Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 132 reacties

De overheid kan niet omgaan met een grootschalige hackaanval. Tijdens een oefening waarbij een dergelijke ict-crisis werd gesimuleerd, was de overheid vooral aan het vergaderen. De impact werd onderschat en coördinatie ontbrak.

Dat zijn de conclusies van een evaluatieverslag van de Cyberstorm III-oefening, waarbij een grootschalige aanval met een computervirus werd nagebootst. De aanval zou in de simulatie leiden tot publicatie van vertrouwelijke gegevens en chaos op wegen, treinstations en Schiphol, doordat informatiesystemen uitvallen. Ondertussen waren de betrokken ministeries en overheidsinstellingen echter vooral bezig met vergaderen, waarbij de impact van de situatie werd onderschat en coördinatie ontbrak. Ook was de informatievoorziening ondermaats.

De oefening vond overigens al vorig jaar plaats, op 30 september. Toen was de overheid nog bezig met het opstellen van een nationale cybercrimestrategie, die een overheidsbrede aanpak van cybercrime moet opleveren. De strategie voorziet onder andere in een 'cyber security-centrum en -raad' om opzettelijke ict-crises te bedwingen. De overheid heeft dus al stappen gezet om beter te kunnen omgaan met hackaanvallen, al is onduidelijk hoever de plannen zijn gevorderd.

De vraag blijft echter waarom de overheid anno 2010 nog niet goed voorbereid was op hackaanvallen, terwijl Nederland al enige tijd een land is met een geavanceerde ict-infrastructuur. Het ministerie van Veiligheid en Justitie was niet bereikbaar voor verduidelijking. Overigens blijkt uit het evaluatierapport niet of de overheid wel bestand is tegen een veel grotere hoeveelheid kleine hackaanvallen. Volgens de overheidsorganisatie Govcert, die advies geeft over ict-beveiliging, behandelde het vorig jaar 353 ict-incidenten.

Moderatie-faq Wijzig weergave

Reacties (132)

Even alle Tweakers wat ogen openen: de volledige IT structuur binnen de overheid is uitbesteed. Als daar dingen mee mis zijn is weliswaar de overheid verantwoordelijk, maar niet schuld aan de falende ICT.
De daarvoor moet je bij te krappe budgetten zijn.
Het falen wordt door twee dingen veroorzaakt:
1 de goedkoopste aanbieder van een product MOET het werk leveren [dat is dus niet perse de beste]
Concurrentie werkt vaak averechts omdat bedrijven eerst gaan kijken waar ze onderuit kunnen in het contract, want dat bespaart geld.

De politiek bezuinigt en bezuinigt en bezuinigt. Dat doen ze niet alleen in 2011 maar deden ze ook in 2001 of eerder en zeker de jaren er na.
De opmerking: de overheid heeft geld zat slaat daarom nergens op.

Er zijn dus bezuinigen terwijl alles duurder en duurder wordt. Als ik minder geld in mijn portemonnee heb, kan ik ook geen i7 meer kopen maar moet ik misschien terug vallen op een snelle uit gerangeerde Pentium, zo simpel is het.

Waar vroeger de Rijksoverheid altijd het beste van het beste wilde hebben [kijk even naar alle stormvloedkeringen die er zijn gebouwd bijvoorbeeld] is dit nu niet meer toegestaan en wordt zowel het ontwerp als de uitvoering uitbesteed. Vroeger ontwierpen de ingenieurs van het Rijk zelf, zonder dat zij concurrentie hadden te duchten, maar het waren mensen met eer voor hun werk, die het beste van het beste wilden.

Voor de tijd van de GPS had het Rijk bijvoorbeeld al een eigen plaatsbepaling systeem dat minstens zo nauwkeurig was als GPS nu, dat was nuttig en nodig en in de omstandigheden het beste van het beste, het kon allemaal en het kan nu niet meer.

Kijk ook naar dat telefoon systeem voor de overheidsdiensten: bagger. Maar bagger die niet door ambtenaren bedacht werd maar door sluwe IT-bedrijven die met een mooi verhaal een veel te goedkope oplossing aanboden maar zelf eigenlijk niet wisten waar aan zo'n systeem moest voldoen.

Design en construct heeft tot gevolg dat de overheid die niet "hack free"is. Niet de organisatie de schuld geven maar de politiek. De overheid doet niets anders dan uitvoeren wat de politiek wil. Diezelfde politiek roept tegen u dat er bezuinigt moet worden dat de overheid "lean and mean"moet zijn en u gelooft dat en stemt vervolgens op partijen die dit soort fiasco's faciliteren.

[by the way, uit de tijd van mijn brommer weet ik nog dat als je de motor lean en mean liet draaien het risico op een vastloper zowat verdubbelde, die analogie is dus erg mooi]
Het falen wordt door twee dingen veroorzaakt:
1 de goedkoopste aanbieder van een product MOET het werk leveren [dat is dus niet perse de beste]
Concurrentie werkt vaak averechts omdat bedrijven eerst gaan kijken waar ze onderuit kunnen in het contract, want dat bespaart geld.
Dat ben ik niet met je eens. Ook in de dienstverlening worden contracten en aanbestedingen die gebaseerd zijn op een soort EMVI constructie steeds meer mainstream. De overheid heeft ook door dat de goedkoopste niet per definitie de beste is en kijkt naar andere aspecten uit de aanbieding.

Met andere woorden; verantwoordelijkheid en risico's komen steeds meer bij de aanbieder te liggen. Helaas daarmee dus ook kennis; steeds minder internen hebben de juiste kennis om beslissingen te nemen of iets te 'vinden' van een onderwerp.
Ze bezuinigen inderdaad overal op (er blijft steeds minder over van het NL wat we hadden, en misschien is dat ook wel niet mogelijk tenzij we het weer verantwoord vinden om wat kolonies te stichten ofzo maar dat soort dingen daar kom je nu niet meer mee weg (al doet china dingen die er verdacht veel op lijken) :p )

Gisteren tijdens het zappen kwam ik een discussie tegen dat de kunstsubsidies afgeschaft zijn. Op zich logisch in een crisis (of bij bezuinigingen na een crisis), kunst is geen levensbehoefte. Jammer is het wel.
De reden waarom de overheid zoveel bezuinigt is simpel: omdat ze in het verleden zoveel screw-ups gemaakt hebben, waardoor ze opnieuw moesten beginnen en het niet één keer, maar wel zes keer achter elkaar geld kost om iets voor elkaar te krijgen.

Wat de overheid structureel fout doet is niet denken aan de lange termijn, maar alles netjes draaiende houden en met een glittersausje verkopen tot aan de volgende verkiezingsperiode. De volgende regering lost het maar weer op.

Terugkomend op die brommer-analogie: Als je lean-and-mean draait, verbruik je misschien minder benzine, maar bij elke vastloper moet je weer een nieuwe cilinder en zuiger kopen. Waardoor het onder de streep juist véél duurder wordt om lean-and-mean te draaien, al lijkt het over de eerste 200 kilometer erg aantrekkelijk. :)
Hoewel ik, en waarschijnlijk velen, dat vermoeden al hadden, wordt het nu des te meer duidelijker. Een samenwerking met overheid en ict zorgt voor problemen.
Wat daar de precieze oorzaak van is blijft speculatie. Bureaucratie? Kennisschaarste in het algemeen? Of een generatie die in de politiek zit die niet is opgegroeid met ict en blijkbaar eigenwijs genoeg is om niks bij te willen leren..

[Reactie gewijzigd door harydoo op 23 juni 2011 10:42]

Ik denk dat het voornamelijk te maken heeft met veel-te-veel lagen in de organisatie. Hoe gedreven de mensen op de vloer ook zijn, het moet door 30 lagen naar boven toe goedgekeurd worden en dat werkt niet.

Er zitten, ook bij de overheid (net als in bedrijfsleven) mensen met hun eigen agenda en prioriteiten. Tel daarbij op dat mensen een 'dreiging' van iets altijd lager inschatten en de impact van een hack minimaliseren in hun gedachten want 'het zal zo hard niet gaan' en 'het gaat nu toch ook goed'.

Tegen de tijd dat ergens een concreet voorstel ligt wat de goedkeuring heeft van de juiste mensen duikt er een alternatief op, en als overheid kun je niet blindelings kiezen voor 1 partij/oplossing/service dus moet er onderzocht worden. De uitkomst van het onderzoek wordt bestudeerd en daar wordt vervolgens een conclusie aan gehangen. Die wordt overgenomen, of niet, en dan begint het balletje pas te rollen.

Daarbij kun je waarschijnlijk wel de andere factoren optellen de je noemt; oudere generatie (hoewel die wellicht minder conservatief zijn als je denkt), gebrek aan kennis, gebrek aan middelen, gebrek aan motivatie..

[Reactie gewijzigd door Pixeltje op 23 juni 2011 10:44]

Het probleem is eigenlijk heel simpel en speelt ook in andere sectoren: degene die de kennis hebben nemen de beslissingen niet, en vice versa.
Eigenlijk moeten IT-ers gewoon een 'carte blanche' krijgen indien een incident wordt opgeschaald naar 'code rood' oid, waarbij de bevoegdheden tot besluiten ook direct bij hen komt te liggen. Management- en overleglagen zijn leuk als je de tijd hebt, in geval van een aanval heb je snelheid en slagkracht nodig en geen mits-en-maren of argumentatie.
Bovenstaande kun je ook niet doen, maar dan moet je accepteren dat je compleet verloren bent bij een aanval, want de 'hackers' werken namelijk wel op bovenstaande manier qua snelheid en beslissingsbevoegdheid.

[Reactie gewijzigd door Rick2910 op 23 juni 2011 10:54]

[ITILmodus] incidenten worden niet opgeschaald, problemen worden opgeschaald [/ITILmodus]

het idee van de carte blanche klinkt leuk in de oren. Maar wie bepaalt wanneer iemand een carte blanche krijgt en wat zijn activiteiten dan mogen zijn?

Ik was ooit technisch it-coördinator met de taak dit soort zaken te signaleren en actie erop te ondernemen, maar werd continu overruled door de operationeel manager omdat mijn acties de operationele voortgang belemmerde (ja, wat wil je als iemand de complete ERP-server rechtstreeks aan het internet wil hangen)...

Dit was dan nog in een kleine, commerciële organisatie. Ik voorzie een hoop ellende binnen de hiërarchie van de overheid.
gebrek aan kennis, gebrek aan middelen, gebrek aan motivatie..

En dit is dus het gevolg van het vragen van belachelijk hoge eisen waar een treurige financiële vergoeding tegenover staat. Want laten we eerlijk wezen, waarom voor de overheid werken als je elders honderden euro's meer kan verdienen voor dezelfde werkzaamheden..
waarom voor de overheid werken als je elders honderden euro's meer kan verdienen voor dezelfde werkzaamheden..
Heb je wel eens naar de secundaire primaire arbeidsvoorwaarden bij de overheid gekeken? Vrije dagen, pensioenopbouw enz? Dat ben ik elders in de markt nog niet tegengekomen.

[Reactie gewijzigd door Rick2910 op 23 juni 2011 14:56]

Dat zijn primaire voorwaarden. Secundaire zijn afwezig (laptop, auto van de zaak, opleidingen). Pensioenopbouw is nog altijd gekoppeld aan je salaris: als dat laag is, is ook je pensioen laag. En het ABP staat ook niet als solide te boek...

Nee, wat densoN zegt, klopt behoorlijk.
Als ZZP'er gewerkt en indien je dan voor vast gaat, verdien je vaak dik boven CAO en kun je hetzelfde bedingen. Dat heet onderhandelen, als ik 12k verdien als ZZP'er, neem ik geen genoegen met 3k en 21 vakantiedagen.
Ja dat is leuk, maar als er dan echt wat aan de hand is zijn de mensen die er over moeten beslissen op vakantie, vrij, elders aan het werk etc. etc.
bezuinigingen spelen ook een rol denk ik.
managers hebben meestal geen flauw idee wat ze moeten begroten voor ict. en daar zitten consequenties aan.

zoals in veel bedrijven. worden er bakken met geld op de ene afdeling of project verspilt terwijl de andere afdeling niet genoeg heeft om goed te functioneren.
bezuinigen op ict waar de security onder leid is wel het domste wat een bedrijf kan doen
"gelukkig" is de overheid geen bedrijf, en kan daar dus naar hartelust op bezuinigd worden.
Evenals op personeel, want dat is een politieke ("20% minder ambtenaren") doelstelling.
Het probleem kan wat mij betreft worden samengevat in 1 woord: managers.
Het probleem kan wat mij betreft worden samengevat in 1 woord: managers.
... die altijd maar één slogan hebben die nagenoeg alle rampen van de afgelopen eeuw heeft ingeluid:

"... What could possibly go wrong?!" :Y)
Ik werk zelf bij de semi-overheid en ik zie daar ook hetzelfde soort problemen. Het grootste probleem is dat er geen duidelijk doel is(althans niet makkelijk meetbaar) waar je alle keuzes aan moet relateren. Het is dus niet duidelijk wat er moet gebeuren. Niemand durft daarom duidelijk keuzes te maken met als gevolg dat overal over overlegd moet worden. Snel reageren zit dus absoluut niet in de cultuur. Als er echter een calimiteit is, dan is snel reageren juist heel belangrijk.
Men durft deze keuzes niet te maken omdat zij verantwoordelijk geacht kunnen worden voor de keuze die door hen gemaakt worden.

Maar volgens mij zijn we al een stap te ver in het proces. In veel sectoren waaronder bijv. de financiële sector spreid haar risico's zodat bij een incident niet gelijk een crisissituatie ontstaat. Ik denk dat dit het punt is waar nederland de fout in gaat.

Vele andere waaronder ik zelf heb gewaarschuwd voor een te snelle digitalisering van onze samenleving waardoor we te veel afhankelijk worden van digitale informatie systemen. Digitaliseren is geen doel opzich maar een hulpmiddel om andere doelen te kunnen bereiken. En ik denk dat we dit nog wel eens vergeten, want als je kijkt naar de beslissing van het kabinet lijkt het wel alsof digitalisering een doel opzich is, een recent voorbeeld daarvan is de OV-chipkaart.
We schakelen over op een systeem dat zich nog niet heeft kunnen bewijzen en schaffen vervolgens het vertrouwde systeem direct af, daarop creeër je feitelijk een Single Point Of Failure in het systeem, het geen we met de digitalisering juist moeten voorkomen. Nu is het natuurlijk zo dat de OV-chipkaart van primaire belang is om het OV te laten werken, immers kan de reiziger gewoon met de bus mee alleen lopen bedrijven nu iedere minute inkomsten mis. Deze denkwijze kenmerkt zich voor veel overheidsbeslissingen waardoor de stabiliteit (en dus ook de beschikbaarheid) van veel systemen steeds fragieler wordt.
Daarentegen zijn we als samenleving nog steeds niet instaat fysieke systemen zoals het rails of wegennet zodanig te ontwerpen dat we een spreiding van de risico's hebben en dit voorbeeld zien de in de praktijk als de eerste beste keer er weer een stroomhuisje bij Utrecht centraal in brand staat.......
Daar op jouw laatste opmerking wil ik even op reageren.
Het inrichten van het spoornetwerk staat onder zeggenschap van ProRail.
Daaronder heb je een IT-tak van TriBase welke de it infrastructuur regelt. Waaronder de stroomvoorziening en de wisselbesturing.
Als er een stroomhuisje in utrecht uitvalt zou dat betekenen dat de verkeersleiding geen controle meer heeft op het netwerk. Dit wordt dan opgevangen door een noodaggregraat. Dit hebben ze ook, maar als er een brand is, is er vanwege de veiligheid geen mogelijkheid om in het gebouw te blijven. Het brandalarm zou dus gekoppeld moeten zijn aan een functie die binnen een uur overslaat naar een backup systeem van de verkeersleiding over het spoor. Dit laatste is dus niet het geval waardoor het handmatig moet worden verspreid over de knooppunten in Rotterdam, Amsterdam, Den Haag, Arnhem, etc. (met knooppunten bedoel ik in dit geval de plekken waar de verkeersleiding zich bevindt binnen Nederland op de drukke terminals van het spoor.
Ik denk dat daar zeker wel verbetering in valt te halen, maar waar ik eigenlijk dus op wilde reageren, is dat de overheid hier weinig mee te maken heeft. Niet niks, want het blijft een bedrijf dat eigendom is van de staat, en de minister hierover is ook eindverantwoordelijke van de acties van ProRail. Ook kunnen ze ingrijpen indien nodig, maar dat is over het algemeen niet de bedoeling. Vandaar dat het ook geen ministerie is maar een bedrijf in handen van de overheid.
Maar volgens mij zijn we al een stap te ver in het proces. In veel sectoren waaronder bijv. de financiële sector spreid haar risico's zodat bij een incident niet gelijk een crisissituatie ontstaat. Ik denk dat dit het punt is waar nederland de fout in gaat.
ik gebruik daarbij altijd de term "efficiency". Op een gegeven moment is alles zo (kosten)efficient ingericht dat alles afhangt van één persoon...
Een andere element is dat "de overheid" alleen in naam bestaat, maar in de praktijk bestaat uit een verzameling organisaties. Soms met sterke samenhang, maar vaker nog ook zonder. Elk van deze organisaties heeft belang aan het dienen van het gemeenschappelijk doel, maar ook aan dingen zoals het eigen voortbestaan. En die twee liggen niet noodzakelijk op dezelfde lijn. Dat levert het klassieke beeld van de overlegcultuur en zo. Is van de gekke eigen (sprak de oud-ambtenaar), maar wel de werkelijkheid waarmee we leven.

Met dat in het achterhoofd het resultaat misschien net iets anders te interpreteren, zeker als je het vergelijkt met bijvoorbeeld een vergelijkbare simulatie op "de levensmiddelen industrie" of "het bedrijfsleven".
Denk je nu echt dat eenzelfde oefening bij een groot bedrijf een andere uitkomst zou hebben? Zeker bij een bedrijf waarbij de core business niet IT gericht is verwacht ik hetzelfde resultaat.

Security is in het overgrootte gedeelte van de gevallen iets wat op het einde wordt toegevoegd, als men het al toevoegd.
Dit is zo bij de overheid en dat is zo bij de bedrijven.
Hoewel ik, en waarschijnlijk velen, dat vermoeden al hadden, wordt het nu des te meer duidelijker. Een samenwerking met overheid en ict zorgt voor problemen.
Dat hoeft totaal niet het geval te zijn. ICT kan juist ontzettend veel werk uit handen nemen, mits het goed geïmplementeerd wordt.
Toch blijft het knap dat keer op keer ICT-aspecten bij overheden niet, of niet goed worden geïmplementeerd.

[Reactie gewijzigd door KirovAir op 23 juni 2011 10:44]

In de meeste bedrijven wordt ICT niet goed geïmplementeerd, dus dat het bij de overheid vaak mis gaat bewijst enkel dat de overheid een afspiegeling is van de rest van de maatschappij... ;)
Het is waarschijnlijk een combinatie van oorzaken, waaronder bureaucratie, kennisschaarste... maar ook verouderde/verkeerde systemen die niet ontworpen zijn voor zo'n organisatie.
De vraag blijft echter waarom de overheid anno 2010 nog niet goed voorbereid was op hackaanvallen, terwijl Nederland al enige tijd een land is met een geavanceerde ict-infrastructuur.
Lekker tendentieus gesteld en hierboven wordt al flink ge-overheid basht in de commentaren.

Er zijn twee belangrijke dingen die meespelen
1) ICT is niet de core business van de overheid.
2) ICT-beveiliging is een specialisme.

Voordat we allemaal naar de overheid boos gaan doen, moeten we eerst eens naar onszelf kijken. Veel van de ICT-infrastructuur waar het hier over gaat is namelijk *niet* onder controle van de overheid. Het gaat om private infrastructuren, zoals die van Schiphol, de NS, banken en de energiemaatschappijen.

Een allereerste verantwoordelijkheid ligt bij die instanties in preventie!

Tenzij we graag zien dat Schiphol, de NS en energiemaatschappijen genationaliseerd worden (eerlijk gezegd, ik zou daar geen tegenstander van zijn), heeft de overheid op dat punt maar beperkte middelen.

Dan komen de volgende stappen: eerste reactie, schadebeperking en oplossen.

Hier kan de overheid vast verbeteren, maar kijk eens naar _het_ voorbeeld: Sony. Sony is in essentie absoluut een technologiebedrijf. In tegenstelling tot de overheid, waar de meeste werknemers, met name op leidinggevende functies niet-technische opleidingen hebben (rechten, bestuurskunde of gamma-opleidingen als psychologie, sociale geografie), werken bij Sony, ook in de leidinggevende posities, enorm veel mensen met een technische achtergrond en interesse.

Maar toen Sony gehacked werd, was de eerste reactie onduidelijk, schadebeperking kwam pas heel laat (na de oplossing) op gang en het oplossen zelf heeft extreem lang geduurd.

Waarom verwachten we dan zoveel van een overheid?

En *wat* verwachten we van de overheid? Willen we dat zij minimum-eisen gaat stellen aan security? Audits gaat doen op vitale infrastructuren? Voor je het weet staat het hier op Tweakers.net weer vol met mensen die vinden dat de overheid weer 'teveel regeltjes' heeft.

En het komt ook uit op het meest vervelende punt: alles kan gehacked worden. Sommige dingen wat moeilijker dan anderen, maar toch. Geen enkel overheidsscenario kan dit stoppen. Het enige wat ze kunnen doen is er klaar voor zijn om wanneer een storm losbarst, zo snel mogelijk de luiken helpen dicht te doen, wachten tot het over is, en dan een beetje efficient het puin te ruimen...
En het komt ook uit op het meest vervelende punt: alles kan gehacked worden. Sommige dingen wat moeilijker dan anderen, maar toch. Geen enkel overheidsscenario kan dit stoppen. Het enige wat ze kunnen doen is er klaar voor zijn om wanneer een storm losbarst, zo snel mogelijk de luiken helpen dicht te doen, wachten tot het over is, en dan een beetje efficient het puin te ruimen...
Moeten we dan elke keer gaan puinruimen en zeggen: Ach volgende keer doen we precies het zelfde? Als er van beide kanten (zowel hackers als beveiliging) geen vooruitgang wordt geboekt op technologie kan ik het begrijpen, maar de techniek gaat vooruit en de hackers dus ook. Probeer dan in ieder geval bij te blijven en niet achter te raken.
Overheid hoort in dienst te staan van de burger, niet het commercialiseren en dus afhandig maken van belangrijke zaken.
Vaak werd er gezegd dat het de wereldeconomie en kenniseconomie bevorderd, Amerika is tegenwoordig zo arm als de neten en van die loze beloftes is niks gekomen.

Langzamerhand worden we ingehaald door China en Rusland die niks van onze regeltjes aantrekken, kijk maar naar de huawei iphone of de imitatierolex waar 'iedereen' gek op is en wat jan en alleman wel kan betalen.

Kijk naar de 2e wereldoorlog, de gemeente registratie kan in je nadeel vallen.
Tevens gaat de overheid laks om met de privacy van burgers, en treed het met handen en voeten de vrijheid van burgers.
Waarom moet ik mij bv. legitimeren als ik niks fout heb gedaan, spekken noem ik dat.
Ook willen ze 1 Europa met 1 regelgeving, sorry maar het 3e wereldrijk komt er snel aan.
En als meer dan de helft tegen is gaat het spelletje alsnog door.
De overheid is nooit opgewassen tegen een Mega Ramp al zullen zij dit ten aller tijden ontkennen.
De enige taak waar zij enigzins controle over hebben is het voorkomen van paniek en zij zulen zich hier op concentreren.
(Zie Jeff Waynes "War Of The Worlds, elke overheid heeft hier het nodige van geleerd)

Een heel goed voorbeeld hiervan is Fukushima (en eigenlijk elke ramp op dit niveau)
Controle van de overheid heeft hier gefaald op elk niveau zowel voor, tijdens en na de ramp.

Harris says the reports found that ultimately the Japanese government was most at fault in the handling of the disaster.

Early on, there was a great deal of confusion over who actually was in charge: a command center headed by the prime minister or officials at the plant. "It took days to get that sorted out, and during that time there were contradictory orders about what the plant operators should be doing," Harris says. Even so, the report says the managers at the plant seemed to be making good decisions


http://www.npr.org/2011/0...-apart-at-fukushima-plant
Een heel goed voorbeeld hiervan is Fukushima (en eigenlijk elke ramp op dit niveau)
Controle van de overheid heeft hier gefaald op elk niveau zowel voor, tijdens en na de ramp.
Met het grote verschil dat Fukushima een natuurramp was die buiten de ontwerplimieten van de centrale viel (in de jaren 50 gebouwd, toen hadden ze nog geen global warming, rijzende zeespiegels en hogere tsunami's verwacht) en een nationwide hack iets is wat moedwillig gebeurt op een systeem wat elke minuut te wijzigen valt voor nieuwe condities.
Het Internationaal Atoomagentschap had nochtans al meerdere keren gewaarschuwd dat het beter was om Fukushima te sluiten, net vanwege het feit dat die centrales niet tegen een aardbeving (of andere ramp) bestand waren. En aarbevingen zijn in Japan toch echt niet zeldzaam...
Punt!
Hier kunnen we lang over praten.

Feit is dat de ramp in Japan voor onmogelijk werd gehouden terwijl de feiten (tsunami) al eeuwen bekend waren. Dat er een vuile bom bij komt is niet van die tijd. Dat is van onze tijd.

Fukushima is een produkt van de jaren 60 maar "human build" en we weten er nog steeds, in de laatste 3 maanden bewezen, maar weinig van.

We leven nu in 2011 en alles hangt van netwerken (Klimaat, Beurzen, Speculaties, oorlog) aan elkaar i.c.m. met heel veel mensen en al hun behoeften..
We betreden een tijd perk (verbingen &afhankelijkheid) waar wij 10 jaar geleden niet over konden dromen, laat staan onze voorouders.

De impact van rampen in deze "moderne" tijd is niet te vergelijken met ervaringen uit het verleden.

Vroeger veroorzaakte een Natuur ramp een Humanitaire ramp, deze dagen zijn wij voor het eerst in staat om het omgekeerde te doen. Human Made

Verwacht alleen niet te veel van de overheid ;) .

[Reactie gewijzigd door Zanac-ex op 24 juni 2011 02:45]

ICT wordt gezien als een zwart gat in de begroting door politici, er gaat alleen maar geld naar toe en ze komen er zelden door in het nieuws, alleen als het mis gaat.

Je ziet geregeld dat overheid-systeembeheerders continu aangeven dat er iets niet goed gaat en dat alles met een hele boel digitaal plakband bij elkaar wordt gehouden.. tot het ploft.
Dan is opeens de hele dienstverlening weg, kwaaie burgers, krantenkoppen etc.

En voila, dan is er ook spontaan budget beschikbaar en is er niets te gek om een goed systeem neer te zetten wat het de eerst 5 jaar weer even vol houd.

Meestal ligt het probleem bij hogerhand, maar niet altijd.

Wat betreft de aanbestedingen die in de reacties genoemd worden, het is inderdaad ERG moeilijk om bij een aanbesteding verder te kijken dan het eindbedrag. Dit kan je weer terug vinden in het OSI model als laag 8 =)
De mensen die er verstand van hebben(meestal de minderheid in de beslissing bevoegde groep) moeten echt goed hun best doen om aan te tonen waarom iets niet goed zou zijn. en meestal lukt dat niet en krijg je van die mislukte ict projecten in het nieuws.
En dat vinden ze raar sorry maar ITer of tweaker weet dat onze overheid een stel IT kneusjes zijn. Dat ze daar een simulatie voor nodig hebben (geld over de balk smijten) om daar achter te komen vindt ik schandalig.

De overheid zou eens zijn eigen IT afdeling moeten maken inplaats van het maar blijven uitbesteden aan vriendjes voor belachelijke bedragen en dus allemaal verschillende aanpakken daardoor krijg je een lek en zwak systeem.

Ook zou de overheid gewoon een totaal gesloten netwerk moeten hebben, en de dingen die aan internet moeten in een appart sub net zetten "hot zones" waar je heel zware beveiliging op zet daarnaast heeft de overheid vele locaties dus een backup mirror van websites zal heel invoudig zijn dus down hoeven ze nooit te gaan.
De overheid zou eens zijn eigen IT afdeling moeten maken inplaats van het maar blijven uitbesteden aan vriendjes voor belachelijke bedragen en dus allemaal verschillende aanpakken daardoor krijg je een lek en zwak systeem.
Dat was er, het Rijks Computer Centrum. Maar toen moest er geprivatiseerd worden en is het zelfstandig geworden onder de naam Roccade.

(detail: Het RCC is ooit afgesplitst van de PTT. Roccade is na een paar rondjes fuseren in handen gekomen van KPN. Zo is alles weer bij het oude, maar nu in commerciele handen.)
Gesloten netwerk is leuk, maar het is op dit moment volgens mij allerlei verschillende netwerkjes.

Maak er eerst 1 netwerk van, dat zal alvast vele beveiligingslekken dichten.

Ook zul je zien dat verschillende gemeentes verschillende software gebruikt. Dat is ook niet goed. Verschillende delen staan dan open voor verschillende hacks.

Een land moet gewoon 1 uniform systeem hebben. Eigenlijk zou het europees aangepakt moeten worden.

Je ziet, bijvoorbeeld met Griekenland, dat diverse ministers volgens mij ook behoefte hebben aan internationaal goed kunnen werken. Op dit moment gaat het binnen 1 stad (bijvoorbeeld Amsterdam) niet eens uniform.
De overheid moet gewoon kundige mensen inhuren van extern in plaats van zelf te gaan zitten hobbyen.
De overheid huurt ook kundige mensen in, sterker, dat moeten ze wel want de eigen deskundigen die zijn weg-gerationaliseerd. Alles moet immers door het heilige bedrijfsleven gedaan worden? Het probleem is alleen dat die deskundigen een ander belang hebben dan de staat. Hun belang is namelijk zo snel mogelijk rijk worden. de staat heeft als belang om er voor te zorgen dat we met z'n allen rijker worden.
De staat heeft er nog nooit voor gezorgd dat ik rijker werd. En als je het vervelend vindt dat mensen betaald worden voor hun werk, dan moet je misschien op zoek naar een meer communistisch georienteerd land.
Proberen is altijd meer dan niets doen, zullen we maar zeggen. Ik begrijp niet goed waarom IT bij de overheid zo ondermaats is, het zou juist een plek moeten zijn waar dergelijke personen een mooi baantje moeten krijgen met een leuk salaris.

Of trekt dat mooi salaris juist de verkeerde personen aan?
Een mooi salaris hoeft per definitie niet de verkeerde personen aan te trekken. Als je als overheid veel te bieden hebt, zullen er ongetwijfeld ook veel mensen op af komen. Des te meer keuze voor de werkgever, des te hoger de kwaliteit, zou je in beginsel denken.

Echter ontbreekt er bij de overheid de competitie tegen andere bedrijven. Ze hebben immers een ruime hoeveelheid geld, maar er staat geen concurrentie tegenover die de druk dermate hoog opvoert dat iedereen we moet presteren naar het maximale van zijn of haar capaciteiten. En daardoor hebben veel burgers vaak (terecht danwel onterecht) het beeld van 'luie ambtenaren' die van negen tot vijf koffie drinken en verder niet zoveel uitvoeren.

Er is niet echt sprake van een bedrijfssituatie, waardoor de drang minder groot is om de "rotte appels" eruit te halen.

Daarnaast is de overheid ook erg bureaucratisch, wat snel en flexibel handelen ook behoorlijk in de weg kan staan. :)
Daarop door filosoferend;

Je stelt dat een hoger salaris meer keuze opleverd. Meer keuze resulteert in een hogere kwaliteit. Echter door het ontbreken van echte concurrentie wordt overheidspersoneel niet uitgedaagd om alles uit hun kunnen te halen.

Hoe kunnen we er dan voor zorgen dat de uitdaging wel aanwezig is? Mijn inziens kan dat worden opgelost door waardering en autoriteit toe te kennen aan de noodzaak van dergelijke expertise.

Zoals Pixeltje een aantal post terug aangeeft heeft de huidige expertise binnen de overheid nogal wat lagen boven zich te dulden. Ook het nieuwsbericht vermeldt dat er werd vergaderd in plaats van dat er actie werd ondernomen.

Concreet zou ik willen voostellen dat de overheid één unit introduceert met één manager die direct onder de minister valt. Zij hebben als taak om bij een aanval het probleem op te lossen. Waar mogelijk aangevult met expertise van de desbetreffende instantie. Door de positionering binnen de overheidsorganisatie hebben zij direct gezag over lagere managers. Daarnaast kan deze unit worden gebruikt voor preventieve controles op overheidssystemen.

Ik zou solliciteren :p

edit: typo

[Reactie gewijzigd door Quinz op 23 juni 2011 16:48]

De overheid neemt personen aan op basis van offertes. Daar ligt de concurrentie, dus dan moet je je van je beste kans laten zien. Eenmaal aangenomen bestaat de kans dat het een beetje afzwakt.
Soms is proberen niet genoeg. Zeker als mensen, zonder kennis van ICT of digitale beveiliging, gaan debatteren over iets waar ze geen verstand van hebben. Daarom snap ik wel dat ze in eerste instantie te 'licht' over de situatie oordeelde.
De vraag blijft echter waarom de overheid anno 2010 nog niet goed voorbereid was op hackaanvallen, terwijl Nederland al enige tijd een land is met een geavanceerde ICT-infrastructuur.
Dat de infrastructuur high-tech is wil niet zeggen dat de beveiliging ook in orde is. Voor veel bedrijven (en schijnbaar overheden) wordt hier nogal op bezuinigd. Niet nodig, overdone en ook onderschat : http://www.google.nl/sear...4l4l0l3l0l0l285l285l2-1l1.

Er zou aandacht besteed kunnen worden om regels op te zetten om beveiliging te normaliseren. Voor verkeer, milieu, onderwijs enz. zijn er regels, maar voor ICT nog niet echt. Ieder bedrijf "doet maar wat". Wat al is geroepen : Jukebox in 'nieuws: 'Overheid kan niet op tegen hackers''. Waarom wel op Europees niveau, maar niet op landelijk niveau?

Ook gaat het in de ICT heel snel, wat bij de overheid momenteel niet gaat. De twee zijn zo tegenstrijdig dat de overheid zich moet leren aanpassen aan de tijd van tegenwoordig. Hoe? Geen idee, maar daar kunnen ze over vergaderen ;).

[Reactie gewijzigd door Ventrigo op 23 juni 2011 11:17]

Het probleem is niet dat een systeem wordt gehacked. Dat kan namelijk altijd gebeuren. Wat wel belangrijk is, is dat zo'n hack geen sneeuwbal affect mag hebben.

Echter bij dit experiment is het niet zo zeer fout gegaan bij de ICT zelf, maar gaat de crisis besluitvorming veel te langzaam. Daardoor wordt er niet adequaat gereageerd op een probleem, waardoor de problemen zich blijven voordoen en meer systemen aangevallen kunnen worden. Pas twee uur nadat GOVERT een alarm melding doet gaat men pas werken aan een ambtelijk advies. In die twee uur zijn er dus nog geen maatregelen getroffen om verdere uitbreiding van de hack te voorkomen..

In Amerika hebben ze Homeland Security welke bestaat uit werknemers van de NSA, FBI, CIA en de Secret Service. Zodra Amerika wordt aangevallen, hetzij digitaal of fysiek, dan is Homeland Security direct de baas en heeft alleen overleg met de president en zijn staf (zeg maar het kabinet). Homeland Security maakt ook dagelijks een rapport op met actuele bedreigen welke de 'threat matrix' wordt genoemd en HS onderzoekt ook deze bedreigingen.

Ook in Nederland is dus duidelijk noodzaak aan een overkoepelend orgaan als Nederland wordt aangevallen. En mogelijk moet zo'n orgaan zelfs op Europees niveau werken, want de kans is erg klein dat als Nederland wordt aangevallen, andere Europese landen met rust worden gelaten. Neem bijvoorbeeld de Ikea bom meldingen welke zeer duidelijk op Europees niveau onderzocht moeten worden..
...Komt een Lulzsec bij de Nederlandse overheid...
Erg slordig van de overheid, juist van hun zou je beter hebben verwacht,

[Reactie gewijzigd door Zorian op 23 juni 2011 10:40]

Erg slordig van de overheid, juist van hun zou je beter hebben verwacht,
Als het overal fout gaat, waarom zou het dan bij de overheid ineens goed gaan? Security is op veel punten in algemene infrastructuur (OSs, db/file/web apps/servers) gewoon onvoldoende.
Het merkwaardige aan dit bericht is dus vooral de suggestie dat men hier wel tegen bestand zou moeten zijn. Een virus die de infrastructuur platlegd is lastig maar veroorzaakt vooral economische schade. Chaos op de wegen, het treinverkeer en op Schiphol kan ook optreden door een sneeuwbui of een aswolk. Vertrouwelijke informatie wordt ook openbaar door verloren USB sticks of laptops. Kortom, de schade is allemaal niet zo uitzonderlijk. Alleen de geschetste oorzaak is nieuw. Het lijkt erop dat de schrijvers van het rapport een belang hebben bij het opblazen van dit probleem. Wat om dit non-probleem op te lossen moeten er natuurlijk veel dure adviseurs ingehuurd worden om allerlei ICT systemen door te lichten en moeten er ook allerlei nieuwe tools aangeschaft worden om de volledige vernietiging van de ICT infrastructuur in Nederland te voorkomen.
Het merkwaardige aan dit bericht is dus vooral de suggestie dat men hier wel tegen bestand zou moeten zijn. Een virus die de infrastructuur platlegd is lastig maar veroorzaakt vooral economische schade...
Dat durf ik te betwijfelen. Warfare 101 zegt dat je altijd de aanvoerlijnen van je vijand als eerste doelwit moet pakken, en dan pas moet proberen deuken te slaan in zijn primaire verdedigingslinie. Is die supply line er namelijk niet, dan wordt het verdomd lastig om allerlei zaken te repareren en op peil te houden.

Nu is de IT-infrastructuur tegenwoordig een redelijk essentieel onderdeel geworden van ons land. Geef je die een flinke schop, dan schakel je het zenuwstelsel van Nederland uit, waardoor mensen geen of foute informatie krijgen. Chaos, paniek, rellen, noem maar op.

Als je eenmaal op dat punt bent dan is het land economisch instabiel en heeft het politiek nog maar een klein duwtje nodig. Wanneer denk je dat terroristen of revolutionairs hun kans schoon zouden zien?

Dat het geen Hollywood-versie van een nucleiare apocalyps zal worden als zoiets gebeurt, dat zal ik zeker niet ontkennen, maar er zal een aardige partij chaos ontstaan en ik heb wel een donkerbruin vermoeden dat we Wilde Westen-praktijken kunnen verwachten omdat iedereen zich gaat wapenen tegen de anarchie. Er is straks namelijk niemand meer die duidelijk weet wíe nu die inbreker tegen moet houden die je ruit in staat te meppen. ;)
Als de economie een dag stil ligt kost dat zo een paar miljard. Sneeuwbuien en aswolken kan je niet voorkomen. Hacks en virussen: daar is ten grotendele wel zeker veel aan te doen. En ja natuurlijk moet je dan mankracht inzetten, zoals adviseurs. Lijkt me nogal wiedes!
Kortom, de schade is allemaal niet zo uitzonderlijk. Alleen de geschetste oorzaak is nieuw.
Eerder andersom: bij de simulatie werd er immers juist wel degelijk uitgegaan van uitzonderlijk veel (digitale) schade. En de oorzaak is natuurlijk niet nieuw - al sinds Windows networking ondersteunt, gaat 't toch vooral dáár mis. Simpelweg 'feature above security' afschaffen, veiligheidseisen stellen aan besturingssystemen en de betreffende overtredende besturingssystemen gewoon verbieden nog langer te opereren binnen de overheid, Open Source verplichten binnen de gehele overheid, en hoppa: 99,999% van de veiligheidsgaten zijn dicht.

Natuurlijk kan je er een loopje mee nemen (ambtenaren op de hak nemen zoals gebruikelijk. Gebruikelijk, maar zwak) zoals jij schetst. Maar daar komen we echt niet verder mee.
Juist van hun zou je beter moeten KUNNEN verwachten. Na al het ICT gepruts van onze overheid in de afgelopen jaren heb ik ontzettend weinig vertrouwen in ze op ICT gebied.. :'(
Dat ICT gepruts komt niet door de overheid, maar door de mega ICT prutsers die door hen ingehuurd worden.

Die automatiseerders hebben bij aanvang van een project al de mentaliteit van: "ach, een overheids project... niet erg als dat in tijd en kosten uitloopt, de afschuif cultuur zorgt er wel voor dat mijn bordje schoon blijft".

Wie de schoen past trekke hem aan, heren ICT'ers....
Die ict prutsers maken alleen maar datgene wat hen wordt gevraagd... en door onkunde, gebrek aan kennis en persoonlijke titels worden er maar al te vaak beslissingen genomen die niet logisch zijn of reeel haalbaar.

(zo heb ik ooit de vraag gekregen zo snel mogelijk instellen dat mensen wel bestanden mogen verplaatsen tussen folders door middel van knippen en plakken, maar niet door middel van slepen, want dat was te fout gevoelig)

wat ik WEL met je eens ben is dat het er wel erg vaak op lijkt dat ICT-bedrijven (lees: de sales afdeling) opdrachten binnenhengelt zonder te weten wat de vraag eigenlijk is of een oplossing. Een beetje redelijk huisvaderschap lijkt vaak ver te zoeken...
Dat heet aanbesteding, en dat is nu eenmaal verplicht. Al die bedrijven schrijven allemaal onder de kostprijs in, wetende dat de rekening voor "meerwerk" dat meer dan goedmaakt.
Dat heet aanbesteding, en dat is nu eenmaal verplicht. Al die bedrijven schrijven allemaal onder de kostprijs in, wetende dat de rekening voor "meerwerk" dat meer dan goedmaakt.
Is dat niet het hele fundamentele probleem? Politici doen dat soort 'aanbestedingen' en gaan een berg IT-bedrijven vragen voor één of andere opdracht zonder dat ze er inhoudelijk iets van afweten. Wat dus als resultaat heeft dat één of ander bureau met ambtenaren de opdracht inhoudelijk in mag vullen voor de uitvoerende partij. en je uiteindelijk iets héél anders krijgt dan wat er eigenlijk de bedoeling was. (Kijk bijvoorbeeld naar de waterdichte, zwartrij-bestendige OV-chipkaart)

Als gevolg gaan er weer een honderdtal ambtenaren vergaderen, evalueren, dat terugmelden naar één of ander ministerie en gaat er een andere partij aanbesteed worden, geen wonder dat er dan niet snel gereageerd kan worden op een hack en al helemaal niet vooruit gespeeld kan worden op hacks. De wet van Moore is nu eenmaal sneller dan ons ambtenarenapparaat.

Als die aanbestedingen niet meer verplicht zouden worden en een uitvoerende partij ook pas echt zijn centen krijgt als er gewenst resultaat is geleverd, dan zou de hele IT-wereld in ons land er al heel anders uitzien.
[...]


Is dat niet het hele fundamentele probleem? Politici doen dat soort 'aanbestedingen' en gaan een berg IT-bedrijven vragen voor één of andere opdracht zonder dat ze er inhoudelijk iets van afweten.
Politici doen die aanbesteding niet!!!
Tjonge jonge, ga maar weer gauw roepen dat er teveel ambtenaren zijn, dan horen de politici dat en zorgen dat er meer wordt geoutsourced.
DAT gebeurd er namelijk.
Vervolgens is de ingehuurde partner velemalen duurder dan de ambtenaar en duurt het werk te lang. Maar ja bijna iedereen heeft z'n zin hè.
De slechte omstandigheden worden veroorzaakt door precies dit soort geneuzel.
[...]


Is dat niet het hele fundamentele probleem? Politici doen dat soort 'aanbestedingen' en gaan een berg IT-bedrijven vragen voor één of andere opdracht zonder dat ze er inhoudelijk iets van afweten. Wat dus als resultaat heeft dat één of ander bureau met ambtenaren de opdracht inhoudelijk in mag vullen voor de uitvoerende partij. en je uiteindelijk iets héél anders krijgt dan wat er eigenlijk de bedoeling was. (Kijk bijvoorbeeld naar de waterdichte, zwartrij-bestendige OV-chipkaart)
Helemaal mee eens, criteria moet niet zijn wie kan het goedkoopste iets maken, dat is compleet fout. Criteria moet zijn wie is de best en meest bekwaamt om dit te ontwikkelen. Maar zo is het met veel overheid regels. Net als de regel X aantal procent moet vrouw zijn bij de politie, nog x aantal procent allochtoon, zelfde verhaal als de aanbestedingen, criteria zijn fout word niet gekeken naar wie beste is voor de job maar hele andere criteria worden gehanteerd. En al die foute van de overheid krijgt de burger op zijn bord. :(

En erge is dat vaak van te voren er al tig keer aan de bel is getrokken maar het project toch word door gedrukt omdat ze er al zoveel ingestoken hebben en de ministers niet willen toegeven dat hun pristige project een domper is.

Maar gelukkig zijn er ook nog goed ministers
(zo heb ik ooit de vraag gekregen zo snel mogelijk instellen dat mensen wel bestanden mogen verplaatsen tussen folders door middel van knippen en plakken, maar niet door middel van slepen, want dat was te fout gevoelig)

Dat is toevallig best logisch. Was het niet mogelijk?
@joopv Goh, hoe herkenbaar! Heb je toevallig ook voor Ge*****cs gewerkt?! Daar is de afschuifcultuur en mentaliteit imho zelfs uitgevonden! Geheel terecht dat KPN daar nu eens eindelijk de grote bezem aan het doorhalen is! ;p
Sorry hoor, maar dit heeft niets te maken de systemen die zijn ontwikkeld. Dit heeft te maken met een protocol die gehandhaafd moet worden in een bepaalde situatie. Het komt dus niet op het goed analyseren van de de bestaande processen en de risico's die die zich kunnen afspelen binnen een bepaald proces of gebeurtenis. De verschillende processen die je dus hebt binnen jouw entiteit/omgeving moet dus op elkaar afgestemd en gestoomlijnd moeten kunnen verlopen. Als er ook maar ergens een proces vastloopt kan ergens verderop in de keten dus ook een proces vastlopen, of sterker nog het totale proces loopt vast. Kun je me nog volgen? Wat ik eigenlijk wil zeggen is dat een bepaalde situatie een trigger moet zijn om een keten van processen door het hele bedrijf moet ingang zetten en niet alleen binnen een afdeling. Zogenaamde eilandinformatisering. Je systemen kunnen dan zo nieuw of oud zijn, je proces moet nog steeds voorbereid zijn op elke situatie die zich voor kan doen.
Dat is op zich inderdaad al erg genoeg, maar wat ik nog veel erger vind: ze maken iedereen ook het bestaan onmogelijk met hun legendarische gebrek aan kennis van zaken en de daaropvolgende wet- en regelgeving...
ze kunnen beter mensen van b.v. lulzsec inhuren. Dan is het zo op orde
Ja enorm goed plan laat een paar mensen uit een kwaadaardige hackers groep het op lossen.
Wat denk je nou dat ze geen backdoors maken dan heeft lulzsec toevalig opties in Nederlandse staatsobligatie's.
Hackers zijn niet per definitie boosaardig. Hackers zijn eigenlijk niet veel anders dan personen die checken of de beveiliging van een netwerk / systeem wel deugt. Een beetje persoonlijkheid brengt het 'slachtoffer' op de hoogte van de kraak. Een cracker (in de volksmond 'hacker') zul jij bedoelen, breekt in en misbruikt je systeem.
Een beetje persoonlijkheid brengt het 'slachtoffer' op de hoogte van de kraak.
Een beetje hacker heeft al lang geleerd dat grote bedrijven en overheden totaal geen gevoel voor humor hebben en je dan keihard aanpakken. Het publiek waarschuwen door publicatie is de veiligste oplossing.
Ik zeg niet dat hackers kwaadaardig zijn de inviduen van annonymous doen veel goede dingen.
Lulzsec is wel kwaadaardig en doen het alleen voor eigen gewin.

Maar naast dat ik heb net toevallig een telefoontje gerkegen over een aangifte had niet verwacht dat er nog wat zou gebeuren maar toch :P.
Uit het telefoontje kwam wel door dat maar ongeveer de helft van mijn aangifte was aangekomen bij het district in leeuwarden dus ook in het ministerie van binnenlandse zaken zijn de zaken niet op orde :P.
... Voor eigen gewin?
Ik weet niet wat jij wil, maar LulzSec heeft al meer gedaan dan Anonymous.
/fail
Precies, je hoeft je dan niet meer druk te maken om alle prive gegevens, die staan dan in ieder geval zeker weten binnen vijf minuten op een torrent site. Voor de lol zullen we dan maar zeggen. Je denk toch niet echt dat die leden te vertrouwen zijn, of wel?
Het gaat in deze zaak om vertrouwen in competentie, niet om vertrouwen in integriteit.
Een beetje flauw.
Ow nee? Denk dat integriteit er echt wel bij hoort. Als de mensen die dit probleem moeten oplossen niet integer zijn dan kan je bijna wel zeker zeggen dat de oplossing ook niet helemaal goed zal zijn.
Nee, daar maak je toch echt een denkfout.
Als die integriteit een randvoorwaarde is, is het systeem namelijk inherent niet veilig.
...Daarnaast is het niet vanzelfsprekend dat een willekeurige hacker(sgroep) verstand heeft van het beveiligen van systemen. Mogelijk dat ze ervoor kunnen zorgen dat ze zelf niet meer binnen het systeem kunnen komen, maar dan is je systeem 'slechts' beveiligd tegen hacks van hetzelfde type en/of kaliber. Beveiligingsexperts zijn er niet voor niets.
Toch verwacht je wel dat zulke mensen er ook verstand van hebben. Je kunt namelijk niet zomaar een systeem hacken als je geen verstand van beveiliging hebt. Waarom denk je dat de Amerikaanse Overheid ook ex-hackers gebruiken om alles te beveiligen? Als je genoeg betaald heeft het geen nut meer om te gaan hacken. Daarnaast is het voornamelijk laten zien wat ze kunnen, en dat kan in zo'n geval.

Beveiligingsexperts zijn er inderdaad niet voor niets, maar hoe komen die aan hun kennis? Veel mensen die weten hoe ze iets moeten beveiligen, weten ook hoe ze iets moeten kraken. Dus deze twee liggen ontzettend dicht bij elkaar.
Dat klopt, maar een hacker hoeft niet van ELK type beveiliging en aanval iets af te weten. En dat terwijl het 'doelwit' wel op ELK type aanval voorbereid moet zijn. (Ex-)hackers kunnen zeker bruikbaar zijn voor het beveiligen van systemen, maar het lijkt me dat de kennis van één hacker(sgroep) toch ontoereikend zal zijn. Iemand die goed is met sloten hoeft niet noodzakelijk veel verstand te hebben van veiligheidsglas, bij wijze van vereenvoudigde metafoor.
100% mee eens. Ik ken ook een hacker en dat is meer een autistische knakker, perfect om ergens binnen te komen, reverse engineering. Maar iets zelf opzetten..... huilen met de pet.
Heb het idee dat ze geen opleiding hebben genoten en daarom anders denken dat de rest die is "gebrainwashed" door de universele ontwerpmethoden. Iedereen het zelfde te laten leren heeft zijn voordelen, echter ook zeker zijn nadelen.
lulzsec personen hebben tot nu to alleen 'bekende' systemen kunnen hacken en systemen die op het internet zijn aangesloten.

Konden ze het niet hacken, dan gingen ze simpelweg DDossen.

Het lijkt me ook dat je de heren en/of dames niet zo moeten inhuren omdat ze simpel weg niet te vertrouwen zijn gezien hun verleden.
al kun je een zwembad lek prikken wil niet zeggen dat je het kunt plakken ;)
Ik denk ook niet dat de overheid inziet hoeveel impact groepen als Lulzsac en Anonymous kunnen hebben. Ook lopen ze (naar mijn idee) achter de feiten aan.
Je loopt als "bedrijf" altijd achter de feiten aan wat ICT en hackproofing betreft.
Inderdaad, ik hoop voor ze dat Lulzsec en Anonymous de overheid van Nederland even met rust laten. Maar aan de anderen kant laat hun de overheid maar is hard aanpakken want inderdaad er moet eerst wat gebeuren voordat hun de boel verbeteren..

Type

[Reactie gewijzigd door pinopro op 23 juni 2011 10:57]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True