Nederlandse staatsveiligheid was in gevaar bij tien cyberaanvallen in 2010

De 'veiligheid van de staat' is in 2010 tien keer in het geding geweest bij gerichte cyberaanvallen tegen de overheid. Dat meldt het AD op basis van stukken van het NCSC. De aanvallen vonden allemaal binnen een halfjaar plaats.

Tussen november 2010 en mei 2013 is er maar één incident rondom digitale beveiliging bij overheden en semi-overheden gemeld dat de staatsveiligheid in gevaar bracht, zo blijkt uit twee documenten die het AD online heeft gezet. Tien incidenten vonden plaats in 2010, een elfde in januari 2012. Om wat voor aanvallen het gaat en op welke instanties die gericht waren, is onduidelijk.

In de documenten worden alle incidenten rondom cyberbeveiliging bij overheden en semi-overheden genoemd. Veel van die incidenten gaan om zaken die privégegevens en beveiliging van systemen niet in gevaar hebben gebracht, zoals ddos-aanvallen. Bij veel andere incidenten ging het om lekken in de website, zoals xss-lekken of kwetsbaarheden die een defacement tot gevolg hadden. In sommige gevallen was op pc's binnen een organisatie malware ontdekt. Ook dreigingen met ddos-aanvallen zijn als incident gemeld, waardoor het aantal daadwerkelijke incidenten lager is dan de cijfers doen vermoeden.

Het AD verkreeg de gegevens via een beroep op de Wet openbaarheid van bestuur, die overheden verplicht documenten openbaar te maken als ze niet per se geheim moeten blijven. Het is voor het eerst dat een dergelijke lijst van incidenten naar buiten komt. De gevoeligste informatie is echter om diverse redenen onzichtbaar gemaakt.

IT-banen

Reacties (28)

ZiSE 28 oktober 2013 10:31

Ik heb het idee dat ik naar een herhaling van het nieuws zit te kijken van mei 2013. Zembla (Vara tv-programma) heeft destijds al diverse lijsten online gezet (dezelfde gele pdf's) - zie http://www.incontxt.nl/do...rity#overlay=KRO_370_5683

SniperEye 28 oktober 2013 10:34

Indien de Staatsveiligheid in het geding was lijkt me dit een oorlogsdaad. Nederland heeft het volste recht lijkt mij om zich hier met militaire middelen tegen te verdedigen.

the_shadow @SniperEye • 28 oktober 2013 10:40

Indien de Staatsveiligheid in het geding was lijkt me dit een oorlogsdaad. Nederland heeft het volste recht lijkt mij om zich hier met militaire middelen tegen te verdedigen.

Je hebt het pas over oorlogsdaden (ik gok dat je het hebt over "acts of war") zodra het tussen twee verschillende landen gaat. Als een random hacker zichzelf toegang kan verschaffen tot bepaalde SCADA systemen, dan is dat bijzonder kwalijk en kan het grote gevolgen hebben (eventueel te classificeren als gevolgen voor de staatsveiligheid), maar je kan het dan nog niet hebben over oorlogsdaden. Pas zodra het gaat om structurele aanvallen die door een land gecoordineerd worden, gericht op critische infrastructuur kan je het hebben over oorlogsvoering (denk aan Stuxnet, dat zich specifiek op SCADA systemen van de kerncentrales van Iran richtte).

drdelta @the_shadow • 28 oktober 2013 16:58

Maar Stuxnet is toch ook door "gewone hackers" gemaakt?

Baserk @the_shadow • 29 oktober 2013 00:33

Mee eens maar voor de volledigheid; Niet gericht op 'de kerncentrales' maar de ultracentrifuges, in Natanz.

RagingRaven @SniperEye • 28 oktober 2013 11:03

Dat gaat alleen op als de aanval(len) gedaan zou(den) zijn door een ander land.
Aangezien de details niet bekend zijn gemaakt valt hierover niets te zeggen.

Ik acht het overigens wel waarschijnlijker dat dit niet door een ander land is gedaan, maar door individuele personen of groepen, dan kun je het moeilijk een oorlogsdaad noemen.

Hoppa! @SniperEye • 28 oktober 2013 12:56

Strak plan. Dan vallen we de VS, Rusland en China gewoon tegelijkertijd binnen. We zullen ze leren!

Volslagen kansloze reactie natuurlijk. Nederland doet gewoon hetzelfde, of tenminste, dat zouden ze moeten doen. Waarschijnlijk zijn wij weer het schatje in de klas.

En wat hierboven staat, het is niet gezegd dat het aanvallen van een ander land zijn. Al is het wel logisch dat dat ook gebeurt.

[Reactie gewijzigd door Hoppa! op 29 juli 2024 03:32]

the_shadow @RutgerDB • 28 oktober 2013 10:22

ICT & Overheid = 100% falen

Och, och, wil je er over praten. Zie de overheid voor de gein als een van de grootste (zo niet het grootste) bedrijf van Nederland, met iedere gemeente als een dochteronderneming en de verschillende ministeries als bedrijfstakken, en iedere inwoner van Nederland als klant. Hoe veel bedrijven ken jij die over de gehele linie alles geheel dichtgetimmerd hebben? Natuurlijk gaan er dingen mis, en aangezien het hier gaat om een publieke instelling moet daar openheid in gegeven worden. Denk je dat de grote hi-tech jongens als Philips en ASML nooit last hebben van cyberaanvallen en beveiligingsbreaches? Natuurlijk wel, met als verschil dat zij geen openheid hier over hoeven te geven.

Ik heb even snel door de lijst gescant: er staan niet alleen publieke, maar ook semi-publieke organisaties op: TNO, verschillende universiteiten, KNMI, het AMC en nog meer van zulks. Je kan moeilijk claimen dat dit allemaal de schuld van de politiek is. Wederom: dat je meer van zulke berichten hoort uit de publieke sector wil niet zeggen dat het hier meer gebeurt dan in de private sector.

[Reactie gewijzigd door the_shadow op 29 juli 2024 03:32]

RazorBlade72nd @the_shadow • 28 oktober 2013 16:30

Zie de overheid voor de gein als een van de grootste (zo niet het grootste) bedrijf van Nederland, met iedere gemeente als een dochteronderneming en de verschillende ministeries als bedrijfstakken, en iedere inwoner van Nederland als klant.

Het grote verschil tussen de overheid en het bedrijfsleven is dat de overheid een monopolist is. Ik heb als systeembeheerder bij de overheid gewerkt en toen ik een hoogbeschikbare oplossing voorstelde was de reactie van de directie negatief omdat het hoogbeschikbaar maken van onze diensten naar de burgers, wat jij klanten noemt, de overheidsinstelling geen voordeel bood. Als de servers er uit lagen dan hingen we wel een bordje op dat onze diensten wegens omstandigheden niet beschikbaar waren. dat koste namelijk niets en een hoog beschikbare server opstelling kost wel geld. Onze "klanten" gingen namelijk toch niet weg. Ze hadden immers geen keus.

Die mentaliteit is op allerlei vlakken kenmerkend voor de overheid. Je hoeft niet je best te doen als ambtenaar want je krijgt toch precies evenveel als je collega's. Sterker nog bij ons werd de kerstbonus gewoon gerouleerd. Je kreeg hem dus als je aan de beurt was. Ik heb meegemaakt dat de persoon die verantwoordelijk was voor de backup de kerstbonus kreeg ondanks dat we er achter waren gekomen dat de backup meer dan een jaar niet had gedraait.

In mijn verdere cariere heb ik daarna nog met enige regelmaat voor de overheid gewerkt in plaats van bij de overheid en tot op heden de enige echte uitzondering op het het ambtenaren cultuurtje is de gemeente Eindhoven. Die hebben het zover ik kon nagaan wel behoorlijk goed voor elkaar. Voor de rest is het meestal huilen met de pet op.

Madshark

@the_shadow • 28 oktober 2013 10:41

Och, och, wil je er over praten. Zie de overheid voor de gein als een van de grootste (zo niet het grootste) bedrijf van Nederland, met iedere gemeente als een dochteronderneming en de verschillende ministeries als bedrijfstakken, en iedere inwoner van Nederland als klant. Hoe veel bedrijven ken jij die over de gehele linie alles geheel dichtgetimmerd hebben?

Hmm, deze komt aardig in de buurt. Waarbij er nauwelijks tot geen nieuws over veiligheidsproblemen bestaat. Ikdurf toch wel te stellen dat hun ICT budget nog geen 10% is van wat de overheid uitgeeft.
Maargoed, overheden zijn lastig te vergelijken met bedrijven, laatste moet namelijk werken/presteren om te kunnen voortbestaan.

arthur-m @Madshark • 28 oktober 2013 11:08

Hmm, ik vind je post on-topic maar wat je zegt is echt complete onzin. Ik snap niet dat je +2 krijgt...

Je vergelijkt een bedrijf op grootte met de overheid, waarbij je stelt dat er nauwelijks tot geen nieuws bekend is over veiligheidsproblemen. Volgens mij bevestig je het punt van the_shadow... Hij stelt dat ze er geen openheid over moeten geven, dus hoor je er niet veel van.

Vervolgens schat je in dat hun ICT budget nog geen 10% is als wat de overheid uitgeeft. Dat slaat helemaal nergens op. Zuiver gezien bedoel je denk ik nog geen 10% van het budget van de overheid op ICT gebied, maar dan nog.
- Hoe kom je aan je schatting?
- Denk je niet dat een bedrijf als GE (met al hun takken, vestigingen, typen klanten, etc) niet heel versnipperd systemen heeft, en derhalve veel budget hiervoor moet reserveren?

En je laatste opmerking lijkt me meer een cynische opmerking dan een steekhoudend argument..

Madshark

@arthur-m • 28 oktober 2013 12:38

Mijn post is net zo onzinnig als degene waarop ik reageerde, een overheid kun je eenmaal niet of zeer lastig vergelijken met een bedrijf.

Je vergelijkt een bedrijf op grootte met de overheid, waarbij je stelt dat er nauwelijks tot geen nieuws bekend is over veiligheidsproblemen. Volgens mij bevestig je het punt van the_shadow... Hij stelt dat ze er geen openheid over moeten geven, dus hoor je er niet veel van.

Alsof de overheid hier wel open over is ? Er was notabene een WOB verzoek nodig om deze informatie uberhaupt te krijgen.

- Hoe kom je aan je schatting?

Nou, gewoon door eigen ervaring, 10 jaar gewerkt bij ondernemingen uit de TOP500 lijst, 7 jaar bij de overheid gewerkt.
Een wat grootschalig project kost onder de streep bij de overheid uiteindelijk gewoon een 10 voudige. Redenen kan ik wel noemen, maar dan gaan we veels te OT, hiernaast is het ook wel algemeen bekend.

En je laatste opmerking lijkt me meer een cynische opmerking dan een steekhoudend argument..

Daar is weinig cynisch aan helaas, het is nou eenmaal zo, veel ambtenaren hebben dan ook deze houding, zichzelf eerst, de rest boeit niet.

[Reactie gewijzigd door Madshark op 29 juli 2024 03:32]

watercoolertje @Madshark • 28 oktober 2013 10:59

Maargoed, overheden zijn lastig te vergelijken met bedrijven, laatste moet namelijk werken/presteren om te kunnen voortbestaan.

De eerste ook hoor, of wou je zeggen dat we voor niks gaan bezuinigen?

De overheid mag wat langer en vaker in de min staan maar uiteindelijk moet er winst gedraait worden, uiteindelijk is een ovehreid dimho dus niks meer dan welk bedrijf dan ook. En iedereen is (verplicht) werknemer!

sygys @watercoolertje • 28 oktober 2013 12:18

volgensmij draait de overheid al jaren geen winst meer. De bezuinigingen die we nu doen zijn enkel, het verlise beperken tot een aantal procent. als we quite willen spelen moet er nog een slordige 3 % per inwoner meer belasting betaald worden... en dan heb ik het nog niet eens over de schuld die nederland heeft. als daar ook nog op afgelost moet worden dan kunnen we nog dieper in de buidel tasten.

Hoppa! @sygys • 28 oktober 2013 12:53

Als je dan toch de vergelijking met bedrijven wilt maken: De overheid maakt geen winst, simpelweg omdat het geen kostendekkende prijzen rekent aan hun klanten.

Beastly @Hoppa! • 28 oktober 2013 15:14

Ik ben er van overtuigd dat zelfs als zij kostendekkende prijzen zal vragen (wat zij volgens mij al aardig doet) zij nog steeds verlies zal maken. Zij hoeft immers niet te presteren en te concurreren zoals bedrijven dat doen.

Daarnaast is het een onderneming van zulk grote proporties, welk in combinatie met het voorgaande, nooit in staat zal zijn om efficiënt genoeg te kunnen werken onder TE hoge kosten.

En ik ben nog altijd bang dat belangenmenging, nepotisme en corruptie nog altijd en altijd hoogtij zal vieren binnen de overheid. Welk de kosten, efficiëntie en effectiviteit nou eenmaal niet echt gunstig beïnvloeden

drdelta @sygys • 28 oktober 2013 16:52

Als we quite willen spelen moet er nog een slordige 3 % per inwoner meer belasting betaald worden... en dan heb ik het nog niet eens over de schuld die nederland heeft.

Volgens mij moet er gewoon minder uitgegeven worden. Als ik als burger te weinig geld heb, en geld leen om openstaande schulden mee af te lossen dan wordt dat een onoploosbaar probleem. Desondanks gaat de Nederlandse staat lekker verder met zijn piramidespel.

Pikoe @the_shadow • 28 oktober 2013 10:53

Ik ben het helemaal met je eens dat het evident is dat de Nederlandse overheid soms zal falen in de beveiliging. Daar ligt probleem naar mijn mening niet.
Het grote probleem is dat de overheid dat niet in ziet. Ze maken dus de beslissing om veel data over de bevolking op te slaan die gebruikt zou moeten worden om criminaliteit tegen te gaan (ofzo).
Realiteit is echter dat criminelen dit kunnen omzeilen en de gewone Nederlander alles opgeslagen heeft staan. En op lange termijn is de kans gewoon 100% dat deze data een keer uit lekt. Daarom, ICT & overheid = falen.

arthur-m @Pikoe • 28 oktober 2013 11:11

Ik ben het helemaal met je eens dat het evident is dat de Nederlandse overheid soms zal falen in de beveiliging. Daar ligt probleem naar mijn mening niet.

Realiteit is echter dat criminelen dit kunnen omzeilen en de gewone Nederlander alles opgeslagen heeft staan. En op lange termijn is de kans gewoon 100% dat deze data een keer uit lekt. Daarom, ICT & overheid = falen.

Hier spreek je je in tegen.

Het grote probleem is dat de overheid dat niet in ziet.

Hoe kom je aan die informatie? Welke redenen heb je om aan te nemen dat een overheid dit niet serieus neemt/inziet. Mijns inziens is het feit dat ze erover publiceren al een indicatie dat ze er in ieder geval iets aan doen..

En daarnaast: een commerciële partij voert toch de beveiliging uit/implementeert de boel. Je zou ook kunnen zeggen dat die partijen er geen bal van snappen...

Pikoe @arthur-m • 28 oktober 2013 12:50

Ik geef de uitvoering juist niet de schuld, maar de beleidmakers.
Het hele idee van informatie opslaan omdat het gebruikt kan worden klopt niet. Het is informatie opslaan zodat het misbruikt kan worden.

kwakzalver @RutgerDB • 28 oktober 2013 10:40

Als ze in 2010 aantoonbaar 10x zijn aangevallen dan geloof ik niet dat het daarna niet meer gebeurd is. Ze detecteren het nu gewoon niet meer. ICT & Overheid = 100% falen.

Dat staat volgens mij niet in het stuk en de gepubliceerde bijlagen.
Wat er wel staat is dat er in 2010 binnen een half jaar 10 aanvallen zijn geweest welke als 'kritisch' zijn gemarkeerd.

Of de hackers daarna slechter zijn geworden of de overheid beter is geen beschermen daar wordt geen uitspraak over gedaan.

Tevens kan je er rustig ervanuitgaan dat meerdere overheidsdiensten op 'aanvallen per minuut' analyseren.

Verwijderd 28 oktober 2013 10:17

Hopelijk is het bij de overheid meer bekend over waar deze aanvallen vandaan komen en met welke intentie deze uitgevoerd werden. Dan zouden ze eenvoudiger maatregelen kunnen treffen om de 'veiligheid van de staat' te verhogen.

j4cc-o 28 oktober 2013 14:47

???
is dit nieuws?
dit is ook al in 2011 door Brenno de Winter beschreven; we zitten nu in 2013 bijna 2014
http://webwereld.nl/bevei...veiligingsincidenten-zoek

Verwijderd 28 oktober 2013 15:53

Ik vraag me af wat er gebeurt als het toch echt goed mis gaat...

Of kan dat niet?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: