- "Goedemorgen, Ik kwam aangifte doen van de diefstal van het fietsje van mijn zoon. Kan ik daarvoor bij u terecht?"
- "Zeker mijnheer, maar tot mijn spijt niet nu direct, daarvoor moet u een afspraak maken."
- "Oh?
- "Het zit namelijk zo: Onze systeemfloppy rouleert tussen de afdelingen. Daarvan hebben wij er maar een, ziet u".
- "Aha, zit dat zo."
- "Juist. Even zien. Volgens de presentielijst is de floppy nu in de Atari bij de dienst parkeerbeheer actief".
- "Dan wilde ik graag voor vanmiddag een afspraak plannen met uw Atari als dat kan".
- "Jazeker, Even zien.... in de middag direct na onze lunch, 13:00 uur. Schikt dat?"
- "Prima."

Wellicht geen populaire opmerking van mij, maar ik zelf werk al zeer lange tijd in de cybersecurity hoek en durf ook gewoon glashard te zeggen dat 100% beveiliging simpelweg niet bestaat. Je moet zoveel mogelijk je best doen met de middelen die je hebt en regelmatig tests laten uitvoeren op je omgeving , maar dan nog zou ik zelf persoonlijk ook geen garantie kunnen geven. Maak het de aanvaller zo moeilijk mogelijk, dat is het kat- en muisspelletje.....

Voor alle die kamerleden die denken het beter te weten, loop eens een dagje met me mee.....

PS: ik zit al meer dan 25 jaar in de ict, opgegroeid met de c64 waar ik al basic zat te programmeren, in 99 als ondeugend kindje hacks uitgevoerd , maar nu volwassen zit ik aan de goede kant en probeer de bad-guys tegen te werken.
Dus kom alsjeblieft niet met opmerkingen bij me aan dat je het beter weet.

Er zit echter wel een verschil in tussen je best doen en wat dit was. Zou jij ooit in een beveiligde gevoelige omgeving personeels leden persoonlijke contact kaart mogelijkheden geven? Ik niet daar heb je afgesloten database voor dat bewaar je niet op client niveau.

Hoe konden ze niet bij 1 maar 3 clients tegelijk informatie plukken zonder enige beperking. Waarom was er geen beveiliging tegen links aanklikken waarom was er geen compliance dashboard monitoring.

Nee 100% risico vrij is onzin de enige keer dat ik die garantie kan geven als alle systemen uit staan maar dit was niet te verantwoorden en dit moet al jaren op ontploffen hebben gestaan qua situatie. Ik zou me kapot schamen als de operationeel manager en CISO.

Dus nee geen verband tussen datalek en legacy IT wel in laksheid en onkunde.

Zelfs deze laatste uitspraak van laksheid en onkunde kun je niet hard maken. Wellicht is IT in de wielen gereden door slecht management en dat noem ik heel wat anders en heb ik zelf veel te vaak meegemaakt.

Helemaal mee eens, laksheid van de ICT afdeling welke te druk is om landje pik te spelen. Dit is echter niet vreemd bij de politie dus moet geen verrassing zijn.
Security by design moet het uitgangspunt zijn met zero trust in het achterhoofd.
Zoals anoniempje zegt kan het niet zijn dat de organisatie die alle bevolkingsregisters en antecedenten inclusief hele onderzoeken op grote organisaties kan raadplegen dit gewoon vrijelijk kan doen onder het mom van "gemak".

Het toppunt is dat de medewerker zelf voor de bus wordt gegooid. Het feit dat afgeschermde medewerkers in hetzelfde landschap moeten en zullen werken als de algemene gemeenschap is in zichzelf al een veiligheidsrisico.
En voorbeelden van veiligheidsproblemen binnen de politie zijn er talrijk, zie het lek van de beste medewerker die voor terabytes naar Marokko heeft gelekt. Advies van duurbetaalde externe inhuur is vaak wel makkelijk als er geen kennis in huis is dus lekker naar de cloud want dan kunnen we vanuit huis werken.

Luister als elke medewerker, partner en vrijwilliger toegang had tot dit volledige adresboek; dan ligt de info al lang op straat.

Je hoeft niemand te hacken om via corruptie/afpersing/vriendschap dit dan in handen te krijgen.

Sterker nog een outlook client maakt meestal een lokale replica voor performance redenen, zeker gezien de omvang van de GAL. En die staat er ook nog op als je je pc recyled

Het vermoeden van een polderdrama van een inside job wordt hier alleen maar groter met deze vorm van crisisbezwering van van Weel. Binnenlandse zaken doet invalletje bij Defensie, en ministerie van J&V wikt en weegt wat ze met deze beerput nu weer eens zouden gaan doen. Pavlov reactie is naar 'buitenlandse actor' wijzen, en zowel, J&V, Defensie en Binnenlandse Zaken hebben de mogelijkheid handje vast te houden van Buitenlandse zaken. Wat een dossier.

Ik dacht dat het wel duidelijk was dat het hier om het aanspreken van de management juist gaat. Ik zei express dat ik me kapot zou schamen als manager after all. En ja ik ben een IT manager en ik zou me kapot schamen als het mijn afdeling was. Niet om de mensen die er werken maar om me zelf.

Verantwoordelijkheid ligt ten alle tijden bij management punt. Ook al zou het je medewerkers zijn die wel fouten hebben begaan met intentie van schade veroorzaken in het ergste geval. Dat hoort nu eenmaal bij je functie een van de redenen waarom je meer verdiend gezien je meer verantwoordelijkheid draagt die je vaak in je eigen hand hebt en soms de pech dat het iets is wat niemand had kunnen voorzien. Je zult hoe dan ook altijd aangekeken worden op hoe je het beter had kunnen doen.

*En dit hadden ze (management) kunnen voorzien*

Hier moeten meerdere zaken langdurig fout zijn gegaan door meerdere lagen genegeerd om tot dit ramp scenario te komen. Het is niet een moment van verstandsverbijstering geweest de zorg over het standaard publiceren van persoons informatie moet bij enige serieuze audit aangekaart zijn en dat is de vraag die de kamer zou moeten stellen. "Waren er eerder signalen dat de beveiliging niet in orde was op het gebied van informatie inzage binnen de afgeschermde infrastructuur"

Als het antwoord ja is dan is het laksheid en onkunde van iemand in de hierarchie door de risico's niet serieus te nemen of uberhaubt begrijpen. Is het niet naar voren gekomen dan is het ook laksheid en onkunde binnen de hierarchie want dan is er geen anticipatie voor een kritiek privacy en beveiliging probleem geweest. En nee je kunt hier geen goed antwoord in geven enkel de eerlijke you screwed up now resolve it.

En we hebben het dan nog niet eens over de social engineering weerbaarheid van personeel die blijkbaar bij onboarding onder de maat is als we mogen geloven dat het een politie vrijwiliger was die eerste toegang heeft verleend. Wat ik trouwens niet geloof. Dat is een beetje als de hond heeft mijn huiswerk opgegeten. Want waarom noem je uberhaubt dat het om een vrijwillger ging. Niet om transparantie maar om te downplayen want in alle andere publieke context is het helemaal niet relevant of het een directe politie medewerker was of een vrijwilliger *ze hadden toegang tot het zelfde systeem*

ik speculeer dat ze langer al bezig waren en dat er lateral movement is geweest naar andere onderdelen en dat het stomweg bij toeval nu is ontdekt door iets wat iemand in de organisatie fout deed. Het zou me niet eens verbazen als wat er gemeld was niks met de kwestie te maken had en dat dit een bijvangst is van een andere troubleshoot. Want dat is hoe vaak dit soort APT gevallen echt aan het licht komen. Gebruiker komt met klacht iets werkt traag of iets doet raars en vervolgens bij een debug, audit van een partnered security company komt er onbekende troep aan het licht waarna er een onderzoeks traject gestart wordt met melding van 0-day of nieuwe malware, exploit variant.

...
Mijns inziens gaat security niet over kat en muis spelletjes. Veel organisaties hebben inderdaad 10x te weinig resources voor beveiliging, maar dat geldt niet bij de politie.

Ik zou zeggen dat een goed ISMS deze database als iets waardevols zou zien en bijv. het gebruik zou monitoren. Juist omdat iedere politieagent hier bij kan. Hoe kan het dat deze database (bijv) 1 miljoen records ophoest en deze naar een willekeurige PC overhevelt? Na 100 contacten had hier wel een audit mogen plaatsvinden.

Het probleem is de security architectuur en/of cultuur.

Dat is niet het enige probleem. We lezen elke maand (patch dinsdag) hoe lek het windowsbesturingssysteem weer is. Hiermee doorgaan is het spek op de kat binden. 1 persoon loopt tegen een driveby download infectie aan en c'est parti
Ik weet dat de politie veel Linux migraties doet maar nog niet voor de desktop en dat is niet slim gezien al die windows malware waardoor er zo maar adresboeken gedownload kunnen worden.

Als je je als IT-er niet openstelt voor het kat- en muis spelletje dan betekent dat voor mij dat je je niet bezig houdt met security.

Het kan ook niet.

Een aanvaller heeft aan een enkel klein werkend gaatje genoeg,
de verdediging moet de gehele range van mogelijkheden in de gaten houden.

Daarom is goed beveiligen een bijna onmogelijke taak.
Goed dat A.I. erbij kan worden ingezet,
die heeft een wat "ruimere" blik.

Jij bent ongetwijfeld nog jeugdig. Security is geen game! Voor de honingpot hebben we security bedrijven. Ondernemingen volgen de beste praktijk oplossingen van deze security bedrijven. Wat mij wel opvalt is dat ze zelf Apple- en Linux laptops gebruiken maar dat weer niet aktief aanbevelen (beetje hetzelfde probleem wat accountants ook hebben).

Waar een wil is, is een weg.
Alles wat door mensen is gecreeeerdis hackbaar.

Grayhat, cybersecurity specialist hier.

Oh, hoe kan het dan dat managers de verantwoording altijd afschuiven?