9292 machteloos tegen cyberaanvallen

[Geert]

Ov-info machteloos tegen cyberaanvallen
Reisinformatiedienst 9292 ligt regelmatig plat door digitale aanvallen, maar krijgt geen actieve hulp van de overheid tegen digitale terreur. En dat terwijl het samenwerkingsverband van vervoerders bij wet verplicht is om actuele reisinformatie te leveren. 9292-directeur Stefan Hulman slaat alarm en is er verbolgen over dat het Nationaal Cyber & Security Center (NCSC) hem in de kou laat staan.
(...)
Een woordvoerster van NCSC zegt dat de dienst alleen actieve hulp verleent aan overheidsinstanties. „En vervoerders, en daardoor ook 9292, horen niet bij de overheid”, aldus een woordvoerder. „Wel hebben we een informerende functie. Alle informatie die relevant kan zijn voor slachtoffers van digitale terreur delen we op onze website.”
(...)
Tegen een DDoS-aanval valt moeilijk te wapenen. Het is niet bekend wie er achter het offensief zitten. Hulman: „Ik kan me niet voorstellen wie hier een voordeel van heeft.”

Bron: De Telegraaf, via Blendle


Beetje gek verhaal. Waarom kan 9292 niet zelf expertise inhuren als ze zo'n last hebben van DDoS-aanvallen? Verder staat nergens in het artikel wat men zelf al ondernomen heeft. Beetje gemakkelijk om volledig op het NCSC te leunen en te verlangen dat die (kosteloos) actie ondernemen terwijl andere private bedrijven wel flink moeten investeren tegen DDoS-aanvallen...

[Somoht]

Er staan ook nog een soortgelijk artikel niet achter een paywall in wat regionale bladen:
http://www.ed.nl/algemeen/multimedia/92 ... -1.4765065

Ja is weer een typische Hulman actie, er is tot op zekere hoogte goed te bewapenen tegen DDoS aanvallen, het kost alleen geld. Eigenlijk geeft Hulman hier toe dat de IT rotzooi van 9292 zo zwaar kut is dat ie het zelf niet meer onder controle heeft.
Ik vraag mij ook af of die DDoS van ze echt (exceptioneel) zwaar is of dat de architectuur van 9292 te kwetsbaar is.
Je hebt DDoS'sen zo exceptioneel als die op ProLocation (oa. Rijksoverheid en GeenStijl) deze week waar idd moeilijk tegen te bewapenen is, verder krijgen de bekendere websites continu DDoS'jes. Zeker websites als die van de Rijksoverheid, GeenStijl en die van de NS. Zie ook dit leuke kaartje: http://www.digitalattackmap.com/
Maar 9292 heeft al 3 jaar last van deze DDoS'en met een allen een zeer opvallend gelijk patroon, waar ze plat gaan rond 20-21 uur en het altijd voor middernacht weer afgelopen is.
Ik denk dat ik Hulman's vraag ook wel kan beantwoorden waarom 9292 een target is, je kan ze (vermoed ik) vrij makkelijk plat krijgen en de exposure is altijd groot doordat het hele Nederlandse OV zich afhankelijk heeft gemaakt van (monopolist) 9292. De boze tweets naar 9292 stromen altijd direct binnen en je haalt vaak ook nog de media wat die DDoS'ertjes vast ook geweldig vinden....

Oh verzoekje om de topic-titel van OV-info ... naar 9292 ... te veranderen. 9292 is niet "OV-info"

[Karl]

Bepleit Hulman dan nu indirect dat twee NDOV-loketten echt separaat van elkaar moeten opereren? Of is dat een vreemde denkrichting.

Verder, als je belangrijkste communicatiemiddel een website is, dan zorg je er toch voor dat het werkt. :X

[Somoht]

Niet eens alleen website he, ik geloof dat 0900-9292 ook (deels) plat gaat als 9292.nl kapot wordt geDDoS'ed. Dat callcenter werkt allemaal via internet met telefonisten op afstand. Geen idee in hoeverre dat uitstraalt op 0900-9292, maar was minstens één keer dat het callcenter mee stuk ging.

9292 is nog steeds een callcenter wat zichzelf probeert opnieuw uit te vinden als IT bedrijf, geleid door een ex-burgemeester zonder IT opleiding. Dat laatste kan een goed ding zijn, bij 9292 wil het nog niet vlotten.

Gelukkig is het SSC al aan het uitsterven, dankzij mismanagement bij 9292 door Hulman. Datastromen voor GVB, EBS, Connexxion en Arriva worden nu direct aangeleverd bij beide ND-OV loketten. Qbuzz, Veolia en Syntus worden nog door 9292SSC doorgestuurd. Bij HTM/RET voert 9292 daarnaast ook nog een conversie uit.

Overigens heeft Hulman altijd beloofd dat er een scheiding zat tussen SSC en 9292 zat, in de praktijk absoluut dus niet.

[Geert]

Bepleit Hulman dan nu indirect dat twee NDOV-loketten echt separaat van elkaar moeten opereren? Of is dat een vreemde denkrichting.

Dat zou wel een logische conclusie zijn, maar daar wil 9292 nog niet echt aan (maar zoals Somoht zegt, zelfs een deel van de aandeelhouders levert nu buiten 9292 om).

Maar 9292 heeft al 3 jaar last van deze DDoS'en met een allen een zeer opvallend gelijk patroon, waar ze plat gaan rond 20-21 uur en het altijd voor middernacht weer afgelopen is.

Sowieso, die DDoS-aanvallen zijn er volgens mij al lange tijd (vorig jaar al diverse aanvallen gehad waarbij beide NDOV-loketten geen data geleverd kregen) en hij lijkt zich er nu pas zorgen om te maken. Dat had hij vorig jaar al moeten doen. Niet nu pas klagen dat de overheid hem niet gratis wil helpen :')

[Somoht]

http://9292.nl/over-9292/9292-in-de-med ... t-van-ddos

In 2013 ook, steeds een campagne van een maand tegen 9292. Volgens mij steeds dezelfde DDoS'ertjes door patroon qua tijd waarop ze aanvallen.

[Somoht]

Nieuwe ontwikkelingen.

VVD stelt kamervragen, waarom 9292 geen hulp krijgt van het Nationaal Cyber Security Center.
https://www.security.nl/posting/419108/ ... op+9292_nl

ChristenUnie stelt kamervragen waarom we uberhaupt nog afhankelijk zijn van 9292.
http://www.treinreiziger.nl/actueel/bin ... nen-146791

[Meltrain]

Overigens heeft Hulman altijd beloofd dat er een scheiding zat tussen SSC en 9292 zat, in de praktijk absoluut dus niet.

Wat is het SSC?
Hulman is trouwens de wethouder die tussen 2002 en 2006 heel vakkundig het Rotterdamse OV enorm verslechterd heeft.

[Aking]

Shared Service Center volgens mij... Wat ze precies doen moet je me niet vragen

[deadlock]

Ik vind nog steeds dat wij door 4chan geDDoS't werden omdat ze een tikfout hadden gemaakt in een IP adres en dachten dat ze Scientology aan het aanvallen waren het meest geniaal.

[deadlock]

Shared Service Center volgens mij... Wat ze precies doen moet je me niet vragen

Dat is een term voor; Wij hebben geen idee wat we er mee aanmoeten dus we besteden het uit.

[Geert]

Shared Service Center volgens mij... Wat ze precies doen moet je me niet vragen

Alle vervoerders moeten verplicht reisinformatie aanleveren aan de NDOV-loketten. Er zijn 2 NDOV-loketten: eentje van 9292 zelf, en eentje van Stichting OpenGeo. Beide NDOV-loketten hebben hun eigen klanten (afnemers) die vervolgens weer leuke appjes, sites etc. maken met die reisinformatie.

Een aantal vervoerders (zoals NS) vindt het te ingewikkeld om aan 2 NDOV-loketten tegelijk reisinformatie te leveren, en daarvoor heeft 9292 een 'shared service center' bedacht. In de praktijk komt het er op neer dat deze vervoerders aan 9292 leveren, en 9292 het daarna doorstuurt naar OpenGeo en naar haar eigen klanten.

Wanneer 9292 ge-DDoS't wordt, last heeft van defecte apparatuur, onderhoud uitvoert of zelf een stommiteit uithaalt (alle 4 komen voor) krijgt niemand meer reisinformatie aangeleverd. Immers, 9292 (SSC) is het eerste distributiepunt in de keten en daarmee dus enorm kwetsbaar (single point of failure). Maar het stomme is dat die situatie helemaal niet zou hoeven bestaan, sommige vervoerders kiezen zelf voor deze opzet.

Hoe dan ook is het nogal idioot dat 9292 zich als slachtoffer opstelt en beweert dat de overheid ze verplicht om reisinformatie te leveren. Dat is maar het halve verhaal: vervoerders kiezen voor een single point of failure, en bovendien zijn de vervoerders verplicht om reisinformatie te leveren - niet 9292.

[deadlock]

9292 is toch verplicht om bruikbare reisinformatie te leveren?

[Geert]

Nee hoor, die verplichting ligt bij de vervoerders. Bijna alle (of alle) vervoerders zijn wel aandeelhouder van 9292.

[Somoht]

Wetgever heeft de mogelijkheid om een reisinformatiesysteem met landelijk bereik aan te wijzen waar de vervoerders verplicht aan moeten bijdragen. Alleen heeft het ministerie van I&M nooit 9292 aangewezen als reisinformatiesysteem, wettelijk gezien heeft 9292 dus geen enkele verplichtingen. Contractueel gezien wel via de verscheidene service-level-agreements die 9292 met leveranciers heeft afgesloten. Echter mag je met de ND-OV licentie met een 99% uptime nog steeds jaarlijks bijna 4 dagen plat gaan.
Wel is het zo dat veel concessieverleners het verplichten het om een overeenkomst te sluiten met één landelijk reisinformatiesysteem.


Aandeelhouders van 9292 is trouwens veel beperkter dan je denkt Geert. NS bevat 42% van de aandelen, Connexxion 33% en de rest is van de vereniging stadsvervoerders. Redelijk onduidelijk wat die laatste vereniging nu precies inhoud, maar dus iig GVB,RET,HTM

[deadlock]

Een contractuele verplichting is een wettelijke verplichting.

[Somoht]

Ja ik bedoelde meer dat er een verplichting is vanuit 9292 naar vervoerders, de overheid is daarin geen partij. Er is geen specifieke wet die zegt dat 9292 een reisinformatiesysteem moet leveren, alleen dat als 9292 verdwijnt het ministerie een alternatief kan regelen. Verder heeft 9292 slechts beperkt directe verplichtingen richting overheid, dan kom je uit op een paar API's voor overheid-websites en het DRIS systeem in Zuid-Holland (excl SGH) en Gelderland.

Vervoerders hebben wel de directe verplichting een werkend reisinformatiesystemen te hebben voor hun reizigers, maar staan vrij om een andere partij dan 9292 te gebruiken. Alleen is er absoluut nog geen gelijk speelveld voor reisinformatiesystemen en dus kom je alleen bij 9292 uit.
Is ook gelijk de redenen dat 9292 extreem laks is geweest met investeringen totdat in 2009 de dreiging van ND-OV komt. En dan zit je ook meteen de reden dat 9292 nu last heeft van DDoS, hun systeem zuigt zo hard dat je met een (naar vermoed beperkte) aanval op de website hun hele dienstverlening (dus meer dan de website en apps) plat kan krijgen.

[Geert]

^^^ En/of hun infrastructuur, waarbij het SSC/NDOV-gedeelte blijkbaar ook ernstig van afhankelijk is (en dus zeker niet gescheiden).

Aandeelhouders van 9292 is trouwens veel beperkter dan je denkt Geert. NS bevat 42% van de aandelen, Connexxion 33% en de rest is van de vereniging stadsvervoerders. Redelijk onduidelijk wat die laatste vereniging nu precies inhoud, maar dus iig GVB,RET,HTM

Ah, my bad. Dacht dat de meeste/alle vervoerders aandeelhouder waren.

[Somoht]

Dat aandeelhouder-verhaal is een mythe die 9292 zelf graag een beetje in stand houd, dat het één grote blije samenwerking is ten goede van de reiziger. In werkelijkheid is 9292 gewoon een leverancier waar vervoerders hun data over de schutting gooien en dan het liefst zo min mogelijk last van hebben (ontzorgen).