Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vraagje voor Robert Antonius Cornelis Bartholee?

31-08-2018, 07:57 door Anoniem, 19 reacties
Een vraagje voor Robert Antonius Cornelis Bartholee (nog maar een paar maandjes chef AIVD).

Stel…
Men werkt nog maar net bij een Vitale Infrastructuur organisatie als cyber-beveiliging functionaris, en constateert dat er sprake is van infiltratie met sabotage van de beveiliging dmv aanpassingen in de automatisering structuur.

Na wat intern onderzoek worden er 3 infiltranten geïdentificeerd, en het onderwerp aangekaart bij de Raad van Bestuur / Directie. Voor hen blijkt ‘t onderwerp een te ver van m’n bed show en leggen het onder op de stapel om zo diplomatiek te negeren.

Omdat het grotendeels over ‘cyber-security’ gaat, neemt men als functionaris contact op met het NCSC, maar die laten direct weten dat ze van mening zijn dat het niet onder hun ‘verantwoordelijkheid’ valt om Actief actie te ondernemen. Omdat... ze alleen een ‘adviserende rol’ zouden hebben en het ook niet puur en alleen over ‘cyber’/computers gaat.

Dan denkt men: de AIVD houdt zich toch ook bezig met zaken als National Cyber Security Strategy voor de Vitale Infrastructuur, wellicht dat zij ‘iets’ kunnen betekenen?
Maar helaas, ook daar krijgt men direct te horen van de 1e lijns medewerkers: Dat valt niet onder onze ‘verantwoordelijkheid’!
Men tracht nog een luisterend oor te krijgen door te melden dat de saboteurs ook de fysieke beveiliging hebben weten te saboteren, maar ‘t blijkt allemaal voor dovemansoren.


De nieuwsgierige vraag aan U is: Wat vindt de AIVD dat wel onder de verantwoordelijkheid valt, als niet het actief beschermen van de Vitale Infra?

Met vriendelijke groet,
Een WO.
Reacties (19)
31-08-2018, 15:08 door Anoniem
Daar is het Nationaal Cyber Security Centrum (NCSC) voor,.. Had je ook kunnen googlen.
31-08-2018, 15:43 door Anoniem
[Verwijderd door moderator]
31-08-2018, 15:45 door Anoniem
Daar is het Nationaal Cyber Security Centrum (NCSC) voor,.. Had je ook kunnen googlen.

Is lezen dan werkelijk zo moeilijk, je vertelt wat in de post al vermeld staat. Had je ook kunnen lezen.

''Omdat het grotendeels over ‘cyber-security’ gaat, neemt men als functionaris contact op met het NCSC, maar ....''
31-08-2018, 16:25 door Anoniem
Door Anoniem: Een vraagje voor Robert Antonius Cornelis Bartholee (nog maar een paar maandjes chef AIVD).

Stel…
Men werkt nog maar net bij een Vitale Infrastructuur organisatie als cyber-beveiliging functionaris, en constateert dat er sprake is van infiltratie met sabotage van de beveiliging dmv aanpassingen in de automatisering structuur.

Na wat intern onderzoek worden er 3 infiltranten geïdentificeerd, en het onderwerp aangekaart bij de Raad van Bestuur / Directie. Voor hen blijkt ‘t onderwerp een te ver van m’n bed show en leggen het onder op de stapel om zo diplomatiek te negeren.

Omdat het grotendeels over ‘cyber-security’ gaat, neemt men als functionaris contact op met het NCSC, maar die laten direct weten dat ze van mening zijn dat het niet onder hun ‘verantwoordelijkheid’ valt om Actief actie te ondernemen. Omdat... ze alleen een ‘adviserende rol’ zouden hebben en het ook niet puur en alleen over ‘cyber’/computers gaat.

Dan denkt men: de AIVD houdt zich toch ook bezig met zaken als National Cyber Security Strategy voor de Vitale Infrastructuur, wellicht dat zij ‘iets’ kunnen betekenen?
Maar helaas, ook daar krijgt men direct te horen van de 1e lijns medewerkers: Dat valt niet onder onze ‘verantwoordelijkheid’!
Men tracht nog een luisterend oor te krijgen door te melden dat de saboteurs ook de fysieke beveiliging hebben weten te saboteren, maar ‘t blijkt allemaal voor dovemansoren.


De nieuwsgierige vraag aan U is: Wat vindt de AIVD dat wel onder de verantwoordelijkheid valt, als niet het actief beschermen van de Vitale Infra?

Met vriendelijke groet,
Een WO.

Scandalig, mail je verhaal eens naar Tweakers, daar zitten een aantal journalisten die zoiets graag op willen pikken.
31-08-2018, 16:34 door Anoniem
Heldendom in Nederland houdt gelijke tred met het uitreiken van miltaire willemsordes. Eentje per vijf jaar of zo. Nog meer vragen?
31-08-2018, 16:40 door Anoniem
Door Anoniem: Daar is het Nationaal Cyber Security Centrum (NCSC) voor,.. Had je ook kunnen googlen.

Je had ook kunnen lezen voordat je een domme opmerking maakt.

TS _heeft_ contact opgenomen met het NCSC.
============================================================================================

TS gebruikt grote woorden (infiltratie, sabotage bij Vitale Infrastructuur) - maar slaagt er niet in om z'n eigen organisatie mee te krijgen.

En wil dan (blijkbaar dus zonder toestemming/opdracht van z'n werkgever) dat AIVD of NCSC of welke Belangrijke Club dan ook die zaak komt oppakken.

Is hij nu een dappere klokkenluider in een enorm lakse organisatie die een Grote Misstand niet wil aanpakken

Of is hij autist met oogkleppen die wil regelneuken (en wie weet - een aantal collega's wil naaien met het regelboekje) en gaat z'n baas daar , terecht, niet zomaar in mee . {ja, ook die mensen heb je - heel vervelend als ze ook nog een uniform aan hebben)

[Ook een ietwat te handige ITer die achter de bedrijfsfirewall slim zit te zijn met een reverse tunneltje naar z'n thuis-server kun je omschrijven als 'sabotage van beveiligingsmaatregelen' . Die moet wel op z'n flikker hebben als hij betrapt - of nog een keer betrapt wordt - maar de AIVD is dan wel een maatje te groot ]

De nieuwe beveiligings junior rapporteert gewoonlijk niet rechtstreeks aan de CIO/RvB - of TS heeft al van z'n lijnmanager, afdelingsdirecteur 'Nee" gehoord, heeft dan maar de RvB gemailed en is daar ook niet met ontzag aangehoord. Of hij is meteen naar de CIO/RvB gestapt , en die hebben dat alleen al als teken van iemand die gaan maat weet gezien .
Of zou zijn afdeling wel achter hem staan, en is het alleen het hoogste management dat niks doet ? Dat valt niet op te maken uit de post.
Op zich kan het bedrijf 'gewoon' aangifte doen - en ook al ben je Vitale Infrastructuur is dat het normale pad - AIVD (ver)volgt niet zelf , en ik denk dat visioenen van het helpen runnen van een 'sting' maar zelden waar worden.
De beslissing om aangifte te doen van computervrede breuk (of verwante zaken) ligt gewoonlijk onder het niveau RvB - eerder directeur IT - maar boven het niveau 'net aangenomen security medewerker' .
31-08-2018, 18:44 door Anoniem
Ten eerst zal zo'n incident geregistreerd moeten worden in een daartoe bestemd systeem. Afhankelijk van de prioriteit zou het bij de security officer van de AIVD belanden.

Die laat hoogst waarschijnlijk een paar specialisten het onderzoeken.Wellicht hebben ze daar ook een team welke de categorie 1 sec. incidenten onderzoekt.

Afhankelijk van die bevindingen volgt er een terugkoppeling naar de Security Officer welke dit beoordeeld en met het advies al dan niet naar de directie stapt indien er bijvoorbeeld maatregelen genomen dienen te worden die buiten de macht van de Security Officer vallen.

Het NCSC ...sorry maar daar heb ik geen hoge pet van op. Ook nooit gehad omdat daar bepaalde bedrijven aan deel nemen met dikke pakken boter op hun hoofd en vervolgens daar de mooie jongen uithangen en de overheid een poot uitdraaien.

Wij beschouwden het NCSC als een soort spuit 25 en ik zie nog steeds weinig verandering. Het jasje is wel mooier geworden.

Anderzijds de wereld bestaat natuurlijk niet alleen uit security incidenten en zijn er meerdere factoren om rekening mee te houden.

Wellicht zat er opzet achter?
01-09-2018, 09:12 door Anoniem
Eerst eens aangifte doen bij de politie lijkt me, ipv gelijk naar de AIVD te stappen.
02-09-2018, 09:26 door Anoniem
Door Anoniem: Eerst eens aangifte doen bij de politie lijkt me, ipv gelijk naar de AIVD te stappen.

Je kunt het proberen, maar voor aangifte moet je eerst belanghebbende zijn. Bijvoorbeeld directeur van de getroffen organisatie. Je gegevens komen in het dossier. Wat wel kan is een (anonieme) tip geven aan de politie via de tiplijn. Of dit:

https://www.rijksoverheid.nl/onderwerpen/kwaliteit-en-integriteit-overheidsinstanties/klokkenluiders
02-09-2018, 14:12 door Anoniem
Door Anoniem:
Door Anoniem: Eerst eens aangifte doen bij de politie lijkt me, ipv gelijk naar de AIVD te stappen.

Je kunt het proberen, maar voor aangifte moet je eerst belanghebbende zijn. Bijvoorbeeld directeur van de getroffen organisatie. Je gegevens komen in het dossier. Wat wel kan is een (anonieme) tip geven aan de politie via de tiplijn. Of dit:

https://www.rijksoverheid.nl/onderwerpen/kwaliteit-en-integriteit-overheidsinstanties/klokkenluiders


"Klokkenluidersregeling:
Is een klokkenluider het niet eens met de manier waarop zijn melding (niet) is afgehandeld? Dan kan hij de misstand melden bij de Onderzoeksraad Integriteit Overheid. Die doet dan 'onafhankelijk' onderzoek (zonder terugkoppeling)."

En zo gaat 't van A naar B naar C naar enz.. eindeloos van kastjes naar de zelfde onwil doofpot muur.
02-09-2018, 15:25 door Anoniem
https://www.security.nl/posting/490088/Advocaat%3A+Aangifte+cybercrime+kan+nadelig+voor+bedrijven+zijn
Dus eerst vragen bij directie of leidinggevende.
"Dit en dit heb ik geconstateerd, u moet zelf maar beslissen of u hier aangifte van wilt doen."
Verder is het natuurlijk belangrijk dat het zsm wordt gefikst.

Vindt de directie dat er aangifte moet worden gedaan dan valt te bezien wie dat binnen het bedrijf het beste kan doen,
misschien handig om duidelijk rapport te schrijven waarmee iedereen wel naar de politie kan stappen.
Het zou denk ik terecht moeten komen bij THTC (Team High Tech Cybercrime) via aangifte bij de politie.
Kan men er even bij zeggen voor alle zekerheid.

Aangifte gaat op naam van bedrijf, en tja, jou daarbij als technisch contactpersoon valt misschien moeilijk aan te ontkomen, en anders je chef. (die wordt er voor betaald. ;) )
02-09-2018, 20:16 door Anoniem
Vaag topic...... Met veel gepraat, maar weinig concrete feiten en duidelijke informatie.

Misschien moet TS gewoon eens intern bij de juiste personen gaan praten, ipv zo hoog schieten en meteen commentaar leveren.
03-09-2018, 08:21 door Anoniem
Het ligt er een beetje aan wat je van ze wilt. De AIVD is geen FBI-achtige organisatie die invallen doet of mensen arresteert. Ze kunnen je baas ook niet dwingen hier iets mee te doen. Wat zou je zelf willen dat er gebeurt?

Je zal in ieder geval je baas moeten overtuigen. Heeft dit de potentie om grote financiele schade te veroorzaken? Vertel hem dat dan. Weet je zeker dat het sabotage is en niet gewoon luiheid of incompetentie?

Of ze bij de AIVD hier onderzoek naar willen doen hangt denk ik af van de motieven van de 'saboteurs'. Gaat het om financieel gewin (bijvoorbeeld afpersing) dan is het puur een politiezaak. Zijn er terroristische/extremistische banden of krijgen deze personen opdrachten van een buitenlandse overheid (Rusland of China bijvoorbeeld) dan kan ik me voorstellen dat ze wel interesse hebben.
03-09-2018, 09:25 door Anoniem
Omdat het grotendeels over ‘cyber-security’ gaat, neemt men als functionaris contact op met het NCSC, maar die laten direct weten dat ze van mening zijn dat het niet onder hun ‘verantwoordelijkheid’ valt om Actief actie te ondernemen.
Het NCSC kennende, dit zal niet waar zijn. Ik vraag me dus serieus af wat je precies wil bereiken met je vraag.
03-09-2018, 09:57 door Anoniem
Door Anoniem: Het ligt er een beetje aan wat je van ze wilt. De AIVD is geen FBI-achtige organisatie die invallen doet of mensen arresteert. Ze kunnen je baas ook niet dwingen hier iets mee te doen. Wat zou je zelf willen dat er gebeurt?

Je zal in ieder geval je baas moeten overtuigen. Heeft dit de potentie om grote financiele schade te veroorzaken? Vertel hem dat dan. Weet je zeker dat het sabotage is en niet gewoon luiheid of incompetentie?

Of ze bij de AIVD hier onderzoek naar willen doen hangt denk ik af van de motieven van de 'saboteurs'. Gaat het om financieel gewin (bijvoorbeeld afpersing) dan is het puur een politiezaak. Zijn er terroristische/extremistische banden of krijgen deze personen opdrachten van een buitenlandse overheid (Rusland of China bijvoorbeeld) dan kan ik me voorstellen dat ze wel interesse hebben.
Hiervoor zullen inderdaad intern procedures voor zijn. Maar gezien de insteek van TS, heeft lijkt dit meer op grootheid waanzin, dan werkelijk iets waar de AIVD zich mee zou bemoeien. Nog afgezien dat er eigenlijk weinig concrete informatie in staan. Wat voor TS misschien als "Vitale Infrastructuur organisatie" gezien wordt, wil niet zeggen dat dit het ook werkelijk is.

Als TS werkelijke een "cyber-beveiliging functionaris" mist hij waarschijnlijk ook de nodige sociale skills. In ieder geval in de communicatie en overtuigingskracht.

Wat is de definitie in TS zijn gedachten van "3 infiltranten". Dit kan ook gewoon een hacker zijn, een stommiteit van gebruikers, concurrent, maar ook een buitenlandse overheid. Maar voor alles is het bijna altijd => Politie is vaak de eerste aanspreek punt. Als het echt vitale infrastructuur is, dan zouden er procedures zijn van Informatie beveiligingen, oa hoe hiermee omgegaan moet worden.

Topic lijkt meer van iemand die, autist is, slecht kan communiceren of grootheid waanzin heeft maar Facebook geweldig vind.
03-09-2018, 09:58 door Anoniem
Vraagje voor Robert Antonius Cornelis Bartholee?

Meen je dat je vraag gewichtiger klinkt, doordat je laat zien dat je al zijn voornamen weet op te noemen ?
03-09-2018, 09:59 door Anoniem
Het NCSC kennende, dit zal niet waar zijn. Ik vraag me dus serieus af wat je precies wil bereiken met je vraag.

Natuurlijk kunnen zij dit niet zelf oplossen; ze hebben een adviserende/ondersteunende rol. En zij gaan uiteindelijk niet over het beleid van een private onderneming, die valt onder kritieke infrastructuur. Misschien dat de TS zich wat verder kan verdiepen in taken en verantwoordelijkheden van NCSC.
03-09-2018, 10:07 door Anoniem
Door Anoniem:
Omdat het grotendeels over ‘cyber-security’ gaat, neemt men als functionaris contact op met het NCSC, maar die laten direct weten dat ze van mening zijn dat het niet onder hun ‘verantwoordelijkheid’ valt om Actief actie te ondernemen.
Het NCSC kennende, dit zal niet waar zijn. Ik vraag me dus serieus af wat je precies wil bereiken met je vraag.

De werkgever van TS heeft z'n bevindingen anders beoordeeld dan hijzelf , de AIVD en NSCS die hij gebeld heeft zijn niet in de grote actiestand gesprongen voor hem, en nu wil hij hier horen dat hij toch gelijk had en dat hij omringd wordt door nietsnutten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.