'Ict-systemen zijn kwetsbaar door ontbreken basale beveiliging'

Verscheidene ict-systemen van overheid en bedrijfsleven zijn kwetsbaar omdat zij hun beveiliging niet op orde hebben, zo stelt het Nationaal Cyber Security Centrum in een rapport. Verscheidene incidenten zouden gemakkelijk te voorkomen zijn geweest.

In een dreigingsbeeld dat elk jaar wordt gepubliceerd stelt het Nationaal Cyber Security Centrum dat in hun rapportageperiode verscheidene hacks op ict-systemen van overheid en bedrijfsleven voorkomen hadden kunnen worden als de beveiliging op orde was geweest. Door het ontbreken van basale beveiligingsmaatregelen, zoals goede wachtwoorden en software-updates, was een deel van de incidenten te voorkomen geweest. Daarbij zorgden datalekken en malware bij overheidssystemen voor de grootste problemen. De cyberorganisatie pleit voor het navolgen en implementeren van beveiligingsmaatregelen om dergelijke incidenten in de toekomst te voorkomen.

Het Nationaal Cyber Security Centrum kwam tevens met een dreigingsanalyse voor de overheid, waarbij digitale spionage door andere landen hoog op de lijst van bedreigingen staat. Ook zouden beroepscriminelen een grote dreiging vormen, waarbij spam en het verspreiden van malware voor de meeste problemen zorgen. Ook het bedrijfsleven en burgers zouden hier onder te lijden hebben, waarbij ook identiteitsfraude als dreiging wordt genoemd. Dreiging van terroristen wordt als 'laag' gekwalificeerd.

Alhoewel er verscheidene kwetsbaarheden zijn waargenomen, claimt de cyberbeveiligingsorganisatie dat er vergeleken met vorig jaar geen nieuwe vormen van dreiging zijn ontdekt. Daarbij zou de aanvaller nog wel steeds in het voordeel zijn, mede doordat kwaadwillenden steeds sneller in staat zijn om ontdekte kwetsbaarheden uit te buiten. Tevens ontbreekt het een aantal organisaties, waarbij geen namen werden genoemd, aan kennis op het gebied van cyberveiligheid. Ook de doorsnee internetgebruiker zou niet voldoende kennis van beveiliging hebben.

De bevindingen zijn onderdeel van het Cybersecuritybeeld Nederland, dat wordt gepubliceerd met als doel om de Nederlandse cyberveiligheid te analyseren. De dreigingsanalyse werd vorig jaar voor het eerst gepubliceerd, kort na de oprichting van de Nationaal Cyber Security Centrum.

IT-banen

Reacties (55)

Netrunner 7 juli 2012 10:23

In welke mate voldoen deze bedrijven aan een ISO-20000/27001 certificaat dan. Dat is toch tegenwoordig een must voor een relatief belangrijk of groot bedrijf met gevoelige data?

Verwijderd @Netrunner • 7 juli 2012 11:30

ISO certificaten die je noemt zijn alleen voor kantoor omgevingen geldig in de Industriële automatisering spreek je over IA95/ISA99.

Verwijderd @Netrunner • 7 juli 2012 11:04

ISO 20000 zegt niets over het up-to-date houden van software of over het implementeren van beveiliging. Als alle procedures beschreven zijn en de procedure "software up-to-date" staat daar niet tussen, dan kan je alsnog perfect ISO 20000 zijn..

johnkeates @Verwijderd • 7 juli 2012 12:47

Niet perse, maar het zegt genoeg over het onderhouden van verbeterprocessen en feedback loops om te kunnen stellen dat bepaalde oude software bijgewerkt moet worden om dat je je klanten dan beter kan bedienen, namelijk, betere kwaliteit bieden om dat in dit geval op het vlak van beveiliging je dan eerder voldoet aan de verwachtingen.

Koenvh 7 juli 2012 10:27

Vreselijk dit...
Soms heb ik het gevoel dat mijn thuisserver veiliger is dan de systemen van de overheid.

Verwijderd @Koenvh • 7 juli 2012 10:43

Bij uw thuis server loopt ook zoveel volk niet rond. In ieder groot bedrijf loopt tegenwoordig zelfs degene die de koffiemachiene komt nakijken met een portable rond. Die hoeft zich ook maar in te pluggen, en die zit al direct achter de firewall.

't is allemaal zo simpel nog niet, je moet alles dichttimmeren, maar je moet ook nog zorgen dat het werkbaar is.

RickDB @Verwijderd • 7 juli 2012 11:03

Daar zijn hele basale oplossingen voor zoals b.v. VLANs zodat deze niet direct verbonden zijn met het interne netwerk, gewoon zorgen dat het verkeer richting gevoelige gedeeltes gescheiden is van de kantoren.
Wat vaak gedaan wordt hierbij is eerst analyse van het interne vekeer voor een bepaalde periode en vervolgens worden er services/vereisten vastgelegd welke toegelaten worden.

Voor wat betreft externe aanvallen is het vaak een kwestie van goede richtlijnen mbt updates/security checks wat in de overheid lastig is aangezien ze veel outsourcen en dus totaal geen overzicht hebben.

Als de overheid een centrale ICT dienst zou maken welke volledig in eigen beheer is heb je al een goed begin, wordt een flinke taak gezien de omvang maar zeker niet onmogelijk.

[Reactie gewijzigd door RickDB op 23 juli 2024 17:08]

Verwijderd @RickDB • 7 juli 2012 11:12

bwa het moet daarom het koffie toestel niet zijn. Je copier zal ook wel met je servers verbonden zijn om gelijk welke reden. Hoeveel van die toestellen scannen niet naar een map of doen geen authenticatie op active directory.

't is maar even die uittrekken, mac adress overnemen en ik zit al in een vlan die connectie met je servers toestaat

'k zeg het, 't is allemaal zo simpel nog niet

RickDB @Verwijderd • 7 juli 2012 11:25

Blijft toch een simpele kwestie van vastleggen wat voor requirements deze scanner/applicance heeft.

Dingen zoals scan to folder kan je natuurlijk vrij simpel scheiden en heeft geen directe toegang nodig tot de gevoelige servers en Canon (de grotere MFP's) biedt ook methodes om veilig gegevens op te halen of te versturen.
Mac spoofing werkt b.v. al niet als je de VLAN id op poort niveau bepaald wat bij de grotere bedrijven vaak gedaan wordt.

Het is en blijft tijdsrovend maar is toch echt een verplichting voor de overheid om alles zo veilig mogelijk te houden als er omgegaan wordt met gevoelige gegevens die nooit en te nimmer in handen mogen komen van kwaadwillende.

[Reactie gewijzigd door RickDB op 23 juli 2024 17:08]

Verwijderd @RickDB • 7 juli 2012 11:37

Ik blijf wel op de zelfde poort zitten, als die copier. Dus uw switch ziet geen verschil, of het ik het nu ben of die copier.

Ik zal misschien niet direct op je gevoelige servers geraken. Maar ik zit al vrij ver op je netwerk, en ik kan al vrij veel gegevens van je netwerk verzamelen, zonder dat het me echt moeite kost.

johnkeates @Verwijderd • 7 juli 2012 12:49

Daarvoor hebben we 802.1x toch... werkt ook prima op een LAN.

BlaTieBla @johnkeates • 7 juli 2012 14:20

Alleen met 802.1x kom je er niet. Je zal ook in je netwerk er voor moeten zorgen dat verkeersstromen gescheiden blijven. Zo kan je MAB (MAC Authentication Bypass) en het spoofen van het MAC Adres jezelf voor doen als printer. Maar als het netwerk zo is ingericht dat de printer allen verkeer kan ontvangen op poort 9100, kan versturen naar een mailserver op 465 (secure met authenticatie) en wellicht nog iets naar een folder weg mag schrijven, dan kan je relatief weinig met je laptop en gespoofed mac adres.

Nog mooier is om profiling toe te gaan passen i.c.m. 802.1x (of dACL's).

Het kan allemaal dicht getimmert worden en hartstikke veilig gemaakt worden. De enige problemen zijn tijd en geld (en tijd kost ook weer geld). Een 802.1x project bij een bedrijf met meerdere vestigingen duurt maanden. Als je daar NAC/Profiling nog op wilt hebben (nog meer interactie met de werkplek) kan je daar nog een aantal maanden bij optellen voordat het een beetje goed werkt.

Ik heb het meegemaakt dat bij een klant een nieuwe security officer aan de macht kwam en die had allemaal nieuwe richtlijnen e.d. opgesteld. Ook steun van de directie (de geldschieters) etc. Dat netwerk was onveilig en moest helemaal dicht getimmerd worden.... Totdat ze doorkregen wat de (financiele) impact te zien kregen. Toen bleek dat de kosten niet in verhouding stonden tot de baten.

dasiro @Verwijderd • 7 juli 2012 11:30

't is maar even die uittrekken

port disabled, contact network admin

Verwijderd @dasiro • 7 juli 2012 11:39

Dat zie je niet, dat ik die stekker uittrek. Of je zou iedere keer op port disabled komen, iedere keer als de copier uitgezet wordt. Dus copier uitzetten. Netwerkkabel uittrekken, in router of portable steke, alles aanzetten.

En ik ben vetrokken. Ik zeg het, het blijft weinig moeite kosten.

johnkeates @Verwijderd • 7 juli 2012 12:53

Je vergeet voor het gemak even dat je dan misschien alleen maar op TCP 9001 kan communiceren met een IP of een beperkte range. En wat ga je met die 802.1x doen? En als het een beetje goed opgezet is hangt er wel 24x7 monitoring aan die copier...

Natuurlijk is het makkelijk, gewoon even een bestaand apparaat zoeken waar je fysieke toegang tot hebt, en dan verbinding stelen, maar dat is ook nog een punt, hoe kom je aan die fysieke toegang? Kom je verder dan de lobby zonder ID?

stresstak @johnkeates • 7 juli 2012 18:51

En als het een beetje goed opgezet is hangt er wel 24x7 monitoring aan die copier...

Zie topic. ALS het een beetje goed opgezet is, IS er basale beveiliging. Het gaat juist fout als @subnet12 langskomt terwijl er vanalles aan schort.

batjes @Verwijderd • 8 juli 2012 22:21

uhm, waar is jou kennis. Je kunt wel degelijk zien of de verbinding verbroken word, ook als het apparaat uit staat.

soomers 7 juli 2012 10:25

Natuurlijk voor de meeste Tweakers niet echt nieuws dit, behalve dat het dan nu in het rapport is vermeld. Het is toch eigenlijk te stom voor woorden dat dit tegenwoordig nog kan, het is een kleine moeite om bij te houden en niet echt lastig..

mjtdevries @soomers • 7 juli 2012 16:53

En toch zijn het ook juist Tweakers die basale beveiliging uitschakelen op hun eigen systemen omdat het maar lastig is.

Commentaar hebben is makkelijk, maar hoeveel mensen hier op T.net hebben niet geroepen dat ze UAC in windows Vista meteen uitschakelden?

dasiro 7 juli 2012 10:21

als ze elk jaar zo'n dreigingsbeeld opstellen, waarom komt dat dan nu pas naar boven?

WKuit

@dasiro • 7 juli 2012 10:44

"De dreigingsanalyse werd vorig jaar voor het eerst gepubliceerd, kort na de oprichting van de Nationaal Cyber Security Centrum."

Omdat in dit geval het pas de tweede keer is dat dit rapport opgesteld word zoals je kunt lezen in het stuk.

Pikoe @WKuit • 7 juli 2012 11:19

En het is een officieel 'captain hindsight' team waar je geen drol aan hebt maar leuk is voor de komkommertijd.
"zouden gemakkelijk te voorkomen zijn geweest"; misschien is het handig als ze zich met de bestrijding gaan bezig houden, want dit soort dingen weet iedereen toch al. Hopelijk weet de overheid het nu ook en gaan ze daar andere mensen voor inhuren..

[Reactie gewijzigd door Pikoe op 23 juli 2024 17:08]

Verwijderd @Pikoe • 7 juli 2012 16:30

Mooi filmpje

Dit soort rapporten verschijnen jaar in jaar uit en toch blijven mensen er in geloven. De conclusie van het rapport is dan ook een verzameling open deuren intrappen zonder dieper na te denken over de problematiek. Als je bijvoorbeeld na 20 jaar nog steeds roept:

- de doorsnee internetgebruiker zou niet voldoende kennis hebben van beveiliging hebben.
- Door het ontbreken gebruik van basale beveiligingsmaatregelen, zoals goede wachtwoorden en software-updates, was een deel van de incidenten te voorkomen geweest

Ergens moet toch een keer een lampje gaan branden. Een keer moet toch het licht aangaan. Voor gewone gebruikers is het hele gebeuren, te onbegrijpelijk, omslachtig, hinderlijk. Na veertig jaar vruchteloze pogingen om gebruikers op te voeden zou men toch eens tot de conclusie mogen komen dat het niet aan de gebruikers ligt maar aan de systemen zelf.

De veiligheid van een systeem moet niet afhankelijk worden gemaakt van een ijzeren discipline van alle participanten. Met tientallen, honderden, duizenden, miljoenen zijn gaten dan gegarandeerd. Wij maken de veiligheid van dijken in ons land toch ook niet afhankelijk van dat alle gebruikers er elke dag heel voorzichtig overheen rijden. Als je dat soort afhankelijkheden inbouwt dan garandeer je problemen.

Veiligheid begint bij het ontwerp van het systeem, het hele systeem. En het systeem moet zo ontworpen zijn dat de gebruiker het niet verkeerd kan doen. Maar voor de systeembouwer is dat helemaal niet zo aantrekkelijk, want dat betekent dat het lastiger wordt om de schuld af te schuiven. Daarbij krijg ik toch sterk de indruk dat naarmate er meer mensen een boterham verdienen aan de onveiligheid van systemen een structurele oplossing onmogelijk wordt. Werk hebben is een ding, werk houden een ander.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 17:08]

Verwijderd @Verwijderd • 8 juli 2012 05:05

Daar gaat tijd overheen om dit soort problemen goed op te kunnen pakken zodat ook bijvoorbeeld leken goed met beveiliging om zouden kunnen gaan met het 'basaal' beveiligen. Er zijn genoeg gereedschappen om te kunnen gebruiken maar als de gemiddelde leek het te moeilijk vind om ze te gebruiken dan wordt het schreeuwen in de leegte.

En ja, heel veel problemen zou je inderdaad bij ontwerp al kunnen afvangen maar voor gebruiksvriendelijkheid heb je meer tijd en ervaring nodig om een goede en makkelijke implementatie te maken. Alleen dan moet het wel gebeuren en helaas duurt het te lang om dat voor elkaar te krijgen en dat hoeft juist niet.

Freakertje @Verwijderd • 8 juli 2012 09:42

Jouw voorbeeld van de dijken is een hele mooie. Echter gaat deze ook mank. Het mooie van het internet bijvoorbeeld, is dat iedereen die dijken mag bouwen. Velen storten een bulk zand en denken daarmee klaar te zijn. De hobbyisten die voor de buurman of sportvereniging een website in elkaar timmeren. Incluiding moi.

Sommigen denken iets verder na en investeren iets meer tijd om de dijk ook van klei en wellicht basaltstenen te voorzien. En dan heb je nog een aantal proffesionele partijen die de dijken aan allerlei regels onderwerpen en ervoor zorgen dat die dingen gewoon goed genoeg zijn.

Een groot veiligheidsissue is dus dat iedereen maar dijkenwebsites mag bouwen, ook al hebben ze er geen enkel verstand van. Maar dat is ook een groot goed van het internet, de vrijheid om het te mogen doen.
Zijn we nu dan bij een stadium aan het belanden dat we die vrijheid in moeten gaan perken ten behoeve van de veiligheid?

En zo zien we dat sommige real life issues ook weer één op één te vertalen zijn naar de virtuele wereld, want ook in de echte wereld worstelen we met hoeveel vrijheid we op moeten geven ten behoeve van de veiligheid....

PcDealer @Freakertje • 8 juli 2012 11:21

Zijn we nu dan bij een stadium aan het belanden dat we die vrijheid in moeten gaan perken ten behoeve van de veiligheid?

Nee, maar je mag toch wel van de overheid en professionele (commerciële) partijen enige know-how verwachten, of in elk geval dat ze die inhuren?

Sommigen denken iets verder na en investeren iets meer tijd om de dijk ook van klei en wellicht basaltstenen te voorzien. En dan heb je nog een aantal proffesionele partijen die de dijken aan allerlei regels onderwerpen en ervoor zorgen dat die dingen gewoon goed genoeg zijn.

De analyse van NCSC is dat het vaak over "amateurs" gaat. Of in elk geval amateuristisch gedrag:

Een groot veiligheidsissue is dus dat iedereen maar dijkenwebsites mag bouwen, ook al hebben ze er geen enkel verstand van. Maar dat is ook een groot goed van het internet, de vrijheid om het te mogen doen.

Niemand_Anders

Beveiliging

@Pikoe • 7 juli 2012 11:52

Ervaring verkrijg je altijd achteraf. Ervaring is namelijk de kennis welke je opdoet door goede EN foute oplossingen. Het is de combinatie.

Iedereen weet dat je backups (digitaal en analoog) moet maken van je gegevens, niet alleen harddisk, maar ook ID bewijzen voor als je ze verliest. Maar doet iedereen dat consequent? Nee. Mensen gaan dat pas doen nadat het een keer is fout gegaan.

Zo was DigiNotor vergeten om een path lengte in hun root certificaten aan te brengen. Hierdoor kon Iran een intermediate certificaat aanmaken waarmee zij zelf vervolgens weer andere certificaten kon ondertekenen. Na het DigiNotar incident bleek dat zij niet de enige waren welke geen path length hadden op hun certificaten.

Daarbij zijn gebeurtenissen uit het verleden feiten en en rapporten over wat er gaat gebeuren slechts voorspellingen..

Je hebt de zin

De bevindingen zijn onderdeel van het Cybersecuritybeeld Nederland, dat wordt gepubliceerd met als doel om de Nederlandse cyberveiligheid te analyseren.

wel gelezen? Of ben jij nu al bezig met het analyseren van 2013?

Verwijderd @Pikoe • 7 juli 2012 12:27

Maar dit is niets nieuws , dag geleden nog op tweakers van zakelijke gebruikers van KPN die op een standaard wachtwoord over al bij konden.

Bij de politie hebben ze dacht ik onlangs de persoon weggeschopt die verantwoordelijk was voor de ICT puinhoop daar.

Crahsystor 7 juli 2012 10:27

Dreiging van terroristen wordt als 'laag' gekwalificeerd.

I.c.m. dit artikel over Cyber Warfare lijkt me de conclusie eigenlijk: Als ze willen kunnen ze een enorme schade aanrichten, maar we hopen/verwachten niet dat ze daar op uit zijn. Ik ben blij dat de veiligheid van de Nederlandse burger gewaarborgd wordt door wishful thinking...

Een ICT systeem zonder goede beveiliging mag gewoon niet gebruikt worden. De beveiliging hangt natuurlijk af van de risico's en niet van de verwachting dat er iets geprobeerd wordt. Helaas zijn veel managers al blij als het ongeveer werkt. Of het dan gevaarlijk is of niet maakt ze niet echt uit.

TD-er

@Crahsystor • 7 juli 2012 10:56

Ik ben blij dat de veiligheid van de Nederlandse burger gewaarborgd wordt door wishful thinking...

Dat is een zeer treffende samenvatting van het artikel, in 1 regel.
En helaas ook van toepassing op andere vormen van beveiliging.

Helaas zijn veel managers al blij als het ongeveer werkt. Of het dan gevaarlijk is of niet maakt ze niet echt uit.

Dat komt omdat ze er geen gevoel bij hebben wat het kost als het mis gaat.
Bij productie-systemen kun je er prima een bedrag aan koppelen en vaak ook nog wel een kans dat het mis gaat, dus dan kun je gewoon rekenen en schuiven, maar bij beveiliging is een kost-prijs vrijwel niet te berekenen, zeker niet als je kijkt naar gevolgschade. Hierdoor wordt beveiliging nog steeds vaak als een kostenpost gezien die onnodig is.

Verwijderd 7 juli 2012 10:55

Het voorlichtingsorgaan van slagers zegt: er wordt te weinig vlees gegeten.
De vakbond van glazenwassers zegt: ramen moeten vaker worden gewassen.
De bond van muzikanten zegt: van live muziek luisteren worden we gezonder.
Terrorisme coordinator zegt: er is nog steeds een dreiging van terrorisme.

Misschien is het waar, misschien is het niet waar.
Maar als het centrum voor tegen cybercrime preventie zegt dat we meer aandacht aan cybercrime preventie moeten besteden, dan haal ik altijd eerst mijn schouders op.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 17:08]

TD-er

@Verwijderd • 7 juli 2012 11:02

Je was WC-eend vergeten

"En daarom adviseren wij van WC-eend, WC-eend" (geweldige slogan trouwens)

Je hebt zeker wel een punt, dat er zeker een vorm van belang is dat zij adviseren meer aandacht eraan te besteden.
Maar het is zeker wel een issue dat gebrekkige veiligheid nog steeds een onderschat gevaar is.
Zeker bij overheidssystemen, waar jij en ik direct schade van ondervinden wanneer het fout gaat.
En het is niet zo dat ze er geen geld genoeg voor uitgeven. Het zou alleen structureel beter moeten (en dat hoeft niet te betekenen meer geld) en dat is niet alleen een taak van de IT-ers, maar zou gewoon een complete mentaliteitsverandering overal op de werkvloer moeten inhouden.

Pimmetje16 7 juli 2012 12:41

Ook de doorsnee internetgebruiker zou niet voldoende kennis hebben van beveiliging hebben.

Mee eens. Ik stel voor iedereen op cursus te sturen. Misschien iets om goede cursussen gratis online en goedkoop op papier beschikbaar te maken. En dan bedoel ik beginnen bij 0 en eindigen bij een uitleg over de werking van internet etc. En dan uiteraard security als belangrijk punt houden maar niet als enige want onkunde is naar mijn inzicht de grootste boosdoener.

O een popup als ik op ja druk dan is die weer weg......................................

Martindo 7 juli 2012 12:55

Zo merk je dat er al vele jaren eerder een NCSC opgericht had moeten worden, zo kon de overheid eerder de fouten ervaren (deze zullen waarschijnlijk langer dan twee jaar lopen) worden en eerder opgelost worden. Toch lijkt het mij een zeer goede zaak dat de grote problemen gepubliceerd worden.

stresstak @Martindo • 7 juli 2012 19:00

Zo merk je dat er al vele jaren eerder een NCSC opgericht had moeten worden,

..want planken vol rapporten brengen de oplossingen.?

Vergeet het maar rustig. Allemaal een andere kant op kijken en als er problemen ontstaan gewoon een ander de schuld geven.

CrusaderNoR 7 juli 2012 13:02

Er zijn ook overheden/bedrijven die willens en wetens niets aan de beveiliging doen omdat het in de ogen van het "management" niet belangrijk is of te duur of ze zien het nut er niet van in. Totdat de shit de fan raakt en dan trappen ze naar de ICT afdeling waarom ze er niets aan gedaan hebben.

Verwijderd 7 juli 2012 14:05

Verscheidene ict-systemen van overheid en bedrijfsleven zijn kwetsbaar omdat zij hun beveiliging niet op orde hebben, zo stelt het Nationaal Cyber Security Centrum in een rapport.

Stating the obvious, verscheen toch een big smile op me gezicht

Laat ze maar beginnen met een goed wachtwoord systeem en updates.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: