Managed hosting door True

Hackers laken ICT-beveiliging overheid

Collectief stuurt brandbrief naar Tweede Kamer

 

Een collectief van Nederlandse hackersorganisaties heeft een brandbrief gestuurd naar de Tweede Kamer. Hierin uiten zij ernstige bezorgdheid over de veiligheid van de ict-systemen bij de overheid. De hackers zijn vooral verbolgen over 'kinderlijke vergissingen die gemaakt worden bij de implementatie van grote ict-overheidssystemen'.

Het hackerscollectief maakt zich zorgen over de privacy van burgers en claimt dat door de vergissingen mensenlevens in gevaar komen. ‘Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ict-systemen', staat in de brandbrief te lezen. Als voorbeelden worden genoemd de kwestie rond Diginotar en de SSL-certificaten, de OV-chipkaart en het elektronisch patiëntendossier (EPD).

Geen ingewikkelde hacks

‘We hebben een omvangrijke lijst van voorbeelden van overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan burgers waar de beveiliging niet op orde is', aldus de hackers. ‘Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.'

Het gaat volgens het hackerscollectief om elementaire beveiligingsprincipes die structureel niet worden toegepast. Ook laken zij het blinde vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico's. ‘Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.'

CBP en Govcert

Ook zou de overheid niet voldoende toetsen en zouden beloftes van ingehuurde ict-bedrijven onrealistisch zijn en worden ze niet nagekomen. ‘Adequate bescherming van databanken met persoonsgegevens is onvoldoende gewaarborgd', aldus de brandbrief. ‘Er wordt niet nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens (CBP) en Govcert in onvoldoende mate betrokken bij ict-trajecten.'

De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen. ‘Er heerst echter op dit moment een klimaat waarin de boodschapper wordt gestraft en de betreffende departementen en bedrijven niet tot verantwoording worden geroepen', claimen de Nederlandse hackers. ‘Wij zijn daarom terughoudend in het delen van informatie over deze beveiligingslekken.'

Structureel probleem

De hackers maken zich zorgen over elementaire beveiligingslekken en dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan bewust zijn en deze fouten kunnen uitbuiten. ‘De recente kwestie met de Iraanse overheid heeft dat laten zien', zegt het collectief. ‘Wij roepen derhalve op om de kwestie Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan controle op de veiligheid van ict-systemen bij de overheid. Het is tijd dat de leden van de Tweede Kamer zich realiseren dat er sprake is van een structureel probleem.'

De Nederlandse hackergemeenschap biedt de overheid aan te willen helpen bij het beter beveiligen van de ict-systemen.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4175573). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Dit klinkt als een inbreker die klaagt dat je je huis niet goed genoeg hebt beveiligd en zegt er last van te hebben dat andere inbrekers te makkelijk bij jouw spullen kunnen.

Ben het eens met de hackers. De overheid zou met veel minder geld een veel betere beveiliging kunnen realiseren als ze de nodige kennis in huis zouden hebben. Simpele beveiliging van documenten is maar 1 van de aspecten: http://www.redwoodsmedia.com/zafesoft/controller.asp

@Michel ik dacht vanmorgen tijdens het verslag van Radio1 precies hetzelfde. Hackers zijn toch criminelen, hoe kunnen die een vereniging hebben en vervolgens ook nog serieus genomen worden?

Het blijft niet alleen bij IT systemen. Iedereen weet dat je DigiD brieven gewoon thuis krijgt, met de gewone post. Ook is bekend dat deze soms gehengeld worden, en op die manier leiden tot problemen, echter de overheid ontkent het probleem. Waarom moet je een DigiD brief niet gewoon op het gemeentehuis ophalen, als aangetekend versturen te duur is ? Zo zijn er nog talloze zaken aan te geven. Auditors auditen alleen datgene wat je ze hebt opgedragen, dus als bijv. wachtwoordsterkte niet in de auditlijst staat, wordt dat ook niet geaudit. De OV-Chipkaart is zo lek als een mandje, maar niemand wordt er voor verantwoordelijk gehouden. Als er iets mis gaat wordt je als houder de dupe (saldo weg, kaart geblokkeerd enz). Welk orgaan kan ik er op aan spreken om de overheid zijn verplichtingen te doen nakomen ?

@Michel: Daarin heb je wel gelijk, het punt is echter wel dat ook de hackers gelijk hebben. Het zou toch knap vervelend zijn als alle gegevens zo eenvoudig te benaderen zijn. Het gaat hier vooral om onwetendheid, laksheid en een ondoorzichtige hierarchie. Let wel, ook hier gaan mijoenen in om en dit is het uiteindelijke resultaat (een lachertje).

@Michel: het gaat hier om computer enthusiasten, niet om criminelen. En in de IT wereld is het nog steeds vaak het geval dat een doorgewinterde hobbyist een onderwerp beter begrijpt dan iemand die weliswaar professioneel is, maar alleen in de zin dat hij er voor betaald wordt.

Hackers zijn erop uit, om z.g. te kraken. Dat is m.i. hetzelfde als bijvoorbeeld een auto kraken. Stel je voor, als van zo'n hacker zijn of haar auto wordt gekraakt. Is dat ook iets, wat zomaar ongestraft zou mogen? Nee dus. Hackers hebben gewoon geen respect voor de zaken van een bedrijf of persoon.
Als de hackers flink zijn, maken zij onderlinge wedstrijden, om elkaar te hacken.

Hacker != Cracker


En wat veiligheid betreft is het al aangetoond dat er structurele problemen zijn. Maar dat geldt in zijn algemeenheid voor alle overheids ICT in Nederland. En tot op zekere hoogte ook bij de niet overheid.
Er wordt simpelweg nog veel aan gerotzooid omdat onder het mom van aanbesteding de klus naar de goedkoopst mogelijk partij is gegaan die er vanuit gaat dat ze via meerwerk het project in de zwarte cijfers krijgen. Dan houd je dus een opgelapte brakke oplevering over die alleen door de partij die het gemaakt heeft kan worden onderhouden.

Afdwingen van open standaarden, security by design en standaard architecturen en gedegen auditing van een onafhankelijke partij is dan een stap in de goede richting.
Vul dat aan met strenge regels qua garantie en meerwerk in de aanbesteding en dan moeten de partijen ook om duidelijke specs vragen omdat ze anders iets bouwen wat niet bedoeld was en ze het op eigen kosten moeten aanpassen.

De meeste reacties zijn zoals politici gewoon zijn te reageren: het punt geheel missend. Het punt is dat mensen die bedreven zijn in iets aangeven dat de beveiliging van de gegevens van velen (waaronder zijzelf) echt VEEL beter moet. Omdat de overheid over het algemeen meent het altijd beter te weten en het mede daardoor zo droevig is gesteld met de beveiliging, is het niet vreemd dat de reactie van de hackers pas kan komen "nadat het kalf verdronken is". Het zou van wijsheid van de zijde van de overheid getuigen, gezien de evidente onkunde, om gebruik te maken van de kennis en kunde van hackers teneinde de beveiliging zo goed mogelijk te maken. Dit kan allemaal met dummy gegevens. Beter nog men dient een verbod in te stellen om nog een overheidsdatabank in werking te stellen zonder te kunnen bewijzen dat de toegang tot die gegevens zo veilig mogelijk is. Een dergelijk bewijs zou dan juist afkomstig kunnen zijn van (etische) hackers.

Enkele kanttekeningen van iemand, die van 1994 tot begin 2008 op het hoogste niveau verantwoordelijk was voor de (informatie)beveiliging bij het Ministerie van Justitie als Corporate Security Manager/CISO.
Op de markt is ruim voldoende techniek (hard- en software) en kennis te vinden. Daar ligt het probleem niet. Waar het nog vaak aan ontbreekt is de organisatie van de beveiliging. Begin met het direct onder het hoogste gezag (een SG bij een ministerie) plaatsen van een afdeling, die verantwoordelijk is voor het opstellen van regels en de controle daarop.
Durf sancties op te leggen als blijkt, dat de uitvoerende afdelingen zich niet aan de regels houden, bijvoorbeeld door de laatste updates van software niet te installeren.(komt nog veel te vaak voor)
Voorkom, dat iedereen zich er mee gaat bemoeien, bijvoorbeeld operationele ICT-afdelingen of ICT-adviseurs die vrezen voor bemoeienis van een in hun ogen lastige buitenstaander.
Hou oog voor de tegenstelling tussen een manager en een beveiligingsadviseur. De eerste wil maximale productie met optimale beveiliging. De tweede wil maximale beveiliging met optimale productie. Als die twee elkaar kunnen vinden komt het wel goed met de beveiliging.
Ten slotte dit. In de reacties wordt nogal afgegeven op hackers. Mijn ervaring is, dat het hier altijd gaat om bevlogen personen, die oprecht willen helpen bij het opsporen van lekken. Maak daar gebruik van.
Iets anders zijn de crackers, de criminele hackers.
Die kunnen niet hard genoeg worden aangepakt zoals de figuren uit Iran, die Diginotar hebben gekraakt, waarbij het opzeggen van het vertrouwen in Diginotar overigens volkomen terecht is omdat ze getracht hebben de zaak in de doofpot te stoppen.

@hans: Je verzekering keert ook niets uit wanneer je moetwillig je auto niet (voldoende) op slot doet en hij word leeg geroofd. Bij beveiliging van zeker overheidsystemen moet de beveiliging gewoon goed maar blijkbaar denkt de overheid daar anders over. Schijnbaar is het nodig dat experts (de zgn. hackers) eerst moeten aantonen dat het een bende is. Ik vind het rond uit treurig dat men de kantjes er van af loopt. In het bedrijfsleven betekent dat op staande voet ontslag.

Informatie-overdracht is een noodzakelijke voorwaarde voor Causale verbanden. De ICT en het internet hebben de afgelopen decennia veel causale verbanden gelegd in de connected world. In het boekje "The Network Society" van Jan van Dijk wordt dit goed beschreven. Van deze causale verbanden welke gelegd worden door informatie-overdracht merken we op dit moment ook de keerzijde, wanneer zich ongeauthoriseerde mensen toegang verschaffen tot deze informatie en daarmee ongewenste causale verbanden leggen. Deze ongewenste causaliteit kan simpelweg voorkomen worden door de informatie-overdracht naar ongeauthoriseerde mensen te blokkeren. Een goede uitleg van het bovenstaande en een voorbeeld systeem is te vinden op de link bit.ly/qrsnn

Ik snap het niet, met dat slechte beveiliging!

Je kan als beveiliger IP adressen blokkeren van bezoekers

Je kan dus ook zorgen dat je in het buitenland niet zichtbaar ben door buitenlandse IP adres reeksen te blokkeren, dat is dus op zich al een eerste beveiliging dat een Nederlands overheid dan ook alleen in Nederland zichtbaar is! en niet over de grens.

@Michel: Het gaat hierbij niet om inbrekers die klagen, maar om mensen die weten hoe inbrekers werken, en jou vertellen dat je huis niet genoeg beveilig en inbreker-proof is. Bijvoorbeeld ze vertellen je dat je hang-en-sluit werk eenvoudig is te breken, en adviseren je SKG-sluitwerk te monteren. De overheid zou juist enorm blij moeten zijn met dit soort mensen.

@Anthony: Ik begrijp dat je die rol nu niet meer vervult, en ik ga mee in je betoog. Maar je beantwoord ook de onderliggende vraag niet. Als de techniek er is, en de wil er is, waarom is het dan nog steeds een rommeltje ? Ik denk voornamelijk omdat Security bij de Overheid nog steeds niet de juiste aandacht en prioriteit krijgt, en dat overtreders nog steeds niet juist aangepakt worden (ook interne overtreders). De overheid laat steeds weer blijken dat beveiliging niet op de agenda staat (OV-Chip debacle, Diginotar, DigiD en zo zijn er ongetwijfeld nog veel meer die niet eens de publiciteit halen).

Loof als Overheid een premie uit. Als een Hacker aan kan tonen waar een lek zit, aantoont hoe dit lek uitgebuit kan worden, en aangeeft hoe het gedicht kan worden, zou de Hacker beloond moeten worden. Uiteraard alleen als de hacker zelf geen misbruik van zijn kennis maakt. De 'goede' hackers kunnen zo niet alleen hun protemonee spekken, maar ook hun status en aanzien vergroten.

Als een organisatie zoals b.v. een overheid een gespecialiseerd bedrijf inhuurt om een bepaalde dienst te verlenen, dat mag die organisatie erop vertrouwen dat dit correct gebeurt. Zeker waneer de betreffende bedrijven aan een aantal kriteria worden onderworpen om de betrouwbaarheid te garanderen.
Kenlijk is dit ondanks die kriteria niet gelukt.

Welicht dat er eens naar die kriteria moet worden gekeken, en er daarbij nieuwe en meer relevante eisen aan een dienstverlener gesteld worden.
Welicht dat er eens gevraagd moet worden naar meer competent en beter gekwalificeerd personeel. das nu duidelijk niet het geval. reden daarvoor willen we maar niet onder ogen zien.
pech gehad, dit soort debakels gaat nog wel vaker voor komen.

Dat is de essentie waar het de hackers om gaat.
Al die verdere argumenten komen er gewoon op neer dat 'vakmensen' zich onaangenaam verrast voelen als ze eens wat moeite moeten doen om iets geregeld te krijgen.

@Edu: Erg handig om buitenlandse IP reeksen te blokkeren, Vooral voor de pensionado's die in Spanje zitten bijvoorbeeld, en dan niets meer met deoverheid kunnen doen. Of als je op vakantie bent, maar toch even ergens naar wilt kijken. Daarnaast zijn er veel buitenlandse ISP's in Nederland actief, dus de reeksen die zij hier aan klanten uitdelen kunnen best in het buitenland geregistreerd zijn. En daarbij, als ik als 'hacker' er bij wil, kan ik altijd een IP Spoofen, of een Nederlandse Open Proxy gebruiken. IP reeksen blokkeren is hetzelfde als een 'Veilige Woning' sticker op je huis plakken, maar niet het bijbehorende cylinderslot plaatsen. Helpt niet, en is makkelijk te omzeilen.

Vacatures bij AP
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×