De Raad voor de Veiligheid gaat de ict bij de overheid onderzoeken. Dit is besloten tijdens een Diginotar-debat in de Tweede Kamer, waarbij diverse politieke partijen hun zorgen uitten over de beveiliging van de overheids-ict. Minister Donner van Binnenlandse Zaken, die over Diginotar gaat, wil met het onderzoek bekijken waar de problemen in de ict van de overheid zitten en welke cultuur er heerst.
Donner wil bovendien de expertise van hackers verder gaan inzetten, want dit gebeurt inmiddels in kleine mate bij de overheid. Een bescherming voor hackers die problemen openbaren, zoals deze ook werkt voor klokkenluiders, vindt de minister geen goed idee. Behalve de onderzoeken van de Raad voor de Veiligheid, zijn er veel onderzoeken gaande met betrekking tot de Diginotar-zaak. Het KLPD zou werken aan een strafrechtelijke zaak en ook de AIVD doet onderzoek.
Rabobank Random Reader
SP en GroenLinks willen liever een parlementair onderzoek dat zelfstandig door de kamer wordt uitgevoerd. Bovendien vindt Arjan El Fassed van GroenLinks dat inloggen op overheidssites niet meer met een enkel wachtwoord moet gaan, maar met een apparaatje zoals de Random Reader van de Rabobank. De PVV wil privacybescherming voor de gegevens van burgers en een jaarlijkse toetsing van de ict-omgevingen van de overheid. Bovendien wil de partij van Geert Wilders dat bedrijven die zaken doen met de overheid, onder strenger toezicht komen. Gegevens moeten van de partij zo minimalistisch mogelijk worden opgeslagen.
Minister Opstelten van Veiligheid en Justitie ziet het niet zitten een soort commandocentrum op te zetten dat bij een ict-crisis de scepter zwaait. De regie voert de minister uit en vanaf 1 januari 2012 zal de Cyber Security Raad (CSR) hem daarin bijstaan. De raad wordt geleid door KPN-ceo Eelco Blok en Erik Akerboom van Nationaal Coördinator Terrorismebestrijding. De raad adviseert de regering over actuele ontwikkelingen in digitale veiligheid.
Meldplicht en meldpunt digitale inbraken
De VVD wil een harde meldplicht voor digitale inbraken. De SP pleit voor een meldpunt voor internetaanvallen. Martijn van Lom, directeur van beveiligingssoftwareleverancier Kaspersky Benelux, vindt dat een goed idee. Hij meent dat overheidsinstanties, maar ook ziekenhuizen, verplicht moeten worden gesteld om cyberdiefstal te melden. 'Ook niet-overheidsbedrijven moeten zich meer realiseren hoe de beveiliging bij derden is. We gaan werken in de cloud, maar waar staat die informatie dan en hoe veilig is dat?'
Diginotar
Diginotar werd in juli 2011 gehackt. Door een man-in-the-middle-aanval, waarbij informatie tussen twee partijen ongemerkt onderschept wordt, werden vijfhonderd valse SSL-certificaten uitgegeven. Hierdoor werd het verkeer op belangrijke overheidswebsties zoals DigiD onveilig. Een 21-jarige Iranees gaf aan achter de hack te zitten, omdat hij kritiek had op Nederland. Diginotar was niet meer te redden en werd op 20 september 2011 failliet verklaard, nadat de Nederlandse overheid en telecomwaakhond Opta hun vertrouwen in het bedrijf hadden opgezegd. Diginotar zou al op 19 juli 2011 hebben geweten van de hack, maar deed geen aangifte.
Dames en heren van de computable, het is HET KLPD…
Verder denk ik dat het i.d.d. tegenwoordig beter is om met gevoelige informatie of handelingen via Internet dat er gebruik gemaakt wordt van een apparaatje zoals de random reader, of een RSA token zoals we bij ons gebruiken.
Diginotar werd in juli 2011 gehackt. Door een man-in-the-middle-aanval, waarbij informatie tussen twee partijen ongemerkt onderschept wordt, werden vijfhonderd valse SSL-certificaten uitgegeven.
Klopt dit wel inzake Diginotar? Ik dacht dat man-in-the-middle-aanvallen juist mogelijk waren gemaakt met de valse SSL-certificaten.
De aangedragen oplossingen zijn allemaal gevallen van symptoombestrijding. Security by design en het beleid aanpassen tav beveiliging zal het leeuwedeel van de oplossing gaan vormen. Harde eisen in aanbestedingen met eventuele boeteclausules ipv het naieve gedrag wat we tot nu toe hebben mogen zien.
Veel van dit soort ICT zaken waren uitbesteed en men dacht dat alles vanzelf wel goed ging. Maar als een 12 jarig iemand een lek kan vinden dan geeft het al aan dat er iets goed mis zit.
Los van dit is het ook opmerkelijk hoeveel er glashard gelogen is door diverse overheden terwijl je op je klompen kon aanvoelen dat er iets niet goed zat. Dus wat dat betreft is er ook hard een cultuuromslag nodig. Noem het probleem bij zijn naam en zorg voor een goede oplossing. En als er sprake is van grove nalatigheid moeten er ook mensen ontheven worden van hun taak omdat ze er simpelweg niet thuis horen. Dus geen Pikmeer arrest meer. Een bedrijf kan failliet gaan door dit soort akkefietjes maar fouten bij overheden zijn vaak nog erger doordat er een vertrouwensbreuk optreed en de gevolgen van data lekken kunnen vaak nog veel erger zijn.
@Peter, waarom niet Punishment by Design? Gemeenten, Provincies, Politiedistricten etc. moeten van hun geografische werkingsgebieden ontdaan worden en kunnen concurreren op betaalde overheidsdiensten. Als een Gemeente er dan een potje van maakt met de veiligheid, straft de markt ze vanzelf wel. Dat werkt veel beter dan allerlei bestaande organisatie-structuren van bovenaf wegsaneren. Waar gewenst krijgen Gemeenten e.d. dan vanzelf de behoefte om krachten te bundelen (en anders maar niet).
Niets is zo fnuikend als wanneer allerlei cruciale beslissingen boven je hoofd worden genomen.
En uiteraard moeten Gemeenten hun systemen laten certificeren bij instellingen die gecertificeerd zijn voor het doen van audits bij Gemeenten enz. We weten toch allemaal eigenlijk wel hoe een wanneer het wel werkt?
Ik wil niks zeggen maar………, worden die random readers niet gemaakt door Vasco? en wie was eigenaar van Diginotar?
We zijn ineens allemaal geschrokken van Diginotar en dan volgt de roep naar parlementaire onderzoeken, strenger beleid en een crisiscentrum etc. Ik hoor echter niemand over de basis van dit probleem, namelijk dat interne informatie intern gehouden moet worden en dat de overheid haar eigen beveiliging moet regelen.
De meeste overheidsorganisatie zijn afhankelijk van ICT en juist de ICT activiteiten hebben ze de laatste 10 jaar uitbesteed aan derden en uitbesteden en beveiliging gaat nu eenmaal heel slecht samen. Waarom geeft de overheid niet zelf certificaten uit? Hoe is het geregeld met toegang van derde partijen aan datacentra van gemeenten en provincies et cetera? Hoe beveiligt de overheid kritische data op laptops en mobiele apparaten en hoe is het geregeld met het onderhoud aan deze apparaten?
Ik denk dat het bij heel veel overheidsorganisatie slecht geregeld is, maar ook dat weten we niet, want de overheid heeft naar mijn weten geen team die ICT security audits uitvoert, elke overheidsinstantie is zelf verantwoordelijk……
Ik zou dan ook willen adviseren dat kritische ICT-systemen (en dat zijn bijna alle systemen bij de overheid) onderhouden worden door intern personeel met een bepaald security level, afhankelijk van het security level van het systeem. Verder moet de oveheid niet afhankelijk zijn van derde partijen, maar zelf certificaten etc. uitgeven voor haar eigen systemen en moet er een ICT audit systeem komen die onafhankelijk opereert en gevraagd en ongevraagd audits uitvoert.
Is er wel een overheids-ICT, of beter gezegd, één overheids-ICT?
Een groot deel van de overheids-ICT moet met verplicht aanbesteden waardoor een grote versnippering in leveranciers ontstaan is, met bij behorende diversiteit aan beveiligings-mechanismen, theorieën en filosofieën.
Er worden al kapitalen verstookt om al deze verschillende producten aan elkaar te knopen en dan ook nog te laten werken. Beveiliging wordt dan al snel een ondergeschoven kindje.
Zo’n random reader zou best kunnen werken. Dit moeten we uiteraard eerst weer aanbesteden, maar hoe ga je vervolgens alle aangesloten partijen hierop aansluiten?
Weer een aanbesteding, of wordt dit een fikse rekening in het kader van meerwerk/change requesten op het bestaande product?