Politie opent meldpunt, agenten hoorden vaak via media over hack

De Nederlandse politie heeft een meldpunt geopend voor agenten die vragen en zorgen hebben over de hack waarbij hun gegevens zijn gestolen. Dat kondigt politiechef Janny Knol in een e-mail aan, die op zaterdagmiddag werd verstuurd. Veel agenten waar Tweakers mee sprak zijn niet blij dat zij het nieuws via de media moesten vernemen.

Korpschef Janny Knol stuurde op zaterdag rond 14.30 uur een bericht aan alle 63.000 politiemedewerkers met informatie over de hack die eerder deze week plaatsvond. Dat is ruim een etmaal nadat het nieuws bekend werd. Dat gebeurde aanvankelijk via een Kamerbrief die minister Van Weel van Justitie en Veiligheid publiceerde en een bericht op politie.nl. Kort daarna pakten grote media, waaronder ook Tweakers, het nieuws op, met de beperkte informatie die er toen was.

Meerdere politieagenten, die anoniem willen blijven, zeggen tegen Tweakers dat zij het nieuws pas hoorden toen dat in de media kwam. De eerste berichten verschenen op vrijdagmiddag rond 15.15 uur in de media. De politie plaatste die dag om 14.19 uur een bericht op intranet met als onderwerp 'Datalek bij de politie'. Daarin stond ruwweg dezelfde informatie als in Van Weels Kamerbrief en een artikel op politie.nl. Agenten zeggen dat ze door die korte periode tussen de interne en externe informatievoorziening vaak in andere media lazen dat hun gegevens mogelijk op straat lagen. "Als ik de NOS niet had gelezen, had ik nu misschien nog steeds van niks geweten", zegt een van hen.

Korpschef Knol adresseert dat in haar e-mail van zaterdag, wat de eerste keer is dat werknemers via e-mail over de hack werden benaderd. "In een poging jullie zorgvuldig te informeren via de gebruikelijke lijn, kwam het nieuws sneller dan verwacht", schrijft ze. "Er is vrijdagmiddag een bericht op intranet geplaatst en korte tijd later ook extern op onze website politie.nl. Het spijt me dat een deel van de collega's het uiteindelijk via de media moest vernemen. Bij iets dat zoveel impact heeft, is dat het laatste wat je wil."

Sinds 16.00 uur is er een telefonisch meldpunt actief voor agenten die vragen hebben. Ook heeft de politie op zaterdagmiddag om 13.33 uur een faq geplaatst op intranet. Het is niet bekend welke vragen daarin worden beantwoord. Er is nog veel onduidelijk over de hack, al zegt Knol in haar e-mail dat er 'een kantoorautomatiseringsaccount is gehackt'. Knol erkent dat er nog veel informatie niet bekend is, maar vraagt politiewerknemers 'alert te zijn op gerichte phishingaanvallen'.

Reacties (117)

moonlander 29 september 2024 10:12

Komt ook omdat de media dit een prachtig verhaal vinden. Ze hadden er ook voor kunnen kiezen om het een dag later te publiceren. Als je je mailbox niet leest, maar wel op tweakers of nos zit te surfen dan lees je het daar waarschijnlijk eerder.

Auteur

TijsZonderH Nieuwscoördinator @moonlander • 29 september 2024 11:07

Ze hadden er ook voor kunnen kiezen om het een dag later te publiceren

Waarom zouden ze (we)?

kodak

Politie
Beveiliging en antivirus

@TijsZonderH • 29 september 2024 12:39

De wet stelt niet voor niets dat de verwerker de betrokkenen zelf genoeg moet informeren als er een datalek is wat grote invloed op ze kan hebben. Dat heeft bijvoorbeeld de bedoeling het informeren op een gepaste manier te kunnen doen om zo nadelige gevolgen voor de slachtoffers te beperken of voorkomen. Bijvoorbeeld het overduidelijk te verwachten negatieve gevolg dat slachtoffers en hun gezinnen en omgeving zich meer dan zorgen maken om hun welzijn.

Ik lees bij de meeste berichten niet dat er duidelijk rekening mee is gehouden om dat soort grote gevolgen bij de slachtoffers als ongewenst of onnodig is gezien. Of dat er duidelijk rekening is gehouden met de bedoeling van de wetgever schade te beperken.

Als het tonen dat er iets mis is belangrijker is dan de slachtoffers genoeg beschermen dan moeten daar heel goede redenen voor zijn die niet kunnen wachten. Omdat uitstellen een groot verschil kan maken, als de tijd gebruikt zal worden de slachtoffers wel beter te beschermen. Dat is waarom er op vrijdag ook nieuws was dat het collectief DIVD 5 jaar bestaat. Bekend maken dat er een belangrijk probleem is heeft niet zomaar meer belang dan het kunnen zorgen dat slachtoffers zich genoeg kunnen beschermen als er veel aandacht op het probleem gaat worden gericht.

[Reactie gewijzigd door kodak op 29 september 2024 12:45]

Auteur

TijsZonderH Nieuwscoördinator @kodak • 29 september 2024 15:41

De wet stelt niet voor niets dat de verwerker de betrokkenen zelf genoeg moet informeren als er een datalek is wat grote invloed op ze kan hebben

Ze hebben zelf een bericht op intranet gezet en kort daarna iets gepubliceerd op hun eigen website. Dan vind ik het niet meer aan mij als journalist om te gaan afwegen wat een redelijke termijn is voordat agenten dat intern lezen ipv via Tweakers (of andere media).

kodak

Politie
Beveiliging en antivirus

@TijsZonderH • 30 september 2024 12:11

Journalistiek geeft veel vrijheid, maar ook ethische regels om niet zomaar verantwoordelijkheid richting slachtoffers af te schuiven. Net als het niet de bedoeling is om wetgeving die slachtoffers moet beschermen te negeren omdat het kan. Met vrijheid komt ook verantwoordelijkheid.

Bij datalekken is de wet niet zomaar aangescherpt dat het de verantwoordelijkheid van de verwerker is slachtoffers te informeren. De andere vormen maken problemen voor slachtoffers te vaak onnodig groter. Zoals door net doen alsof een verantwoordelijk recht op die controle verspeelt door te beginnen met communiceren. Of door maar bewust of onbewust voor lief te nemen dat de slachtoffers maar de extra gevolgen mogen ondervinden omdat het kan.

Ik lees in veel nieuws niet welk doel er is om vooral snel te willen publiceren en hoe men daarbij rekening met de slachoffers aan het houden is. Snel publiceren is geen doel op zich. Beschermen van slachtoffers ook niet, maar daar zijn wel grenzen aan die verder gaan dan afschuiven dat anderen informatie bekend gemaakt hebben.

[Reactie gewijzigd door kodak op 30 september 2024 12:13]

onno oliver @TijsZonderH • 29 september 2024 17:40

Al eens gekeken/ geturfd hoeveel keer het politie domein voor komt in de data dumps van bv Linkedin en de Parkmobile (twee dumps verschillende jaren).
Daar gebruikers vaak een werk gerelateerd mailadres gebruiken misschien een leuke insteek voor vervolg stuk(je).

edit:typo's

[Reactie gewijzigd door onno oliver op 29 september 2024 22:26]

Krommetenen @onno oliver • 30 september 2024 09:56

Je mag toch gewoon je @tweakers account elders gebruiken?
Had je wellicht een voorgeval waarom men “al eens zou moeten kijken”?

segil @TijsZonderH • 29 september 2024 15:14

Om de werkgever tijd te geven om hun personeel te informeren?

Auteur

TijsZonderH Nieuwscoördinator @segil • 29 september 2024 15:33

Dat zou een argument zijn als je als enige medium een scoop hebt. Dan volg je als medium (in ieder geval Tweakers) een soort cvd-beleid voor je publiceert. Maar als de politie zelf iets online knalt en de minister een brief naar de Kamer stuurt, dan is er geen enkele reden om te wachten met publiceren.

BeosBeing @TijsZonderH • 30 september 2024 10:16

Maar als de politie zelf iets online knalt en de minister een brief naar de Kamer stuurt, dan ...

is het slordig dat ze hun eigen personeel niet informeren. Geeft een beetje te kennen hoezeer men het personeel waardeert.
Zoals @kodak hieronder ook schrijft, stelt de wet dat men de betrokkenen zelf moet informeren. Dat is niet de eerste keer dat de politie de wet overtreedt, de andere keren* die mij bekend zijn was het echter bewust.

* Overtreden bewaartermijn, beelden ANPR-camera's gebruiken voor doeleinden die niet in de wet staan, bij handelingen waarvoor de OvJ of rechter/RC vooraf toesteming moet geven deze achteraf pas vragen, ...

[Reactie gewijzigd door BeosBeing op 30 september 2024 10:22]

Remzi1993 @BeosBeing • 1 oktober 2024 11:18

Technisch gezien hebben ze het gedaan, maar zoals je leest, leest niet iedereen even snel die intranet blijkbaar en werd er pas later een email verstuurd. Ik vind het allemaal een vreemde gang van zaken. Ik snap niet waarom men gewoon 1 bericht maakt, deze op intranet zet en in een email naar alle werknemers van de politie doet. En pas paar werkdagen later dit op de website zet en dergelijke.

Ik snap de gang van zaken niet.

BeosBeing @Remzi1993 • 14 oktober 2024 11:38

Ik snap de gang van zaken niet.

Dat is waarschijnlijk hoe de prioriteiten liggen: eerst de minister en eventueel de kamer informeren.

Ik heb geen idee of de agenten die undercover werken ook in de hack zijn meegenomen (is denk ik ook in andere reacties genoemnd) maar stel dat dit wel het geval is - zeker gezien er, naar later is gebleken, ook portretfoto's uit visitekaartjes zijn buitgemaakt - dan zou je dus onmiddellijk al die/alle undercoveragenten moeten terugtrekken en waarschijnlijk hen ook nog van een nieuwe identiteit moeten voorzien. Dat laatste zie je wel eens in Amerikaanse films, maar volgens mij heeft Nederland die capaciteit niet eens.
Weet je niet of ook van die undercoveragenten gegevens zijn gelekt dan zou je ze in ieder geval een prioritair bericht moeten sturen en dan dit moeten onderzoeken.

En zoals ik aangaf, denk ik - als leek en buitenstaander - en dat er ook wel wat ontbreekt aan de waardering door ofwel de politieke leiding, ofwel de korpsleiding ofwel op andere niveau's in de hierarchie. Er zijn de laatste jaren diverse berichten naar buiten gekomen over intimidatie, racisme, sexisme e.d. waar structureel niets aan wordt gedaan. (het zit ook elders in het overheidsapparaat*) Daarnaast was de gehele politietop betrokken** bij corruptiezaken als de aanbesteding van alcoholtesters, munitie, Eerstehulp-pakketten, wapens, Dienstauto's. Video-systeem en warmtebeeldcamera's
Ik zie hierin dus een terugkerend patroon. Blijkbaar zagen anderen dat ook al in 2015.

* met name overal waar er algoritmes en/of AI worden toegepast, maar ook in de basisregistratie personen. Ik ken mensen van Antilliaanse afkomst die er achter kwamen dat hun in Nederland geboren kinderen ook het vlaggetje allochtoon bij hun naam hebben staan, naast hun Nederlandse nationaliteit. Dit soort dingen hebben de toeslagenaffaire mogelijk gemaakt - naast uiteraard de manier van besluitvorming in de tweede (en eerste) kamer.

** Dan bedoel ik dus niet dingetjes zoals deze
2016-09-01 https://nos.nl/artikel/21...rruptie-binnen-de-politie
2019-09-01 https://nos.nl/artikel/21...litiemollen-binnen-1-jaar

** Ook de aanpak van dit soort dingen lijkt meer voor de buhne te zijn dan werkelijk dngen veranderen
2019-07-13 https://www.rtl.nl/nieuws...negeert-wangedrag-agenten
2020-08-25 https://www.rtl.nl/nieuws...stisch-aboutaleb-appgroep

Maar topje van de ijsberg is
2017-09-12 https://eenvandaag.avrotr...rij-geen-bewijs-omkoping/
2017-09-12 https://www.transparency....andaal-nationale-politie/
2019-03-13 https://www.platform-inve...jfers-zeggen-agenten-zelf
2019-03-18 https://www.sg.uu.nl/arti...t-aan-creatief-boekhouden
een oudje: 2015-06-10 Lees punt 3 en 7 https://decorrespondent.n...eb-0425-1861-7bc478995197

Maar meer nog dit:
2018-08-10 https://www.transparency....tieonderzoek-integriteit/
2019-10-02 https://www.transparency....eilig-bij-haagse-politie/
https://www.transparency....tieonderzoek-integriteit/
https://www.sdnl.nl/de-werd.htm

En als klap op de vuurpijl:
2022-01-04 https://www.bnnvara.nl/jo...eling-bij-coronaprotesten
Ik vind er geen links meer naartoe (waarschijnlijk van hogerhand ofline gehaald) maar destijds waren er artikelen over anonieme verhoren van politieagenten die aangaven dat ze onder druk waren gezet en opdracht hadden gekregen er hard op te slaan. Ook heb ik destijd beelden gezien o.a. van personen in burgerkleding die uit een politiebusje kwamen, vervolgens ingrijpen van de ME uitlokten en vervolgens tweug in het busje verdwenen.

2022-05-11 https://nos.nl/artikel/24...t-kunnen-verhoor-niet-aan
Eerder werden al drie leidinggevenden gehoord, maar die bleken geen flauw idee te hebben van het verloop van de undercoveractie. Daarom gaf de rechtbank opdracht om deze week de drie directe
begeleiders van de infiltrant te horen.
...
De advocaten in de zaak stellen dat het OM op alle mogelijke manieren probeert om het verloop van de undercoveractie in de doofpot te houden.

2023-03-23 https://www.groene.nl/artikel/klein-tegen-de-grote-politie
‘Sommige ME-teams die eindeloos zijn ingezet, spraken over “wappies meppen”, vertelt een politieagent die anoniem wil blijven. ‘Voor een protest zaten ze te wachten in een busje en riepen: “Hoe lang duurt dit nog? Gaan we nog iets doen?”’

Remzi1993 @BeosBeing • 14 oktober 2024 11:55

Helaas kan ik je reactie geen +2 geven. Het is een goede reactie met uitleg en bronnen. Waarvoor dank.

Zoop @segil • 30 september 2024 12:05

En hoe moet de Tweakers redactie weten dat de politie hun personeel niet informeert? Het is toch niet heel vreemd om er vanuit te gaan dat dat gewoon adequaat gebeurd, het is niet de taak van de media om te gissen of de politie hun interne communicatie op orde heeft of niet. En als de Tweakers redactie het niet oppikt, dan staat het evengoed op Nu of NOS of social media, dus wat schiet er ook maar iemand op om hieraan te twijfelen? De politie heeft het publiekelijk gemaakt, dus is het publiekelijk, punt.

Jonathan-458 @TijsZonderH • 29 september 2024 15:55

Ik weet niet zo goed of dit één serieuze reactie is of speels bedoeld.

De korpsleiding moest dit ook beter oppakken maar dit is vrij kortzichtig.

Nu heeft iedereen en alles een half verhaal waarbij zowel intern als extern zorgen zijn bij zowel medewerkers als familie en vrienden om de veiligheid van deze agenten.

Het kan zelfs actieve onderzoeken beinvloeden. (Op alle mogelijke wijze) Als tweakers.net verwacht ik dat jullie enigzins bewust zijn van de gevolgen van hacks en een juiste inschatting kunnen maken wanneer je wat wel en niet moet delen aan de andere kant zijn jullie ook maar media/journalisten en helpt het totaal niet dat de korpsleiding 0 professionele of incompetente begeleiding heeft gehad.

Dit gewoon de wereld in slingerde.

Er wordt geen informatie gedeeld over wat het voor hen betekend, waar ze meer informatie kunnen vinden en eventueele risico's. Niks stond klaar, alles is nu achteraf.

geen idee of hier media codes over bestaan maar dit had vanuit hogere hand gecoördineerd moeten worden met echte specialisten.

djiwie @Jonathan-458 • 29 september 2024 20:58

Het coordineren vanuit hogere hand is heel simpel: de politie heeft het zelf ontdekt. Volgende keer tegelijk medewerkers en ministers informeren, daarna pas naar buiten. Heel raar om de verantwoordelijkheid bij de media te leggen (en bovendien, als de media hier achter kan komen dan kunnen anderen dat ook wel - wat win je met zelfcensuur?)

Jonathan-458 @djiwie • 30 september 2024 01:29

Ik leg het niet bij de media neer echter vindt ik wel dat de media beter hiermee kon omgaan.

Het blijft de verantwoordelijkheid van de Politie leiding en zij hadden hierin betere of tenminste goede adviezen moeten opvolgen of inwinnen. Vraag me sterk af of de overheid überhaupt NIS2 compliant zal zijn als het bij de politie al zo fout gaat.

Krommetenen @Jonathan-458 • 30 september 2024 10:03

Ook al “coördineer” je het tot in de puntjes.

Het lijkt mij redelijk dat een undercover agent of parkeerwachter binnen een week de meno, mail of intranet banner niet leest. Ondertussen dan wel de mededeling zelf “over het lekken” wordt gelekt.

Tuurlijk, dit was onhandig. Maar een perfecte scenario is er ook weer niet. Ik praat het niet goed. Maar ik blaas dit ook niet onnodig op.

En ik ben meer nieuwsgierig naar dat auto account en wie er waarschijnlijk misbruik van heeft gemaakt.

Luchtbakker @foppe-jan • 29 september 2024 13:09

Dus omdat volgens jou de leiding laks en incompetent is, moeten alle 63.000 maar op deze wijze zo behandeld worden?

De media kan ook best eens zijn verantwoordelijkheid nemen en gewoon een dag wachten tot het intern ook bekend is. Maar over het algemeen interesseert het de media geen reet wat de gevolgen van hun artikelen zijn.

wooha @Luchtbakker • 29 september 2024 15:45

Je gaat ervan uit dat de media wist of kon vermoeden dat het intern niet bekend was.

In de kamerbrief staat notabene letterlijk:

Informeren medewerkers
De politie heeft inmiddels politiemedewerkers op de hoogte gesteld van het incident. Mochten zij vragen hebben over het datalek, dan kunnen zij terecht bij hun leidinggevende.

Er staat inderdaad alleen niet bij dat het op de hoogte brengen wel erg passief bleek te zijn, namelijk door het ergens op het intranet te gooien.

Barryke @Luchtbakker • 29 september 2024 15:48

Do not shoot the messenger; ieder zijn werk.

Daarbij als de media “gaat wachten” dan zal ze steeds gezegd worden dat het te vroeg is als iemand het nieuws niet goed uitkomt. (altijd zo)

En tot slot; als werkgever het gevaar zo lang verzwijgen beschouw ik als gevaarlijk en onverantwoord. Blijkbaar wil iemand nog “even” bedenken wat ze ermee willen: daar dient al een procedure voor te bestaan.

Krommetenen @Barryke • 30 september 2024 10:09

Dit zijn ook aannames waarbij je iets onverantwoord zou vinden.

Misschien zijn er te verklaren redenen dat het publiceren zo is gelopen.
Misschien verstoorde de minister het hele proces wel, wat zo’n knaap gewoon niet moet doen met brieven.

ags7 @Luchtbakker • 29 september 2024 22:16

De minister heeft zelf een brief naar de Kamer gestuurd, wat is dan nog het nut om te wachten terwijl de informatie al in het publieke domein ligt?

Je zegt het alsof "enkelvoud de media" hierin fout zitten terwijl de fout bij de Politie ligt die haar medewerkers onvolledig informeert en vervolgens zelf via de media moeten vernemen dat hun gegevens op straat liggen. Daarnaast is het nu een datalek, maar kan het de volgende keer iets anders zijn. Moet 'de media' dan volgens jou altijd maar eventjes wachten? Zo werkt een vrije pers niet volgens mij. Op de achtergrond gaan er dan in verschillende mediabedrijven processen draaien die ik onmogelijk allemaal kan benoemen maar "even wachten" werkt in zeer specifieke gevallen wanneer een media bedrijf een scoop heeft, of bijvoorbeeld even wacht met het publiceren van een item omdat dit erg tijd gevoelig is (denk aan een release, of juist het dichten van een lek, of het melden van een arrestatie). Laten we nu niet bekrompen doen en de fout ergens leggen waar deze totaal niet hoort.

Krommetenen @ags7 • 30 september 2024 10:11

Is zo’n minister dan adequaat bezig met het beste voor zijn ministerie en dus de gedupeerde agenten?
Of is die de boel aan het verstieren om zijn eigen baan en straatje schoon te vegen?

supersnathan94 @Luchtbakker • 29 september 2024 15:24

Het is ook nooit goed he?

Meestal wordt Tweakers bij de eerste de beste hack gelijk over t bureau getrokken als ze ff wat later zijn dan de rest vanwege deze reden.

En ff heel eerlijk, de interne communicatie was echt bijna schandalig laat. Ik snap best dat je wat onderzoek wil verrichten, maar een hack op deze schaal had veel eerder gecommuniceerd moeten worden.

Gohan040 @moonlander • 29 september 2024 11:14

Ze hebben iedereen zijn telefoonnummer, er had ook aan sms verstuurd kunnen worden naar alle medewerkers met daarin iets van "Er is een belangrijke mail verzonden ivm een data lek, wij verzoeken iedereen deze zsm te lezen".

Krommetenen @Gohan040 • 30 september 2024 10:12

Is dat de scenario bij jouw op het werk?

Wouterie @Krommetenen • 30 september 2024 14:40

Ik mag aannemen dat de Politie en andere instanties die gaan over de nationale veiligheid, een systeem hebben om hun medewerkers te alarmeren in geval van een calamiteit. Het gaat wat ver om ieders kantoorbaantje te vergelijken met een dienst die op het scherpst van nationale veiligheid moet kunnen opereren.

The Zep Man

Politie
Beveiliging en antivirus

@moonlander • 29 september 2024 10:16

Komt ook omdat de media dit een prachtig verhaal vinden.

Als de media het weet, weten anderen het ook. Linksom of rechtsom was het wel vroegtijdig naar buiten gekomen. Dan maar meteen de pleister eraf bij gebrekkige communicatie door de werkgever.

[Reactie gewijzigd door The Zep Man op 29 september 2024 10:18]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@moonlander • 29 september 2024 11:03

Komt ook omdat de media dit een prachtig verhaal vinden. Ze hadden er ook voor kunnen kiezen om het een dag later te publiceren.

Dat had wellicht gekund maar zo werkt de media doorgaans niet. Daar is het interessant wie het eerst met nieuws komt. Of men wel of niet direct publiceert is een afweging tussen eigen belang, het belang van de betrokkenen en het belang van de maatschappij.

Blokker_1999

Beveiliging en antivirus
Politie

@moonlander • 29 september 2024 11:25

Zels al hadden de media een dag gewacht, ga je alsnog vele agenten krijgen die gaan zeggen dat ze het via de media hebben vernomen. Het aandeel zal kleiner zijn, maar zeker niet 0.

Coolstart @moonlander • 29 september 2024 11:44

En waarom zouden ze (dus in het grootste geheim een pakt sluiten met alle Media) het een dag later publiceren? Geef 1 argument.

Uiteindelijk kan je nieuws niet tegenhouden. Er zal wel iemand iets lekken of publiceren. Dat er agenten zijn die hun interne kanalen niet even frequent lezen dan de externe media is hun zaak.

Nog erger zou zijn dat de politie de zaak verborgen zou kunnen houden. Doofpotoperatie.

Uiteindelijk treft niemand schuld. Ook de media niet. Er transparantie en communicatie op alle kanalen geweest.

The Zep Man

Politie
Beveiliging en antivirus

29 september 2024 10:07

Heel naar voor het personeel die dit overkomt. Dit is helaas een praktijkvoorbeeld van waarom grootschalige dataverwerking door justitie geen goed idee is. Als niet eens "eigen data" beschermd kan worden, dan is men ook niet in staat om de persoonsgegevens van anderen te beschermen.

Er is nog veel onduidelijk over de hack, al zegt Knol in haar e-mail dat er 'een kantoorautomatiseringsaccount is gehackt'.

Vermoedelijk een niet-persoonsgebonden account. Die worden vaak voorzien van een statisch wachtwoord, gebruiken geen MFA, en het wachtwoord als statisch geheim wordt wel eens onversleuteld opgeslagen in applicaties.

[Reactie gewijzigd door The Zep Man op 29 september 2024 10:36]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 11:05

. Dit is helaas een praktijkvoorbeeld van waarom grootschalige dataverwerking door justitie geen goed idee is. Als niet eens "eigen data" beschermd kan worden, dan is men ook niet in staat om de persoonsgegevens van anderen te beschermen.

Dat is wel wat kort door de bocht. Eigenlijk kan je als je dit doortrekt stellen dat grootschalige dataverwerking nergens een goed idee is. Overal komen namelijk incidenten voor (ook in de bedrijven waar de security echt prima op orde is, je kan niet zomaar stellen dat dit bij de politie niet zo is puur op basis van dit incident) dat is niet uit te sluiten. Van sommige hoor je iets in de media, van vele niet.

The Zep Man

Politie
Beveiliging en antivirus

@Bor • 29 september 2024 11:46

Dat is wel wat kort door de bocht. Eigenlijk kan je als je dit doortrekt stellen dat grootschalige dataverwerking nergens een goed idee is.

Nu vergelijk je alles met specifiek justitie. Die heeft speciale bevoegdheden die anderen niet hebben. Met macht komt verantwoordelijkheid, en dit lek geeft een sterke indruk dat justitie daar niet goed mee om kan gaan.

"Het kan iedereen overkomen" is ook een dooddoener, want je spreekt enkel over het risico als geheel dat het voor kan komen. Je gaat niet in op de kans of de impact. Kennelijk was de kans van het uitlekken van het gehele bestand hoog, want er waren geen motiverende maatregelen zoals rate limiting of een signaal dat op tijd werd opgepakt. Dan heb je ook nog de impact, die bij justitie hoog is doordat zij met gevoeligere gegevens omgaan dan veel andere instanties.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 11:53

Nu vergelijk je alles met specifiek justitie. Die heeft speciale bevoegdheden die anderen niet hebben.

Wat betreft bevoegdheden; zo zijn er veel meer takken van sport. Denk aan bv het leger, de zorg etc. En wat dan te denken van de grote tech bedrijven zoals Meta, Google etc. Die hebben misschien niet meer bevoegdheden maar in veel gevallen wel veel meer informatie.

"Het kan iedereen overkomen" is ook een dooddoener, want je spreekt enkel over het risico als geheel dat het voor kan komen

Het is inderdaad misschien een beetje een dooddoener maar ook een feit. 100% veiligheid bestaat niet.

B_FORCE @Bor • 29 september 2024 14:33

Blijft het alsnog een complete dooddoener.

Met name een argument om het daadwerkelijke probleem maar onder het kleed te schuiven.

Dat is net zoiets als zeggen dat je niks kunt doen aan de vele nare ongelukken op een kruispunt.
"100% veiligheid bestaat immers niet".
Dus doden zullen er helaas wel vallen.

De vraag is niet of er slachtoffers zullen zijn.
De vraag is om dit tot een absoluut minimum te houden, met name wanneer de gevolgen en consequenties erg groot zijn.

In andere woorden, tijd, energie, onderzoek en geld investeren om er voor te zorgen dat zoiets tot een absoluut minimum te beperken is.
Met als uitgangspunt en doel dat het helemaal niet voorkomt.
Dat doel kun je misschien niet helemaal halen, maar je kunt er wel naar streven.

Als die optie er niet is, dan moet je gaan afvragen of om het over een compleet andere boeg te gaan gooien of om er maar helemaal mee te stoppen.
Zo kun je bijvoorbeeld besluiten een kruispunt te maken waarbij er geen fietsers meer zijn.
Of dat de snelheid zo laag is, dat fatale ongelukken zo goed als uitgesloten zijn.

Mijn persoonlijke mening in dit geval, is dat zoiets überhaupt nooit had mogen en moeten gebeuren.
Met name omdat het absoluut niet nodig is.

Maar goed, helaas moet het toch altijd eerst fout gaan voordat men in actie komt.

Met heel vaak dezelfde dooddoener: "ach, het zal wel loslopen, totale vrijheid bestaat toch niet"

Ik ben blij op dit moment niet een agent te zijn.
Heb het met ze te doen en leef met ze mee.
Het is al een alles behalve makkelijk beroep.
Met name psychologisch.

[Reactie gewijzigd door B_FORCE op 29 september 2024 14:35]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@B_FORCE • 29 september 2024 15:46

Met name een argument om het daadwerkelijke probleem maar onder het kleed te schuiven.

Dat is dan ook niet waar dit voor bedoelt is. Ik kan je ook verzekeren dat dit niet aan de orde is bij de Politie. Realisatie dat je altijd een afweging moet maken tussen de mate van extra veiligheid en kosten en impact op goed je werk kunnen doen is belangrijk. Er is altijd een tradeoff.

Wouterie @B_FORCE • 30 september 2024 14:43

Er is zo'n standaard rijtje van dooddoeners wat je onder dit soort berichten kan plaatsen. Zoals: Waar gewerkt wordt, daar worden fouten gemaakt. Of: We zijn allemaal mensen. Of: Niemand is volmaakt. Dat soort dingen... Het roept op tot een houding van 'ach ja' en 'boeiend' waardoor de verantwoordelijken lekker kunnen doormodderen. Het maakt immers toch allemaal niet uit of het fout gaat of niet.

Arjan P @The Zep Man • 29 september 2024 14:38

Jij suggereert in je eerdere post dat het 'juist' bij de politie niet zou mogen gebeuren, omdat die ook met data van burgers werkt. "Dit is helaas een praktijkvoorbeeld van waarom grootschalige dataverwerking door justitie geen goed idee is." Die twee staan natuurlijk los van elkaar.

Ik heb nergens gelezen dat er data van verdachten is vrijgekomen, dus de koppeling politiepersoneel en burgers kun je niet zomaar maken op basis van dit nieuws. M.a.w. de speciale bevoegdheden van justitie zijn hier niet in het geding. Dit 'lek' geeft dus geen enkele indruk - je bent aan het framen hier.

svenslootweg @Bor • 30 september 2024 13:56

Eigenlijk kan je als je dit doortrekt stellen dat grootschalige dataverwerking nergens een goed idee is.

Dat klopt eigenlijk ook gewoon, en dat is waarom we bijvoorbeeld de AVG hebben die dit aan banden legt en alleen toelaat waar dat echt nodig is. Daarbovenop heeft de politie te maken met veel gevoeligere informatie dan de meeste organisaties, en is het dus nog onwenselijker dat dataverwerking op grote schaal plaatsvindt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 11:07

Vermoedelijk een niet-persoonsgebonden account. Die worden vaak voorzien van een statisch wachtwoord, gebruiken geen MFA, en het wachtwoord als statisch geheim wordt wel eens onversleuteld opgeslagen in applicaties.

Waar haal je dit vandaan? Heb je meer informatie of is dit vooral een generaliserende wilde gok? Ik kan nergens nog iets vinden over de achtergrond van het lek en voor zover ik weet is daar ook niets over bekend gemaakt. Niet persoonsgebonden accounts hoeven echt geen MFA uitzondering en al helemaal geen statisch wachtwoord. Sterker nog; toegang tot persoonsgegevens met een niet persoonsgebonden account is in strijd met wet- en regelgeving.

The Zep Man

Politie
Beveiliging en antivirus

@Bor • 29 september 2024 11:48

Waar haal je dit vandaan? Heb je meer informatie of is dit vooral een generaliserende wilde gok?

T.net schrijft:

Er is nog veel onduidelijk over de hack, al zegt Knol in haar e-mail dat er 'een kantoorautomatiseringsaccount is gehackt'.

Verder noem ik in mijn reactie sleutelwoorden die erop wijzen dat ik inhoudelijk niet meer informatie heb. Je suggestieve vraagstelling is onnodig.

[Reactie gewijzigd door The Zep Man op 29 september 2024 11:49]

Nico Klus @The Zep Man • 29 september 2024 11:55

Wat is dat dan een 'kantoorautomatiseringsaccount'?
En wat kan je er mee/bij welke informatie kan je?

Uit jouw reactie begrijp ik dat je daar kennis van hebt.

The Zep Man

Politie
Beveiliging en antivirus

@Nico Klus • 29 september 2024 12:03

Ik weet niet wat een kantoorautomatiseringsaccount is in deze context. Daarom sprak ik over een vermoeden gebaseerd op de gebruikte term in het algemeen.

Er zijn vele (batch)taken die automatisch en/of op gezette tijden uitgevoerd worden, soms met speciale rechten. Deze taken kunnen door het OS (in Windows een scheduled taak genoemd) of door een applicatie uitgevoerd worden. Dit soort zaken wil je niet doen met een gebruikersaccount vanwege verschillende redenen. Zo wil je weten wat een gebruiker zelf doet, en heeft een gebruiker zelf wellicht niet of niet altijd de betreffende speciale rechten nodig.

Dat soort accounts worden ook wel niet-persoonsgebonden accounts genoemd, omdat het account niet direct de acties van een gebruiker representeert. Uiteraard kent het account wel een verantwoordelijke, maar die zou daar nooit direct gebruik van mogen/kunnen maken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 12:13

Er zijn vele (batch)taken die automatisch en/of op gezette tijden uitgevoerd worden, soms met speciale rechten. Deze taken kunnen door het OS (in Windows een scheduled taak genoemd) of door een applicatie uitgevoerd worden. Dit soort zaken wil je niet doen met een gebruikersaccount vanwege verschillende redenen.

Dan spreek je doorgaans over bijvoorbeeld een service-account en niet over een kantoorautomatiseringsaccount.

Lord Anubis @Bor • 29 september 2024 12:48

Dat hangt van hoe die organisatie het heeft benoemd.

Wij noemden het allemaal automatiseringsaccount, met daaronder vele tientallen soorten service of afdeling automatisering accounts. Alleen er was 1 centrale server die de actie’s uitvoerde en van een andere server die de adressen ophaalde. Daarna gerepliceerd naar betreffende lokale bedienende servers. Het systeem was opgebouwd uit Domino (LN) servers.

Tijdstip en melding was niet incorrect; het zij zo. Ze hadden wel naar iedere bekende (werk) telefoon een melding kunnen toesturen en de Media nog wat uren kunnen laten wachten. Maar ja, wat zou dat weer als gevolg hebben gehad.

asing @The Zep Man • 29 september 2024 12:49

Kantoorautomatisering (KA) is een term die vaak wordt gebruikt voor de afdeling die de helpdesk, werkplekbeheer en Office365 omgeving beheert. Daar waar je heen belt als er iets is met je account, je laptop, je telefoon, je mail of bijvoorbeeld je Office pakket.

In dit geval zou het dus zo kunnen zijn dat er een account van een KA medewerker is overgenomen, of zelfs een beheer account van iemand van de KA afdeling,

Ieder account moet persoonsgebonden zijn. Is een account niet persoonsgebonden, maar heeft het een ander doel, dan heet het vaak een service account. Als het goed is heeft dat account dan beperkte rechten en kan alleen wat het moet kunnen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Nico Klus • 29 september 2024 12:01

Wat is dat dan een 'kantoorautomatiseringsaccount'?

Dat is doorgaans een account op op de kantoorautomatisering in te loggen zoals Office 365 (bijvoorbeeld) welke niet direct gebruikt wordt om in te loggen in privileged systemen (zoals dedicated informatiesystemen voor de Politie). Er is niet meer informatie beschikbaar dan in het nieuwsartikel staat. De rest is puur interpretatie en speculatie.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 11:51

Dan hoeft het nog steeds niet om een niet persoonsgebonden account te gaan. Er zijn meerdere wegen die naar Rome leiden. Kortom, totdat er meer informatie bekend is is dit niet meer dan suggestieve speculatie.

The Zep Man

Politie
Beveiliging en antivirus

@Bor • 29 september 2024 11:55

Dan hoeft het nog steeds niet om een niet persoonsgebonden account te gaan.

Omschrijf eens wat een "kantoorautomatiseringsaccount" nog meer kan zijn.

Er is natuurlijk altijd een eigenaar van een NPG. Het account wordt alleen niet gebruikt om een persoon in te loggen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 12:00

"kantoorautomatiseringsaccount"

Elk persoonsgebonden account van een medewerker gebruikt om op de kantoorautomatisering in te loggen (ipv in bv dedicated politie systemen) is een mogelijkheid.

Het account wordt alleen niet gebruikt om een persoon in te loggen.

Dit klopt niet altijd. Een gedeeld user account is bv ook een niet persoonsgebonden account.

The Zep Man

Politie
Beveiliging en antivirus

@Bor • 29 september 2024 12:05

[...]

Elk persoonsgebonden account van een medewerker gebruikt om op de kantoorautomatisering in te loggen (ipv in bv dedicated politie systemen) is een mogelijkheid.

Dat kan als je een andere definitie gebruikt. Ook dat is een vermoeden.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 12:12

Dat is de gebruikelijke definitie en inderdaad; ik weet niet of het daarom gaat. Daarom heeft speculeren ook geen zin tot er meer informatie naar buiten komt. Ik hoop op een openbare grondige analyse zodat de gemeenschap hiervan wellicht kan leren.

Mathijs Kok @The Zep Man • 29 september 2024 18:24

Dit is helaas een praktijkvoorbeeld van waarom grootschalige dataverwerking door justitie geen goed idee is.

Dus jij zegt dat er geen database mag zijn van alle politiemedewerkers? Lijkt mij onvermijdelijk, ik heb ook een database met de gegevens van mijn medewerkers.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Mathijs Kok • 30 september 2024 08:34

Het is met name een nogal populistische opmerking wat mij betreft. Justitie kan niet goed functioneren zonder dataverwerking. Verwerken is inderdaad onvermijdelijk. Daarbij is "justitie" een nogal breed begrip.

[Reactie gewijzigd door Bor op 30 september 2024 08:38]

Quintiemero @The Zep Man • 29 september 2024 10:10

Benieuwd wat de Politie haar datalekmelding bij de AP heeft gemeld, nee nog niet alle betrokkenen zijn geïnformeerd.
Nog hilarischer als ze zich beroepen op dat het niet te doen is om iedereen te informeren.

The Zep Man

Politie
Beveiliging en antivirus

@Quintiemero • 29 september 2024 10:13

Benieuwd wat de Politie haar datalekmelding bij de AP heeft gemeld, nee nog niet alle betrokkenen zijn geïnformeerd.

Gebaseerd op een aantal variabelen is de meldtermijn volgens mij maximaal 72 uur. Dit soort hacks kunnen op vrijdag voorkomen, dus je moet van te voren een plan hebben over hoe hiermee om te gaan in het weekend.

Nog hilarischer als ze zich beroepen op dat het niet te doen is om iedereen te informeren.

Niet echt hilarisch. Meer treurig. Het moet echt een deuk geven in het vertrouwen in je werkgever als dit je overkomt. Dan bedoel ik zowel het lek als de gebrekkige communicatie.

[Reactie gewijzigd door The Zep Man op 29 september 2024 10:13]

Quintiemero @The Zep Man • 29 september 2024 10:19

Politie gaf in haar statement te hebben gemeld. Daarom ‘benieuwd’ wat de politie in de verklaring heeft gemeld. Je snapt dat hilarisch natuurlijk sarcastisch is…

The Zep Man

Politie
Beveiliging en antivirus

@Quintiemero • 29 september 2024 10:30

Politie gaf in haar statement te hebben gemeld. Daarom ‘benieuwd’ wat de politie in de verklaring heeft gemeld.

Goed nieuws dat het al gemeld is bij de AP. Zo'n initiële melding is vaak niet zo spannend omdat het onderzoek nog zal lopen.

Quintiemero @The Zep Man • 29 september 2024 10:33

Ik vind het vraagstuk om wel/niet hebben gemeld van betrokkenen een behoorlijk ‘spannend’ punt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@The Zep Man • 29 september 2024 13:45

Goed nieuws dat het al gemeld is bij de AP.

Dat is dan ook gewoon verplicht onder de AVG. Dat heeft weinig met "goed nieuws" te maken maar gewoon met het opvolgen van wet- en regelgeving.

Peatsmoke

@The Zep Man • 30 september 2024 07:36

Gebrekkige communicatie, zeker als het tekortkomingen, fouten of blunders vanuit de organisatie zelf betreft, zijn de meeste werknemers daar wel gewend.

RobertPeterson @The Zep Man • 29 september 2024 17:37

Blijft wel speciaal dat je met een standaard account blijkbaar de rechten hebt om een complete database naar binnen te halen.

Dan gaat er iets toch niet goed qua autorisaties?

Baardmeester @RobertPeterson • 29 september 2024 21:09

Een goede hacker zal altijd proberen om meer privileges te krijgen. Kan dus zijn dat ze eerst een standaard account hebben gehackt en via die account weer toegang hebben gekregen tot iets met meer autorisaties. Natuurlijk wil je dat ook niet mogelijk maken, maar de vraag is of er dan een algemeen bekende techniek is gebruikt.

RobertPeterson @Baardmeester • 29 september 2024 21:16

Ja we kunnen van alles bedenken. Feit alleen is is dat zoals de woordvoerster aangeeft mij erg sterk lijkt. Dat een kantoorautomatiseringaccount gehacked is en deze op een of wonderbaarlijke manier rechten had om de complete DA te downloaden zonder dat er ook maar ergens een belletje gaat.

Of die infrastructuur is echt een gevaar of er is een hack geweest.

Blokker_1999

Beveiliging en antivirus
Politie

29 september 2024 10:37

Dat vele agenten het via de media moesten vernemen lijkt me niet eens zo vreemd. Er is een plicht van de politie om het aan de bevoegde minister te melden. En de minister heeft de plicht om het aan de volksvertegenwoordigers mede te delen waardoor het ook weer bij de pers geraakt.

Ik kan me inbeelden dat vele agenten het nieuws simpelweg niet konden te weten komen op een andere manier dan via de pers, simpelweg omdat ze niet aan het werk waren of net wel aan het werk maar niet op kantoor zaten.

Als het nieuws binnen het uur nadat het intern bekend gemaakt wordt aan het personeel ook in de media komt is het niet zo vreemd. Je kan alleen niet zeggen dat men intern niet communiceert, het is gewoon welk kanaal je het eerste bereikt dat hierin een rol speelt.

Auteur

TijsZonderH Nieuwscoördinator @Blokker_1999 • 29 september 2024 11:05

Er is een plicht van de politie om het aan de bevoegde minister te melden

Is dat zo? Welke plicht is dat?

Llopigat @TijsZonderH • 29 september 2024 11:46

Deze plicht: https://autoriteitpersoon...atalek-wel-of-niet-melden

Datalekken met persoonsgegevens moeten in Nederland verplicht gemeld worden (wel afhankelijk van het risico voor de betrokkenen, dat in dit geval omdat het om de politie gaat dus wel hoog is). Dat geldt ook voor die van medewerkers. Alleen dat gebeurt niet per se bij de minister maar bij de autoriteit persoonsgegevens, alleen het is natuurlijk wel handig dat die er ook van weet als eindverantwoordelijke.

[Reactie gewijzigd door Llopigat op 29 september 2024 11:50]

Auteur

TijsZonderH Nieuwscoördinator @Llopigat • 29 september 2024 11:51

Ja dat gaat dus over meldingen aan de AP. Ik vroeg Blokker welke plicht er is om iets aan de minister te melden.

iT3CH @TijsZonderH • 29 september 2024 21:35

Ik mag van een nieuwscoördinator verwachten dat hij dit soort zaken zelf ook kan opzoeken:

Artikel 27 lid 1 Politiewet:
De korpschef is belast met de leiding en het beheer van de politie. De korpschef legt over de uitoefening van zijn taken en bevoegdheden verantwoording af aan Onze Minister.

Met Onze Minister wordt in dit geval de Minister van Veiligheid en Justitie bedoeld. De Minister is de baas van de Korpschef. Denk je dat jouw baas het niet wilt weten als jouw account is gehackt en alle data van medewerkers van Tweakers gestolen is?

[Reactie gewijzigd door iT3CH op 29 september 2024 21:36]

Auteur

TijsZonderH Nieuwscoördinator @iT3CH • 30 september 2024 07:34

Ik vraag me af waarom je het nodig vindt je reactie in een verder volgens mij constructieve discussie te beginnen met zo'n persoonlijke sneer. Is daar een reden voor of heb je gewoon een slechte dag die je afreageert op iemand die daar niks mee te maken heeft?

Ontopic: dit artikel ken ik uiteraard wel. Ik ben ook bekend met de verantwoordelijkheden van beide partijen. Wat ik met mijn reactie bedoelde was of er iets specifieks in de wet staat over datalekmeldingen naar de minister, of dat dat alleen valt onder de verder zeer algemene noemer "verantwoording".

iT3CH @TijsZonderH • 30 september 2024 15:32

Het is geen sneer. Ik vind het vreemd dat je een ander vraagt waar het staat dat de korpschef de plicht heeft. Ik vind het vreemd dat je dit als auteur niet weet, danwel niet uitzoekt. In je reactie van 11:05 uur reageer je op degene die dat zegt met vraag of dit wel waar is, waarmee je insinueert dat het niet zo is. Ik vond persoonlijk je houding richting deze persoon niet netjes, helemaal daar deze persoon daadwerkelijk gelijk heeft.

Blokker_1999

Beveiliging en antivirus
Politie

@TijsZonderH • 29 september 2024 11:27

Simpelweg het feit dat de minister verantwoordelijk is voor de politie, het feit dat de minister hierover vragen zal krijgen. Als je in een bedrijf een lek krijgt, ga je dan de CEO en raad van bestuur niet informeren? Lijkt me dat je die plicht ook hebt. Het is niet omdat de minister niet bezig is met het dagelijks bestuur van de politiediensten, dat je de minister dan maar kunt negeren in dit soort zaken.

PCeend @Blokker_1999 • 30 september 2024 20:33

Ik zou zeggen dat je in de verantwoordingslijn hier gelijk hebt, maar niet persé in de tijdslijn. Er staat nergens dat de korpschef éérst de minister moet informeren en die minister direct de volksvertegenwoordiging.

Dus de logica dat door de plicht medewerkers de informatie later kregen is een aanname (en misschien wel een onjuiste omdat er mogelijk meer tijd overheen gaat)

Misschien wat in de details, maar mocht Tweakers haar informatie ooit aan OpenAI verkopen dan hoop ik dat het LLM hier wat van leert

Groningerkoek @Blokker_1999 • 29 september 2024 11:19

De korpschef had prima met de minister om tafel kunnen zitten om deze op de hoogte te brengen van de situatie zoals die op dat moment bekend was. De Minister heeft geen enkele plicht om naar de kamer te rennen en het kabinet of de gehele kamer gelijk in te lichtten.

Een uurtje tussen het intern melden en het verschijnen in de pers is gewoon heel erg kort. Politiemensen hebben best wel een belastende baan waarbij privé en werk gescheiden houden wat belangrijker is dan bij een loodgieter, dus ja iets meer tijd voordat men het aan de grote klok had gehangen was niet verkeerd geweest.

Llopigat 29 september 2024 10:19

Hoe kan het nou dat er geen lampje opgaat als iemand 63.000 accountgegevens opvraagt? Bij ons op het werk is dat een onmiddelijke P1 naar de SOC als iemand de hele Active Directory loopt te downloaden (ik geloof dat de limiet bij ons vanaf 2000 geldt, voor het geval iemand in een 'sharing' window op een van de grote groepen klikt). In dat geval wordt ook door onze security software de hele PC in quarantaine gezet. We doen wel eens validaties bij ons (met name met bloodhound, een tool die naar escalatiepaden zoekt binnen de AD) en dan moeten we ook altijd een uitzondering aanvragen anders gaan alle alarmbellen af.

Maargoed, het is nu eenmaal gebeurd. Wel gelukkig dat er alleen maar namen zijn gelekt en verder niks.

[Reactie gewijzigd door Llopigat op 29 september 2024 10:26]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Llopigat • 29 september 2024 10:57

Bij ons op het werk is dat een onmiddelijke P1 naar de SOC als iemand de hele Active Directory loopt te downloaden (ik geloof dat de limiet bij ons vanaf 2000 geldt, voor het geval iemand in een 'sharing' window op een van de grote groepen klikt).

Je hebt mij hier zojuist voldoende informatie gegeven om ongezien AD leeg te trekken. Het is niet zo slim om dit soort informatie publiekelijk te delen.

Natuurlijk doet de politie ook van alles aan logging en monitoring. Dat geeft behoorlijk wat zekerheid maar geen garanties. De zaken die je noemt zijn met name reacties ipv preventief en behoren onderdeel te zijn van een groter geheel. Zoals je ziet in dit geval gaat het ook dan nog wel eens mis. 100% veiligheid bestaat helaas niet.

Aangevuld hoeft het hier helemaal niet om accounts te gaan. Een database uitdraai kan al voldoende zijn.

[Reactie gewijzigd door Bor op 29 september 2024 10:58]

Arfman @Bor • 29 september 2024 11:05

Nee hoor, beetje goed ingerichte SOC reageert ook als er een totaal threshold wordt gepasseerd. De 2000 limiet is on het werken in de ADUC niet onmogelijk te maken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Arfman • 29 september 2024 11:13

Nee hoor, beetje goed ingerichte SOC reageert ook als er een totaal threshold wordt gepasseerd. De 2000 limiet is on het werken in de ADUC niet onmogelijk te maken.

Daarom kan je op basis van de gegeven informatie mooi spreiden in windows lager dan 2000. Dit is eenvoudig te scripten. Informatie verstrekken over security monitoring en alerting is gewoon niet slim.

Blokker_1999

Beveiliging en antivirus
Politie

@Bor • 29 september 2024 11:24

Aan de andere kant heb je het dan over security though obscurity, en je weet hoe goed dat werkt.

We weten nog altijd niet voor welk bedrijf Llopigat werkt bijvoorbeeld. En als je tegen dat soort limieten aanloopt en security plaatst je in quarantaine, dan is het een kwestie van je er even uit te praten als je het zelf gedaan hebt, of als jeremote aanvaller bent dat je ervoor zorgt dat je geen sporen achterlaat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Blokker_1999 • 29 september 2024 11:33

Aan de andere kant heb je het dan over security though obscurity, en je weet hoe goed dat werkt.

Niet helemaal. Ik heb het namelijk ook gewoon over best practice. Het is gebruikelijk niet te openbaren wat je precies monitored, hoe je dat doet en welke alert threshholds je gebruikt. Dat geeft echt onnodig vele informatie aan mogelijke kwaadwillenden.

We weten nog altijd niet voor welk bedrijf Llopigat werkt bijvoorbeeld.

Dat is niet zo moeilijk te achterhalen zoals bij zo veel mensen.

[Reactie gewijzigd door Bor op 29 september 2024 11:34]

Arfman @Bor • 29 september 2024 12:21

Dat laatste ben ik met je eens, maar ik bedoelde dat een beetje SOC ook reageert als iemand ~5000 requests doet in ~24 uur. Die limieten zijn echt niet zo hard.

Blokker_1999

Beveiliging en antivirus
Politie

@Arfman • 29 september 2024 11:22

Het maakt niet eens uit. Als het 2000 in 1 request is, dan doe je het in meerdere requests, als het 2000 per tijdseenheid is, dan ga je gewoon je requests throttlen. En de eerste keer dat je die limiet raakt is het uiteraard per ongeluk. In 1 keer weet je dat die limiet bestaat.

Llopigat @Bor • 29 september 2024 11:45

Je hebt mij hier zojuist voldoende informatie gegeven om ongezien AD leeg te trekken. Het is niet zo slim om dit soort informatie publiekelijk te delen.

Want je weet waar ik werk?

Bovendien worden die limieten regelmatig aangepast aan de hand van wat we zien in de omgeving.

Arfman @Llopigat • 29 september 2024 12:24

Ik denk te weten waar je werkt, ja. 5 minuten gespendeerd op Google (kan het mis hebben uiteraard).

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Llopigat • 29 september 2024 11:56

Want je weet waar ik werk?

Ik heb er geen tijd ingestoken maar veelal is dat niet zo heel erg moeilijk te achterhalen via OSINT. Social media, Linked-In, informatie die anderen over je geven (en de info die je over jezelf geeft).

Dat de limieten worden aangepast geloof ik graag. Dat maakt het delen (en dat jullie überhaupt een SOC gebruiken) hiervan niet slimmer helaas.

Llopigat @Bor • 29 september 2024 12:47

Dat de limieten worden aangepast geloof ik graag. Dat maakt het delen (en dat jullie überhaupt een SOC gebruiken) hiervan niet slimmer helaas.

Elke enterprise gebruikt een SOC. Dat is volgens mij ook vereist door de verzekering.

En dat je AD exfiltraties in kleine hapjes moet doen is ook standaard. Dat is ook iets dat iedereen doet tegenwoordig. Dat is moeilijker te detecteren. Er moet wel een minimum zijn omdat Windows zelf ook AD gegevens opvraagt als je bijvoorbeeld het file share dialoogvenster opent.

Sowieso is AD helemaal lek met problemen die heel moeilijk te fixen zijn vanwege backwards compatibiliteit. Kerberoast, Pass The Hash enz. We zijn dan ook bezig er vanaf te stappen en richting EntraID (Azure AD) en Intune te gaan.

[Reactie gewijzigd door Llopigat op 29 september 2024 13:02]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Llopigat • 29 september 2024 13:41

Elke enterprise gebruikt een SOC. Dat is volgens mij ook vereist door de verzekering.

Nee hoor en ook niet elke "enterprise" (wat een extreem rekbaar begrip is) heeft een verzekering op dit vlak.
Laten we hopen dat de Politie in ieder geval de preventie, detectie en response goed op orde heeft. Ik blijf benieuwd naar de (technische) achtergronden van dit lek.

Arfman @Bor • 29 september 2024 16:58

Nouja Bor, elke fatsoenlijke enterprise heeft tegenwoordig echt wel een SOC. Je kunt kant en klare diensten afnemen; kastje in je netwerk op een centrale plek, lokale logcollector/parser, en dat wordt doorgestuurd naar een SOC dienstverlener. Paar dagen samen door de logs gaan. bepalen wat (ab)normaal is en misschien een maandje nawerk om te finetunen. Initiele installatie is 2 dagen werk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Arfman • 29 september 2024 17:03

Dat kan allemaal en daar heb ik ook ervaring mee maar zie helaas om mij heen (in diverse sectoren) dat een SOC echt nog niet altijd gemeengoed is.

Blokker_1999

Beveiliging en antivirus
Politie

@Llopigat • 29 september 2024 11:20

Er is niet eens publiek geweten op dit moment wat er is opgevraagd of hoe. De informatie die gemeld wordt, zijnde namen, betiteling en contactinformatie, is iets wat je gewoon in het adresboek van je mailclient kunt vinden. En dat wordt door zovele mensen elke dag opgevraagd en door clients elke dag gesynced.

Het is dus weeral maar eens veel te vroeg om conclusies te trekken, en ik snap niet dat mensen telkens hun eigen ervaring van hoe ze het zelf doen gaan extrapoleren naar een situatie waarover geen details zijn bekend gemaakt.

GeKo 29 september 2024 10:10

Wat ik me afvraag is: is alleen de data over politiemedewerkers gestolen of ook informatie van burgers die in de politie systemen staan?!
Ik sta ook in zo’n systeem i.v.m. de hobby schutterij en ook mijn privé gegevens kunnen dus gelekt zijn.

wildhagen

Politie
Beveiliging en antivirus

@GeKo • 29 september 2024 10:12

Zover nu bekend gemaakt (de minister houdt de lippen vrij stijf op elkaar) gaat het om enkele gegevens van de politie mensen zelf, namelijk de (zakelijke) contactgegevens, specifiek bekend tot nu toe zijn namen, emailadressen en functies binnen de organisatie.

Nergens is te lezen dat andere informatie van agenten, of informatie over burgers, gelekt zouden zijn.

Jeroen hofman @wildhagen • 29 september 2024 10:41

Als je al de toegang hebt, waarom zou je dan niet alle informatie verzamelen.
Ik denk dat hier meer aan de hand is dan alleen de gegevens van politie en agentes, medewerkers
Zou ook een flinke deuk in van vertrouwen van het hele systeem zijn.
En hoe heeft dit kunnen gebeuren (intern iemand crea geweest ??)
Denk dat we echt niet een antwoord op zullen krijgen

Lagonas @Jeroen hofman • 29 september 2024 10:54

Het hoeft niet te betekenen dat de dader toegang had tot meer gegevens. Alle gegevens die wildhagen opnoemt kan je vaak al opvragen via de global address list in Outlook.

MazeWing

@Jeroen hofman • 29 september 2024 11:21

Omdat je niet meteen toegang hebt tot ALLE data. Mensen die ik de ICT werkzaam zijn bij de politie hebben natuurlijk niet toegang tot politiesystemen waar gegevens over burgers in staan. Zij hebben voornamelijk toegang tot systemen die nodig zijn voor (het beheer van) de infrastructuur (ICT) van de politie.

En andersom heeft een agent weer geen toegang tot bovenstaande beheertools.

Baardmeester @Jeroen hofman • 29 september 2024 21:16

Het personeels systeem en het zaaksysteem zal los van elkaar staan. Dat is net zoals laatst bij Fortinet waar (volgens de berichtgevingen waarschijnlijk ook het forensisch onderzoek) alleen de klantgegevens zijn gestolen.

n4m3l355 @GeKo • 29 september 2024 10:16

Wonderlijk dat dit enkel voor de overheid is, en dat de overheid het blijkbaar niet belangrijk vindt dat de burger hier ook gebruik van kan maken. Waarom maakt men daar niet een portal van waarbij iedereen gezellig kan kijken of diens data is gestolen, via welk platform, wat precies is gestolen en hoe?

OxWax @n4m3l355 • 29 september 2024 10:37

Vrijdag pas gebeurd. Voor men in actie schiet bij de overheid .....

dutchgio 29 september 2024 10:43

Vaak is het de media zelf die loopt te pushen op een deadline waarna ze het nieuws naar buiten brengen.
Als je 60.000 mensen moet informeren kan het wel eens lastig zijn om die te bereiken voordat het bij de pers ligt.

Auteur

TijsZonderH Nieuwscoördinator @dutchgio • 29 september 2024 11:07

Voor zover ik weet kwam dit in de media via het bericht op politie.nl en de brief van Van Weel. Dat heeft dan weinig met deadlines te maken.

Auteur

TijsZonderH Nieuwscoördinator 29 september 2024 09:57

Mocht je hier (anoniem) iets over kwijt willen, dan kun je hier wat privacyvriendelijke manieren vinden om me te benaderen.

Roel1966

29 september 2024 18:47

Ik kan mij best goed voorstellen dat veel agenten er van opgekeken hebben om dit soort nieuws dan als eerste via de media te moeten horen. Maar heel vreemd is het in deze tijd ook weer niet als je ziet hoe snel al iets rond gaat via social media. En ja vaak pikt de media dat wel snel op vanuit social media en dit ook hier gebeurd zal zijn. Wie weet dat misschien zelfs een van die hackers anoniem de media getipt heeft om zo dan hun hack bekend te maken.

Deels zal het denk ik ook wel de bedoeling van die hackers geweest zijn om aan te tonen dat dus het politienetwerk lekken heeft en te hacken valt.

Bumpy_NL 29 september 2024 11:59

Op zich is het niet zo erg om het eerst via de media te horen. Het is niet zo dat er voor slachtoffers en groter gevaar is ontstaan hierdoor. Voor iemand waarvoor het lek een groot risico is is het en voordeel om het eerder te weten.

Wat wel van belang is, is dat de politie zelf goed en spoedig naar de medewerkers moet communiceren. Enkel een intranet bericht is niet afdoende naar mij mening. Een mail met een link naar het intranet bericht en een telefoontje lijken mij op zijn plaats. Telefoontjes zullen wat mee tijd vergen, maar dan heb je wel meer zekerheid dat zo veel mogelijk mensen zijn bereikt.

Het intranet bericht kan dan worden aangevuld met updates.

Technician- 29 september 2024 18:05

Dit is nou goed (in dit geval niet goed) leiderschap.
De korpschef had gelijk in de uren van het datalek i.i.g. een mail kunnen laten uitsturen.
En dan een bijeenkomst met districten organiseren (nog ‘s avonds) waarbij de plaatselijke leidinggevenden bij de ochtend kickoff die collega’s mondeling bijpraten, degene die er niet bijzijn laten bijpraten door de collega’s die er wel zijn.
En dan gewoon duidelijk, kort en eerlijk zijn. Welke gegevens zijn gelekt. Alleen politiemobiel en mailadres + naam of ook prive adressen.
Bij dat laatste heeft de politie wel een echt probleem trouwens.

Ik denk overigens dat het lek door de top niet is gezien als ernst of prio maar als ICT gedoe en er daarom zo laks is gereageerd. Pas nadat het volop in de media stond begrepen ze dat ze moesten informeren.

[Reactie gewijzigd door Technician- op 29 september 2024 18:07]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (117)

Sorteer op:

Weergave: