image

Details ransomware-infectie Tweede Kamer niet openbaar

woensdag 14 juni 2017, 10:53 door Redactie, 13 reacties

Details over hoe een ict-systeem van de Tweede Kamer in maart met ransomware besmet raakte worden niet openbaar gemaakt, zo heeft de voorzitter van de Tweede Kamer Khadija Arib bekendgemaakt. Naar aanleiding van het incident stelden CDA, D66 en VVD vragen aan de Kamervoorzitter.

Volgens Arib blijkt uit eerste onderzoek dat er geen sprake is geweest van een gerichte aanval op een fractie, Tweede Kamerlid of (fractie)medewerker van de Tweede Kamer. Verdere details zullen echter alleen achter gesloten deuren worden gedeeld. "Gelet op het gehanteerde uitgangspunt dat de Tweede Kamer geen mededelingen doet over (informatie)beveiligingsmaatregelen en (informatie)veiligheidsincidenten is dit alleen mogelijk in een vertrouwelijke briefing", zo laat de Kamervoorzitter weten. Verder meldt Arib dat er aangifte is gedaan en er een (forensisch) onderzoek plaatsvindt.

Beveiliging

Het CDA had daarnaast gevraagd welke maatregelen er worden genomen om de beveiliging aan te scherpen. Daarop stelt Arib dat, in overleg met de relevante overheidsorganisaties, er maatregelen zijn getroffen om het netwerk van de Tweede Kamer te beschermen. "Dit betreft zowel het actueel houden van de bestaande beveiligingsmaatregelen alsmede intensivering van de maatregelen, waaronder monitoring van het netwerk. In het Informatiebeveiligingsjaarplan 2017 zijn aanvullende projecten opgenomen ter bescherming van het netwerk."

Verder laat Arib weten dat ze de aandacht en bewustwording voor digitale veiligheid wenst te versterken. Naast een module digitale veiligheid die is aangeboden in het kader van het introductieprogramma voor de nieuwe Tweede Kamerleden zal nog voor het zomerreces een cursus over cybersecurity worden aangeboden aan de fracties en de ambtelijke diensten. Bij ict betrokken medewerkers zullen daarnaast een extra training ontvangen (pdf).

Reacties (13)
14-06-2017, 11:04 door Ron625
Zolang ze nog een website hebben, waarop dingen als:
https://www.tweedekamer.nl/nieuws/kamernieuws/debat-over-commissie-van-onderzoek
staan, is de ICT daar een rommeltje.
Dit soort fouten en overtredingen van de voorschriften zouden na het eerst kwartaal van 2017 zijn verbeterd, blijkbaar snappen ze zelf niet wat de verplichtingen zijn m.b.t. het gebruik van OpenStandaarden.
Hoe kan een overheid, die zich aan aan de regels wil houden, van de burgers verwachten dat ze dit wel doe?
14-06-2017, 11:15 door [Account Verwijderd] - Bijgewerkt: 14-06-2017, 11:16
[Verwijderd]
14-06-2017, 11:21 door Anoniem
Bij ict betrokken medewerkers...
Wie (anders dan schoonmakers en koffiedames) zijn dat?

Ook interessant vind ik dat in de PDF niet staat (tenzij ik er overheen kijk) dat dit incident aan de AP (Autoriteit Persoonsgegevens) is gemeld. Ik ben benieuwd of dat gebeurd is...
14-06-2017, 11:37 door Anoniem
Tsjaa..... en wie was de schuldige?
14-06-2017, 12:24 door karma4
Er is genoeg te vinden over de omvang aantal mensen en aanpak van de ict in de jaarverslagen van de 2e kamer als bedrijfsmatig financieel jaarverslag .
Gegrond vermoeden ze zijn gewoon te klein voor het echte werk. Het samengaan uitbesteden aan de sinds enige jaren in opbouw zijnde overheids ict den Haag is een aangekondigde stap.
14-06-2017, 13:54 door Anoniem
Dat men zoveel mogelijk open standaarden moet gebruiken klopt. Maar ICT kan een rommeltje zijn met/zonder open standaarden. En open standaarden zorgen evenmin per definitie voor meer veiligheid. Al pretenderen sommige open standaarden evangelisten graag anders.
14-06-2017, 13:54 door Anoniem
Wie (anders dan schoonmakers en koffiedames) zijn dat?

Wat is je insteek met deze opmerking ? Grappig gevonden willen worden ? Immers slaat je opmerking werkelijk nergens op.
14-06-2017, 13:56 door Anoniem
Ook interessant vind ik dat in de PDF niet staat (tenzij ik er overheen kijk) dat dit incident aan de AP (Autoriteit Persoonsgegevens) is gemeld. Ik ben benieuwd of dat gebeurd is...

Hoezo, welke persoonsgegevens zijn er dan gelekt ? Leg eens uit waarom dit incident volgens jou gemeld had moeten worden ?
14-06-2017, 15:01 door Anoniem
Door Anoniem:
Ook interessant vind ik dat in de PDF niet staat (tenzij ik er overheen kijk) dat dit incident aan de AP (Autoriteit Persoonsgegevens) is gemeld. Ik ben benieuwd of dat gebeurd is...

Hoezo, welke persoonsgegevens zijn er dan gelekt ? Leg eens uit waarom dit incident volgens jou gemeld had moeten worden ?
Los van het feit dat je meestal niet weet of gegevens in verkeerde handen gevallen kunnen zijn, legt de AP het woord "Datalek" (helaas) anders uit dan de meeste mensen; ongeautoriseerd wijzigen of verwijderen van informatie met persoonsgegevens vindt de AP ook een "Datalek".

Zie:
- https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen
- https://www.security.nl/posting/515367/AP%3A+Ransomware+is+bij+versleuteling+persoonsgegevens+datalek
- https://www.security.nl/posting/515582/Juridische+vraag%3A+Is+er+bij+een+besmetting+met+ransomware+ook+sprake+van+een+datalek%3F

En als je niet heel zeker weet dat geen enkele van de versleutelde bestanden persoonsgegevens bevatte zou ik die melding maar doen.
14-06-2017, 15:06 door Anoniem
Door Anoniem:
Wie (anders dan schoonmakers en koffiedames) zijn dat?

Wat is je insteek met deze opmerking ? Grappig gevonden willen worden ? Immers slaat je opmerking werkelijk nergens op.
Mijn insteek hierbij is dat bij alle organisaties waar ik toe tu toe geweest ben (en dat zijn er veel) koffiedames en schoonmakers zakelijk geen computer ter beschikking gesteld krijgen en/of gebruiken. Ik bedoel er verder niks denigrerends mee of zo.

Omgekeerd bedoel ik dat bijna iedereen tegenwoordig met ICT werkt, zeker kamerleden maar ook de meeste andere dan de genoemde soorten medewerkers (inclusief portiers, medewerkers van postkamers, beveiligers etc) en die horen allemaal security awareness training te krijgen als je dit soort beveiligingsincidenten zoveel mogelijk wilt voorkomen.
14-06-2017, 18:43 door karma4 - Bijgewerkt: 15-06-2017, 06:57
Door Anoniem: Dat men zoveel mogelijk open standaarden moet gebruiken klopt. Maar ICT kan een rommeltje zijn met/zonder open standaarden. En open standaarden zorgen evenmin per definitie voor meer veiligheid. Al pretenderen sommige open standaarden evangelisten graag anders.
Open standaarden zijn net als verkeersregels. Het is onverantwoord om aan het hedendaagse verkeer deel te nemen als het niet als voorwaarde dient. Ook al ken je ze dan kan er nog sprake zijn van roekeloos en hufterig gedrag. Ook al doe je nog zo je beat het kan mis gaan. Als het domme pech is gewoon de schade vergoeden en eventueel verzekeren wa is verplicht voor gemotoriseerde deelname.

Voor het verschil ik maak me niet zo druk over oppervlakkige zaken als een documenttype. Dat is een signaal voor gebrek aan capaciteit. Ik maak me meer druk over de open standaarden die bekend staan als beveiligingsrichtlijnen.
15-06-2017, 10:41 door Anoniem
Door Ron625: Zolang ze nog een website hebben, waarop dingen als:
https://www.tweedekamer.nl/nieuws/kamernieuws/debat-over-commissie-van-onderzoek
staan, is de ICT daar een rommeltje.

Hoe kan een overheid, die zich aan aan de regels wil houden, van de burgers verwachten dat ze dit wel doe?
Ik deel je ergernis over het feit dat op tweedekamer.nl de open formaten waar de tweede kamer toch zelf voor gekozen heeft vaak niet worden toegepast. Daar kan je echter niet uit afleiden of de ICT daar een rommeltje is. Het is best mogelijk dat de aanebestedingen juist zijn uitgevoerd, dat ODF volgens de regels ondersteund wordt, maar dat de gebruikersorganisatie (de kamerleden) zich daar vervolgens niets van aantrekt.
Door karma4: Voor het verschil ik maak me niet zo druk over oppervlakkige zaken als een documenttype.
Dat is niet oppervlakkig. Nederland (en vele andere landen) hebben een archiefwet die overheden verplicht dingen zo in te richten dat ze voor de toekomst worden veiliggesteld. Je hebt documentformaten nodig waarvan je weet dat die over vijfhonderd jaar nog te ontcijferen zjin. Dat betekent dat de beschrijving van het formaat zelf openbaar moet zijn, anders kan je dat niet waarborgen.

Toen in de VS de staat Massachussetts om die reden voor ODF koos, de formaten van Microsoft vonden ze voor dit doel niet betrouwbaar genoeg, heeft Microsoft na een periode van verbeten verzet tegen verplichting van open standaarden bij overheden besloten OOXML open te maken door het door ISO te laten standaardiseren. De manier waarop dat is gebeurd heeft over de hele wereld mensen die in nationale standaardisatiecomités zitten geschokt achtergelaten. In het ene land werd melding gemaakt van omkoping (ik dacht Noorwegen), in het andere was in belangrijke vergadering opeens niet genoeg ruimte in de zaal en was er uitgerekend geen plek voor mensen met kritiek op OOXML (dat was meen ik Portugal), in Maleisië bleek opeens een van de Amerikaanse topmensen van Microsoft als vertegenwoordiger van een Maleisische organisatie aan te schuiven (terwijl hij daarvoor of daarna niet die positie vervulde en de vergadering nadrukkelijk voor Maleisiërs bedoeld was). En ga zo maar door, dit soort verhalen kwamen uit alle windstreken. Overal terugkerende kritiek was dat het domweg veel te snel ging, het was onmogelijk om in de korte tijd die ervoor beschikbaar werd gesteld de complexe formaten te beoordelen. Het is er doorgedouwd.

Het resultaat is een ISO-standaard waarin dingen staan als dat een bepaald element moet worden opgemaakt zoals Word95 dat deed. Dat soort onduidelijkheden kan je missen als kiespijn in een documentformaat dat over vijfhonderd jaar nog implementeerbaar moet zijn.

Dit is niet oppervlakkig, dit gaat juist heel diep. Het gaat over de correctheid van geschiedschrijving, over de mogelijkheid van historici om te achterhalen wat er écht gebeurd is. Het gaat om het vastleggen van feiten voor de lange termijn en het vermogen om te leren van het verleden. Degenen die dergelijke vereisten over het hoofd zien zijn juist degenen die in ieder geval een deel van de diepgang niet herkennen en die (in deze context) dus oppervlakkig genoemd kunnen worden.

En dan zijn er ongetwijfeld nog de nodige andere redenen die wél van belang zijn voor hoe overheden functioneren maar bij een typisch commerciëel bedrijf er nauwelijks of niet toe doen.
17-06-2017, 19:47 door Anoniem
Door Anoniem:
Door Ron625: Zolang ze nog een website hebben, waarop dingen als:
https://www.tweedekamer.nl/nieuws/kamernieuws/debat-over-commissie-van-onderzoek
staan, is de ICT daar een rommeltje.

Hoe kan een overheid, die zich aan aan de regels wil houden, van de burgers verwachten dat ze dit wel doe?
Ik deel je ergernis over het feit dat op tweedekamer.nl de open formaten waar de tweede kamer toch zelf voor gekozen heeft vaak niet worden toegepast. Daar kan je echter niet uit afleiden of de ICT daar een rommeltje is. Het is best mogelijk dat de aanebestedingen juist zijn uitgevoerd, dat ODF volgens de regels ondersteund wordt, maar dat de gebruikersorganisatie (de kamerleden) zich daar vervolgens niets van aantrekt.
Door karma4: Voor het verschil ik maak me niet zo druk over oppervlakkige zaken als een documenttype.
Dat is niet oppervlakkig. Nederland (en vele andere landen) hebben een archiefwet die overheden verplicht dingen zo in te richten dat ze voor de toekomst worden veiliggesteld. Je hebt documentformaten nodig waarvan je weet dat die over vijfhonderd jaar nog te ontcijferen zjin. Dat betekent dat de beschrijving van het formaat zelf openbaar moet zijn, anders kan je dat niet waarborgen.

Toen in de VS de staat Massachussetts om die reden voor ODF koos, de formaten van Microsoft vonden ze voor dit doel niet betrouwbaar genoeg, heeft Microsoft na een periode van verbeten verzet tegen verplichting van open standaarden bij overheden besloten OOXML open te maken door het door ISO te laten standaardiseren. De manier waarop dat is gebeurd heeft over de hele wereld mensen die in nationale standaardisatiecomités zitten geschokt achtergelaten. In het ene land werd melding gemaakt van omkoping (ik dacht Noorwegen), in het andere was in belangrijke vergadering opeens niet genoeg ruimte in de zaal en was er uitgerekend geen plek voor mensen met kritiek op OOXML (dat was meen ik Portugal), in Maleisië bleek opeens een van de Amerikaanse topmensen van Microsoft als vertegenwoordiger van een Maleisische organisatie aan te schuiven (terwijl hij daarvoor of daarna niet die positie vervulde en de vergadering nadrukkelijk voor Maleisiërs bedoeld was). En ga zo maar door, dit soort verhalen kwamen uit alle windstreken. Overal terugkerende kritiek was dat het domweg veel te snel ging, het was onmogelijk om in de korte tijd die ervoor beschikbaar werd gesteld de complexe formaten te beoordelen. Het is er doorgedouwd.

Het resultaat is een ISO-standaard waarin dingen staan als dat een bepaald element moet worden opgemaakt zoals Word95 dat deed. Dat soort onduidelijkheden kan je missen als kiespijn in een documentformaat dat over vijfhonderd jaar nog implementeerbaar moet zijn.

Dit is niet oppervlakkig, dit gaat juist heel diep. Het gaat over de correctheid van geschiedschrijving, over de mogelijkheid van historici om te achterhalen wat er écht gebeurd is. Het gaat om het vastleggen van feiten voor de lange termijn en het vermogen om te leren van het verleden. Degenen die dergelijke vereisten over het hoofd zien zijn juist degenen die in ieder geval een deel van de diepgang niet herkennen en die (in deze context) dus oppervlakkig genoemd kunnen worden.

En dan zijn er ongetwijfeld nog de nodige andere redenen die wél van belang zijn voor hoe overheden functioneren maar bij een typisch commerciëel bedrijf er nauwelijks of niet toe doen.

Juist!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.