Minister Schultz: scada-systemen Rijksoverheid zijn veilig

Minister Schultz van Haegen van Infrastructuur en Milieu laat in antwoord op Kamervragen weten dat er geen beveiligingsproblemen zijn met de door de Rijksoverheid beheerde scada-systemen. Gemeenten zijn wel zelf verantwoordelijk.

De vragen, afkomstig van twee SP-Kamerleden, waren gesteld naar aanleiding van een reportage van EenVandaag. Daarin was te zien hoe via scada-systemen beheerde gemalen van de gemeente Veere op afstand waren te bedienen na het invoeren van een eenvoudig wachtwoord. Verder zouden onder andere pompsystemen in de riolering kwetsbaar zijn.

Volgens Schultz zijn bruggen, sluizen en gemalen die door Rijkswaterstaat op afstand worden beheerd voor een groot deel niet met het internet verbonden. Deze waterwerken zouden lokaal worden bediend worden of via een ander netwerk beheerd, terwijl sommige objecten ook via beveiligde verbindingen worden aangestuurd. De minister laat verder weten dat de beveiliging periodiek wordt gecontroleerd, maar over het beheer door gemeenten kan de minister geen uitsluitsel geven.

Schultz stelt in haar beantwoording verder dat de Rijksoverheid geluisterd heeft naar de adviezen van de Nationaal Coördinator Terrorismebestrijding. Zo zouden 'lokale internetverbindingen' vervangen zijn door een centraal en goed beveiligd netwerk van Rijkswaterstaat. Dit systeem zou constant gemonitord worden. Volgens de minister zijn er geen aanwijzingen dat er beveiligingsproblemen zijn met de door Rijkswaterstaat beheerde scada-systemen. Mochten deze toch worden gevonden, dan belooft Schultz 'corrigerende maatregelen' te treffen.

IT-banen

Reacties (62)

Bill_E 12 maart 2012 15:41

Ik ben voor mijn werk betrokken bij een groot aantal infra gerelateerde projecten. Sowieso heeft Rijkswaterstaat een eigen netwerk, koppelingen met internet zijn uit den boze, alle koppelingen die er zijn, zijn dermate hoog beveiligd dat een hack hiervan hooguit voor wat ongemak kan zorgen. Bedieningen en dergelijke zijn dermate goed beveiligd dat je er minimaal insider kennis voor nodig hebt om überhaupt wat te kunnen. Ook moet je intern in het netwerk zitten, wat in feite al niet mogelijk is door de toegepaste infrastructuur en beveiliging.

Bedenk wel dat het netwerk van Rijkswaterstaat niet alleen bruggen en sluizen bedient, maar ook de snelwegen en tunnels.

Natuurlijk is alles te hacken, maar zaken van Rijkswaterstaat niet zo eenvoudig als hierboven beschreven, wat dan ook duidelijk een Gemeente inrichting is.

itsalwaysme @Bill_E • 12 maart 2012 18:36

Ik weet bij welke projecten jij betrokken ben, maar ik zie bijvoorbeeld waterschappen en de NS/Pro-rail ook als overheid organisatie. Aangezien de minister er op een of andere manier ook voor verantwoordelijk is. Daar heb ik vanuit mijn werk wel mee te maken. En ik kan daar vanuit thuis via het internet gewoon naar inbellen via een VPN. Die SCADA/PLC/... systemen zijn dus gewoon via het internet te bereiken en aan te sturen. Ik zou zelfs (als ik zou willen) verschillende germalen aan en uit kunnen zetten.

Moet eerlijk zeggen of ik niet weet of ze eigenlijk onder Rijkswaterstaat valt of niet, maar zou het wel zeggen met de sluizen van de waterschappen.

Overigens is het grootste probleem van de SCADA systemen. Er wordt niet over na gedacht dat het standaard wachtwoord aangepast moet worden. Want er wordt vaak gezegd: De server hangt toch niet aan het internet. Men vergeet dan dood leuk veel systemen aan een productie netwerk hangen waarop ingebeld kan worden.

wow7 @Bill_E • 12 maart 2012 16:45

Misschien toch deze site eens bezoeken

http://scadahacker.com/howto.html

Je kan dus zeggen ja alles is veilig , ja tuurlijk uit het standpunt van jouw ogen misschien wel , zo zie je dat dus bv ook in Chrome / IE / Firefox waar dus enkele 10 tallen of zelfs honderden mensen aan werken die eigenlijk ook denken dat het veilig is maar er toch weer exploits op duiken die het tegendeel bewijzen.

Als je zou zeggen het is veilig tot een level waar je alles geprobeerd heb om de veiligheid te garanderen zou ik zeggen ok.

Maar hackers vinden altijd wel iets dat heeft het verleden bewezen en de toekomst zal het ook wel uitwijzen.

Verwijderd @wow7 • 12 maart 2012 21:30

Misschien toch deze site eens bezoeken

http://scadahacker.com/howto.html

SCADA, afkorting van Supervisory Control And Data Acquisition, is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen. (Soms ook al eens onterecht distributed control systems (DCS) genoemd.)

Zoals al gesteld hierboven Er wordt niets bestuurd.
mrlammers in 'nieuws: Minister Schultz: scada-systemen rijksoverheid zijn veilig'

Daarbij betreft het gescheiden systemen, en netwerken.
Bill_E in 'nieuws: Minister Schultz: scada-systemen rijksoverheid zijn veilig'

Om te voorkomen dat andere computersystemen de werking van de processen frustreren en vice versa, is het noodzakelijk om een vorm van scheiding tussen de procesbesturing en andere informatiesystemen aan te brengen. Dit principe heet in dit verband Cybersecurity. In de wereld van de informatiebeveiliging wordt het als domeinscheiding onderkend: het scheiden van netwerken door toepassing van onder meer VLAN's en firewalls.

juist vanwege de veilighheid.

http://nl.wikipedia.org/w...acquisition#Cybersecurity

Inmiddels,dd 7-3 heeft het Nationaal Cyber Security Centrum een checklist voor de Scada beveiliging opgesteld

Het Nationaal Cyber Security Centrum heeft een checklist gepubliceerd om te komen tot een betere beveiliging van ICS/SCADA systemen. De aandacht van hackers en security onderzoekers voor de beveiliging van procesbesturingssystemen (ICS/SCADA) neemt de laatste tijd zichtbaar toe. In het bijzonder systemen die direct vanaf internet bereikbaar zijn liggen onder vuur. Maar deze internetconnectie is niet het enige potentiële beveiligingsprobleem voor procesbesturingsomgevingen. De nu uitgebrachte checklist is bedoeld om uw organisatie te helpen bepalen of de ICS/SCADA omgeving afdoende beveiligd is op basis van maatregelen die als ‘good practice’ beschouwd worden.

Het NCSC wees al eerder op de beveiliging van deze systemen.
https://www.ncsc.nl/actue...g-ics-scada-systemen.html

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:51]

devino @wow7 • 12 maart 2012 17:36

Tuurlijk SCADA systemen an sich zijn te hacken, maar wat Bill_E en nog wat andere in dit topic proberen duidelijk te maken is dat RWS zijn eigen glas- / koper netwerk heeft, wat alleen aan het internet hangt als het niet anders kan en daar meerdere typen beveiliging op zit.
Gemeenten, provincies en waterschappen is inderdaad een ander verhaal.

wow7 @devino • 12 maart 2012 17:45

Ja ik snap de stelling van Bill_E maar je zin "wat alleen aan het internet hangt als het niet anders kan" zegt dus al genoeg.

Dus je timmert het dicht zo ver als het gaat , veilig ?.

devino @wow7 • 12 maart 2012 18:01

Ik ken het netwerk niet goed genoeg om te durven beweren dat het helemaal niet gekoppeld is, misschien dat een ander daar uitsluitsel over kan geven, maar als er slechts enkele koppelingen in zitten is het natuurlijk makkelijker te monitoren wat er overheen gaan dan als elk object apart gekoppeld is.

Ik beweer overigens niet dat het niet gehackt kan worden, alleen wel dat er (zeker voor een overheidsinstantie) best goed over nagedacht is.

The Jester @Bill_E • 12 maart 2012 16:26

Fijn om te horen, maar aangezien ik de nodige Overheids-ICT faalprojecten heb gezien, blijf ik toch met de nodige scepsis zitten. Dat de SCADA-systemen van Rijkswaterstaat van buitenaf dichtzitten wil ik nog wel geloven, maar hoe zit het wanneer er een trusted server aan de binnekant wordt gehacked? Daar zit namelijk altijd het grote gevaar.

Trust is a Weakness
(Vrij naar "Uplink")

blouweKip @The Jester • 12 maart 2012 18:52

Veel overheids ICT projecten worden uitgevoerd door externe (commerciele) partijen dus het lijkt me dat scepsis altijd wel nodig is, niet alleen bij overheidsprojecten.
Overigens kiest de meerderheid van de kiezers voor ingrijpende bezuiningen op de kwaliteit van de overheidsdienstverlening en dus ook automatisch voor minder expertise bij de uitvoerende organisaties wat betreft ICT: bezuinigingen die op termijn waarschijnlijk meer zullen kosten dan ze op korte termijn opleveren.

Verwijderd @Bill_E • 12 maart 2012 21:36

Bedenk wel dat het netwerk van Rijkswaterstaat niet alleen bruggen en sluizen bedient, maar ook de snelwegen en tunnels.

Meer dan dat zelfs nog:

SCADA systemen worden (samen met een DCS) onder andere ingezet voor:

* Verkeersregeling
* Attracties (bijvoorbeeld Vogel Rok Efteling)
* Chemische industrie
* Papierfabrieken
* Klimaatregelsystemen
* Sluizen, gemalen en bruggen
* Parkeergarages
* Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
* Supervisie en regeling van windturbines

http://nl.wikipedia.org/w...trol_and_data_acquisition

supertheiz @Bill_E • 12 maart 2012 18:00

Ik voel me nu bijna veilig. Je moet insider info hebben, en er zijn bijna geen internet aansluitingen.
Kijk eens naar stuxnet. Daar was 1 USB stick voldoende voor het platleggen van een heel nucleair programma.

Ik ken de it projecten van de overheid, deze gaan er vanuit dat de burger dom is, een architect van accenture of atos alwetend is, en dat je met wat simpele beveiligingsmaatregelen een hack kan tegengaan.

Ik denk dat het landschap van de overheid gehackt kan worden door scriptkiddy, het puistenkoppie op de hoek.
Een groter gevaar is de inside hacker: de projectmedewerker die een zakcentje nodig heeft. Zoals je aangeeft is het systeem hiervoor niet veilig.
Nog groter is het gevaar van nation states. Ik vertrouw absoluut niet erop dat nl bestand is tegen een toegepaste aanval zoals stuxnet.

koelpasta @Bill_E • 12 maart 2012 18:02

LOL,.
En als iemand een Stuxnet-achtige tool schrijft dan ben je nog steeds het haasje..

Punica- 12 maart 2012 15:29

Dit is dus weer eens een voorbeeld dat we een "Ministerie van ICT zaken" met verantwoordelijke minister nodig hebben die dit soort zaken ook daadwerkelijk kunnen auditten.

Er moet nu een minister verantwoording afleggen over iets waar zij met haar portefeuile onmogelijk verstand van kan hebben. En om heel eerlijk te zijn verwacht ik dat ook niet van haar, zij is er om globaal toezicht te houden op "Infrastructuur en Milieu", dit soort zaken zou zij zich helemaal niet druk om moeten maken en ik kan me ook niet voorstellen dat ze genoeg tijd heeft om zich hier mee bezig te houden.

De regering moet eens doorkrijgen dat ICT compleet verwoven is met het normale leven en dat je dit er niet 'bij' kan doen, maar een vak apart is.

Ik ben dan ook overtuigt dat wat de minister hier zegt foutieve informatie is, puur uit onwetendheid en mensen die haar vertellen dat 'het-wel-goed-zit', zonder genoeg kennis om dit ook daadwerklijk met zekerheid te kunnen zeggen.

the_shadow @Punica- • 12 maart 2012 15:49

Ze hebben informatie ingewonnen bij de Nationaal Coördinator Terrorismebestrijding die onder het Ministerie van Veiligheid en Justitie valt. Het Nationaal Cyber Security Centrum komt ook onder deze coordinator te vallen en dat zijn echt geen jongens en meisjes die op hun achterhoofd zijn gevallen. Het hele idee "ze schreeuwen maar wat", vind ik dan ook enigzins doemdenkend.

Natuurlijk kan een Minister zelf niet 100% weten wat overal genoemd wordt. Dacht je dat de minister van Financieen zelf ieder jaar de Miljoenen Nota schrijft?

Zelfs al zou er een "Ministerie van ICT" worden opgericht, gegarandeerd dat hier dan hetzelfde commentaar weer op Tweakers komt.

koelpasta @the_shadow • 12 maart 2012 17:50

"Zelfs al zou er een "Ministerie van ICT" worden opgericht, gegarandeerd dat hier dan hetzelfde commentaar weer op Tweakers komt."

Als er een minister ICT komt en die gaat ACHTERAF roepen dat het allemaal wel weer veilig is dan zou die per direct naar huis gestuurd moeten worden.

Reactieve acties, zo van als het kalf verdronken is, kan gewoon niet in deze tijd.
Wij hebben een vooruitziende persoon nodig die proactief de boel aanpakt.

Buiten dat (en jij vind dat doemdenken) is het onmogelijk dat alles helemaal beveiligd is dus die uitspraak is pertinent onwaar.
Het KAN gewoon niet. Het is geen kwestie van gevoel, het is een kwestie van logica.
Als er iemand is die op gevoel speelt dan is het wel de minister die de boel probeert te sussen door te stellen dat het in orde is.
Leuk dat ze informatie heeft gewonnen bij de club terrorismebestreiding maar dat zegt nog niets over wat ze uiteindelijk hebben geleerd en hoe ze dat toegepast hebben.

Vooralsnog, zonder verdere bewijzen, roep ik ook "ze schreeuwen maar wat" want de geschiedenis heeft geleerd dat over dit soort zaken regelmatig ronduit gelogen wordt door hoge ambtenaren.

Wat verder opvalt is dat dit in 1 maand gefixed is.
Dat geloof ik nooit.
SCADA systemen zijn meestal grotendeels custom systemen waar je niet even een programmeur voor inhuurt die jaren oude systemen even van een beveiligingslaagje gaat voorzien.
Waarschijnlijk is nu alleen dan de verbinding (grotendeels?) veiliger gemaakt maar zoals hierboven ergens al staat is een VPN verbinding niet altijd een afdoende beveiliging.

: /

Biersteker @the_shadow • 12 maart 2012 16:29

Misschien. Maar een Ministerie van ICT, zou geen slecht idee zijn. Hoewel ik toch het er mee eens moet zijn. Behalve dan het Ministerie van Veiligheid. Dat hele concept staat mij echt erg tegen. Ik ben misschien een beetje ouderwets maar ik hecht toch veel waarde aan de scheiding, van uitvoerende , wetgevende en rechtsprekende macht. Iedere combinatie die daarin gemaakt word, zal ten koste gaan van de transparantie. Door het Ministerie van Justie, op de laten gaan met het Ministerie van Veiligheid (Wat natuurlijk een zelfbedacht orgaan is, wat in principe niet hand in hand hoort te gaan met het Ministerie van Justitie, gelukkig is het gecombineerd met BiZa, maar in mijn ogen heeft BiZa daar meer recht op, dan Justitie, maar dat is een hele andere discussie).

Het gaat er dan in mijn ogen ook niet om of zo orgaan wel of niet tegen kritiek van tweakertjes kan, maar eerder in welke machtsvorm het valt. Aan de ene kant zou ik graag een open internet zien, open beveiliging, en open beleid. Kennelijk is het aan de ene kant, zo dat mensen graag hun vrijheden opgeven voor de illusie van veiligheid, maar aan de andere kant is het ook zo dat mensen hun vrijheden zouden moeten koesteren.

Misschien is het eventueel in voeren van een ministerie van ICT, ook een van de punten die op enorm verzet zou kunnen stuiten, als er in eens allemaal ICT specialisten bij de overheid gaan zitten. Aan de ene kant van het bedrijfsleven, en aan de andere kant vanuit de privacy waakhonden. Dit is dan ook de reden waarom bureaucratie is dit geval zeer goed zou functioneren, maar bij een directe respons weer te langzaam zou zijn. Zolang het in de juiste machtvorm word onder gebracht. (Namelijk de uitvoerende, in mijn ogen. Waarbij juist de wetgevende, en rechtsprekende macht het beleid voeren)

Hoe langer ik hier over nadenk, hoe groter de nuances worden. Maar de conclusie blijft. Deze scada systemen zijn niet veilig

supertheiz @the_shadow • 12 maart 2012 17:52

Dit soort zaken hoort thuis bij defensie. Eventuele aanvallers zijn niet scriptkiddy om de hoek, maar nation State hackers (leger aanvallend land).
Eventuele aanvallen van andere landen, ook via internet, horen niet door een minister te worden afgehandeld maar door een defensieonderdeel ism AIVD.

Als een land als Iran, China, Korea, Israël of wie dan ook ons wil aanvallen dan doen ze dit geavanceerd met een scada als doel. Waterleidingsbedrijf platleggen is effectiever als het terugtrekken van een ambassadeur.
Aanval op Waterleidingsbedrijf is vergelijkbaar met het schieten van een raket op een marineboot. Dit hoort thuis bij defensie.
Dat een minister zo'n uitspraak doet geeft aan hoe slecht het is gesteld met onze it.
Opmerkingen hieronder van rws medewerkers benadrukken dit; "je veilig voelen omdat je insider info nodig hebt om te weten wat je moet doen" en "het is alleen benaderbaar via VPN"... Ja, klinkt bijna hoopgevend en dit was inderdaad in 1976 ofzo nog best veilig.

Verwijderd @supertheiz • 12 maart 2012 21:15

Dit soort zaken hoort thuis bij defensie. Eventuele aanvallers zijn niet scriptkiddy om de hoek, maar nation State hackers (leger aanvallend land).
Eventuele aanvallen van andere landen, ook via internet, horen niet door een minister te worden afgehandeld maar door een defensieonderdeel ism AIVD.

Als een land als Iran, China, Korea, Israël of wie dan ook ons wil aanvallen dan doen ze dit geavanceerd met een scada als doel.

offtopic:
Je bent duidelijk niet op de hoogte van bevriende en vijanden. Israel is bevriend met Nederland. Korea bestaat uit Zuid-Korea, een rustig land En Noord-Korea, onrustig maar hebben geen belang in Nederland net zoals China ook niet om de boel op stelten te zetten.
Er blijft dus weinig van je statement heel. Sterker nog. Nederland heeft niet echt politieke vijanden.

Momenteel zijn Iran en Syrie de meest instabiele factoren in het Midden-Oosten en daar ligt Nederland niet.Israel zorg wel dat ze zich rustig houden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:51]

supertheiz @Verwijderd • 13 maart 2012 00:03

Nozem: de wereld bestaat niet uit goed en slecht. China heeft waarschijnlijk al een aantal maal laten zien wat ze kunnen door iets in oa de VS aan te vallen. China en VS zijn officieel vriendjes.
Iran is daarnaast niet instabiel, die weten best aardig waar ze mee bezig zijn. De VS en eu kunnen het daar wellicht niet mee eens zijn, maar Iran is niet instabiel. Iran is overigens redelijk bevriend met Rusland en China. Deze 3 landen hebben samen een heel groot deel van energievoorraad en hebben samen meer geld als wij (VS en eu) bij elkaar schuld hebben....
Dat Nederland niet in het midden oosten ligt is ook niet heel relevant.

Pyronick @supertheiz • 12 maart 2012 22:20

Een VPN is ook leuk en aardig, maar in principe zouden veiligheidskritische zaken zoals gemalen, sirene's en dergelijk via een apart netwerk moeten gaan zoals NAFIN (Netherlands Armed Forces Integrated Network) - een veilig en snel glasvezelnetwerk gebruikt door drie krijgsdelen van Defensie en de Marechaussee. En ook voor correspondentie tussen de NAVO en Defensie.

Het ligt er immers toch en er is meer dan genoeg bandbreedte om simpele SCADA webinterfaces te bedienen.

Als het goed genoeg is om PATRIOT stellingen op afstand te bedienen, duizenden telefoontjes door te voeren en videoconferenties te houden, moet een sluis ook wel lukken.

[Reactie gewijzigd door Pyronick op 22 juli 2024 17:51]

herbalx @the_shadow • 12 maart 2012 16:17

Je zou voor de gein eens naar een congres moeten komen waar deze partijen spreken, af en toe vraag je je zelf af of ze het wel begrepen hebben . Je hebt in ieder geval het idee dat zij nog een lange weg te gaan hebben en dat ze veel behalve de juiste kennis hebben ...

DutchStoner @Punica- • 12 maart 2012 15:49

Jij pleit voor een http://nl.wikipedia.org/wiki/Technocratie?

ziggymaster 12 maart 2012 15:58

Ook ik kan vanuit mijn werkervaring vertellen dat het niet zo eenvoudig is kritieke systemen te benaderen en te manipuleren, zoals RWS ze in gebruik heeft.
(denk aan stormvloedkeringen e.d.)
Alles is mogelijk als je bedenkt dat ook kerncentrales bv aangevallen en evt gemanipuleerd kunnen worden,maar ik vind de media hype eromheen een beetje overtrokken.

Ook het voorbeeld wat gebruikt is,
Betreft zoals boven mij al aangegeven meer een lokale gemeentezaak.

supertheiz @ziggymaster • 12 maart 2012 16:29

Vergeet niet dat je met SCADA systemen op overheidsniveau te maken hebt met nation state hacks.
Er is echt geen script kiddy die het makkelijk voor elkaar krijgt een kerncentrale te hacken. Maar als je kijkt naar Stuxnet dan zie je dat een nation state hack zowat niet te stoppen is. Zeker niet als je zo naief een nieuwsberichtje de wereld in werkt als mevrouw de minister.

Mevrouw Schultz:
Voor uw informatie: Koude oorlog 2.0 is aan het opstarten. Landen als Rusland, China, maar ook 'vriendjes' als de VS en Israel hebben een leger soldaten klaarzitten achter toetsenborden en beeldschermen. Deze soldaten zijn opgeleid om via internet een land lam te leggen.
Om te laten zien waartoe ze in staat zijn doen ze nu af en toe een speldenprikje loslaten om wat te plagen. Ook onze SCADA systemen kunnen zo'n speldenprikje zijn en met zulke oproepen is de kans redelijk groot aanwezig dat we binnenkort ook geprikt worden.

Daarnaast: Hoe geloofwaardig is het dat onze Scada systemen waterdicht zijn als ze door dezelfde overheid worden beheerd die ook zaken bedacht heeft als de OV chipkaart en het patientendossier. Beiden waren natuurlijk ook waterdicht en niet te hacken.....

totaalgeenhard @supertheiz • 12 maart 2012 18:32

nation state hacks

Nieuw term ? Definitie?

Er is echt geen script kiddy die het makkelijk voor elkaar krijgt een kerncentrale te hacken.

En waarom dan niet?
Scriptkiddies staan er om bekend dat ze kant en klare tools van derden gebruiken, aangezien STUXNET gewoon openlijk (ook voor hen) te verkrijgen zijn is met wat modificaties het ook voor hun mogelijk.

En of iets makkelijk of juist niet is, zou geen afweging mogen zijn bij een risico analyse.

Immers die paar honderd ICT ingenieurs die in Nederland afstuderen zullen iets minder makkelijk vinden dan die 26.000 ICT ingenieurs die jaarlijks in India afstuderen omdat collectief denkvermogen nu eenmaal veel groter is.

Los nog van de huis/tuin en keuken techno anarchist die geen enkele limieten of beperkingen heeft die je rationeel kunt kwantificeren.

Ook indien iets NIET direct of indirect aan het Internet hangt dienen zaken op zichzelf staand enige mate van veiligheid te kennen, echter is dit geen nationaal probleem aangezien proces-controle-systemen nu eenmaal niet gemaakt zijn met security-as-an-issue.

Wereldwijd moet men eisen aan fabrikanten/leveranciers stellen en zodoende zodra de apparatuur afgeschreven is na een 10 tot 20 jaar vervangen worden door meer security bewuste SCADA systemen.

Het is een illusie te denken dat enig overheid in de westerse wereld SCADA systemen op dit moment kan en/of zal oplossen alleen het onderzoeken en identificeren van ALLE SCADA systemen kost al miljarden, laat staan het verhelpen/vervangen van die systemen. Het is om die reden (kosten/baten/risico) niet een issue waar politici te veel waarde aan (willen) hechten.

Tot slot, SCADA HACKERS hebben hun mond vol over de onveiligheid, maar ze tonen geen enkele oplossing, dat is ook onmogelijk aangezien je in elke straat kabels kunt opgraven en als je ergens in een straat een metalen doos, of betonnen gebouwtje ziet staan dan weet je dat je daar binnenin toegang kunt verschaffen tot een SCADA systeem. En daar doe je nu eenmaal niets tegen. Onveiligheid/restrisico is inherent aan SCADA.

Mensen die beroepsmatig met het onderwerp bezig zijn, weten veel effectievere manieren om Nederlandse samenleving schade aan te doen, die amper tijd, geld, moeite of kennis nodig heeft. En daartegen doe je als samenleving ook niets.

supertheiz @totaalgeenhard • 12 maart 2012 18:46

http://en.wikipedia.org/wiki/Hacker_(computer_security)

Nation states is gewoon een standaard term hoor, zie de wiki link.

De rest van je verhaal is grotendeels onwaar, behalve het stuk waarin je aangeeft dat de overheid waarschijnlijk niet eens weet welke scada systemen er allemaal operationeel zijn.

totaalgeenhard @supertheiz • 12 maart 2012 21:52

Op die wikilink staat dat niet.

Verder heb ik die term in deze context nooit gehoord en ik zit nog maar 30 jaar in het vak.

Graag onderbouwing van je stelling dat de rest grotendeels onwaar zou zijn.

[Reactie gewijzigd door totaalgeenhard op 22 juli 2024 17:51]

supertheiz @totaalgeenhard • 12 maart 2012 23:48

Verder heb ik die term in deze context nooit gehoord en ik zit nog maar 30 jaar in het vak.

Bijzonder.

Graag onderbouwing van je stelling dat de rest grotendeels onwaar zou zijn.

Scriptkiddies staan er om bekend dat ze kant en klare tools van derden gebruiken, aangezien STUXNET gewoon openlijk (ook voor hen) te verkrijgen zijn is met wat modificaties het ook voor hun mogelijk.

Ten eerste is het doel van scriptkiddy om met zo weinig mogelijk werk zo veel mogelijk ' schade' aan te richten. Het verbouwen van zoiets complex als Stuxnet hoort daar niet bij.
Ten tweede was Stuxnet zo effectief omdat het specifiek geschreven was om specifieke Siemens software aan te vallen en het gebruikte een kwetsbaarheid waardoor we voor 95% wel kunnen zeggen dat dit is ingefluisterd door Siemens zelf. Als je een Scada zoals brug, watercentrale, etc. wil aanvallen dan moet je weten welke software daar gebruikt wordt, welke zwakheden er in deze specifieke software aanwezig is en dan ook nog Stuxnet omschrijven zodat de brug niet meer open of dicht kan.
Dit kan Scriptkiddy niet.

mmers die paar honderd ICT ingenieurs die in Nederland afstuderen zullen iets minder makkelijk vinden dan die 26.000 ICT ingenieurs die jaarlijks in India afstuderen omdat collectief denkvermogen nu eenmaal veel groter is.

Die paar honderd ICT ingenieurs in Nederland hebben wel toegang gehad tot de modernste middelen en gereedschappen. Ze hebben ook binnen mogen kijken bij bedrijven en hier ook mogen spelen. In India is dit wat lastiger. Daarnaast is het daar zo moeilijk een baan te krijgen dat er weinig wordt gespecialiseerd. Ik denk dat dit collectief denkvermogen op dit gebied wat tegenvalt.

Ook indien iets NIET direct of indirect aan het Internet hangt dienen zaken op zichzelf staand enige mate van veiligheid te kennen, echter is dit geen nationaal probleem aangezien proces-controle-systemen nu eenmaal niet gemaakt zijn met security-as-an-issue.

Ik denk dat je hiermee bedoelt dat het apparaat alleen via intranet/VPN benaderd kan worden?
Een apparaat dat niet direct aan het internet hangt, hoort ook niet indirect aan het internet te hangen. Je kiest voor ofwel online en goed beveiligd, ofwel offline zonder aansluiting what so ever.
Het is schijnveiligheid te denken dat iets dat indirect aan het net hangt veilig is, "want het is ons intranet en we hebben een firewall".....

Het is een illusie te denken dat enig overheid in de westerse wereld SCADA systemen op dit moment kan en/of zal oplossen alleen het onderzoeken en identificeren van ALLE SCADA systemen kost al miljarden, laat staan het verhelpen/vervangen van die systemen. Het is om die reden (kosten/baten/risico) niet een issue waar politici te veel waarde aan (willen) hechten.

Hier was ik het dus wel voor een deel mee eens. Of het identificeren van Scada systemen miljarden zal kosten? Ik weet het niet....

Tot slot, SCADA HACKERS hebben hun mond vol over de onveiligheid, maar ze tonen geen enkele oplossing, dat is ook onmogelijk aangezien je in elke straat kabels kunt opgraven en als je ergens in een straat een metalen doos, of betonnen gebouwtje ziet staan dan weet je dat je daar binnenin toegang kunt verschaffen tot een SCADA systeem. En daar doe je nu eenmaal niets tegen. Onveiligheid/restrisico is inherent aan SCADA.

Er zijn veel zaken die je wel kan doen (jij hebt toch 30 jaar ervaring?)
Begin eens met het indelen van de potentiële aanvaller(s) in groepen. Van script kiddy tot Iran. Tot welk niveau ben je in staat aanvallen af te weren en wanneer houdt het op (kosten-baten). Een echte aanval van een vijandelijke staat hou je niet tegen, maar je wil deze wel zo snel mogelijk herkennen en vertragen/stoppen.
Als een Scada hacker een systeem aanvalt zal hij ervaring hebben met dit systeem of zich er in ieder geval in hebben verdiept. De persoon verantwoordelijk voor de veiligheid moet dit op z'n minst ook doen en zorgen dat de meest logische aanvallen niet mogelijk zijn. Met eenvoudige beveiliging en het up to date houden van software kan je 80-90% van eventuele aanvallen al stoppen.

Mensen die beroepsmatig met het onderwerp bezig zijn, weten veel effectievere manieren om Nederlandse samenleving schade aan te doen, die amper tijd, geld, moeite of kennis nodig heeft. En daartegen doe je als samenleving ook niets.

Hier ben ik het niet echt mee eens. Een hack kan je onopvallend in je zolderkamertje voorbereiden. Als je het een beetje slim aanpakt ben je ook nog eens zo goed als anoniem. Daarnaast is er met veel hacks gewoon geld te verdienen.

ravenger 12 maart 2012 15:33

Gemeenten zijn wel zelf verantwoordelijk.

Dus alles wat niet in beheer is van de rijksoverheid is niet meegenomen in het onderzoek en kan (en ongetwijfeld zal voor een deel) alsnog kwetsbaar zijn. Een zeer kwalijke zaak lijkt me. Ik begrijp niet waarom Schultz hiermee weg probeert te komen.

[Reactie gewijzigd door ravenger op 22 juli 2024 17:51]

the_shadow @ravenger • 12 maart 2012 15:54

Ik begrijp niet waarom Schultz hiermee weg probeert te komen.

"Mee weg probeert te komen"? Er wordt gezegd: "wij hebben op nationaal niveau alles in orde, maar wij kunnen geen garantie geven voor lokaal niveau." Dat is niet ergens mee weg proberen te komen, dat is zeggen waar het op staat. Lokale overheden zullen gegarandeerd een briefje hebben gekregen dat ze de boel goed moeten controleren, maar iets anders kan de rijksoverheid niet doen.

Freemann 12 maart 2012 15:21

Ik lees dat morgen alle gemalen uit en alle sluizen open staan

itsalwaysme @Freemann • 12 maart 2012 15:26

Uit ervaring (lees vanuit mijn werk) weet ik dat er van een aantal waterschappen de SCADA systemen via een VPN kunnen benaderen. Deze zijn over het algemeen wel veilig. Dus alle zal wel mee vallen. En daarbij als dat zo is, dan duurt het minder dan een dag en dan staat half Nederland onderwater.

herbalx @itsalwaysme • 12 maart 2012 16:13

allereerst vind ik het knap dat de minister dit zelf durft te zeggen, App Klink (Ab natuurlijk) durfde dat ook. Tot dat het EPD omviel door een kwetsbaarheid dat al twee jaar gepatched had moeten zijn.

Dat bepaalde partijen de VPN gebruiken om toegang te krijgen zegt niks over de veiligheid van de systemen zelf. Daarnaast leert de praktijk dat toegang tot VPN's geen hele grote opgave is..... en dus toegang tot de scade systemen ook niet (het valt absoluut niet mee en het is zeer ernstig gesteld met dergelijke objecten)

Het is hoogst waarschijnlijk dat deze systemen bol staan van veiligheidslekken omdat deze systemen vaak jaren geleden zijn ontwikkeld en beveiligingslekken nooit zijn verholpen of aan het ligt gekomen doordat er weinig onderzoek op plaats vind.

Tot slot vergeet men de fysieke aanval en gaat men ervanuit dat dergelijke aanvallen allemaal via het internet gepleegd zullen worden. Wanneer mensen naar het doel object gaat is daar vaak een schakelkast te vinden, als mensen deze open maakt komt men al een heel eind zonde de tussen komst van bijv. een VPN.

Na dit bericht is het wachten op de eerste grapjas die laat zien dat het er niks van de bewering van de minister klopt..... vaak is het toch een verminderde hoeveelheid kennis die er voor zorgt dat dit soort problemen niet serieus genomen worden of zelf worden gebagataliseerd....

[Reactie gewijzigd door herbalx op 22 juli 2024 17:51]

Freemann @itsalwaysme • 12 maart 2012 15:31

Ik lees dat jij mijn "grap" op "dat er geen beveiligingsproblemen zijn" niet snapt

Want bij de overheid zijn NOOIT problemen, tot dat er mensen gaan graven.

Snap niet dat politici deze uitspraken nog durven te maken. Ze kunnen op hun klompen aanvoelen dat dit tegen ze wordt gebruikt.

Laat ik het anders zeggen;
De kans is zeer aannemelijk dat er, om het tegendeel te bewijzen, binnenkort, door script kiddies, gemalen(detectie poortjes) uit en sluizen(draaideuren) open worden gezet.

(Detectie poortjes en draaideuren van de tweedekamer

)

[Reactie gewijzigd door Freemann op 22 juli 2024 17:51]

mrlammers @Freemann • 12 maart 2012 16:12

Want bij de overheid zijn NOOIT problemen

Dat klopt. Een probleem bestaat ook pas iemand er een probleem van maakt.
Dus het is pas een probleem wanneer the shit has hitteth the fan.

Regeren is vooruitzien. Maar in achterafgelul zijn ze goed in Den Haag.

SCADA systemen houden zich vooral bezig met het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen en regelen traditioneel niet zo veel.
SCADA Regelsystemen zijn alleen maar veilig als de supervisory control laag niet remote te besturen is. En dat is van oudsher ook het idee achter supervisory control: Niet dat je een industrieel systeem decentraaal kunt besturen.

dukejan @Freemann • 12 maart 2012 15:54

Ik ben het eens met je mening, maar als een minister per definitie zegt dat het allemaal niet zeker in orde is, dan doet hij het ook verkeerd.

Jij geeft al aan dat een politicus nooit mag zeggen dat alles waterdicht is. Hoe zou jij reageren als dit door elke politicus werd aangekondigd op het nieuws. "Ja, weten niet zeker of alles in orde is".

De politicus geeft aan dat het in orde is, maar zal ( hopelijk ) dit nog laten uitzoeken. Het blijft natuurlijk altijd lastig om de juiste antwoorden te geven aan het volk, gezien veel mensen de "correcte" antwoorden niet zal snappen / accepteren.

koelpasta @dukejan • 12 maart 2012 17:33

"Hoe zou jij reageren als dit door elke politicus werd aangekondigd op het nieuws. "Ja, weten niet zeker of alles in orde is". "

Het zou de eerste politicus zijn waar ik op zou stemmen...
Het is een feit dat de overheid hun ICT zaakjes regelmatig niet op orde heeft.
Het onderkennen van dit probleem is de allereerste en meest belangrijke stap die gemaakt moet worden.
Een politicus die deze problemen bij de bron aanpakt is mijn held.
Inderdaad, ze weten gewoon niet of alles in orde is.
En stellen dat het wel zo is is misleiding en bewuste onwetendheid om de eigen achterwerk te redden mocht het misgaan.

blouweKip @DingieM • 12 maart 2012 18:47

Zijn Kalbfleisch en Westenberg dan al veroordeeld?

MaxEagle 12 maart 2012 15:22

Waarom heb ik het gevoel dat we binnen enkele weken weer een uitzending van Een Vandaag kunnen verwachten waarin het tegendeel wordt beweerd?

Als ik zie hoe de overheid met zijn computersystemen omgaat kan ik mij niet voorstellen dat het wel zo veilig is als de minister denkt....

beany @MaxEagle • 12 maart 2012 15:25

dat er geen beveiligingsproblemen zijn

Dit wekt bij mij heel veel wantrouwen. Ik kan me gewoon niet voorstellen dat er helemaal geen beveiligingsproblemen zijn.

Als ze zou zeggen dat er een handje vol problemen zijn gevonden en dat die inmiddels zijn opgelost zou ik er meer vertrouwen in hebben.

Nu klinkt het alsof een ambtenaar opdracht heeft gekregen om een lijst op te stellen in Excel welke onderdelen problematisch zijn, maar daar geen zin in had en een lege Excel sheet heeft teruggestuurd.

edit:
@c70070540:

Omdat als hij/zij wel issues in die sheet had gezet, dan had hij/zij een andere job moeten zoeken wegens incompetentie qua beveiliging, want de minister zal daar niet voor opstappen natuurlijk.

Je vergist je, een minister is wel degelijk verantwoordelijk voor het falen van zijn/haar ministerie. Ministeriële verantwoordelijkheid heet dat.

[Reactie gewijzigd door beany op 22 juli 2024 17:51]

Gé Brander @beany • 12 maart 2012 15:28

Omdat als hij/zij wel issues in die sheet had gezet, dan had hij/zij een andere job moeten zoeken wegens incompetentie qua beveiliging, want de minister zal daar niet voor opstappen natuurlijk.

Overheden die zichzelf controleren en rapporteren daarop… Kansloos.

Vooral de opmerking: voor een groot deel niet met het internet verbonden

Voor een groot deel niet betekend dat een deel wel met internet is verbonden. Disaster to happen.

En systemen die niet met internet zijn verbonden (al dan niet indirect) bestaan volgens mij vrijwel niet. Let op woord 'vrijwel', ze zijn er wel, maar erg weinig.

wkb @beany • 12 maart 2012 17:02

Klopt vwbt die verantwoordelijkheid. Toch hoef je daar als minister niet echt voortdurend van wakker te liggen. Ook als 'jouw' ministerie er een pestzooi van maakt en je moet opstappen krijg je toch je wachtgeld wel hoor..

Archiebald 12 maart 2012 15:22

Het is nu wachten op de eerste hack die het tegenovergestelde bewijst.. Ben benieuwd hoelang dat gaat duren!

Biinjo @Archiebald • 12 maart 2012 18:28

Inderdaad. Deze uitspraak van de minister valt onder de categorie "Famous last words".. Kwestie van tijd voordat de eerste hacks bekend worden gemaakt.

randomice 12 maart 2012 15:26

Dit soort berichten is toch vragen om problemen. Iedere hacker ziet dit toch als een uitdaging...

supertheiz 12 maart 2012 15:54

Theiz mompelt iets over: Iets met Kat, Spek en binden.

Voorstel: Doe vanuit de overheid een congres opstarten. Op dit congres krijgen white hat hackers de gelegenheid de gaten in de beveiliging aan te tonen en als ze dit doen kunnen ze daar 10.000 euro mee winnnen.
Schijnt te werken:
nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
nieuws: Google looft 1 miljoen dollar uit voor Chrome-exploits

Moet je wel ballen hebben natuurlijk als minister, maar naar mijn idee is zo'n congres en wedstrijd goed voor innovatie, veiligheid en onderwijs.

Verwijderd 12 maart 2012 21:20

"voor een groot deel niet met het internet verbonden" Niet de beheerders zijn het grote risico [lees de minister en haar kornuiten] maar de aannemers en onderaannemers. Ik vraag me af of de minister werkelijk weet van alle toeleveranciers of deze hun beveiliging naar haar objecten op orde hebben. Nog af gezien van het feit dat je je af kunt vragen of wat digitaal geregeld wordt wel veilig kan. Een man van KPMG zei vandaag op de radio dat dit niet zo is. het wachten is op de eerst flinke hack bij een groot staatsobject. de chinezen zitten al in het systeem van de NASA dus waarom niet in de systemen van onze staat? Waarom denken wij altijd dat we slimmer zijn dan de rest van de wereld?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:51]

Op dit item kan niet meer gereageerd worden.

Minister Schultz: scada-systemen Rijksoverheid zijn veilig

Lees meer

Scada-beveiliging: een structureel probleem

IT-banen

Reacties (62)

Lees meer

Scada-beveiliging: een structureel probleem

IT-banen

Reacties (62)

Sorteer op:

Weergave: