'Beheerder salarissysteem Brits ministerie van Defensie verzweeg hack'

SSCL, het IT-bedrijf dat het salarissysteem van het Britse ministerie van Defensie beheert, zou al sinds februari hebben geweten dat het was gehackt door vermoedelijk Chinese staatshackers. Dat schrijft The Guardian vrijdag op basis van interne bronnen.

Eerder deze week werd de hack bevestigd aan Sky News en zei het ministerie dat het recent achter de hack is gekomen. The Guardian schrijft dat SSCL echter al maanden wist van de hack en deze niet had gemeld. In april kreeg SSCL nog een contract toegekend ter waarde van 500.000 pond om de cybersecurity van het ministerie te regelen. Volgens ambtenaren die met de krant hebben gesproken is het mogelijk dat dit contract wordt ingetrokken.

Een van de bronnen van The Guardian zegt dat de 'trage reactie' van SSCL verder wordt onderzocht. Het bedrijf en moederbedrijf Sopra Steria hebben in totaal 1,6 miljard pond aan overheidscontracten in handen. De bedrijven zijn verantwoordelijk voor een aantal 'gevoelige' taken binnen de overheid, waaronder de personeelswerving voor het ministerie van Binnenlandse Zaken. Minister van Defensie Grant Shapps wil niet alleen de taken van SSCL bij zijn ministerie herzien. Hij heeft de gehele Britse overheid gevraagd om de samenwerking met SSCL en Sopra Steria te heroverwegen.

De bedrijven reageren niet op vragen van The Guardian. Ook wil het kantoor van de minister-president niet inhoudelijk reageren zolang het onderzoek nog loopt. Het ministerie van Defensie wijst niet naar een specifieke dader, maar volgens Sky News wordt er vermoed dat Chinese staatshackers erachter zitten. De Chinese ambassade in Londen zegt dat China niet verantwoordelijk is voor de hack.

Reacties (20)

wildhagen

Beveiliging en antivirus
Verenigd koninkrijk
Datalek
China

10 mei 2024 19:46

The Guardian schrijft dat SSCL echter al maanden wist van de hack en deze niet had gemeld. In april kreeg SSCL nog een contract toegekend ter waarde van 500.000 pond om de cybersecurity van het ministerie te regelen. Volgens ambtenaren die met de krant hebben gesproken is het mogelijk dat dit contract wordt ingetrokken.

Dat contract intrekken lijkt me wel het minste wat er moet gebeuren, als dit inderdaad klopt en ze het dus doelbewust verzwegen hebben. Daarnaast het bedrijf nooit meer toelaten tot welk overheidscontract dan ook.

Het bedrijf is simpelweg niet te vertrouwen. Kijk, dát er iets gelekt of gehacked wordt, dat kan gebeuren. Kwalijk, maar mits de beveiliging op orde is, is dat nog te overzien. Geef het dan gewoon toe naar in ieder geval je opdrachtgever, in dit geval dus de overheid.

Maar als je doelbewust deze informatie achterhoudt, terwijl je wéét dat het om kennelijk erg gevoelige informatie gaat. Dat is niet gewoon kwalijk meer, dat gaat nog wel een paar stappen verder.

In ieder geval kan het bedrijf gezien deze acties dus simpelweg niet meer vertrouwd worden met erg gevoelige informatie. Er is kennelijk simpelweg te weinig verantwoordelijkheidsgevoel binnen dat bedrijf.

Triblade_8472 @wildhagen • 10 mei 2024 21:01

Ik ben het helemaal met je eens.

Alleen vraag ik je af of dat zomaar mogelijk is. En zowel, hoelang zoiets duurt waarna de zaken weer bekoelen.

Neem de grote jongens in Nederland zoals Centric. 'Iedereen' walgt van dat bedrijf maar ervan af kunnen we simpelweg niet. Het zit door en door in alle lagen van de overheid. Er kan bijvoorbeeld amper nog belasting geint worden als Centric omvalt.

Wat we zouden moeten doen is alles aan minimaal 3 partijen gunnen, elk ongeveer een gelijk deel om te beginnen met een verplichting tot samenwerking en mogelijkheid tot 1:1 in-/export. Of het haalbaar is, geen idee, maar om alles bij 1 grote jongen neer te leggen is garantie tot corruptie en andere ellende.

FreezeXJ @Triblade_8472 • 10 mei 2024 21:53

Het splitsen is ook een garantie op ondermijnend gedrag richting concurrenten, die gaan dan hun uiterste best doen om net aan de specs te voldoen, en vooral zoveel mogelijk edge-cases brak te behandelen zodat hun concurrent erop omvalt. Overhead++. Wat je eigenlijk wilt is dat de overheid zelf capabele mensen de specs laat opstellen, met bijbehorende clausules voor brakke aflevering (arbitrage bij onvoorziene omstandigheden ipv gewoon bijbetalen). Echter is dat lastig, want gezien de stroperigheid van de overheid en de bestaande rommel wil ik (of capabele mensen in het algemeen) er niet werken.

Lodd @Triblade_8472 • 10 mei 2024 23:31

Maar ja, daar is dan ook slecht aanbesteed en slecht (risico) management gedaan. Men had natuurlijk een escrow voor de broncode en documentatie kunnen eisen. Men had natuurlijk een gedegen risicoanalyse kunnen uitvoeren en mitigerende maatregelen kunnen nemen. Maarja, dat kost tijd en moeite, dus dat doet een (project)manager niet graag.

BCC @Lodd • 13 mei 2024 13:16

Of opensource & eigendom eisen als de overheid?

White Feather

@wildhagen • 10 mei 2024 20:23

Helaas wordt dit in de praktijk waarschijnlijk weer afgedaan met een schikking.
Daardoor erkent het bedrijf geen schuld en kan het gewoon weer meedoen met de volgende aanbesteding.

Zo werkt het in Nederland ook:

Volkswagen-importeur Pon koopt voor 12 miljoen euro strafvervolging af in de corruptiezaak rond politie- en legerauto's. Het OM vindt de transactie "een passende afdoening van de strafzaak". Automobielhandel Pon bevestigt de schikking in een persbericht.

m_snel @White Feather • 10 mei 2024 21:26

Waar is die goede oude tijd gebleven dat ze bij Justitie gewoon vroegen om de aanbesteding zo op te stellen dat ze beter uitkwamen.
Ik heb heel veel aanbestedingen in de ict gezien bij de overheid, wat dan de drie of vier grote jongens het werd gegund. Dat terwijl z’n beetje welk project honderden miljoenen meer koste en uiteindelijk gecanceld werd.
De mooiste was nog z’n project waarbij uiteindelijk voor een fractie van de prijs, uit mijn hoofd iets van zes miljoen door een gewoon Nederlands bedrijf binnen de afgesproken tijd werkend werd afgeleverd.

fenrirs @wildhagen • 10 mei 2024 21:19

Nee, handige actie om ‘even’ duizenden IT medewerkers met ongetwijfeld diepgaande kennis van o.a. defensie infrastructuur ‘op straat te schoppen’.

Daar ga je vast je netwerk veiliger mee maken….not

Je kan beter het rotte stukje er uit snijden (de managers die dit soort fouten maken dus)

FreezeXJ @fenrirs • 10 mei 2024 21:54

Het is een extern bedrijf, daar heb je niks over te zeggen. Managers zijn standaard de laatsten die eruit gaan, dus daar heb je mee te dealen. En overschakelen op een startup kan niet, want die voldoen niet aan de certificaten-bende (want dat kost bakken overhead).

dasiro @FreezeXJ • 10 mei 2024 23:20

als je klant een bedrag met 9 nullen op je bankrekening zet, dan heeft die heus wel wat in de pap te brokken als het over bepaalde personen gaat. Oh ja, het is toevallig ook nog eens de overheid en miljoenen burgers die benadeelde partij zijn en een "hostile entity" die een gelukte aanval heeft gedaan op zeer gevoelige infrastructuur. Overschakelen zullen ze idd niet zomaar snel ff kunnen doen, maar dat er wat hoge koppen zullen rollen staat als een paal boven water.

fenrirs @FreezeXJ • 10 mei 2024 22:16

Iets met raad van bestuur en telefoontjes van zekere bewindspersonen…. reken maar dat er eat gebeurt. Ik zou er geen manager willen zijn.

En dan nog, wil je als defensie het risico lopen met een paar duizend gefrustreerde ITers met kennis van jouw infra? Zeker in de huidige politieke situatie niet.

[Reactie gewijzigd door fenrirs op 23 juli 2024 00:03]

Aldy @fenrirs • 11 mei 2024 14:02

Je kan beter het rotte stukje er uit snijden (de managers die dit soort fouten maken dus)

Als je bedoelt de managers die dit soort fouten verzwijgen, dan ben ik het met je eens. Als het over de hack zelf gaat, dan hangt het van de oorzaak af.

fenrirs @Aldy • 11 mei 2024 16:33

Precies, de managers die dit verzwijgen uiteraard. Oók competente ITers kunnen weinig tegen een geraffineerde zeroday attack, maar als die het melden en management doet er kiks mee dan zijn zij de rotte plek

oef! @wildhagen • 11 mei 2024 20:21

Het bedrijf buitensluiten is wel erg kort door de bocht. Waarschijnlijk wist alleen de top, ict en een paar functionarissen wat er speelde. Zoek uit wie er verantwoordelijk is voor deze doofpot en offer die personen. Niemand bij dat bedrijf gaat vervolgens dezelfde fout maken.

Jan Onderwater 10 mei 2024 20:02

Dit is onvergefelijk.
Je shit niet in orde hebben, en je falen verzwijgen. Daar zouden straffen op moeten staan.

FreezeXJ @Jan Onderwater • 10 mei 2024 21:56

Daar staan ook hele strenge straffen op, vaak ontslag voor de medewerker, of een hele harde foei richting de ingehuurde partij (mits voldoende groot). Soms mag je zelfs niet meedoen bij de volgende bedrijfs-golf-clinic!

dasiro 10 mei 2024 21:22

Dat contract lijkt maar een peulschil tov het totale pakket dat ze verzorgen als je enkel ziet naar het bedrag. Zulke firma's zomaar even links laten liggen of er van weg migreren lijkt veel makkelijker gezegd dan gedaan, want het lijkt erop dat ze diep verwoven zitten in de procedures van de Britse overheid. Dit quasi van 0 terug laten opzetten door een ander bedrijf met eventueel aanbestedingsrondes kan wel eens een proces zijn dat jaren duurt en mogelijks zelfs tot dezelfde uitkomst leidt. Dat er serieus wat neergeteld gaat moeten worden en er een langlopende rechtzaak van gaat komen zal niemand verbazen, al denk ik dat de gang van zaken zelf ook een positief resultaat kan hebben in de vorm van betere procedures, controles en beveiliging.

Evertprakkie 12 mei 2024 07:24

Dat heb je als je vaak kiest voor de goedkoopste IT bedrijf tijdens een aanbesteding, dat gebeurd hier in Nederland jammer genoeg ook vaak. Er zijn miljoenen verspild met mislukte IT projecten en de overheid gaat hier gewoon mee door. zie o.a Datalek bij UWV-site en zo kan ik er nog vele meer opnoemen. Bij de overheid zitten geen IT experts en dus word het uitbesteed en dan word er niet gekeken naar de kwaliteit van het bedrijf maar wie is het goedkoopste. Kijk alleen al naar de communicatie systeem van de hulpdiensten die nog steeds niet in orde is en modderen gewoon voort en hebben daar mee miljoenen verspild. En natuurlijk krijgt meteen China weer de schuld zonder enig vorm van bewijs terwijl we weten dat het heel goed mogelijk is om te hacken vanuit een westers land via een westerse server in China of ander land zodat het lijkt alsof China die hack heeft gedaan. Dus 1 op 1 is dat nooit zo aan te tonen en men spreekt ook van een vermoeden. Maar hacks en afluister praktijken vanuit Amerika ook bewezen hoor je niets over. Volgens mij moeten we naïef zo naïef zijn want ook bevriende landen hacken elkaar en plegen bedrijf spionage en worden telefoons afgeluisterd zelfs van politici. Als je instaat bent zo goed te kunnen hacken ben je ook wel in staat je land van herkomst te verbergen, als ik vanuit Nederland via een Chinese server ergens een hack pleeg lijkt het in eerste instantie of uit van China komt, als uit grondig onderzoek dan blijkt dat het uit Nederland komt hoor je daar verder niets over want he we geven gewoon China de schuld.

[Reactie gewijzigd door Evertprakkie op 23 juli 2024 00:03]

Op dit item kan niet meer gereageerd worden.

'Beheerder salarissysteem Brits ministerie van Defensie verzweeg hack'

Lees meer

Reacties (20)

Sorteer op:

Weergave: