Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack
Een meerderheid van de Tweede Kamer wil een debat met minister Donner van Binnenlandse Zaken over de DigiNotar-hack. Het is volgens de Kamerleden niet voor het eerst dat een ict-project bij de overheid faalt. De regie zou zoek zijn.
De Kamerfractie van de SP laat weten ontevreden te zijn over de antwoorden die Donner dinsdag gaf tijdens het wekelijkse vragenuurtje in de Kamer. Volgens SP-Kamerlid Sharon Gesthuizen is er inmiddels 'kamerbrede steun voor een uitgebreid debat over het debacle bij DigiNotar'. Dit debat wordt waarschijnlijk volgende week gehouden.
Tijdens het vragenuurtje stelde de minister onder meer dat het internet nooit 100 procent veilig kan zijn en dat Nederland niet het enige land is met dit probleem. Volgens Gesthuizen bagatelliseert Donner het achterliggende probleem. "De overheid en ict zijn tot nog toe een ongelukkige combinatie", aldus de politica. "Dat de burgers en bedrijven van Nederland inmiddels wekenlang ten prooi hebben kunnen vallen van kwaadwillenden reken ik hem heel erg zwaar aan."
Gesthuizen stelt dat internetters ervan op aan moeten kunnen dat de overheid alles doet om de veiligheid op het internet te waarborgen. "De burgers van Nederland hebben recht op de allerhoogste garantie van veiligheid wanneer zij door de overheid verplicht een overheidswebsite gebruiken. Dat vertrouwen is beschadigd en de minister heeft dat nog niet hersteld."
De overheid besloot vrijdag de banden met DigiNotar door te snijden, omdat niet gegarandeerd kon worden dat de PKIoverheid-certificaten van DigiNotar nog veilig waren. Misbruik van de overheidscertificaten is niet aangetoond. Hetzelfde blijkt te gelden voor een aantal andere certificaat-autoriteiten, waaronder het Ministerie van Justitie, de Nederlandse Orde van Advocaten, TenneT, Renault-Nissan en de TU Delft; ook de veiligheid van certificaten van die autoriteiten kan niet worden gegarandeerd, omdat DigiNotar ze verzorgde.
Eerder al hadden ook de browsermakers aangegeven de DigiNotar-certificaten op de zwarte lijst te zetten. Zo blokkeerde Chrome 247 DigiNotar-certificaten en kondigden ook Mozilla en Microsoft aan de certificaten van DigiNotar niet langer te vertrouwen. Microsoft heeft op verzoek van de overheid besloten de update die de DigiNotar-certificaten in de ban moet doen, in Nederland nog niet automatisch uit te rollen.
Dit moet bedrijven en overheden wat tijd geven om de omstreden certificaten te vervangen, zo zei Donner eerder deze week tijdens een persconferentie. DigiNotar heeft in Nederland zo'n 58.000 ssl-certificaten uitgegeven en als deze van de ene op de andere dag ongeldig worden verklaard, leidt dit volgens de minister tot 'maatschappelijke schade'. "We denken dat de overheid nog drie tot vier dagen nodig heeft om de certificaten te vervangen", zei Donner maandag. "Voor de certificaten op machines voor contacten tussen machines onderling is langer nodig." Wanneer de hele overstap op nieuwe certificaten voor deze machine-to-machine-certificaten is afgerond, kon Donner niet precies aangeven.
Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Die druk is dinsdagavond iets opgevoerd, toen het softwarebedrijf de bewuste update vrijgaf. Internetters en systeembeheerders die niet willen wachten tot de automatische update uitkomt, kunnen deze nu al downloaden en installeren.
DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Hoewel DigiNotar de hack 19 juli ontdekte, trok het bedrijf niet aan de bel. Uit het onderzoek van Fox-IT blijkt dat het aan adequate beveiliging bij DigiNotar ontbrak en dat de eerste sporen van de aanvallers al dateren van 17 juni. De laatste valse certificaten werden aangemaakt op 22 juli, drie dagen na de ontdekking.
Reacties (86)
dat meer dan de helft van de Nederlandse huis-tuin-en-keuken computers onderdeel zijn van een botnet vergeet deze dame gemakshalve even?Dat de burgers en bedrijven van Nederland inmiddels wekenlang ten prooi hebben kunnen vallen van kwaadwillenden reken ik hem heel erg zwaar aan."
ik snap deze storm in een glas water niet zo. Ja het is ernstig, maar zoals gezegd is internet nooit 100% veilig en de gemiddelde computergebruiker zonder verdere kennis is niet wekenlang, maar al jarenlang een prooi van kwaadwillenden.
"Meer dan de helft ?" Weet je van cijfers die dat ondersteunen ?
Los daarvan, daar kan de overheid niet direct wat aan doen.
Dit geval heeft met bepaalde verplichte communicatie te maken, en dat valt wel direct onder de verantwoordelijkheid van de overheid. Terecht dat ze zo bezig zijn.
Brengt gelijk andere kwesties aan de orde zoals het ontbreken van een plan B, en het ontbreken van centrale aansturing binnen bijv de rechterlijke macht. Advocaten hebben van de Orde van Advocaten het advies gekregen om geen gebruik meer te maken van de op certificaten gebaseerde wijze van raadplegen van de rol (zeg maar de agenda van rechtszaken).
Los van dat dat erg lastig is, bleek daaruit ook dat het aan centrale aansturing ontbreekt.
Faxen draaien opeens weer overuren.
Los daarvan, daar kan de overheid niet direct wat aan doen.
Dit geval heeft met bepaalde verplichte communicatie te maken, en dat valt wel direct onder de verantwoordelijkheid van de overheid. Terecht dat ze zo bezig zijn.
