blijkt dat men ofwel je backup systeem al lang geleden ongemerkt buiten werking gesteld heeft, of dat doordat men al lang binnen was, alle gebackupte data ook aangetast is. Simpelweg backuppen is dus geen oplossing voor ransom aanvallen.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland
Politie

@feuniks • 20 juni 2022 13:07

Dit dus, wat men hier wenst te doen is voorbereid zijn op worst case disaster recovery om zo snel mogelijk met minimale impact verder te kunnen werken. Dat wil zeggen dat je in essentie met een clean slate gaat beginnen, alle bare metal hardware opnieuw gaat imagen, je hypervisors klaarmaken en daarna met behulp van Infrastructure-as-Code heel je omgeving opnieuw van 0 gaat uitrollen.

En dat terwijl je ook procedures schrijft om te proberen zoveel mogelijk data te recuperen van backups die nog leesbaar zijn zonder dat je de malware opnieuw mee over zet.

barbarbar @Blokker_1999 • 20 juni 2022 13:37

De logica hiervan ontgaat mij altijd. Als er wordt ingebroken in je huis sla je het huis toch niet tegen de vlakte om alles opnieuw te bouwen volgens het oorspronkelijk bouwplan? Nee, je huurt een schoonmaker in die het ergste opruimt, vervangt gebroken ruiten en vervangt eventueel de sloten. Als duidelijk is hoe de inbreker binnenkwam, neem je daar nog een maatregel tegen indien nodig.

Ransomware komt nog vaak voor door een toevalligheid, die zich niet perse hoeft te herhalen als je de backups terugzet. Iemand heeft toch op die link geklikt, of die stick in de pc geduwd, of naar die site gesurft... Net zoals een inbreker je huis de volgende week weer weet te vinden, kan dat met je IT ook, maar dat is eerder een aanname dan een gegeven. Belangrijkste is achterhalen hoe de inbreker binnenkwam, en indien mogelijk en nodig daar maatregelen voor nemen. Je hoeft echt niet je hele omgeving als besmet te beschouwen, als je weet dat er via een bepaalde manier binnengekomen is. Uiteraard staat of valt dat met monitoring en je omgeving goed in kaart hebben, zodat je ook weet waar en hoe een inbreker is binnengekomen.

downtime @barbarbar • 20 juni 2022 14:03

Jouw analogie klopt alleen niet. Bij een inbreker loop je een keer door het huis heen en weet je of de inbreker nog binnen is. Bij een malware aanval weet je niet welke aanvullende backdoors de inbreker voor zichzelf achter heeft gelaten. Hij kan nog steeds “binnen” zijn en volgende week weer toeslaan.

barbarbar @downtime • 20 juni 2022 14:27

Op basis van onderzoeken die zijn gepubliceerd is dat toch eigenlijk niet het geval. Er wordt ergens een ingang gevonden, hetzij door dom geluk door iemand die in het netwerk op een verkeerde link klikt, hetzij doelbewuste aanval. Die ingang wordt open gehouden totdat er een "geschikt" moment is om de aanval verder uit te voeren. Dat aanvallers allerlei achterdeuren installeren en openhouden is eerder onderbuik gevoel dan praktijk. Elke achterdeur is namelijk ook kans op ontdekking, dus als aanvaller wil je zo min mogelijk binnen zijn. Praktijk die uit de onderzoeken naar voren komt is dat de monitoring vaak te kort schiet, waardoor al weken of maanden toegang tot het netwerk is, zonder dat er ergens alarmbellen afgaan of er iets met meldingen wordt gedaan. Beetje als een inbreker in je huis al weken vrolijk rondloopt, maar het je nooit opvalt dat de koelkast elke keer leeg is, of waarom je douche toch elke ochtend nat is. Je zegt dat je niet kunt weten of een inbreker uit je IT systeem is, of nog binnen is, maar juist door goede monitoring (vergelijk met je huis doorlopen om te kijken), weet je dat juist wel.

Los daarvan vind ik de eisen die aan de willekeurige IT omgeving worden gesteld ook wel wat doorschieten. We gaan er naar toe dat elke aanval afgeschud moet kunnen worden. In mijn optiek is dat totaal niet realistisch. Je huis beveilig je zodat de individuele toevallig passerende inbreker buiten de deur blijft, maar niemand verwacht dat de architect heeft nagedacht over raketaanvallen. Zo heb ik op mijn huis ook geen 2fa, als iemand mij even in de gaten houd, mij opwacht in de supermarkt en ongezien de sleutel uit m'n tas pikt is mijn huis leeg voordat ik terug ben van boodschappen doen. Terwijl van IT verwacht wordt dat we de systemen beveiligen tegen de grootste machten in de wereld. Op een gegeven moment ligt iets niet meer bij IT, maar is het aan de rechterlijke macht en de politiek om hierin actie te ondernemen.

downtime @barbarbar • 20 juni 2022 14:34

Je zegt dat je niet kunt weten of een inbreker uit je IT systeem is, of nog binnen is, maar juist door goede monitoring (vergelijk met je huis doorlopen om te kijken), weet je dat juist wel.

Als je een malware aanval hebt gehad dan weet je al dat je monitoring niet goed genoeg is. Dus daar moet je na een geslaagde aanval niet op blijven vertrouwen.

barbarbar @downtime • 20 juni 2022 14:45

Monitoring is niet bedoel om een inbraak tegen te houden, net zo min een camera dat doet. Bij detectie van iets onverwachts moet je wel actie ondernemen, maar net zoals in de echte wereld komt die actie nadat er wat is gebeurd.

Als je een camera bij huis hebt zie je wellicht niet exact wat de inbreker binnen heeft gedaan, maar je kunt wel zien wat aannemelijk is. Is die er met een kleine buit vandoor gegaan? Kwam die via de achterdeur binnen die toevallig open stond? Was die alleen uit op de auto sleutels? Dat kun je wel zien, ondanks dat de camera niet alles in detail heeft vastgelegd. Zelfde met monitoring. Je kunt wel zien op welke omgeving/gegevens een misbruikt account actief is geweest, ondanks dat je niet exact weet wat daar uitgespookt is. Zo kun je met monitoring wel degelijk achterhalen wat wel besmet kan zijn, en wat vrij waarschijnlijk niet besmet is. Zeker weten doe je het nooit, maar om al je hardware en software en data maar uit het raam te gooien en opnieuw te beginnen is ook wel erg overdreven.

[Reactie gewijzigd door barbarbar op 24 juli 2024 07:37]

M_I_E_S @barbarbar • 20 juni 2022 14:51

Ik zou daar bij statelijke actoren niet van uit durven gaan.

barbarbar @M_I_E_S • 20 juni 2022 14:58

Mee eens, echter is het de vraag of je je daar ooit adequaat tegen kunt beschermen met IT technieken, en of je je daar überhaupt met IT technieken tegen moet beschermen of dat dit bij de rechterlijke macht en politiek moet liggen. Als je een dusdanig grote aanval op de politie krijgt vanuit een andere staat waarbij dit backup plan in werking treed, heb je het wat mij betreft over doelgerichte militaire acties, waar dito consequenties aan mogen hangen. Ik verwacht ook niet van de politie dat zij zulke aanvallen zomaar even afschudden, net zoals ik niet verwacht dat ze opgewassen zijn tegen een statelijk macht die fysieke aanvallen uitvoert. Als IT'er ga ik er in mijn werk echt niet vanuit dat ik systemen moet beveiligen tegen militairen, hoewel we daar in praktische zin wel steeds meer naar toe gaan.

Larry4 @downtime • 20 juni 2022 18:20

Precies, mogelijk dat de inbreker een firmware aangetast heeft die dus niet geupdate word en dus nog steeds 'binnen' is of in een cloud situatie dat ze via een ander bedrijf zijn binnengekomen die op dezelfde cloud draait die middels memory corruptie buiten de vm aanpassingen kan doen in jouw vm.

FreezeXJ @downtime • 20 juni 2022 14:22

Dat, en het opnieuw opbouwen van je hele omgeving zou niet gek lang (< 1 uur) moeten duren. Data rondschuiven is vaak het traagste, maar ook dat kan nog vrij vlot (en parallel aan het opbouwen van andere delen). Een huis bouwen kost maanden, dus dat voorkom je liever.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland
Politie

@FreezeXJ • 20 juni 2022 19:55

Een hele omgeving in minder dan een uur? Op minder dan een uur krijg je al je servers nog niet gewist op een degelijke manier. Laat staan dat je er verse hypervisors op hebt gezet en je omgeving opnieuw hebt ingericht om alles te kunnen deployen.. Daarna ben je al weer zeer snel beperkt in bandbreedte op zovele plaatsen. Je netwerk moet het aankunnen, maar ook je storage gaat enorm veel schrijfacties moeten uitvoeren. En zelfs met goede caching ga je al snel tegen limieten aanlopen.

Het zal geen maanden of jaren duren, maar op enkele uren? Dan heb je wel een heel kleine onderneming.

barbarbar @FreezeXJ • 20 juni 2022 14:38

Hoezo duurt je omgeving opbouwen uren? Dan ben je toch gewoon spullen aan het terugzetten waarvan je niet weet of ze zijn besmet? Wie weet zit er wel een nieuwe firmware in je netwerkcontroller, of is je raidcontroller aangepast om de schijven boven hun normale snelheid te laten draaien met uiteindelijk hele hoge uitval. Dus moet je je hele hardware ook vervangen. Dat doe je niet in een uurtje. Hiermee zeg je dus eigenlijk dat je wel zeker weet dat bepaalde delen van je omgeving niet zijn aangetast, en daarmee zeggen we dus eigenlijk hetzelfde.

Ayiko @barbarbar • 20 juni 2022 14:23

Als die inbreker, eens hij binnen is, in staat is om een baksteen uit je muur te halen, daar een microfoontje achter of in te steken en dan alles mooi terug te zetten, dan zie je al vlug dat het wel héél duur wordt om achter en in elke baksteen te gaan controleren. Meer nog als je reservebakstenen die je de voorbije maanden naar je backupcentrum hebt gebracht ook al zo behandeld kunnen geweest zijn. Dan mets je gewoon een nieuwe reeds gehakte baksteen in de plaats.

Het is dus niet voldoende om enkel de manier waarop ze vorige keer binnengeraakt zijn te fixen, sinds ze binnen zijn hebben ze waarschijnlijk alle rechten gehad en kunnen ze overal backdoors geïnstalleerd hebben, zelfs in backups met de "cleane" serverinstallaties.

barbarbar @Ayiko • 20 juni 2022 14:34

Dat zijn toch meer onderbuikgevoelens dan wat er in de praktijk gebeurd. Als je onderzoeken doorleest van ransomware aanvallen, dan blijkt dat niet. Alles als besmet beschouwen omdat je eigenlijk geen idee hebt wat er is gebeurd is, is meer een paniek reactie.

Bij een inbreker in je huis ga je ook niet alles controleren, terwijl die ook afluister apparatuur heeft kunnen plaatsen die niet opvalt zodat die precies weet wat het beste moment is voor de volgende inbraak en alvast de code van je nieuwe alarm weet omdat je dat stond uit te leggen aan de rest van gezin. Je controleert voor de hand liggende zaken, en neemt daarop actie.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland
Politie

@barbarbar • 20 juni 2022 19:59

Neen, dat zijn geen onderbuikgevoelens. Dat gebeurd. Gebeurd het vaak? Waarschijnlijk niet. Maar durf jij dat risico lopen? Zeker bij een kritieke dienst als de politie? Ik allesinds niet. Je kan niets meer vertrouwen van alles wat mogelijks gecompromiteerd is. Doe het dan ook niet.

En sommige mensen bij wie is ingebroken, die voelen zich achteraf ook niet meer thuis in eigen huis. Ook daar zijn er mensen die inderdaad verhuizen na een inbraak omdat zij hun woning niet veilig meer vinden. En ja, er zijn ook statistieken te vinden van gebouwen waar inbrekers op korte tijd meermaals langskomen, dus ook dat is zo vreemd niet.

Jij doet nu alsof een inbreker of een hacker maar 1 keer een specifieke woning, bedrijf of doelwit zal treffen, maar er zijn zovele uitzonderingen te vinden dat je dat zelfs al niet meer als eenvoudige regel kunt stellen. Het gebeurd gewoon te vaak.

barbarbar @Blokker_1999 • 20 juni 2022 21:08

Oprechte vraag: heb je analysis/onderzoeken van aanvallen waarbij dit is gebeurd en aangetoond? Ben wel benieuwd namelijk. Wat ik lees en meekrijg uit de praktijk is dat ransomware toch veelal toeval is dat een bepaalde organisatie wordt getroffen.

Durf ik dat risico te lopen? Ja, zeer zeker, en de politie ook. De vraag is meer waar je de grens legt. Want je gaat mij niet wijs maken dat iedere organisatie bij een aanval alle hardware weggooid en vervangt. Meestal blijft het bij de software opnieuw installeren en data zo goed als mogelijk terugzetten. Dus impliciet wordt er maar vanuit gegaan dat firmware of een clouddienst zelf niet gecomprimiteerd is, terwijl dat net zo goed aannames zijn. Een weloverwogen keuze dus uiteindelijk.

Ossebol @barbarbar • 20 juni 2022 15:00

Voor de discussie is het denk ik belangrijk om te benadrukken dat de politie hier niet een gemiddelde it-club is die eventjes wat workstations of servers moet restoren. De politie is belast met de handhaving én opsporing van verdachten van strafbare feiten. Dan wil je - nee, moet je - de bronbestanden optimaal beschermen om te voorkomen dat er inconsistenties ontstaan. Als dit namelijk niet op orde is, kan dit gevolgen hebben voor de forensische opsporing, en daarmee voor de vervolging van verdachten.

barbarbar @Ossebol • 20 juni 2022 15:09

Mee eens, maar veel werk wat de politie doet heeft niets met opsporing te maken. Dat is een aparte tak van de politie. Voor digitaal bewijsmateriaal zijn procedures die nu al gevolgd moeten worden, dat wordt echt niet als dropbox documentje bij Jan de inspecteur opgeslagen.

Volgens mij gaat het hier om dagdagelijkse werkzaamheden van de "gewone" agent, en net zoals in andere organisaties wil je zorgen dat de personeelsplanning, loonadministratie, verlof en kilometervergoeding, arbeidscontracten e.d. hersteld kunnen worden na een aanval. Dus in die zin is het wel gewoon een normale kantoorautomatisering als elke andere partij. Een meldkamer bijvoorbeeld zit al helemaal los van alle andere systemen, met aparte ruimtes voor specialisten die toegang hebben voor opsporing e.d. Daar lijkt me dit al weer niet op van toepassing.

roawser @barbarbar • 20 juni 2022 16:25

Nee hoor. Een agent kan op zijn diensttelefoon gewoon live meekijken met meldingen en er zit echt niemand dit het snel overtypt van airgapped scherm naar scherm.

barbarbar @roawser • 20 juni 2022 16:29

Dat is alleen de kladblok functie vanuit de meldkamer, de meldkamer systemen zelf zijn fysieke systemen die in het pand van de meldkamer staan. Dat daar koppeling mee zijn naar allerlei andere systemen buiten de meldkamer bedoelde ik niet. De aparte ruimtes die ik bedoel zijn de agenten die informatie mogen opzoeken waar een centralist niet bij mag, om ze een incident snel te kunnen inschatten op inzet.

Ossebol @barbarbar • 20 juni 2022 19:51

Misschien heb je gelijk over de dagdagelijkse werkzaamheden. Ik sloeg erop aan, omdat dit niet uit het artikel blijkt. En de politie omvat in dat geval zowel handhaving als opsporing.

LongTimeAgo @Blokker_1999 • 20 juni 2022 15:45

Is het dan niet handig dat je een volledige backup maakt van deze situatie, zelfs als die 'jaren' oud is, om in worst-kaas scenario naar terug te kunnen keren in geval van een ransomware aanval? En dat je van eventuele data incremental backups maakt zodat je die weer zou kunnen restoren op de 'jaren oude backup'?
Of zal dit qua tijd netto niet uitmaken omdat je dan alsnog alles volledig moet updaten (ook voor beveiliging uiteraard) alvorens je er weer 'live' mee zou kunnen gaan?

Triblade_8472 @feuniks • 20 juni 2022 16:00

Ik snap dit soort comment nooit.

Je kan toch gewoon data en databases terughalen zonder malware? Je hoeft niet altijd verplicht de volledige machine terug te zetten toch? Gewoon geen gekke file terug halen, tenzij je weet wat het is. Veeam kan zelfs files scannen bij het restoren, dus ik zie niet zo snel een probleem...

Ja het kost meer tijd om alles up-and-running te hebben, maar de data is gewoon veilig en terughaalbaar.

Dus wat SilentDecode zegt is zo gek nog niet hoor.

Sissors @Triblade_8472 • 20 juni 2022 16:18

Probleem is dat je backups versleuteld worden voordat je reguliere data versleuteld wordt. Als dat pas na een paar weken gebeurd, en je dan je backups wil terugzetten, blijkt dat die al weken ook versleuteld waren.

Triblade_8472 @Sissors • 20 juni 2022 19:37

Dat is gewoonweg niet zo, zeker niet bij immutable backups. Je kan dat gewoon goed en gescheiden inrichten.

Het kan alleen als je niet alles goed inricht, maar het zijn echt geen simpele zielen daar!

Sissors @Triblade_8472 • 20 juni 2022 23:54

Hoe zou dat niet gebeuren bij immutable backups? Hoe lost het iets op dat je het gescheiden hebt? De backups worden niet aangepast, als ze worden gemaakt zijn ze al versleuteld. En je normale data is dan nog niet versleuteld, waardoor je niks in de gaten hebt.

Triblade_8472 @Sissors • 21 juni 2022 13:52

Omdat Immutable backups niet op een toegankelijke machine gemaakt worden. Althans, op die ene poort na waar de data door binnen komt. Meestal buiten de organisatie.
Zo een machine is niet toegankelijk op afstand op welke manier dan ook. Niet met VMware (console), SSH of wat dan ook.
Een virus maakt hier dan 99,999999% zeker geen kans op binnendringen.

Gescheiden netwerk is wanneer je een netwerk segmenteert dat er geen enkel verkeer binnen kan komen dan wat je toestaat. In het geval van een backup zou ik het SAN direct (dus via een eigen switch of direct, niet via VLAN als je echt streng bent) aan de backup oplossing hangen en snapshot backups maken van dit SAN. Deze fysieke backup server zit in een eigen segment waar niks op kan binnen komen en je naar een fysiek console moet om zaken te regelen.

Handig? Nee, zeker niet. Veilig, absoluut.

Mocht je (windows/product/firmware) updates willen, dan prik je er om de x tijd een netwerk kabel in, die via ACL of firewall regels alleen data naar buiten toestaat (en dat specifieke verkeer uiteraard weer terug).

Sissors @Triblade_8472 • 21 juni 2022 14:29

Maar ga je dan de schijven fysiek overzetten naar een nieuwe machine, en die maakt de backups? Dat zou je probleem inderdaad oplossen, maar ik denk dat het nadeel van die methode ook erg duidelijk is. Want als de data wordt doorgestuurd door de server waar de handel op draait, en die is geinfecteerd, dan blijf je je probleem houden.

barbarbar @Triblade_8472 • 20 juni 2022 21:14

Maar wie zegt dat de firmware van de machines niet is aangetast? Dat neem je aan maar is ook nergens op gebaseerd.

Triblade_8472 @barbarbar • 20 juni 2022 21:45

Ja, zo kan je wel 100.000 dingen verzinnen om gelijk te halen. Maar dat maakt het niet sneller waar.

Mijn reacties begonnen met het feit dat goede backups gewoon niet moeilijk zijn. Totaal niet. Zeker niet naar tape (wat nog steeds de beste vorm van backup is. Dus succes met je firmware daarop.)

Het is gewoon kip simpel, maar te weinig clubs doen het goed.

Waarom hij daar een -1 op krijgt snap ik niet, want het is gewoon keihard waar.

Of ga je mij nou wijsmaken dat backups geen goed idee zijn omdat alles ooit misschien zonder bewijs wel of niet geïnfecteerd kan zijn?

barbarbar @Triblade_8472 • 20 juni 2022 21:50

Ik ben het met je eens, maar punt blijft dat je altijd een afweging maakt in wat je nog vertrouwd en wat niet. Wat hier vaak wordt genoemd is of je je backups wel kunt vertrouwen er van uitgaande dat je al weken of maanden iemand in je systeem hebt zitten. Of die dan op tape staan maakt weinig uit. Nog los van hoeveel zin het heeft om backups terug te zetten die al enkele uren of dagen oud zijn. Sommige organisaties kun je gewoon opdoeken als je backups van de vorige dag gaat gebruiken, daar heb je niks meer aan om weer operationeel te worden.

Triblade_8472 @barbarbar • 20 juni 2022 22:06

Zeker een afweging.

Maar mensen hier lijken backups niet te snappen. En dat snap ik wel, het is niet ieders core-business.

Er zijn 3 zaken die mensen zouden moeten snappen:
1) Er bestaan immutable backups, dit zijn backup bestanden die na de backup niet meer aanpasbaar zijn.
2) Backup tapes zijn de beste vorm van backup. Airgapped, zelfs 100% offline (tenzij je ze terug stopt) Alleen mensen hebben het idee dat het oudbollig is omdat het magneet tape betreft. Maar niets is minder waar.
3) Je mag, echt waar, alleen files terug halen uit backup. Je hoeft dan geen virussen mee te restoren, geen exe, cmd, scr, js, ps1 enz enz. Stel dat je iets ernstigs hebt, dan kan je in het uiterste geval nieuwe hardware aanschaffen, je backuptapes inlezen en alleen databases, docx'jes enzo restoren. Het is een hel van een klus waarschijnlijk, maar ik vermoed wel 100% veilig. Zeker als je de restore ook scant op een tussenmachine.

Hier is zeker wel wat op aan te merken.
1) Immutable is eigenlijk een leugen, alles is uiteindelijk aanpasbaar met genoeg moeite. Alles is uiteindelijk hackbaar. Je maakt het wel hééééél moeilijk. Hiernaast, waar staat je backup eigenlijk? Op locatie? Dan kan het ook versleuteld worden als het niet goed is ingericht. Of desnoods verwijderd worden. In het ergste geval zijn immutable backups 'corrupt' doordat ze aangepast zijn. Maar ja, dan heb je er ook geen fluit aan.
2) Tapes zijn gevoelliger voor beschadiging. Zowel magnetische velden als simpelweg tijd. Hoewel het echt wel heel lang mee gaat, vergaan ze wel natuurlijk. Ook moet je de tapes goed donker, vochtvrij en stofvrij bewaren.
3) Als je niet scant dan zou je technisch gezien een macro virus kunnen binnen halen.

Er zijn vast bedrijven die er geen dag uit kunnen liggen, maar ook daar zijn oplossingen voor. Die kosten klauwen met geld, maar als het zo bedrijfskritisch is dan doen zij dat echt wel.

Vanuit de ISO 27001 (bijvoorbeeld) moet je al die risico's afgedekt hebben tot het redelijke voor je bedrijfsveiligheid.
Dat houd in dat als je geen één dag eruit kan liggen, dat je volledig schaduw omgevingen moet hebben die airgapped zijn met immutable backups om de x minuten/uren. Anders krijg je namelijk geen certificaat.
Tenzij het opeens toch niet zo bedrijfskritisch blijkt te zijn (99% van de gevallen denk ik), dan mag je het met minder doen.

Er is geen enkel bedrijf dat goede backups heeft (naar de serieuze standaarden in de backup wereld) en niet goed kan restoren. Echt niet. Kijk naar alle incidenten met ransonware. Weet je wat het patroon is? Geen goede backups. Gewoon NIET kunnen restoren.
Weet je waarom? Omdat de meeste bedrijven het wél goed op orde hebben en dus niet in het nieuws komen.

De soep wordt nooit zo heet gegeten...

barbarbar @Triblade_8472 • 20 juni 2022 22:36

Mooie aanvulling. Uitgangspunt zou combi moeten zijn met monitoring zodat je gericht kunt zoeken naar de oorzaak, want pas dan weet je wat veilig is en wat niet. Wat doe je met de mail van medewerkers? Is dat veilig of zat daar een gerichte phisingmail tussen met een foute link? Of dat document die iemand heeft gekregen met een verborgen macro? Of dat png'tje die de browser van de beheerder deed crashen waar een zero day met payload in bleek te zitten? Of dat malformed request wat in de log database staat en leuk wordt gerestored en weer actief wordt als de logtool weer opent?

Heb je je backups teruggezet, zit je de volgende dag weer mer dezelfde ellende.

[Reactie gewijzigd door barbarbar op 24 juli 2024 07:37]

MisterEagle @Triblade_8472 • 22 juni 2022 14:07

"alleen databases, docx'jes enzo restoren"
En als daar nou net die macro in zat dat de rest heeft binnengehaald?

Triblade_8472 @MisterEagle • 22 juni 2022 15:04

Staat bij mijn aanmerking op punt 3, als je alles goed leest.

Elders heb ik daar ook een oplossing voor geschreven. Bijvoorbeeld Veeam heeft Secure Restore waarmee je eventuele macro virussen tijdens het restore eruit kan pikken met een scan voor het naar productie hersteld wordt.

MisterEagle @Triblade_8472 • 22 juni 2022 18:53

Daar heb ik inderdaad overheen gelezen, my bad!

Guru Evi @feuniks • 20 juni 2022 15:57

En al die zaken zijn heel gemakkelijk tegen te beschermen en kunnen ook opgemerkt worden door elke degelijke SysAdmin. Als mijn backups niet werken voor een week vind ik dat snel uit, ik heb rapportages, logs en tests die kunnen aangeven en dit is ook geautomatiseerd.

Dat hoeft echt niet jaren te duren zelfs in grote bedrijven/organisaties.

gimbal @Guru Evi • 20 juni 2022 17:15

Het is heel erg makkelijk om dat te zeggen als je het allemaal al hebt draaien. Maar nu de uitdaging om datzelfde in te richten in een veel grotere omgeving waarvan je nu al kunt raden dat het een incoherente puinhoop is van verouderde en ongedocumenteerde chaos, met hier en daar mission critical custom built software waarvan je niet even een migratiehandleiding van het internet trekt.

Tusk @feuniks • 20 juni 2022 15:43

Airgaped backups op tape. Dan ben je wellicht wat recente data kwijt (afhankelijk van hoe lang ze al binnen zijn) , maar dan hoef je iig niet vanaf 0 te beginnen.

Timmmeeehhh @feuniks • 20 juni 2022 18:15

Zou een server op ZFS hier geen oplossing voor kunnen bieden? Die houd snapshots bij van al je files, in principe zou je ze hiermee gewoon kunnen restoren naar een punt voor de corruptie. Snapshots nemen ook niet echt veel ruimte in, puur de wijzigingen per bestand.

feuniks @Timmmeeehhh • 20 juni 2022 18:50

Zou een server op ZFS hier geen oplossing voor kunnen bieden? Die houd snapshots bij van al je files, in principe zou je ze hiermee gewoon kunnen restoren naar een punt voor de corruptie. Snapshots nemen ook niet echt veel ruimte in, puur de wijzigingen per bestand.

En daar zit hem juist het probleem. Je weet niet wanneer de corruptie begon. Als ze bij wijze van spreken al zes maanden in je systemen zitten, dan heeft het niet zo veel zin om een backup van drie maanden te gebruiken. Bovendien is net zo belangrijk om databases, AD, Firewalls, Routerconfiguratie, en dat soort zaken terug te brengen naar een aantoonbaar schone staat. Daar help ZFS niet bij.

Arfman @SilentDecode • 20 juni 2022 11:59

Hahaha, denken dat 1 Veeam servertje ook maar _iets_ bijdraagt

De druppel raakt de gloeiende plaat nog niet eens.

SilentDecode @Arfman • 20 juni 2022 12:01

Gaat even om het idee hé

het is dan tenminste beter dan niks

sko @SilentDecode • 20 juni 2022 17:26

Zou liever voor Zerto gaan dan Veeam trouwens

SilentDecode @sko • 20 juni 2022 22:29

Nog nooit van gehoord, om even eerlijk met je te zijn..

sko @SilentDecode • 21 juni 2022 11:59

Werkt zeer lekker https://www.zerto.com/

Vogel666 @SilentDecode • 21 juni 2022 14:30

Ik geloof niet dat dit artikel over backups (in die zin) gaat, maar het gaat vooral om over fall-back systemen.
Heel vervelend dat we als IT-ers bij backup denken aan reserve kopieen van data terwijl het in de gewone wereld gaat om reserve exemplaar.
Je wil graag dat wanneer de politie getroffen wordt op hun primaire systeem dat de meldkamer niet 3 maanden plat gaat zoals bij Maersk.

je wilt een separaat domein, separaat netwerk, andere platform, andere software....dezelfde data.
Kortom 1 .NET applicatie op een Windows server met IIS met een postgress database en 1 Java applicatie op een linux server met apache en een progress database.

Ping83 20 juni 2022 11:34

Het lijkt mij niet zo verstandig om dit in het nieuws te brengen, iets met slapende honden wakker maken

n9iels

@Ping83 • 20 juni 2022 11:57

Mwah, je kunt in deze kop "politie" weghalen en een willekeurig groot bedrijf toevoegen. De meer gesloten grote bedrijven heb ben net zulke grootte problemen. En dan staat de vraag of een beschikbare back-up veilig is voor een ransomware aanval ook nog open.

Luchtbakker @Ping83 • 20 juni 2022 11:39

Er vallen weinig slapende honden wakker te maken. Het is al jaar en dag bekend dat de IT systemen bij de politie en belastingdienst zeer amateuristisch functioneren. Als een hacker echt zijn slag had willen slaan dan had die het al lang al gedaan.

engessa @Luchtbakker • 20 juni 2022 11:42

Of ze functioneren toch beter dan algemeen aangenomen wordt. Blijft natuurlijk de nationale hobby van IT’ers, lekker bashen op de it van de overheid.

Of het is nog veel triester en we hebben helemaal niet door dat ze in de systemen zitten..

Anoniem: 1322 @engessa • 20 juni 2022 12:05

Blijft natuurlijk de nationale hobby van IT’ers, lekker bashen op de it van de overheid.
Vergeet niet dat veel bezoekers hier vaak genoeg bij de overheid zitten. De boel draait daar immers grotendeels op 'externe krachten'.... Het is een trieste bende uit mijn persoonlijke ervaring. Die ervaring is is jaren oud maar met de instelling van de overheid zal daar echt niets veranderd zijn.

PhanToM__ @Anoniem: 1322 • 20 juni 2022 13:45

Klopt, overigens het probleem zit niet zozeer bij de IT'ers, maar eerder bij de so-called managers die er niets van snappen.

Ik ben ervan overtuigd dat de grootste tekortkoming van een IT-er is dat de IT-er in kwestie zich eigen niet kan uitdrukken op een manier dat het te begrijpen valt voor een ambtenaar.

Ook nog eens rekeninghouden dat de overheid vaak met aanbestedingen werkt. M.a.w. een back-up project zal waarschijnlijk weer op de markt komen en externe bedrijven gaan hun voorstellen indienen en mensen die er niets van snappen gaan keuzes moeten maken. En heel dit werkwijze duurt gigantisch lang.

roawser @PhanToM__ • 20 juni 2022 16:32

Vooropgesteld: ik heb zeer gemixte ervaringen met de politie en wil ze niet in bescherming nemen want dat hebben ze van mij niet nodig. Maar roepen dat er zogenaamde managers rondlopen die er geen jota van snappen is populistisch en ver van de realiteit verwijderd. Ze snappen daar heus wel wat een backup is en waarom ze het nodig hebben, en wat de risico's en uitdagingen zijn. Ik heb er uiterst kundige en ervaren "so-called managers" gesproken en gekend. Dit is eigenlijk geen zinvolle bijdrage aan de discussie hier. Vertel me liever hoe je zoiets aanpakt, een gegarandeerd schone omgeving asap neerzetten met zo weinig mogelijk dataverlies, dan leer ik ook nog iets.

PhanToM__ @roawser • 20 juni 2022 17:03

Zie mijn bericht niet als een verwijt t.o.v. de managers. Eerder een punt willen maken van de communicatie kloof tussen de ITers en de managers.

Ik spreek vanuit een persoonlijke ervaring. Ik word verschillende malen opgeroepen om video beelden te tonen van bepaalde klanten voor eventuele bewijsmateriaal. Mijn broer zelf is een hoodinspecteur. Daarbovenop ken ik wel wat mensen die in de financiën werken.
Die mensen zijn verre van "dom" het zijn enorm kritische mensen die heel wat kunnen analyseren. Zodanig kritisch dat het soms onmogelijk lijkt om de juiste informatie over te brengen.

Echter op vlak van IT missen ze de fundamentele kennis. Men moet zich niet afvragen wat hen zoiets gaat kosten, eerder, wat het hen zou kosten, als ze de back-up plan niet zo snel mogelijk gaan implementeren.

Ik zou niet weten hoe ik zoiets zou kunnen aanpakken. Daarvoor heb ik te weinig context.

offtopic:
Verder wil ik me excuseren als mijn bericht als een verwijt overgekomen is. Mijn bedoeling was zeker niet om iemand in het slecht daglicht te zetten.

[Reactie gewijzigd door PhanToM__ op 24 juli 2024 07:37]

Anoniem: 1322 @roawser • 20 juni 2022 17:24

Maar roepen dat er zogenaamde managers rondlopen die er geen jota van snappen is populistisch en ver van de realiteit verwijderd. Ze snappen daar heus wel wat een backup is en waarom ze het nodig hebben, en wat de risico's en uitdagingen zijn.

Dit artikel is al zo krom dat het volgens mij niet eens correct wordt uitgelegd. Volgens mij praten we hier namelijk niet over een 'back-up' oplossing maar eerder een disaster recovery omgeving.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland
Politie

@Anoniem: 1322 • 20 juni 2022 13:01

Als het zoveel op externen draait, kan je toch moeilijk de overheidsdiensten de schuld geven. Zij besteden het werk namelijk uit.

latka @Blokker_1999 • 20 juni 2022 13:07

Toch wel: als het project "backup die zooi" niet het groene licht krijgt dan is er niemand mee bezig. Ik ken weinig projectmanagers die het een goed idee vinden om buiten de geschetste project kaders te kleuren.

Anoniem: 1322 @Blokker_1999 • 20 juni 2022 13:45

Het is niet de schuld van de externen. Die doen tot de letter wat van ze gevraagd wordt.
Zoals @latka hieronder ook aangeeft kan je niet eens met wat anders bemoeien. Je wordt dan heel snel teruggefloten en op de vingers getikt. Dat geldt trouwens ook als je 'gewoon' ambtenaar bent.

Dit is uiteraard niet exclusief tot IT. Je ziet wel vaker organisaties die alles 'uitbesteden' en dan volledig de grip op dat onderdeel kwijtraken.

Tha_Clown @Anoniem: 1322 • 20 juni 2022 13:59

Het is niet de schuld van de externen. Die doen tot de letter wat van ze gevraagd wordt.
Zoals @latka hieronder ook aangeeft kan je niet eens met wat anders bemoeien. Je wordt dan heel snel teruggefloten en op de vingers getikt. Dat geldt trouwens ook als je 'gewoon' ambtenaar bent.

Als ex-ambtenaar kan ik dit beamen. In het jaar dat ik op de IT afdeling van een overheidsinstelling heb gewerkt, was het echt not done om taken buiten mijn werkveld en aandachtsgebied op te pakken, of zelfs aan te kaarten. Dat 'behoorde niet tot mijn taken' en lag bij een andere afdeling.

Na dat jaar was ik dan ook wel klaar met het ambtenaren-bestaan.

Seditiar @engessa • 20 juni 2022 12:55

Of het feit dat de straffen extreem zullen zijn vergeleken met een willekeurig bedrijfje hacken is de reden dat niemand het nog (op grote schaal) gedaan heeft.

SPee @Seditiar • 20 juni 2022 13:36

Ik zou eerder denken aan de risk/reward factor.
Je hebt een hoog risico dat je de Politie achter je aan krijgt

, maar je zult er vrij weinig voor terugkrijgen. Het is geen bank waar je miljoenen vandaan kunt halen. Criminelen hebben wat dat betreft meer aan inside informatie en dat is met informanten op te lossen. Dat reduceert ook het risico/pakkans.

Seditiar @SPee • 20 juni 2022 14:02

Klopt ja, risk reward is het gewoon uiteindelijk. Dat of iemand zoekt een uitdaging, maar in dat geval zijn er wel betere doelwitten

CH4OS @engessa • 20 juni 2022 13:12

Bij de politie is IT hetzelfde als bij de overheid: er is niet alleen de IT om rekening mee te houden, maar - helaas - ook de politiek / het politieke spel, omdat de burgemeester of minister ook een vinger in de pap hebben en je soms dus moet werken om te maken wat je opgedragen is om te maken, ook al is dat vanuit IT optiek niet de beste mogelijkheid.

[Reactie gewijzigd door CH4OS op 24 juli 2024 07:37]

youridv1 @Luchtbakker • 20 juni 2022 11:42

Ga maar rustig uit van de hele overheid. Je wilt het fijne van die beveiliging echt niet weten, kan ik je verzekeren

rbr320 @youridv1 • 20 juni 2022 12:04

Bron: trust me bro.

Ik heb zelf op meerdere overheids-IT projecten gewerkt waar de beveiliging prima op orde was. Natuurlijk kan het altijd beter, maar de standaard "best practices" waren in ieder geval geïmplementeerd en werden nageleefd. Toegegeven, dit waren kleine losstaande projecten, ik doe geen uitspraken over de overheids-ICT als geheel.

youridv1 @rbr320 • 20 juni 2022 12:09

Bron zijn mijn eigen ogen lmao. Ik heb dit nergens gelezen. Ik heb eerstehands plain text opgeslagen gevoelige wachtwoorden zien staan die in een email chain even het bedrijf doorgestuurd werden met een reply all met nul 2FA.
Kan ik geen best practise noemen, zo veel fantasie heb ik niet

Dus ja, de bron is trust me bro

[Reactie gewijzigd door youridv1 op 24 juli 2024 07:37]

rbr320 @youridv1 • 20 juni 2022 12:45

Je zult mij ook niet horen zeggen dat het nooit mis gaat bij de overheid, daar zijn voorbeelden genoeg van. Mijn punt is dat het op het veel plekken binnen de overheid ook gewoon goed gaat en dat er zeker aandacht voor is en aan gewerkt wordt.

Bovendien gaat het binnen bedrijven ook vaak fout, daar heb ik ook genoeg voorbeelden van gezien alleen bedrijven hoeven daar niet zo open over te zijn en doen dat dan ook niet.

Men vergeet wel eens dat de overheid de grootste ICT werkgever is van Nederland. Waar mensen werken worden fouten gemaakt, meer mensen = meer fouten.

youridv1 @rbr320 • 20 juni 2022 13:48

Breek me over andere bedrijven de bek niet open inderdaad. Gelukkig wordt door thuiswerken iets meer naar die dingen gekeken, maar de veiligheid kan zeker beter.

En je hebt ook gelijk, meer mensen meer fouten. Zeker als het bedrijf niet IT focussed is.

Anoniem: 1322 @rbr320 • 20 juni 2022 17:34

Je hoeft maar te googlen om te zien dat de overheid over het gehele vlak faalt. Man, dit bericht is toch al bewijs genoeg. Wat wil je nog meer, gemeenten die alles kwijt raken?
nieuws: Gemeente Buren: Daders ransomware-aanval gebruikten gestolen inloggeg...
nieuws: Gemeente Hof van Twente heeft geen toegang tot systemen door grote cy...
Of admin credentials openbaar op internet?
geek: Tweaker ontdekte admingegevens Azure-ontwikkelomgeving Belastingdienst ...

Iedereen weet dat ze er een potje van maken met ICT. Denk je echt dat beveiliging daar dan plotseling magisch buiten valt?

rbr320 @Anoniem: 1322 • 21 juni 2022 09:44

Ik zeg nergens dat het nooit fout gaat bij de overheid. Maar het is ook niet waar dat het nooit goed gaat bij de overheid. En voor het bedrijfsleven geldt precies hetzelfde, alleen daar hoor je minder over omdat die het geheim houden totdat het echt niet anders kan.

Vanaf de zijlijn overheids-ICT bashen is makkelijk. Ga er gewoon eens aan de slag om de situatie te verbeteren, ze hebben vacatures genoeg.

Anoniem: 1322 @rbr320 • 21 juni 2022 18:36

Ik weet het, er komen wekelijks verzoeken langs

Ik neem ze alleen niet meer aan want ik heb geen zin in de manieren waarop projecten worden gedraaid. Mijn laatste project bij de rijksoverheid duurde 3 jaar waar deze normaal 3 tot 6 maanden duurt. Ik vind het wel prima en hoor tegenwoordig het geklaag wel aan van de collega’s.

Het ligt echt niet aan de uitdagingen maar aan de manier waarop ze ‘gemanaged’ worden.

Hellboy! @Luchtbakker • 20 juni 2022 11:46

Waarop baseer je deze aannames? Heb je er gewerkt?

LurkZ @Hellboy! • 20 juni 2022 20:08

Waarop baseer jij dat het aannames zijn? Heb je er gewerkt?

Hellboy! @LurkZ • 20 juni 2022 21:04

Jazeker, ook bij diverse andere instanties. Ook overheid buitenland.

Schuurdeur @Ping83 • 20 juni 2022 11:38

Volledig mee eens, nu is het voor criminelen nog aantrekkelijker geworden om het te proberen….

youridv1 @Schuurdeur • 20 juni 2022 11:40

Ik wil niet zeggen dat ik graag wil dat de politie een ransomware aanval op zijn dak krijgt, maar als je anno 2022 geen goede backup oplossing hebt, dan solliciteer je er wel naar.

Is het tactisch handig om dit hardop toe te geven? Nee, maar misschien was dat juist de gedachtegang van de minister. Als de politie geen voort maakt, dan maar dwingen

[Reactie gewijzigd door youridv1 op 24 juli 2024 07:37]

NuEffeNiet @Schuurdeur • 20 juni 2022 15:38

Tuurlijk joh, als crimineel ga je proberen de politie af te persen, ik denk dat er gemakkelijker doelen zijn...

LurkZ @NuEffeNiet • 20 juni 2022 20:12

Zo'n aanval kan op een andere manier voordeel opleveren.
Denk bv aan dossiers van bepaalde criminelen wissen of versleutelen.

jimmydigi @Ping83 • 20 juni 2022 11:37

Ik denk dat die slapende honden echt wakker gemaakt moeten worden, structureel.
Ergens zijn er kraantjes verstopt denk ik..
Neem verder aan dat Amerika ons wel kan voorzien met volledige backups...

BVL1 @jimmydigi • 20 juni 2022 12:36

Of de Chinezen

Insomnia1988 @Ping83 • 20 juni 2022 13:10

Precies de zelfde gedachten die ik ook heb, echter zo gaat dat vaak in politiek waar je moet Wobben en moet bedelen voor informatie en af en toe naar een rechter moeten gaan omdat ze niet toe geven aan een wob verzoek. Vertellen ze dit wel

eric.1

@Ping83 • 20 juni 2022 13:47

Er staat toch nergens dat ze niet kunnen herstellen van een ransomware-aanval, sterker, het tegenovergestelde wordt al beweerd. Alleen dat een structurele back-up nog jaren duurt, wat dat ook moge beteken. Ik kan me daar eigenlijk geen inbeelding van maken.

Klinkt eerder alsof ze nu handmatig eens per aantal weken een back-upje draaien en dit gaan automatiseren.

Franky Boy 20 juni 2022 11:49

Net als in de hele industrie heeft de politie last van een tekort aan ICT-ers.
Daar komt dan nog bij dat de ICT afdeling maar een heel klein percentage is van het gehele politie personeelsbestand, en er waarschijnlijk vooral focus gaat naar meer blauw op straat.
En bij een krappe markt is de overheid denk ik niet de meest voor de hand liggende werkgever voor ICT-ers.

Diablow @Franky Boy • 20 juni 2022 12:12

Tel daar nog bij op de legacy van het verleden, waardoor er vaak meerdere concurrerende systemen zijn die hetzelfde doen, of voor verschillende regio's. Verder is de regelgeving omtrent politie data ook erg complex. Allemaal dingen die het niet makkelijker maken, en waarmee het niet te vergelijken is met welke commerciële partij dan ook.

Franky Boy @Diablow • 20 juni 2022 13:11

Die verschillende systemen zou nu langzamerhand verdwenen moeten zijn. De NP werd gevormd vanaf 1 jan 2013, en er is een LMO, later LMS (landelijke meldkamer samenwerking) organisatie gevormd vanaf ergens 2017. Daar valt maar een deel van de ICT onder, maar toch.

Groningerkoek @Franky Boy • 20 juni 2022 13:52

De NP bestaat uit 10 regionale afdelingen met elk hun eigen meldkamer en daarnaast opgedeeld in 7 verschillende takken, en dan nog de landelijke diensten. Er worden naast landelijke systemen ook veel eigen systemen gebruikt. En de regionale afdelingen onder 1 vlag is vooral een administratief ding waarbij software binnen die afdelingen nog niet volledig is geïntegreerd.

Franky Boy @Groningerkoek • 20 juni 2022 14:18

De meldkamers draaien meer en meer op gestandaardiseerde hardware en software. Hoe dat bij de rest zit weet ik niet precies.
Van de 10 geplande meldkamers draaien er nu volgens mij 4 op LMS infrastructuur. Een aantal zitten in de voorbereiding, bv. Oost Nederland. Daar is het gebouw (in Apeldoorn) klaar, en moet de afwerking nog af.
Planning daar is volgens mij begin 2023.
De oude die gaan verdwijnen, neem je dan denk ik bewust niet mee in een nieuw te ontwerpen systeem dat als backup gaat werken.

Guru Evi @Franky Boy • 20 juni 2022 18:30

Uit ervaring: de centrale systemen werken voor geen ruk en de mensen die met de data moeten werken maken dan een export in Excel, dat rondgaat in email en vervolgens een slimmerik zet er dan een script in on het een en ander te vereenvoudigen dat in sommige gevallen een Access database wordt, of ze kopen FileMaker aan want dat is ook een database, elke 2 jaren (voor een audit) wordt het dan het probleem van de lokale IT-er of van een jobstudent om dit (manueel) te synchroniseren met de grote database die in vele gevallen geen enkel overeenstemmend uniek veld hebben met de lokale oplossing.

Bierkameel 20 juni 2022 12:21

Wat een onzin dat dat zolang moet duren, ik snap dat ze geen immutable storage in de cloud willen want wie geeft de zekerheid waar je data terechtkomt.
Er zijn tegenwoordig genoeg on-prem appliances met immutable storage, daar kan je gewoon een derde backup naartoe schrijven zodat je nog iets achter de hand hebt als het fout gaat.
Het zal wel weer een kwestie van geld zijn.

wica @Bierkameel • 20 juni 2022 12:43

Psst, ze kunnen ook er voor kiezen om de Backup As A Service van de Rijksoverheid cloud te gebruiken.
Dan weten ze zeker, waar het terecht komt.

Franky Boy @Bierkameel • 20 juni 2022 13:15

En als die on-prem cloud nu aangevallen is? Dit gaat om meer dan alleen een extra backup, of nog een router/switch erbij. Dit moet een alleenstaand systeem worden, dat bij uitval/aanval geheel overgenomen kan worden.

Groningerkoek @Bierkameel • 20 juni 2022 13:40

Je kunt makkelijk 100 back-ups draaien, het probleem is om je back-up actueel, schoon en veilig te houden.

En geld is hier niet echt het probleem, als het een miljard zou kosten dan wordt die vrijgemaakt in de begroting omdat dit als een noodzakelijk iets wordt gezien.

eheijnen 20 juni 2022 12:30

De info in het artikel is wat aan de magere kant om daar een goede conclusie uit te kunnen trekken wat er nou precies ontbreekt en in hoeverre deze systemen achterlopen.

Als het bij zo'n organisatie mogelijk zou zijn middels ransomware (of andere meuk) de boel lam te leggen waardoor ze van back-up zouden moeten herstellen zou dat betekenen dat ze voor een bepaalde periode vleugellam zouden zijn. Dat lijkt me inacceptabel voor zo'n dienst en zou tot een gigantische landelijke chaos kunnen leiden.

Groningerkoek @eheijnen • 20 juni 2022 12:43

De politie werkt met veel verschillende systemen, zolang er communicatie met de meldkamer is en de burger de nooddiensten kan bereiken via de telefoon hoeft er geen chaos te ontstaan. P2000/C2000 hebben een eigen back-up en daarnaast is er een app op de telefoon voor agenten die directe communicatie met de meldkamer mogelijk maakt (Twijfel even op die al ingevoerd is, daar zouden ze in 2020 mee beginnen)

Zoals ik het nieuws de afgelopen jaren heb meegekregen gaat dit echt over de interne systemen (aangifte doen, onderzoeken, interne administratie, email etc..en niet over de communicatiekanalen tussen meldkamer, burger en agent.

JoStad 20 juni 2022 14:11

De inschatting van dat het tenminste 3 jaar zou duren zou wel weer gedaan zijn door de zogenaamde "externe deskundigen" die wel weer een mooie melkkoe van 3 jaar aan dat project zien zitten.

Bulkzooi @JoStad • 20 juni 2022 21:54

Dat zeiden ze 23 jaar geleden ook. Ondertussen is het er niet beter op geworden.

Aschtra 20 juni 2022 12:14

Een geïnfecteerd systeem back-uppen heb je anders ook weinig aan. Of je back-up dan immutable is of niet..

barbarbar @Aschtra • 20 juni 2022 13:49

Als je weet hoe ze zijn binnengekomen, dan heb je daar natuurlijk wel wat aan. Net zoals bij een inbraak in een huis of bedrijf ga je eerst kijken hoe ze zijn binnengekomen, als je dat weet kun je daar (indien nodig/mogelijk) dingen herstellen. Zelfde met IT, als je weet hoe er binnengekomen is, kun je dat herstellen. Voorwaarde is dan natuurlijk wel dat je al aan monitoring doet en een goed overzicht hebt van je omgeving. Bij een inbraak in een huis vervang je het kapotte glas, vervang je de sloten eventueel, plaats je een dranger op je tuinhek en leer je je kinderen de deur altijd op slot te doen. En dan ga je weer verder. Je gaat je huis niet tegen de vlakte gooien en dan weer net zo opbouwen.

eheijnen @Aschtra • 21 juni 2022 07:55

Bij het regelmatig maken van back-ups zal er ook een punt in de tijd zijn waar de back-ups "schoon" zijn c.q. het systeem nog niet geïnfecteerd was. Dit is waar het om gaat in zo'n situatie.

Dan kom je bij een infectie in de situatie waarbij hersteld word vanuit back-up en de mutaties die tussen de de back-up en de infectie (nu) liggen handmatig worden toegevoegd.

[Reactie gewijzigd door eheijnen op 24 juli 2024 07:37]

Groningerkoek 20 juni 2022 12:55

Het is natuurlijk niet zomaar een bedrijf, het zijn 10 aparte bedrijven met grote onderlinge samenwerking die naast landelijke systemen ook eigen lokale systemen draaien, daarnaast is er niet 1 politiedienst maar zijn er veel verschillende lokale en landelijke diensten met hun eigen systemen (nationale beveiliging, parket, verkeer, trein, water, nationale recherche, interventies etc.. en gaat het om extreem gevoelige info.

Ik snap wel dat hier geen snelle oplossing is.

Franky Boy @Groningerkoek • 20 juni 2022 13:20

Het is inderdaad maar hoe je ernaar kijkt, maar er is 1 NP, sinds 2013 gevormd. Daarin zijn 10 eenheden geformeerd, en de Landelijk Eenheid.
Maar daarbinnen heb je zoveel verschillende disciplines en samenwerkingen. Er wordt samengewerkt met; defensie, ambulance, brandweer, KMAR (ook defensie), ....
En al die informatie mag niet zomaar overal terechtkomen, een 'gewone' agent mag niet bij recherche informatie of geheime operaties, de brandweer mag niet zomaar bij operationele politie info, ....
Het is inderdaad geen makkelijke klus lijkt me.

Mad-Djek @Groningerkoek • 20 juni 2022 15:50

Ik denk dat de screening hier voor nodig is ook niet snel zal gaan. Het lijkt me logisch dat ze gedaan worden door de AIVD maar vergeleken met de NP is dat geen grote organisatie. En niet iedereen die bij AIVD werkt kan en mag een screening uitvoeren lijkt mij. Ondanks dat het in de basis vorm een back-up is van data, dat in principe door elke IT persoon gedaan kan worden. Is de data hier nou niet echt standaard. Dus verwacht ik ook dat de screening hiervoor best pittig zal zijn.

AvanCade 20 juni 2022 11:51

Ik vind dit best verbazingwekkend want bij elke commerciële organisatie was dit binnen 6 maanden geregeld. Maar wellicht heeft de overheid net wat teveel regeltjes of teveel persoontjes die er hun mening of fiat over moeten geven.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Politie
Ransomware

@AvanCade • 20 juni 2022 12:06

Ik vind dit best verbazingwekkend want bij elke commerciële organisatie was dit binnen 6 maanden geregeld. Maar wellicht heeft de overheid net wat teveel regeltjes of teveel persoontjes die er hun mening of fiat over moeten geven.

Ik geloof er niks van. Als je er genoeg geld tegen aan gooit kun je vast een handtekening krijgen, zeker als je het toch niet zo nauw neemt met de regels of de zorgvuldigheid, maar een betrouwbaar backup & recovery systeem opzetten en testen kost veel tijd. Hoe groter de organisatie en hoe meer applicaties/systemen hoe moeilijker het wordt. Backups maken van een draaiend systeem is meer dan wat files kopieren als je wil dat je data ook bruikbaar is als je die nodig hebt. Backups recoveren in een draaiende omgeving is ronduit lastig. Backups recoveren zonder draaiende omgeving is nog lastiger. Incomplete of onbetrouwbare backups terugzetten is een ramp.

dasiro @AvanCade • 20 juni 2022 12:42

dit gaat niet enkel om gewoon wat data/VM backups, maar ook over infrastructuur en hoe van een catastrophic failure te recoveren. Het feit dat je denkt dat ff snel binnen een half jaartje geregeld te hebben geeft aan dat je geen flauw idee hebt hoe complex een landelijk netwerk van een veiligheidsdienst is (zelf weet ik het ook niet, maar ik woon ook niet in nederland, maar kan wel een inschatting maken op basis van bedrijven en overheidsdiensten in het buitenland)

majetta @AvanCade • 20 juni 2022 11:59

In een commerciële organisatie zegt de baas tegen de IT's in de kelder "Regel Het! Zorg dat het werkt, hier heb je en zak met geld, en ik wil geen gezeik meer horen."

Dat kan een minister niet makkelijk doen.

dez11de @majetta • 20 juni 2022 12:13

Hier op deze site wordt regelmatig bericht over falende systemen en backups. Steevast houden de ITers hier elkaar in de reacties de hand boven het hoofd dat management nooit aandacht, interesse en geld hebben voor dingen als backup die alleen maar geld kosten.

Er moeten gewoon eens koppen rollen voor falende IT systemen. Het is kennelijk al tijden bekend dat er geen goede backups worden gemaakt, er is geld, maar het is gewoon niet geregeld door IT. Dan hebben zij zelf de prioriteiten gewoon verkeerd liggen..

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland
Politie

@dez11de • 20 juni 2022 13:00

Er zijn vele redenen waarom IT kan falen. Soms kan het zelfs een gebrek aan budget zijn, maar zelfs als geld geen probleem is zijn er nog een hele hoop andere problemen die ervoor kunnen zorgen dat IT niet goed functioneert.

Om een voorbeeld te geven van mijn huidige werkgever: budget is echt het probleem niet, maar het grote probleem dat wij hebben is mankracht. Ondanks uitstaande vacatures krijgen wij amper kandidaten binnen. Misschien zijn onze vacatures slecht gescreven, misschien speelt er iets anders mee. Ik weet het niet. Maar als je een takenlijst hebt van hier tot Tokyo en er staan tientallen prioritaire zaken op, dan moet je keuzes maken van wat je als eerste aanpakt. En wat je dan aanpakt zijn die dingen die op korte termijn het meeste winst opleveren, zeker naar tijdsbesteding zodat je eindelijk tijd krijgt voor die andere taken.

Anoniem: 710428 @Blokker_1999 • 20 juni 2022 13:43

Gauw aan het werk dan ivm op Tweakers rondhangen:)

MennoE @dez11de • 20 juni 2022 15:28

‘Koppen rollen’ draagt zelden ergens aan bij. Dat is meer een statement naar de buitenwereld dan dat je de organisatie daardoor verandert. Dat is in ieder geval mijn ervaring.

wica 20 juni 2022 11:36

Bij het ministerie van mevrouw Yesilgöz-Zegerius, is nog zoveel mis. Als het over ICT gaat.
Dat ik best wel mijn hart vast hou, als het een keer mis gaat.

Op dit item kan niet meer gereageerd worden.

Structurele back-up voor Nederlandse politie duurt nog jaren

Lees meer

Reacties (122)

Sorteer op:

Weergave: