image

Politie wil frauduleus gebruik eigen systemen via monitoring eerder opmerken

zaterdag 10 februari 2024, 09:02 door Redactie, 17 reacties
Laatst bijgewerkt: 11-02-2024, 19:38

De politie wil het frauduleus gebruik van de eigen systemen door agenten via 'Protective Monitoring' eerder opmerken. Als de Centrale Ondernemingsraad (COR) ermee instemt zal deze manier van monitoren halverwege dit jaar landelijk worden ingevoerd, nadat die eerder al bij de eenheid Amsterdam is getest. Dat laat de politie vandaag weten.

"Alle handelingen in de politiesystemen worden al automatisch bijgehouden. Maar om misbruik van de informatie vroegtijdig te ontdekken, analyseert de politie landelijk voortaan ook proactief patronen en afwijkingen daarvan in het gebruik van de politiesystemen", aldus de uitleg. De politie geeft zelf aan dat het is voorgekomen dat medewerkers de politiesystemen raadpleegden voor privédoeleinden of om informatie door te spelen aan criminelen.

"Met alle risico’s voor de burger, de operatie en hun eigen collega’s. Dit willen we met ‘protective monitoring’ uiteraard zo veel mogelijk voorkomen, met zo min mogelijk impact op de privacy van de collega’s. Met de jarenlange zorgvuldige voorbereiding en testen, en in afstemming met de bonden en medezeggenschap hebben we er vertrouwen in dat dit lukt", zegt Paul Entken van de politie.

Protective Monitoring

Bij Protective Monitoring wordt er gekeken naar afwijkende signalen bij het gebruik van de informatiesystemen. Wanneer afwijkend gebruik wordt waargenomen ontvangt een analist automatisch bericht. Is er inderdaad sprake van afwijkend, risicovol of onrechtmatig gebruik, dan zal een leidinggevende de politiemedewerker vragen wat er precies aan de hand is. Volgens de politie kan er ook sprake zijn van onbedoeld onjuist gedrag.

Protective monitoring is in samenspraak met agenten en een vertegenwoordiging van de Centrale Ondernemingsraad ontwikkeld en getest in de eenheid Amsterdam. Na instemming van de COR starten de voorbereidingen, inclusief uitgebreide voorlichting in alle eenheden.

Reacties (17)
10-02-2024, 11:41 door Anoniem
Dit doe ik standaard in elk laravel project. Alle user events worden gelogd, zoals het maken/verwijderen/inzien/wijzigen. Raar dat de overheid er nu mee komt
10-02-2024, 12:16 door Anoniem
Door Anoniem: Dit doe ik standaard in elk laravel project. Alle user events worden gelogd, zoals het maken/verwijderen/inzien/wijzigen. Raar dat de overheid er nu mee komt

“ Alle handelingen in de politiesystemen worden al automatisch bijgehouden. Maar om misbruik van de informatie vroegtijdig te ontdekken, analyseert de politie landelijk voortaan ook proactief patronen, ….”
10-02-2024, 12:42 door Anoniem
Door Anoniem: Dit doe ik standaard in elk laravel project. Alle user events worden gelogd, zoals het maken/verwijderen/inzien/wijzigen. Raar dat de overheid er nu mee komt

ff lezen
"Alle handelingen in de politiesystemen worden al automatisch bijgehouden

Er staat niet dat ze logging gaan doen, er staat dat ze logging gaan _analyseren_ .
(vast automatisch/AI en noem maar op).

Het geldt wel in meer situaties - dat de logging er is , is mooi - maar als je er niet naar kijkt, of pas naar kijkt als de zaak in de soep gedraaid is, is dat nogal jammer.
En zeker goed als ze lekkende agenten eerder vinden, en niet pas aan het eind van een moord onderzoek als alle sporen teruggelopen worden.

Wel raar eigenlijk dat ze zo met fluwelen handschoenen langs de COR moeten - ik had gedacht dat er al lang een standaard disclaimer/arbeidsovereenkomst oid zat dat gedrag/gebruik van systemen bekeken mag worden.
10-02-2024, 12:51 door Anoniem
Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.
10-02-2024, 13:01 door Anoniem
Doen de eigen medewerkers dit?

Aan de eind van de dag draait het hoofd van dienst alle computermuizen om als de devices schoon bevonden zijn.

Lijkt me een goede routine. Niemand zijn Google mail account open laten staan? Cache geleegd?

Leren coderen via de politie, eerste computer zo aangeschaft. De tijden zijn veranderd.
10-02-2024, 13:38 door Anoniem
Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.
De belastingdienst heeft wel een SOC, maar daar houden ze gewoon wat DDoS status / system usage bij.
Echte systeem logs heb ik ze daar niet zien bijhouden. Dat kan echter inmiddels veranderd zijn.

Ik ben bang dat de Nederlandse overheid te veel red tape/bureaucratie heeft voor een effectieve SOC met SIEM&IDS...
10-02-2024, 14:35 door Anoniem
Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.

Ale je denkt dat wat ze hier gaan doen bij een SOC/SIEM/IDS hoort ben je een ongelofijke amateur .
Leuk hoor, dat je de woordjes SOC/SIEM/IDS kent . Nuttige zaken . Maar - DIE GAAN HIER NIET OVER.
Die zoeken externe hackers/intruders.

Dit gaat over het analyseren (technisch) valide access, vanaf valide terminals, door geauthoriseerde accounts .
Alleen - accounts die hun boekje te buiten gaan met wat ze over wie opzoeken. Misschien omdat ze voor wat centen 'even iemand natrekken' . Of omdat het vriendje van hun dochter door het systeem gooien.

Dat vind je (ook) de systeem logging - is iemand zo ijverig dat ie op zondag avond nog even een kenteken natrekt , of is het een omgekochte opvraging. Waarom vraagt een agent uit midden-nederland iets op over een persoon uit noord-brabant .
Dat type analyse - en dat is niet voor een SOC of IDS, maar voor een interne recherche afdeling.
10-02-2024, 14:37 door Anoniem
Door Anoniem: Doen de eigen medewerkers dit?

Zeer waarschijnlijk, gezien alle vertrouwelijkheid.

In het artikel staat
Wanneer afwijkend gebruik wordt waargenomen ontvangt een analist automatisch bericht. Is er inderdaad sprake van afwijkend, risicovol of onrechtmatig gebruik, dan zal een leidinggevende de politiemedewerker vragen wat er precies aan de hand is.
10-02-2024, 19:17 door Anoniem
Door Anoniem:
Door Anoniem: Doen de eigen medewerkers dit?

Zeer waarschijnlijk, gezien alle vertrouwelijkheid.

In het artikel staat
Wanneer afwijkend gebruik wordt waargenomen ontvangt een analist automatisch bericht. Is er inderdaad sprake van afwijkend, risicovol of onrechtmatig gebruik, dan zal een leidinggevende de politiemedewerker vragen wat er precies aan de hand is.

Welke effecten heeft deze maatregel op het meer of minder voorkomen van gerechtelijke dwalingen.

Zal niet de eerste keer zijn dat politie ism met justitie levens verwoest door tunnelvisie. Hierbij zijn uiteraard ook OvJ en RC betrokken.

Bevragingen buiten een opsporingskader kan een moreel hoger doel hebben, namelijk tegengaan van gerechtelijke dwalingen, of verspilling van middelen door eenzijdig opsporingsonderzoek.

Maar als ik lees dat het een leidinggevende is die vragen gaat stellen aan de agent, dan vrees ik dat deze maatregel het gerechtelijke dwalingen en frauduleus opsporingsonderzoek juist in de hand werkt.

Dit naast digitale dossiervorming (en de te verwachten lekken uit dossiers) gaat het allemaal niet veiliger en vriendelijker worden.
10-02-2024, 20:30 door Anoniem
uitzending EenVandaag over 'Politie gaat scherper controleren welke informatie agenten opvragen'
zaterdag 10 februari 2024, item vanaf 13m:15s

https://npo.nl/start/serie/eenvandaag/seizoen-11/eenvandaag_5103/afspelen

Lekken aan criminelen wordt stuk lastiger voor agenten: einde aan rondneuzen in BlueView. "We schrokken ons wild."

https://www.ad.nl/binnenland/lekken-aan-criminelen-wordt-stuk-lastiger-voor-agenten-einde-aan-rondneuzen-in-systemen~aad73ddf/
11-02-2024, 10:52 door Anoniem
Oh, zijn er dan onbetrouwbare Politie agenten dan? Wie zag dat nu aankomen? Graag ook verplicht bij alle andere ambtenaren invoeren graag.
11-02-2024, 11:14 door MathFox
Door Anoniem:
Door Anoniem:
Door Anoniem: Doen de eigen medewerkers dit?

Zeer waarschijnlijk, gezien alle vertrouwelijkheid.

In het artikel staat
Wanneer afwijkend gebruik wordt waargenomen ontvangt een analist automatisch bericht. Is er inderdaad sprake van afwijkend, risicovol of onrechtmatig gebruik, dan zal een leidinggevende de politiemedewerker vragen wat er precies aan de hand is.

Welke effecten heeft deze maatregel op het meer of minder voorkomen van gerechtelijke dwalingen.

Zal niet de eerste keer zijn dat politie ism met justitie levens verwoest door tunnelvisie. Hierbij zijn uiteraard ook OvJ en RC betrokken.

Bevragingen buiten een opsporingskader kan een moreel hoger doel hebben, namelijk tegengaan van gerechtelijke dwalingen, of verspilling van middelen door eenzijdig opsporingsonderzoek.

Maar als ik lees dat het een leidinggevende is die vragen gaat stellen aan de agent, dan vrees ik dat deze maatregel het gerechtelijke dwalingen en frauduleus opsporingsonderzoek juist in de hand werkt.

Dit naast digitale dossiervorming (en de te verwachten lekken uit dossiers) gaat het allemaal niet veiliger en vriendelijker worden.
Ik denk dat het hier vooral gaat om het opsporen van lekken van informatie naar de onderwereld.
En om overmatige nieuwsgierigheid van agenten (staat mijn overbuurman in de systemen) in te tomen.
11-02-2024, 13:40 door Anoniem
Voor mensen die het niet begrijpen, het simpelste voorbeeld van afwijkend gebruik detectie is het opzoeken van een persoon in de politiesystemen, die in de straat woont van de agent die het opzoekt. Dat kan een signaal zijn van misbruik voor privé doeleinden zoals bij frictie in de eigen buurt, net als bijvoorbeeld: het systeem stelt vast dat een agent de eigenaar van een auto heeft opgezocht, enkele uren voordat deze auto op naam van de agent werd gezet (verkoop). Of een agent zoekt familieleden, partner van familieleden op, ga zo maar door. Ik hoop ook echt dat dit soort 1 + 1 scenario's ook echt geïmplementeerd worden. Ik ken meerdere agenten uit mijn sociale kring en familie, en de voorgenoemde voorbeelden komen vaker voor dan je zou denken. Gebruik voor prive doeleinden of uit bezorgdheid over iemand, bijv. de nieuwe partner van een familielid natrekken, mag gewoon niet, die regels zijn er niet voor niks.
11-02-2024, 14:11 door Anoniem
Door MathFox: Ik denk dat het hier vooral gaat om het opsporen van lekken van informatie naar de onderwereld.
En om overmatige nieuwsgierigheid van agenten (staat mijn overbuurman in de systemen) in te tomen.

Het begint vaak met iets redelijk onschuldigs, je zoekt informatie op over het nieuwe, dubieuze vriendje van je dochter.

https://www.parool.nl/nederland/lekken-aan-criminelen-wordt-lastiger-voor-agenten-verdachte-zoekacties-automatisch-gedetecteerd~bad73ddf/
11-02-2024, 14:12 door karma4
Door Anoniem:
Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.
De belastingdienst heeft wel een SOC, maar daar houden ze gewoon wat DDoS status / system usage bij.
Echte systeem logs heb ik ze daar niet zien bijhouden. Dat kan echter inmiddels veranderd zijn.
Ik ben bang dat de Nederlandse overheid te veel red tape/bureaucratie heeft voor een effectieve SOC met SIEM&IDS...

Die zijn er wel degelijk. Genoeg andere problemen welke meer prio hebben dan wat logs.
Reageren op ophef zonder gedegen achtergrond is de gangbare aanpak van in het blinde wat rondjes lopen.

Trouwens automatische profilering met belangrijke impact mag helemaal niet van de AP,
Alleen laten ze in deze hum overtuiging rond profilering ineens vallen.
12-02-2024, 08:44 door Anoniem
Door Anoniem:
Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.

Ale je denkt dat wat ze hier gaan doen bij een SOC/SIEM/IDS hoort ben je een ongelofijke amateur .
Leuk hoor, dat je de woordjes SOC/SIEM/IDS kent . Nuttige zaken . Maar - DIE GAAN HIER NIET OVER.
Die zoeken externe hackers/intruders.

Dit gaat over het analyseren (technisch) valide access, vanaf valide terminals, door geauthoriseerde accounts .
Alleen - accounts die hun boekje te buiten gaan met wat ze over wie opzoeken. Misschien omdat ze voor wat centen 'even iemand natrekken' . Of omdat het vriendje van hun dochter door het systeem gooien.

Dat vind je (ook) de systeem logging - is iemand zo ijverig dat ie op zondag avond nog even een kenteken natrekt , of is het een omgekochte opvraging. Waarom vraagt een agent uit midden-nederland iets op over een persoon uit noord-brabant .
Dat type analyse - en dat is niet voor een SOC of IDS, maar voor een interne recherche afdeling.
Hey slimmerik ooit gehoord over internal threat detection? Denk jij dat bijvoorbeeld DC's niet interne verkeer monitoren? Ja daar zijn wel die voorzieningen ook voor bedoeld. Als jan die op vakantie hoort te zijn volgens HR ineens data benaderd vanaf een locatie horen er alerts te gaan. Als piet kopies maakt van gevoelig bestempelde data of beter poogde tot hoort er een alert te gaan. Je snapt de definitie van SIEM right?

Waarom denk je dat we redteaming events hebben en fysieke pentests omdat soort shit onder andere te trainen.
Het is niet aan een SIEM of IDS om te bepalen of iets mis is enkel afwijkend en de SOC medeweker kan vervolgens gepaste actie treffen.Weet je wat wel bedoeld is specifiek voor externe hackers? Firewalls.

Capslock gaat je bericht geen extra waarde geven.
En als je 20 jaar als DC manager amateur vindt prima maar dan wil ik niet weten waar jezelf tot hoort.
12-02-2024, 11:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.

Ale je denkt dat wat ze hier gaan doen bij een SOC/SIEM/IDS hoort ben je een ongelofijke amateur .
Leuk hoor, dat je de woordjes SOC/SIEM/IDS kent . Nuttige zaken . Maar - DIE GAAN HIER NIET OVER.
Die zoeken externe hackers/intruders.

Dit gaat over het analyseren (technisch) valide access, vanaf valide terminals, door geauthoriseerde accounts .
Alleen - accounts die hun boekje te buiten gaan met wat ze over wie opzoeken. Misschien omdat ze voor wat centen 'even iemand natrekken' . Of omdat het vriendje van hun dochter door het systeem gooien.

Dat vind je (ook) de systeem logging - is iemand zo ijverig dat ie op zondag avond nog even een kenteken natrekt , of is het een omgekochte opvraging. Waarom vraagt een agent uit midden-nederland iets op over een persoon uit noord-brabant .
Dat type analyse - en dat is niet voor een SOC of IDS, maar voor een interne recherche afdeling.
Hey slimmerik ooit gehoord over internal threat detection? Denk jij dat bijvoorbeeld DC's niet interne verkeer monitoren? Ja daar zijn wel die voorzieningen ook voor bedoeld. Als jan die op vakantie hoort te zijn volgens HR ineens data benaderd vanaf een locatie horen er alerts te gaan. Als piet kopies maakt van gevoelig bestempelde data of beter poogde tot hoort er een alert te gaan. Je snapt de definitie van SIEM right?

Internal threat analyse is typisch 'technisch fout' verkeer.
scans/recon vanaf clients , kortom , "intrusion detection" .
_dat_ is wat SIEMs en IDS - INTRUSION detection systemen zoeken.

En - zoals het artikel (en mijn posting) uitleggen - de scope van dit politie project gaat verder.


Waarom denk je dat we redteaming events hebben en fysieke pentests omdat soort shit onder andere te trainen.

Precies - PEN testing. Ook nuttig, maar niet waar de politie in dit project mee aan de slag gaat.
Dat je deze punten noemt laat alleen maar zien dat je (nog) niet snapt wat de politie nu in dit project gaat doen.


Het is niet aan een SIEM of IDS om te bepalen of iets mis is enkel afwijkend en de SOC medeweker kan vervolgens gepaste actie treffen.Weet je wat wel bedoeld is specifiek voor externe hackers? Firewalls.

Capslock gaat je bericht geen extra waarde geven.
En als je 20 jaar als DC manager amateur vindt prima maar dan wil ik niet weten waar jezelf tot hoort.

Blijkbaar is die 20 jaar ervaring (2 jaar ervaring, en dat 10x achter elkaar ? ) niet genoeg om het verschil te begrijpen tussen "hackers die intern gekomen zijn" en "valide medewerkers met valide authorisatie die vanaf een valide werkplek dingen doen waar hun authorisatie niet voor bedoeld is"

Bijzonder, want het artikel was echt vrij duidelijk - en zowel mijn als andere posters schreven dat ook.

Want waar kom jij mee - verdere detectie van (eventueel intern gekomen) hackers en hun mogelijkheden , want je noemt redteaming en pentesting. Dat laat alleen maar nog meer zien dat je niet snapt wat de politie nu (pas?) gaat doen - en ook dat je niet ziet dat dit buiten gebruikelijke IDS/pentest/ fysieke _intrusion_ scope valt.

Het is helemaal normaal dat een arts in het ziekenhuis het dossier van een patient bekijkt - zolang de arts betrokken is bij de behandeling. het is alleen fout als het een BN'er is en de arts die BNer niet als patient heeft.
HR medewerker kijkt naar salaris . Normaal als er een zakelijke reden voor is. Niet OK als ze kijkt of die lekkere bink van de expeditie nog wat te makken heeft voor ze 'm gaat daten.
En de politie is een van de instellingen die noodzakelijkerwijs erg veel vertrouwelijke gegevens _kan_ inzien, _mag_ inzien als het deel is van werk , en NIET mag inzien (laat staan delen) als het een persoonlijk belang is van de agent is.

Dat type analyse van gebruikslogging - zeker pro-actief - is vrij zeldzaam (sommige ziekenhuizen doen het ook, soms pro-actief, soms alleen achteraf als er een BNer lag) .
En dit valt niet in scope van een SIEM, IDS , redteam, of pentesting.

Blijkbaar lastig dat er kaders zijn die buiten/voorbij je bekende kader gaan.

Het valt mij ietwat tegen dat de politie dit blijkbaar nu _pas_ (proactief/structureel) wil gaan doen, want de noodzaak is de afgelopen jaren zo af en toe al gebleken. Vaak pas 'via de andere deur' - tapgegevens en vondsten bij criminelen wezen naar een 'mannetje bij de politie' die ze gebruikten om dingen te laten natrekken of gewaarschuwd te blijven over lopende onderzoeken.

Mijn perceptie is dat de 'normale' bewaking - SIEMs,IDS en bergen toegangscontroles en pasjes best voor elkaar is bij de politie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.