Kamervragen over slechte digitale beveiliging Waternet
In de Tweede Kamer zijn door Corrie van Brenk (50PLUS) vragen gesteld over de digitale beveiliging van Waternet, het waterschap voor Amsterdam en omstreken. Aanleiding voor de Kamervragen is een publicatie van Follow The Money waaruit blijkt dat het met de beveiliging van computersystemen bij Waternet erbarmelijk is gesteld. Waternet zou al jaren waarschuwingen over de onveiligheid van zijn digitale omgeving negeren. Dat stelt FTM op basis van interne documenten. Volgens de bronnen is het een kwestie van tijd voordat het ‘finaal fout’ gaat.
Waternet begon in 2010 aan een grote operatie om processen en systemen vergaand te digitaliseren. In de praktijk blijkt dat veel zaken niet goed zijn geregeld, dat er soms datalekken zijn en dat er met verouderde computers wordt gewerkt. Ook zouden er bij Waternet nog computers zijn die op Windows 7 draaien. Verder is de toegang tot het netwerk slecht beveiligd en is de systeemarchitectuur niet op orde. De situatie zou niet verbeterd zijn sinds de werknemers vanwege corona vanuit huis werken omdat er thuis ook op privé-computers wordt gewerkt die niet allemaal goed beveiligd zijn.
Hoewel Waternet zijn werknemers goed beveiligde iPhones ter beschikking stelt, zijn er volgens interne bronnen al langer honderden mensen die liever hun eigen smartphone gebruiken. Deze worden niet beveiligd of beheerd door Waternet.
Als maatregel werd in mei het updatebeleid aangescherpt, maar dit hielp niet veel omdat er veel werknemers waren die de updates niet uitvoerden of die telefoons hebben waar zelfs geen updates meer voor te krijgen zijn. Daarom werd het updatebeleid binnen een paar dagen door het management teruggedraaid, ondanks uitdrukkelijke bezwaren van de security officers, aldus FTM.
over beveiliging systemen infrastructuur en nog in 2020 is het
mosterd na de maaltijd,gewoon slecht !
Dit is zeer kwalijk dat het interne management faalt,
er niet naar elkaar geluisterd word,men weet dat het niet kan en mag
en toch maar op de oude voet verder,terwijl heel nederland
afhankelijk is van een beveiligde digitale infra-structuur en veilig goed drinkwater.
The Matrix
Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
Denkt er nu niemand na, voordat hij onzin schrijft?
Als je ziet, hoe de regering corona aanpakt, kun je, als je tot de risicogroepen behoort, ook maar beter zelf risicoarm bewegen door deze toestanden.... Ikzelf zit ook niet op dit virus te wachten.
Tuurlijk zou er bij waternet nog eea moeten gebeuren, maar dat geldt voor alle (overheids)organisaties. De waterschappen hebben de informatieveiligheid en privacy goed geborgd/georganiseerd: https://www.hetwaterschapshuis.nl/informatieveiligheid-en-privacy
Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
Thuis werken op prive computers kan prima. Wel met de juiste architectuur natuurlijk. Je kunt niet a priori stellen dat het onveilig is.
Euh dat is wat heel Nederland op dit moment aan het doen is? De werk pc's staan meestal op het werk. Daar mocht/mag je niet zijn vanwege Corona. Als je geluk hebt ben je als organisatie al over op mobiele werkplekken die, ook thuis, goed beveiligd worden. Maar kan me voorstellen dat dit lang niet voor alle bedrijven geldt.
Ik scan bijv. nog maandelijks de sign-in logs om de Windows 7 pc's eruit te halen en aan te schrijven. In afwachting van het management voor de goedkeur om Windows 7,8 etc. niet meer toe te staan en actief te blokkeren.
Dus met een virusnest van een op LinkedIn opgezochte medewerker kan men via de vpn credentials op het virusnest van de medewerker zo bij de plc's van de drinkwatervoorziening...?
Thuis werken op prive computers kan prima. Wel met de juiste architectuur natuurlijk. Je kunt niet a priori stellen dat het onveilig is.
Thuis werken moet gewoon op een device van de werkgever zelf, omdat je dit naar wens kan inrichten en dichttimmeren. Je kan niet zomaar dergelijke aanpassingen maken aan prive eigendom van anderen en simpelweg een citrix receiver installeren lost dit probleem niet op. Bovendien kun je een medewerker niet verbieden om b.v. onveilige websites te bezoeken op zijn eigendom. En managementsoftware om daar meer grip op te krijgen hoort ook niet thuis op prive spullen van medewerkers, simpelweg omdat ze ook nog recht hebben op privacy.
Je hebt gelijk maar hopelijk snap je wel dat dit niet zo makkelijk is. Als je x duizend medewerkers hebt die ineens vanuit huis moeten kunnen werken heb je wel een uitdaging. Even deze werkplekken uit het grond stampen kan niet. Is er überhaupt wel budget beschikbaar? Is de huidige inrichting en architectuur hier wel op voorbereid?
Als ik naar mijn eigen organisatie kijk waren we gelukkig al wel voorbereid op remote beheer, en was het van vaste werkplek naar beheerde laptop al wel in gang gezet. Dus dat scheelt. Maar we kunnen niet zomaar 5000 medewerkers even overzetten op laptops, dat kost geld en tijd. Dus ja...de meeste van mijn collega's (ik incl.) werkt vanaf een eigen privé apparaat.
Je hebt gelijk maar hopelijk snap je wel dat dit niet zo makkelijk is. Als je x duizend medewerkers hebt die ineens vanuit huis moeten kunnen werken heb je wel een uitdaging. Even deze werkplekken uit het grond stampen kan niet. Is er überhaupt wel budget beschikbaar? Is de huidige inrichting en architectuur hier wel op voorbereid?
Als ik naar mijn eigen organisatie kijk waren we gelukkig al wel voorbereid op remote beheer, en was het van vaste werkplek naar beheerde laptop al wel in gang gezet. Dus dat scheelt. Maar we kunnen niet zomaar 5000 medewerkers even overzetten op laptops, dat kost geld en tijd. Dus ja...de meeste van mijn collega's (ik incl.) werkt vanaf een eigen privé apparaat.
Ik snap het dilemma, maar als je er niet klaar voor bent moet je het dan wel doen? Het risico en de rotzooi die je achteraf moet opruimen omdat er ongenode gasten op je netwerk zaten is het vast niet waard.
Waarom niet regionaal tenten/hallen/zalen/etc huren en daar zolang de thin clients op voldoende afstand neerzetten, dan hoef je alleen de uplink te regelen?
Dan kan de migratie verder volgens de planning (en dus gedegen) uitgevoerd worden.
Waarom niet regionaal tenten/hallen/zalen/etc huren en daar zolang de thin clients op voldoende afstand neerzetten, dan hoef je alleen de uplink te regelen?
Tenten, LOL, heb je heel het voorjaar en de zomer peentjes lopen zweten en vrijdag namiddag is dan de tent gaan vliegen door de storm.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
