Ex-ambtenaar Lopik krijgt werkstraf voor saboteren rioolinstallatie
Een voormalige ambtenaar van de gemeente Lopik is veroordeeld door de rechtbank Midden-Nederland tot een werkstraf van 240 uur wegens het saboteren van de gemeentelijke rioolinstallatie. Volgens de rechter heeft de 41-jarige man vorig jaar november en in januari van dit jaar op de server van de rioolwatervoorziening van de gemeente ingelogd en daar duizenden bestanden gewist.
De man was tot halverwege vorig jaar werkzaam als rioolbeheerder bij de gemeente Lopik en kon in die functie inloggen op de server van de rioolinstallatie en bijbehorende programma's. Nadat zijn dienstverband was beëindigd heeft de man meerdere keren zonder toestemming op de server van de gemeente ingelogd en in het programma waarmee de rioolinstallatie van de gemeente wordt aangestuurd. Vervolgens wiste de man 8000 bestanden en de back-up van deze bestanden waardoor de rioolinstallatie een tijd lang niet goed kon worden aangestuurd.
Enkele maanden later, in januari van dit jaar, heeft de man met een laptop van de gemeente opnieuw ingelogd in het systeem. Toen heeft hij de afsluiters van het riool dichtgezet en de pompen aangezet. De storingsmelding die dit veroorzaakte accepteerde de man, zodat de melding verdween. Volgens de rechter had hierdoor veel schade aan de rioleringspompen en leidingen kunnen ontstaan. De verdachte had van de gemeente voor het uitvoeren van zijn werk een laptop in gebruik gekregen. De gemeente miste deze laptop sinds de beëindiging van het dienstverband van de ambtenaar.
De voormalige ambtenaar stelde dat iemand anders op het systeem had ingelogd, maar dit geloofde de rechtbank niet. Uit onderzoek bleek dat er was ingelogd vanaf het ip-adres van de verdachte en het ip-adres van zijn ouders. Daarnaast werd in de woning van de man een briefje gevonden met gebruikersnamen en wachtwoorden waarmee is ingelogd.
https://www.security.nl/posting/576711/150_000+dollar+schade+door+it%27er+die+bestanden+ex-werkgever+verwijdert
Typisch is ook, dat iemand nog een laptop kan hebben. Er dient voor gezorgd te worden, dat een laptop meteen wordt ingeleverd. Wanneer die vermist wordt, moet ervoor worden gezorgd, dat toegang tot het interne netwerk niet meer mogelijk is. Dus door bovenstaande en wanneer de laptop zich ook kenbaar moet maken (b.v. bij Windows aanmelden bij AD), dan ook dat blokkeren.
Ook vreemd, dat backups zo toegankelijk waren, dat ze verwijderd konden worden en schijnbaar niet ook nog eens off-line werden bewaard. Alhoewel ik het gedrag van deze ex-ambtenaar allerminst kan goedkeuren, dient de gemeente Lopik zich ernstig te bezinnen op de beveiliging van hun infrastructuur.
Vind dit te kort door de bocht. In theorie heb je helemaal gelijk, nu de praktijk: Deze man werkte met systemen waarvan 95% van de collega's niet eens van het bestaan zullen weten. Veel van deze SCADA-systemen zijn in de basis al erg slecht beveiligd en zijn al zeker niet gekoppeld aan bijvoorbeeld een AD. In andere artikelen maakte ik op dat zijn AD-account inderdaad al gedeactiveerd was. Dat hij nog zijn laptop had maakt weinig verschil, die gegevens had hij toch wel gehad (getuigen ook de tekst dat er briefjes waren gevonden met de inloggegevens).
nu is het een gemeente, maar je kan er gif op in nemen dat bij veel andere organisaties en bedrijven waar SCADA-systemen gebruikt worden dit een groot probleem is. Ja de gemeente Lopik heeft steken laten vallen, maar er zit echt meer achter. Dit is een combinatie van factoren.
is er slechts een vast account met password wat je eventueel zou kunnen veranderen maar dat is dan veel werk om dat
op alle apparaten te doen, en ook een risico (wieweet draaien er allerlei scripts waar dat wachtwoord ook in staat).
Het eerste wat je zou moeten doen is alle apparatuur uit die klasse in een apart netwerk zetten (evt met gebruik van
een site-to-site VPN) waar je extern niet bij kunt. En dan ergens een server waar je op kunt inloggen en wel bij dat
netwerk kunt. Op die server kun je dan regelen dat er aparte accounts voor iedereen zijn die je kunt blokkeren, 2nd factor,
logging van wie er wat doet, etc. De beperkingen van de SCADA apparatuur zelf die omzeil je dan.
https://www.security.nl/posting/576711/150_000+dollar+schade+door+it%27er+die+bestanden+ex-werkgever+verwijdert
240 uur is ook het maximum aan taakstaf wat je kunt krijgen. Als er geen eerdere ancedenten zijn wordt niet gekozen voor vangenisstraf (onvoorwaardelijk).
Hij weet niet echt wat er speelt in Nederland net zoals het meerendeel van de ambtenaren. Corruptie is overal. Mensen worden gedwongen te spioneren voor buitenlandse bedrijven en actoren enz. Het gaat niet om 10 mensen, ook niet om 100....
De nieuwe wereld is patboem in je gezicht als je op een ochtend wakker wordt in een ander land. Zo zijn ze het aan het voorbereiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
