Minister: geen direct verband tussen datalek en legacy it-systemen politie
Er zijn op dit moment geen aanwijzingen die suggereren dat het datalek bij de politie, waarbij gegevens van 65.000 medewerkers werden gestolen, te maken heeft met legacy it-systemen bij de organisatie of problemen in de beveiliging. Daarnaast is er geen honderd procent bescherming tegen aanvallen, zo stelt minister Van Weel van Justitie en Veiligheid. Tijdens een debat van de vaste commissie voor Justitie en Veiligheid kwamen het datalek en verouderde it-systemen bij de politie ter sprake.
"Bij de politie zijn er bijvoorbeeld nog tientallen verouderde ict-systemen, die vervangen moeten worden maar nu nog draaien en geüpdatet moeten blijven omdat ze nog onmisbaar zijn. Omdat er ook gewerkt wordt aan nieuwe systemen, vraagt dat tijdelijk om een dubbele inzet van tijd en geld, wat er niet is. Graag een reactie van de minister. Herkent hij dit?", vroeg SP-Kamerlid Van Nispen. "Volgens mij gaat de minister zo meteen een verband leggen met de ict en de hack", merkte GroenLinks-PvdA-Kamerlid Mutluer op.
"Ik ga het toch maar weer noemen: honderd procent garantie tegen hacks bestaat niet. Ik vind het veel te vroeg om een verband te suggereren met legacy-it-systemen", reageerde de minister. Van Weel erkende dat legacy systemen er zeker zijn, ook in de strafrechtketen en bij de politie. "Dat geldt voor elke grote uitvoeringsorganisatie. Bij het vervangen van die legacysystemen treedt vrijwel altijd vertraging op, zeker als dat hele grote projecten zijn. Dat is vervelend, maar een fact of life. Maar ik zou niet willen suggereren dat er een direct verband zit tussen het gebruik van legacysystemen en deze hack."
Vervolgens liet de bewindsman opnieuw weten dat bij de aanval het Outlook-adresboek is buitgemaakt. "In elke organisatie kan elke medewerker op het moment dat die in een e- mail in het adresboek zoekt en de eerste letters intypt, daarmee toegang krijgen tot de werkcontactgegevens van iedereen die in dat bedrijf werkt. Dat is bij de politie niet anders. Die informatie betreft het hier, voor zover wij op dit moment weten. We komen er nog verder over te spreken. U krijgt nog meer informatie over de hack. Maar nogmaals, zoals we het nu kunnen zien, was hij niet gelieerd aan it-problemen of problemen in de beveiliging."
- "Zeker mijnheer, maar tot mijn spijt niet nu direct, daarvoor moet u een afspraak maken."
- "Oh?
- "Het zit namelijk zo: Onze systeemfloppy rouleert tussen de afdelingen. Daarvan hebben wij er maar een, ziet u".
- "Aha, zit dat zo."
- "Juist. Even zien. Volgens de presentielijst is de floppy nu in de Atari bij de dienst parkeerbeheer actief".
- "Dan wilde ik graag voor vanmiddag een afspraak plannen met uw Atari als dat kan".
- "Jazeker, Even zien.... in de middag direct na onze lunch, 13:00 uur. Schikt dat?"
- "Prima."
Voor alle die kamerleden die denken het beter te weten, loop eens een dagje met me mee.....
PS: ik zit al meer dan 25 jaar in de ict, opgegroeid met de c64 waar ik al basic zat te programmeren, in 99 als ondeugend kindje hacks uitgevoerd , maar nu volwassen zit ik aan de goede kant en probeer de bad-guys tegen te werken.
Dus kom alsjeblieft niet met opmerkingen bij me aan dat je het beter weet.
Voor alle die kamerleden die denken het beter te weten, loop eens een dagje met me mee.....
PS: ik zit al meer dan 25 jaar in de ict, opgegroeid met de c64 waar ik al basic zat te programmeren, in 99 als ondeugend kindje hacks uitgevoerd , maar nu volwassen zit ik aan de goede kant en probeer de bad-guys tegen te werken.
Dus kom alsjeblieft niet met opmerkingen bij me aan dat je het beter weet.
Hoe konden ze niet bij 1 maar 3 clients tegelijk informatie plukken zonder enige beperking. Waarom was er geen beveiliging tegen links aanklikken waarom was er geen compliance dashboard monitoring.
Nee 100% risico vrij is onzin de enige keer dat ik die garantie kan geven als alle systemen uit staan maar dit was niet te verantwoorden en dit moet al jaren op ontploffen hebben gestaan qua situatie. Ik zou me kapot schamen als de operationeel manager en CISO.
Dus nee geen verband tussen datalek en legacy IT wel in laksheid en onkunde.
Voor alle die kamerleden die denken het beter te weten, loop eens een dagje met me mee.....
PS: ik zit al meer dan 25 jaar in de ict, opgegroeid met de c64 waar ik al basic zat te programmeren, in 99 als ondeugend kindje hacks uitgevoerd , maar nu volwassen zit ik aan de goede kant en probeer de bad-guys tegen te werken.
Dus kom alsjeblieft niet met opmerkingen bij me aan dat je het beter weet.
Hoe konden ze niet bij 1 maar 3 clients tegelijk informatie plukken zonder enige beperking. Waarom was er geen beveiliging tegen links aanklikken waarom was er geen compliance dashboard monitoring.
Nee 100% risico vrij is onzin de enige keer dat ik die garantie kan geven als alle systemen uit staan maar dit was niet te verantwoorden en dit moet al jaren op ontploffen hebben gestaan qua situatie. Ik zou me kapot schamen als de operationeel manager en CISO.
Dus nee geen verband tussen datalek en legacy IT wel in laksheid en onkunde.
Voor alle die kamerleden die denken het beter te weten, loop eens een dagje met me mee.....
PS: ik zit al meer dan 25 jaar in de ict, opgegroeid met de c64 waar ik al basic zat te programmeren, in 99 als ondeugend kindje hacks uitgevoerd , maar nu volwassen zit ik aan de goede kant en probeer de bad-guys tegen te werken.
Dus kom alsjeblieft niet met opmerkingen bij me aan dat je het beter weet.
Hoe konden ze niet bij 1 maar 3 clients tegelijk informatie plukken zonder enige beperking. Waarom was er geen beveiliging tegen links aanklikken waarom was er geen compliance dashboard monitoring.
Nee 100% risico vrij is onzin de enige keer dat ik die garantie kan geven als alle systemen uit staan maar dit was niet te verantwoorden en dit moet al jaren op ontploffen hebben gestaan qua situatie. Ik zou me kapot schamen als de operationeel manager en CISO.
Dus nee geen verband tussen datalek en legacy IT wel in laksheid en onkunde.
Helemaal mee eens, laksheid van de ICT afdeling welke te druk is om landje pik te spelen. Dit is echter niet vreemd bij de politie dus moet geen verrassing zijn.
Security by design moet het uitgangspunt zijn met zero trust in het achterhoofd.
Zoals anoniempje zegt kan het niet zijn dat de organisatie die alle bevolkingsregisters en antecedenten inclusief hele onderzoeken op grote organisaties kan raadplegen dit gewoon vrijelijk kan doen onder het mom van "gemak".
Het toppunt is dat de medewerker zelf voor de bus wordt gegooid. Het feit dat afgeschermde medewerkers in hetzelfde landschap moeten en zullen werken als de algemene gemeenschap is in zichzelf al een veiligheidsrisico.
En voorbeelden van veiligheidsproblemen binnen de politie zijn er talrijk, zie het lek van de beste medewerker die voor terabytes naar Marokko heeft gelekt. Advies van duurbetaalde externe inhuur is vaak wel makkelijk als er geen kennis in huis is dus lekker naar de cloud want dan kunnen we vanuit huis werken.
Je hoeft niemand te hacken om via corruptie/afpersing/vriendschap dit dan in handen te krijgen.
Sterker nog een outlook client maakt meestal een lokale replica voor performance redenen, zeker gezien de omvang van de GAL. En die staat er ook nog op als je je pc recyled
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.