Brengt gelijk andere kwesties aan de orde zoals het ontbreken van een plan B, en het ontbreken van centrale aansturing binnen bijv de rechterlijke macht. Advocaten hebben van de Orde van Advocaten het advies gekregen om geen gebruik meer te maken van de op certificaten gebaseerde wijze van raadplegen van de rol (zeg maar de agenda van rechtszaken).
Los van dat dat erg lastig is, bleek daaruit ook dat het aan centrale aansturing ontbreekt.
Faxen draaien opeens weer overuren.
Ga eens informeren bij FoxIT, zij monitoren het verkeer van een flink aantal botnets."Meer dan de helft ?" Weet je van cijfers die dat ondersteunen ?
Het zal zeker niet de helft van de Nederlandse huis-tuin-en-keuken computers zijn, maar er zijn dagelijks wel tienduizenden pogingen om de bankrekeningen te plunderen. Vele gebruikers doen precies waar de botnets om vragen en voeren keurig PIN- en TAN-codes in of gaan met hun calculator (random reader, edentifier of wat dan ook) een code berekenen. 1x raden wat er dan gebeurt...
Maak je geen illusies over het niveau van de gemiddelde pc-gebruiker, het zijn zeker niet allemaal Tweakers.
Bij het OM werken overigens een groot deel van deze gemiddelde pc-gebruikers, daar hebben ze echt geen idee hoe ze dit soort criminaliteit moeten aanpakken. Aangiftes doen ze helaas niets mee.
Doe nou niet alsof FoxIT zoveel is, ook die laten steken vallen. Ik ken wel een paar mooie verhalen.Ga eens informeren bij FoxIT, zij monitoren het verkeer van een flink aantal botnets.
[...]
Doe nou niet alsof FoxIT zoveel is, ook die laten steken vallen. Ik ken wel een paar mooie verhalen.
Punt is alleen dat in NL de lat zo laag ligt. En dan stelt FoxIT ineens wel heel wat voor. Of je daar nu zo veel aan hebt, dat is weer een ander verhaal.
Van de andere kant, zelfs een simpele eind-user zal zich zeker gaan verdiepen in de beveiliging van zijn machine als zijn rekening ineens is leeggeplunderd. De bank 'zuivert' dit wel aan (dat betalen WIJ btw!), maar dat kan weken duren. Je wilt niet weten hoeveel ellende je hebt als je ineens niet meer kan pinnen (daarom heb ik altijd een stash nood-cash, just in case). Dus de aanname die hier (en elders in de security-tak) vaak wordt gedaan geloof ik niet. Als mijn rekening twee keer wordt leeggetrokken en ik ben niet kundig genoeg om mezelf hiertegen te beveiligen, dan stop ik gewoon met internetbankieren. Een beetje gemak tegenover wekenlang pure ellende (boodschappen, tanken, je kunt echt niks meer) weegt daar niet tegenop in mijn ogen.
[Reactie gewijzigd door Rick2910 op woensdag 7 september 2011 10:34]
Begin dit jaar is geconstateerd dat "waarschijnlijk tussen de 450.000 en 900.000 en mogelijk meer computers in Nederland besmet en onderdeel van zogenaamde botnets" zijn.
Dit zou volgens datzelfde onderzoek neerkomen op een besmettingsgraad van 5 tot 10%.
Dit zou volgens datzelfde onderzoek neerkomen op een besmettingsgraad van 5 tot 10%.
[Reactie gewijzigd door Sn0zz op woensdag 7 september 2011 09:09]
Dat cijfer ging niet over een momentopname maar over een iets langere periode.
Uit hetzelfde rapport zie je dat bij een kortere periode van meten over 6 maanden de cijfers lager liggen:
Uit hetzelfde rapport zie je dat bij een kortere periode van meten over 6 maanden de cijfers lager liggen:
Our estimate corresponds remarkably well with the figure presented in the 2010 Microsoft Security Intelligence Report (MSIR). The MSIR reported around 200 thousand bots in the Netherlands during the first six months of 2010.17 Our method yields 260,000 bots for the same period.
Daar kan de overheid niets aan doen?
Dit hoort het punt te zijn waar we over moeten praten.
Ik stel voor dat de overheid een organisatie op start net zoiets als de AIVD of NASA.
Eentje die als taak heeft de Nederlandse ICT platform te beschermen.
Ik zou ook zeggen dat de Nederlandse overheid niet de enige mag zijn die aandeelhouder is. De Nederlandse overheid is niet transpirant. Ik mag dit kabinet niet zo. Onze economische minister trekt andere economische ministers voor op de Nederlandse bevolking.
Gisteren is er een interview afgelegd door rtl 7. In plaats van ons te vertellen wat hij wilt houdt hij het geheim wat er besproken gaat worden. In plaats van ons te vertellen wat zijn plannen zijn maar duidelijk makend dat het hij een onderhandeling in gaat en dat dit het uiterste is wat hij wilt. Dan heeft hij de steun van het volk. Nu vindt ik onze economische minister zeer zwak. Mijn steun heeft hij in ieder geval niet.
Of dat er ruzie wordt gemaakt in de kamer over of Afganistan nu wel of niet een civile missie is.
Laten we maar niet beginnen over Wilders. Iemand zoals hem die zoveel macht krijgt. Kan heel makkelijk aangeven dat de AIVD dit systeem kan misbruiken. Van daar dat het heel noodzakelijk is dat er een aantal ondernemers aandelen krijgen zo dat als zoiets besproken wordt dan er veel meer mensen nodig zijn om zoiets te bereiken
De zwaktes die de overheid deze regeer periode heeft laten zien ik als de reden dat ik zeg geef de overheid niet de volledige aandelen. Ik zou een grote aandelen pakket bij de providers leggen.
Dit hoort het punt te zijn waar we over moeten praten.
Ik stel voor dat de overheid een organisatie op start net zoiets als de AIVD of NASA.
Eentje die als taak heeft de Nederlandse ICT platform te beschermen.
Ik zou ook zeggen dat de Nederlandse overheid niet de enige mag zijn die aandeelhouder is. De Nederlandse overheid is niet transpirant. Ik mag dit kabinet niet zo. Onze economische minister trekt andere economische ministers voor op de Nederlandse bevolking.
Gisteren is er een interview afgelegd door rtl 7. In plaats van ons te vertellen wat hij wilt houdt hij het geheim wat er besproken gaat worden. In plaats van ons te vertellen wat zijn plannen zijn maar duidelijk makend dat het hij een onderhandeling in gaat en dat dit het uiterste is wat hij wilt. Dan heeft hij de steun van het volk. Nu vindt ik onze economische minister zeer zwak. Mijn steun heeft hij in ieder geval niet.
Of dat er ruzie wordt gemaakt in de kamer over of Afganistan nu wel of niet een civile missie is.
Laten we maar niet beginnen over Wilders. Iemand zoals hem die zoveel macht krijgt. Kan heel makkelijk aangeven dat de AIVD dit systeem kan misbruiken. Van daar dat het heel noodzakelijk is dat er een aantal ondernemers aandelen krijgen zo dat als zoiets besproken wordt dan er veel meer mensen nodig zijn om zoiets te bereiken
De zwaktes die de overheid deze regeer periode heeft laten zien ik als de reden dat ik zeg geef de overheid niet de volledige aandelen. Ik zou een grote aandelen pakket bij de providers leggen.
Ik zou een door de overheid gesponsorde controledienst op ICT helemaal niet vertrouwen. Ze hebben er totdusver altijd een potje van gemaakt. Als ze mijn vertrouwen willen hebben zullen ze eerst een paar projecten goed moeten doen, en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.
We hebben de regering waar we om gevraagd hebben als volk, dus als je hem niet vertrouwt, kijk eerst naar jouw eigen stemgedrag... niet gestemd? niet zeuren dan.
Ik ben het zelden eens met de SP, maar ik vind wel dat ze een beter idee mbt ICT hebben dan de andere partijen, en de vragen zijn terecht.
Edit typo's
We hebben de regering waar we om gevraagd hebben als volk, dus als je hem niet vertrouwt, kijk eerst naar jouw eigen stemgedrag... niet gestemd? niet zeuren dan.
Ik ben het zelden eens met de SP, maar ik vind wel dat ze een beter idee mbt ICT hebben dan de andere partijen, en de vragen zijn terecht.
Edit typo's
[Reactie gewijzigd door Patrick! op woensdag 7 september 2011 10:13]
Geld is echt het probleem niet. Het is niet dat die projecten falen omdat het altijd zo goedkoop mogelijk moet. Het probleem ligt net zo goed bij het bedrijfsleven, die zien de overheid als een grote cashcow en denken even snel te kunnen verdienen aan een leuk projectje wat altijd duurder uitvalt dan aanvankelijk afgesproken, dus je kunt je prijs bij de aanbesteding zo laag mogelijk inschatten.en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.
[Reactie gewijzigd door .oisyn op woensdag 7 september 2011 11:11]
[quote]en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.[/qoute] dit kom ik dagelijks tegen en het is ABSOLUTE ONZIN, ik zie bedrijven bijna op dagelijkse schaal het zelfde product verkopen tegen een dubbele prijs, waar enkel het woordje primium op is geplakt, vaak via een constructie die ze goed indekt als het fout gaat... 'ja het ligt aan de leverancier'
een ECHT goede icter is efficient en daarmee dus juist goedkoper... - een beetje icter rekend dan mischien wel 200 euro per uur maar doet er naar verhouding ook 20x zo kort over... - en dan nog heb je bij een goede icter keiharde rock-solid garanties dat het werkt, en neemt hij gewoon z'n verlies als ie het verprutst...
ik durf te wedden dat diginotar ook zo'n bedrijfje was, 1 general manager en 3 mbo ict stagiers om de boel te draaien, en mischien opa die vroeger nog ponskaarten heeft geprogrammeerd maar sindsdien al met pensioen is....
maar een minister of staats secretaris van 'digitale veiligheid' met een redelijk budget lijkt me geen heel raar idee...
ik denk dan aan data centers met kmar bewaking,
regelmatige security audits (elke ronde van een ander beveiligings bedrijf).
en er zijn vast nog wel wat zaken te bedenken.. misschien een anti-hack team.. ??
een ECHT goede icter is efficient en daarmee dus juist goedkoper... - een beetje icter rekend dan mischien wel 200 euro per uur maar doet er naar verhouding ook 20x zo kort over... - en dan nog heb je bij een goede icter keiharde rock-solid garanties dat het werkt, en neemt hij gewoon z'n verlies als ie het verprutst...
ik durf te wedden dat diginotar ook zo'n bedrijfje was, 1 general manager en 3 mbo ict stagiers om de boel te draaien, en mischien opa die vroeger nog ponskaarten heeft geprogrammeerd maar sindsdien al met pensioen is....
maar een minister of staats secretaris van 'digitale veiligheid' met een redelijk budget lijkt me geen heel raar idee...
ik denk dan aan data centers met kmar bewaking,
regelmatige security audits (elke ronde van een ander beveiligings bedrijf).
en er zijn vast nog wel wat zaken te bedenken.. misschien een anti-hack team.. ??
Sorry Patrick
Maar niet gestemd, niet zeuren is niet van toepassing. Ik heb zeer zeker gestemd alleen mijn stem is uiteindelijk terecht gekomen in de oppositie. Maar dit is iets te simplistisch om zo'n uitspraak te doen.
Je vult lucht met iets wat je eerder hebt gehoord. Het gaat er niet om of er gestemd is of niet. Maar de overheid als geheel binnen de fluctuatie van links midden en rechts vindt ik niet te vertrouwen en het gaat me vooral om extreem rechts en extreem links.
Extreem zegt het al. De samenleving is aan het destabiliseren. Economische, politiek maar voornamelijk op vertrouwen kwesties. De vorige kabinet probeerde daar veel meer in te investeren. Daarvan zou je kunnen zeggen dat die een stuk betrouwbaarder is. Maar door de schommelingen vindt ik dat het niet meer een taak kan zijn van puur de overheid.
Maar niet gestemd, niet zeuren is niet van toepassing. Ik heb zeer zeker gestemd alleen mijn stem is uiteindelijk terecht gekomen in de oppositie. Maar dit is iets te simplistisch om zo'n uitspraak te doen.
Je vult lucht met iets wat je eerder hebt gehoord. Het gaat er niet om of er gestemd is of niet. Maar de overheid als geheel binnen de fluctuatie van links midden en rechts vindt ik niet te vertrouwen en het gaat me vooral om extreem rechts en extreem links.
Extreem zegt het al. De samenleving is aan het destabiliseren. Economische, politiek maar voornamelijk op vertrouwen kwesties. De vorige kabinet probeerde daar veel meer in te investeren. Daarvan zou je kunnen zeggen dat die een stuk betrouwbaarder is. Maar door de schommelingen vindt ik dat het niet meer een taak kan zijn van puur de overheid.
We hebben toch al GovCERT?
Ja en dat stelletje prutsers schreeuwde van de daken dat de DigiNotar root certificate van PKIoverheid hartstikke veilig was, er was niets aan de hand. Een uiterst merkwaardige uitspraak die ook het ministerie BZK deed. Beide instanties hebben in tegenstelling tot Fox-IT GEEN enkel stuk onderzoek gedaan. Men heeft domweg de paniekpraat van DigiNotar 1 op 1 overgenomen. Dat GovCERT heeft zich daardoor als compleet leeg omhulsel gepresenteerd. Als CERT is het je taak om uiterst kritisch naar de materie te kijken en eerst onderzoek te doen naar de materie. In de aanloopt daarnaartoe kun je een advies uitbrengen. In geval van security zaken geldt dan vaak het devies "bij twijfel niet doen".
Daar mogen ze het ook wel eens over gaan hebben bij dat debat. Het gaat hier wel om gemeenschapsgeld waarvan de PKIoverheid infra wordt bekostigd eveneens als overige ICT projecten die aan de lopende band keihard falen. En naar nu blijkt is het hebben van een GovCERT leuk en aardig maar dan moet het wel werken. Ook dit is sinds het DigiNotar debacle onderdeel van de enorme waslijst aan falende ICT zaken van de overheid. De NMa blijft ook stelselmatig weigeren om ICT op de agenda te zetten. ICT leeft gewoon totaal niet bij de overheid terwijl het wel een enorm belangrijk onderdeel is geworden. Zo belangrijk dat het een flinke impact op dingen als de economie en het dagelijks leven heeft. Het wordt dan ook hoogtijd dat men ICT eens echt serieus neemt en daar bijv. een aparte ministerpost met bijbehorend ministerie voor in het leven gaan roepen incl. een GovCERT organisatie die WEL weet wat ze moeten doen. Beetje zoals wat de EU nu doet met de post van Neelie Kroes.
Nederland moet zich echt heel erg diep schamen hoe men heeft gehandeld rondom dat DigiNotar verhaal. Slechter had men het niet kunnen doen volgens mij.
Daar mogen ze het ook wel eens over gaan hebben bij dat debat. Het gaat hier wel om gemeenschapsgeld waarvan de PKIoverheid infra wordt bekostigd eveneens als overige ICT projecten die aan de lopende band keihard falen. En naar nu blijkt is het hebben van een GovCERT leuk en aardig maar dan moet het wel werken. Ook dit is sinds het DigiNotar debacle onderdeel van de enorme waslijst aan falende ICT zaken van de overheid. De NMa blijft ook stelselmatig weigeren om ICT op de agenda te zetten. ICT leeft gewoon totaal niet bij de overheid terwijl het wel een enorm belangrijk onderdeel is geworden. Zo belangrijk dat het een flinke impact op dingen als de economie en het dagelijks leven heeft. Het wordt dan ook hoogtijd dat men ICT eens echt serieus neemt en daar bijv. een aparte ministerpost met bijbehorend ministerie voor in het leven gaan roepen incl. een GovCERT organisatie die WEL weet wat ze moeten doen. Beetje zoals wat de EU nu doet met de post van Neelie Kroes.
Nederland moet zich echt heel erg diep schamen hoe men heeft gehandeld rondom dat DigiNotar verhaal. Slechter had men het niet kunnen doen volgens mij.
Je overdrijft wanneer je zegt dat PKI Overheid keihard gefaald heeft. Ja, één intermediate CA is gehacked, maar de andere vijf niet. Bij beslissingen die dermate vérstrekkende gevolgen hebben als het intrekken van een root-certificaat waardoor een enorme maatschappelijke schade zou ontstaan, past een zorgvuldig overwegen van alle beschikbare opties.
Gezien het geringe risico op misbruik (aan aanvaller moet DNS kunnen manipuleren/verkeer kunnen rerouten) en de grote impact van snel intrekken certificaat, hebben ze mijns inziens erg juist gehandeld door relatief snel via een beheerst scenario DigiNotar uit te keten te verwijderen. Dit is vele malen beter dan het alternatief, namelijk chaos.
En GovCert is júist de organisatie die het aangezwengeld heeft, dus ik snap je kritiek op GovCert ook niet helemaal. Je kunt toch niet verwachten dat ze direct een onderzoek gereed hebben? In die tussentijd moeten ze afgaan op de informatie die ze hebben, waarbij enige voorzichtigheid wel op z'n plaats is uiteraard. Verder is enige tijd geleden een publiek-private samenwerking opgestart om de Nederlandse digitale infrastructuur beter te beveiligen. Dus, hoewel niet voor zijn tijd, worden er wel degelijk goede stappen gezet.
Gezien het geringe risico op misbruik (aan aanvaller moet DNS kunnen manipuleren/verkeer kunnen rerouten) en de grote impact van snel intrekken certificaat, hebben ze mijns inziens erg juist gehandeld door relatief snel via een beheerst scenario DigiNotar uit te keten te verwijderen. Dit is vele malen beter dan het alternatief, namelijk chaos.
En GovCert is júist de organisatie die het aangezwengeld heeft, dus ik snap je kritiek op GovCert ook niet helemaal. Je kunt toch niet verwachten dat ze direct een onderzoek gereed hebben? In die tussentijd moeten ze afgaan op de informatie die ze hebben, waarbij enige voorzichtigheid wel op z'n plaats is uiteraard. Verder is enige tijd geleden een publiek-private samenwerking opgestart om de Nederlandse digitale infrastructuur beter te beveiligen. Dus, hoewel niet voor zijn tijd, worden er wel degelijk goede stappen gezet.
Die doet het dus niet, FF waarschuwt mij.
Dat een deel van de bevolking bijzonder laks is met de beveiliging van hun pc is geen vrijwaar voor de overheid om dan ook maar laks te zijn.
Een tanend vertrouwen in ICT-beveiliging van overheidssystemen is een bedreiging voor de acceptatie van bestaande en nieuwe overheidssystemen (door de burger), met als gevolg dat de kosten van de overheidsadministratie hoger zullen worden dan strikt noodzakelijk.
Een tanend vertrouwen in ICT-beveiliging van overheidssystemen is een bedreiging voor de acceptatie van bestaande en nieuwe overheidssystemen (door de burger), met als gevolg dat de kosten van de overheidsadministratie hoger zullen worden dan strikt noodzakelijk.
[Reactie gewijzigd door hieper op woensdag 7 september 2011 08:41]
Het gaat er in dit geval natuurlijk wel om dat juist een systeem dat op vertrouwen is gebaseerd niet te vertrouwen bleek... Enneuh, heb je cijfers voor die eerste uitspraak? Of is het gewoon uit de lucht gegrepen om een beetje aandacht te vragen hiervoor?
Kun je hier even je bankgegevens posten en je inlogcodes? Immers, half Nederland draait toch een botnet. Dat is toch een absolute onzin redenering. Omdat er een hoop mensen hun computer niet beveiligen, moet ik maar accepteren dat de communicatie waarvan ik gedwongen wordt gebruik te maken onveilig is?dat meer dan de helft van de Nederlandse huis-tuin-en-keuken computers onderdeel zijn van een botnet vergeet deze dame gemakshalve even?
Waar het hier dan ook om draait is dat je als burger (of ander rechtspersoon) gedwongen wordt om gebruik te maken van bepaalde overheidsdiensten, en dat je wordt gedwongen om dat op een bepaalde manier te doen. Als je mensen daartoe dwingt is het minste wat je doet je uiterste best doen om dat veilig te laten gebeuren. Het is namelijk niet alsof je een alternatief hebt.
Het eerst totaal laten versloffen en daarna bagatelliseren van het probleem is natuurlijk belachelijk. Het vertrouwen in de overheid is al niet zo hoog (en terecht, zie recentelijk bijvoorbeeld de OV chipkaart en het EPD) en dat ga je op deze manier natuurlijk niet herstellen.
Ik denk dan ook dat het volkomen terecht is dat er nou eens fundamenteler gekeken gaat worden waarom de overheid het bijna structureel verprutst.
[Reactie gewijzigd door EelcoG op woensdag 7 september 2011 08:49]
Ik denk dat de overheid het niet structureel verprutst, maar als de overheid een project doet is het natuurlijk altijd in het groot.
Het is dus ook vaak wat anders dan ergens een mailservertje naar binnen rijden.
Maar gaat het dan mis, staat het natuurlijk wel op de voorpagina.
Vergeet ook niet dat dit soort projecten alleen geďnitieerd en betaald worden door de overheid, het ontwerp en uitvoering ligt meestal bij de door ons zo gerespecteerde bedrijven.
De overheid doet , naar mijn mening, te weinig tegen die bedrijven die een wanprestatie neerzetten.
Sleep er is eentje voor de rechter als waarschuwing
Het is dus ook vaak wat anders dan ergens een mailservertje naar binnen rijden.
Maar gaat het dan mis, staat het natuurlijk wel op de voorpagina.
Vergeet ook niet dat dit soort projecten alleen geďnitieerd en betaald worden door de overheid, het ontwerp en uitvoering ligt meestal bij de door ons zo gerespecteerde bedrijven.
De overheid doet , naar mijn mening, te weinig tegen die bedrijven die een wanprestatie neerzetten.
Sleep er is eentje voor de rechter als waarschuwing
[Reactie gewijzigd door _root op woensdag 7 september 2011 09:22]
De spijker op z'n kop.Vergeet ook niet dat dit soort projecten alleen geďnitieerd en betaald worden door de overheid, het ontwerp en uitvoering ligt meestal bij de door ons zo gerespecteerde bedrijven.
De overheid doet , naar mijn mening, te weinig tegen die bedrijven die een wanprestatie neerzetten.
Daarnaast: dit hele certifcaten debacle is veroorzaak door een commerciele partij, die ook nog eens fraude gepleegd heeft en gelogen: heeft niets met de overheid te maken, de enige die weer eens blundert is donner: maar dat is toch niets nieuws
Zo simplistisch als jij het nu voorstelt is het niet. In deze zin heeft de overheid certificaten laten registeren bij een organisatie die er een zooitje van heeft gemaakt. Of die de overheid hier tijdig over heeft ingelicht is nog niet bekend zover ik weet. Dat de verschillende overheidsdelen hier snel genoeg op hebben gereageerd is ook verschil over maar dat is achteraf gepraat. Ook over het al dan niet genoeg toezicht houden op Diginotar is ook nog niet uitgekristalliseerd. Maar ook dat is achteraf gepraat. De gevolgen zijn nu al bekend.
Wat belangrijker is om te weten af het beleid van de overheid voldoende is ingericht om veiligheid als intrinsiek onderdeel te beschouwen en daarbij aansluitend risico's heeft vertaald naar een rampenplannen, eisen bij aanbestedingen en genoeg middelen heeft om sancties te heffen als er dingen niet zo gaan als ze horen. Gezien de vele problemen van de laatste jaren kun je zeker stellen dat daar nog veel ruimte voor verbetering is. Hieraan werken is lang niet zo simpel en het is dan ook meer een lange adem verhaal.
Wat uitbesteding betreft is het vaak ook niet zo makkelijk. Als de opdrachtgever een onduidelijk opdracht formuleert dan is de kans dat het fout wordt geďmplementeerd behoorlijk groot. Het is in de praktijk vaak de communicatie- en kenniskloof tussen de beide partijen die voor teveel blinde vlekken zorgt.
Wat dat betreft ben ik het wel met je eens dat de opdrachtgevers scherpere eisen stellen bij opdrachten en daar ook streng op toezien. Maar daar tegenover staat dan wel dat zij dan ook duidelijk aangeven wat ze willen. Dat moet ook wel want anders verzandt het in lang durende rechtszaken en de zoveelste ICT misser.
Wat belangrijker is om te weten af het beleid van de overheid voldoende is ingericht om veiligheid als intrinsiek onderdeel te beschouwen en daarbij aansluitend risico's heeft vertaald naar een rampenplannen, eisen bij aanbestedingen en genoeg middelen heeft om sancties te heffen als er dingen niet zo gaan als ze horen. Gezien de vele problemen van de laatste jaren kun je zeker stellen dat daar nog veel ruimte voor verbetering is. Hieraan werken is lang niet zo simpel en het is dan ook meer een lange adem verhaal.
Wat uitbesteding betreft is het vaak ook niet zo makkelijk. Als de opdrachtgever een onduidelijk opdracht formuleert dan is de kans dat het fout wordt geďmplementeerd behoorlijk groot. Het is in de praktijk vaak de communicatie- en kenniskloof tussen de beide partijen die voor teveel blinde vlekken zorgt.
Wat dat betreft ben ik het wel met je eens dat de opdrachtgevers scherpere eisen stellen bij opdrachten en daar ook streng op toezien. Maar daar tegenover staat dan wel dat zij dan ook duidelijk aangeven wat ze willen. Dat moet ook wel want anders verzandt het in lang durende rechtszaken en de zoveelste ICT misser.
Waarom moet er altijd een ramp gebeuren voordat die politici opletten?
Ik loop al jaren te zeggen dat de overheidssystemen zo lek en traag zijn, dat ze dat zelf niet doorhebben :\
Ik loop al jaren te zeggen dat de overheidssystemen zo lek en traag zijn, dat ze dat zelf niet doorhebben :\
Een ramp is er niet gebeurd.
Er is een inbraak geweest bij een bedrijf.
Toevallig werkt het bedrijf OOK voor de overheid.
Dus ik snap de opmerking niet dat de overheidssystemen lek zijn?
Misschien is dit een wake-up call om niet alles over te laten aan bedrijven, maar dat past niet in de huidige "minder ambtenaren" politiek
Er is een inbraak geweest bij een bedrijf.
Toevallig werkt het bedrijf OOK voor de overheid.
Dus ik snap de opmerking niet dat de overheidssystemen lek zijn?
Misschien is dit een wake-up call om niet alles over te laten aan bedrijven, maar dat past niet in de huidige "minder ambtenaren" politiek
Mja, misschien moet de overheid eens vragen gaan stellen bij de bedrijven die ze inhuren. Iets met boeteclausules ofzo.
Toen mijn werkgever een project voor een bank moest doen vond er een security audit plaats. Dit heeft geresulteerd in extra beveiliging nav de uitkomst van de security audit. Ik neem aan dat de overheid ook zulke procedures heeft?
Nu komt het mooie dus: DigiNotar werd gehackt, er werd vanalles en nog wat in de doofpot gestopt, vervolgens past het deksel er niet op, wordt dit bekend en wordt PWC ingehuurd om een audit te doen. Die vinden vervolgens niks bijzonders en alles is koek en ei.
Vervolgens blijkt het niet helemaal te kloppen en wordt Fox IT ingeschakeld, die komen vervolgens met een rapport waar je met verbazing van staat te kijken. Als dat rapport van Fox IT klopt vraag ik me af of er wel een security audit heeft plaatsgevonden destijds, en vraag ik me ook af waarom PWC zegt dat alles koek en ei is. Ik zou als overheid niet alleen het vertrouwen in DigiNotar opzeggen, maar ook in partijen als PWC.
Toen mijn werkgever een project voor een bank moest doen vond er een security audit plaats. Dit heeft geresulteerd in extra beveiliging nav de uitkomst van de security audit. Ik neem aan dat de overheid ook zulke procedures heeft?
Nu komt het mooie dus: DigiNotar werd gehackt, er werd vanalles en nog wat in de doofpot gestopt, vervolgens past het deksel er niet op, wordt dit bekend en wordt PWC ingehuurd om een audit te doen. Die vinden vervolgens niks bijzonders en alles is koek en ei.
Vervolgens blijkt het niet helemaal te kloppen en wordt Fox IT ingeschakeld, die komen vervolgens met een rapport waar je met verbazing van staat te kijken. Als dat rapport van Fox IT klopt vraag ik me af of er wel een security audit heeft plaatsgevonden destijds, en vraag ik me ook af waarom PWC zegt dat alles koek en ei is. Ik zou als overheid niet alleen het vertrouwen in DigiNotar opzeggen, maar ook in partijen als PWC.
Maar leg je dan ook niet de vinger gelijk op zere plek?
Bedrijven weten dat de overheid niets doet aan boeteclausules, ook al staan ze zwart op wit in de contracten.
Voor de meeste bedrijven is pakken wat je pakken kan als ze de overheid als klant hebben.
In de meeste overheidsorganisaties zijn te weinig juristen, laat staan dat er een hele afdeling is.
Maar van dit soort problemen komen we vanzelf af, over een paar jaar wordt alles bij overheid door externe partijen gedaan.
Ik zou graag zien dat certificaten uitgifte voor de overheid door een ministerie gedaan zou worden, Justitie, Defensie, een partij die nu ook met geheime informatie omgaat.
(gaat niet gebeuren, er moet steeds meer door het bedrijfsleven gedaan worden --> minder ambtenaren).
In het geval van PWC is het duidelijk, de ene hand wast de ander, ze zijn beide klant van elkaar.
Bedrijven weten dat de overheid niets doet aan boeteclausules, ook al staan ze zwart op wit in de contracten.
Voor de meeste bedrijven is pakken wat je pakken kan als ze de overheid als klant hebben.
In de meeste overheidsorganisaties zijn te weinig juristen, laat staan dat er een hele afdeling is.
Maar van dit soort problemen komen we vanzelf af, over een paar jaar wordt alles bij overheid door externe partijen gedaan.
Ik zou graag zien dat certificaten uitgifte voor de overheid door een ministerie gedaan zou worden, Justitie, Defensie, een partij die nu ook met geheime informatie omgaat.
(gaat niet gebeuren, er moet steeds meer door het bedrijfsleven gedaan worden --> minder ambtenaren).
In het geval van PWC is het duidelijk, de ene hand wast de ander, ze zijn beide klant van elkaar.
[Reactie gewijzigd door _root op woensdag 7 september 2011 11:36]
Omdat de media er anders geen aandacht aan besteed of er alleen maar een artikeltje verschijnt op zeikers website powned met hoe het stellen van vragen wel niet belastings geld kost en dat kunnen we toch niet hebben in een democratie, de oppositie moet gewoon doen wat hun held Rutte zegt!
Politici leven bij de gratie van de pers want dat is bijna de enige manier waarop de gemiddelde kiezer ooit iets verneemt.
Zie tweakers zelf, deze problemen moeten bekend zijn geweest bij tweakers maar wordt er ooit aandacht aanbesteed VOOR het compleet fout loopt? Tuurlijk niet, dat verkoopt geen advertenties. Paniek berichten, DAT verkoopt advertenties.
En paniek voetbal in de regering verkoopt stemmen. Nou ja niet echt. Uiteindelijk stemt veel volk voor CDA/VVD om de hypotheek aftrek en veel mensen op linksere partijen omdat de hypotheek aftrek ze niets kan schelen.
De overheid is een reflectie van het volk en het volk, dat zijn wij... kijk maar eens goed in die spiegel. Geen flatterend beeld eh?
Politici leven bij de gratie van de pers want dat is bijna de enige manier waarop de gemiddelde kiezer ooit iets verneemt.
Zie tweakers zelf, deze problemen moeten bekend zijn geweest bij tweakers maar wordt er ooit aandacht aanbesteed VOOR het compleet fout loopt? Tuurlijk niet, dat verkoopt geen advertenties. Paniek berichten, DAT verkoopt advertenties.
En paniek voetbal in de regering verkoopt stemmen. Nou ja niet echt. Uiteindelijk stemt veel volk voor CDA/VVD om de hypotheek aftrek en veel mensen op linksere partijen omdat de hypotheek aftrek ze niets kan schelen.
De overheid is een reflectie van het volk en het volk, dat zijn wij... kijk maar eens goed in die spiegel. Geen flatterend beeld eh?
Sorry maar dit is een beetje te kortzichtig.
Je kunt heel veel doen om zoiets duidelijk te maken. Maar waarschijnlijk was jij zelf ook te laks. Je had een handtekening actie kunnen opzetten. Kijk maar er is laatst een vraag gedaan om een verbod op pedo clubs. Dat lijkt goed te ontvangen te worden door de overheid.
De overheid heeft een heleboel projecten. Daarbij heeft de overheid een goed cijfers over problemen bij hun projecten. Het gaat goed maar het mag altijd beter. We houden gewoon van perfectie
.
Je kunt heel veel doen om zoiets duidelijk te maken. Maar waarschijnlijk was jij zelf ook te laks. Je had een handtekening actie kunnen opzetten. Kijk maar er is laatst een vraag gedaan om een verbod op pedo clubs. Dat lijkt goed te ontvangen te worden door de overheid.
De overheid heeft een heleboel projecten. Daarbij heeft de overheid een goed cijfers over problemen bij hun projecten. Het gaat goed maar het mag altijd beter. We houden gewoon van perfectie
.Toch, de diginotar hack heeft NIETS met ict beleid of uitvoering van de overheid van doen, het is een commercieel bedrijf wat zwaar de fout ingaat en o.a de overheid heeft daar last van, de enige die je wat kunt aanrekenen is donner met z'n domme statements en de media met alle complete onzin die ze hierover naar buiten brengen.
Dus als je dat al niet doorhebt is het maar goed dat "die politici" niet naar jou luisteren toch?
Dus als je dat al niet doorhebt is het maar goed dat "die politici" niet naar jou luisteren toch?
Dat ben ik niet eens met je.
Domme statements in de media? Daar moet je dus niet naar luisteren?
Ik luister er wel naar en verwerk die informatie. Niet luisteren is al een fout.
Vroeger werkte de overheid met controleurs. Waar zijn die gebleven?
Since wanneer is het oke dat zoiets fout kan gaan.
Since wanneer is het oke dat de overheid niet volledige verantwoording krijgt. Zij hebben het contract getekend met het bedrijf. Als het bedrijf fout gaat is de gene die het contract binnen heeft gehaald verantwoordelijk namens de overheid.
We spreken hier niet van B2B we spreken hier van O2B, dat betekend dat de overheid een aantal voorwaarden kan opleggen. Een inspecteur moet komen controleren of alles klopt. Er moet geinvesteerd worden in protocols. Deze wetgeving moet opgesteld worden door de overheid. Op projecten waar de overheid verantwoordelijk voor is.
Domme statements in de media? Daar moet je dus niet naar luisteren?
Ik luister er wel naar en verwerk die informatie. Niet luisteren is al een fout.
Vroeger werkte de overheid met controleurs. Waar zijn die gebleven?
Since wanneer is het oke dat zoiets fout kan gaan.
Since wanneer is het oke dat de overheid niet volledige verantwoording krijgt. Zij hebben het contract getekend met het bedrijf. Als het bedrijf fout gaat is de gene die het contract binnen heeft gehaald verantwoordelijk namens de overheid.
We spreken hier niet van B2B we spreken hier van O2B, dat betekend dat de overheid een aantal voorwaarden kan opleggen. Een inspecteur moet komen controleren of alles klopt. Er moet geinvesteerd worden in protocols. Deze wetgeving moet opgesteld worden door de overheid. Op projecten waar de overheid verantwoordelijk voor is.
Ok, maar hier geef je aan dat je dus met 2 maten meet, ik vind persoonlijk een mogelijk MITM attack voor een bank of een willekeurig ander groot bedrijf met toegang tot veel persoonsdata/klanten net zo erg als wanneer er op die manier data van overheidsklanten kan worden afgetroggeld.
Persoonlijk zie ik hier 2 problemen, 2 waar de overheid formeel juist gehandeld heeft of niet kan handelen:
1. het vertrouwen in diginotar, waar men gewoon door een audit kwam
2. het certificaten systeem wat uitgaat van volledig vertrouwen in een commercieel bedrijf wat certificaten uitgeeft
In het eerste geval wordt gewoon de procedure van audits gevolgd en moet men vertrouwen dat een dergelijk audit ook klopt, overigens is onze hele economie gebaseerd op vertrouwen dus welke andere keus zou daar dan zijn geweest?
In het 2e geval kan de overheid daar helemaal niets aan doen, immers: het ssl certificaten gebeuren is iets internationaals waar de nederlandse regering maar marginaal invloed op kan uitoefenen.
Het enige wat ik betreur is de onjuiste en soms misleidende informatieverstrekking, zowel overheid als normale media gaan daar de fout in.
Vergeet ook niet dat in de honger om de overheid uit te kleden men de afgelopen jaren steeds minder mogelijkheden en expertise bij de overheid heeft om mbt ict zaken (en op veel andere gebieden) een goede inschatting te maken, bezuiningen staat mooi op de begroting maar het levert veel hidden costs op die we allemaal op de een of andere manier terug zien (bezuinigen zoals het nu gaat is dus eigenlijk duurkoop).
Persoonlijk zie ik hier 2 problemen, 2 waar de overheid formeel juist gehandeld heeft of niet kan handelen:
1. het vertrouwen in diginotar, waar men gewoon door een audit kwam
2. het certificaten systeem wat uitgaat van volledig vertrouwen in een commercieel bedrijf wat certificaten uitgeeft
In het eerste geval wordt gewoon de procedure van audits gevolgd en moet men vertrouwen dat een dergelijk audit ook klopt, overigens is onze hele economie gebaseerd op vertrouwen dus welke andere keus zou daar dan zijn geweest?
In het 2e geval kan de overheid daar helemaal niets aan doen, immers: het ssl certificaten gebeuren is iets internationaals waar de nederlandse regering maar marginaal invloed op kan uitoefenen.
Het enige wat ik betreur is de onjuiste en soms misleidende informatieverstrekking, zowel overheid als normale media gaan daar de fout in.
Vergeet ook niet dat in de honger om de overheid uit te kleden men de afgelopen jaren steeds minder mogelijkheden en expertise bij de overheid heeft om mbt ict zaken (en op veel andere gebieden) een goede inschatting te maken, bezuiningen staat mooi op de begroting maar het levert veel hidden costs op die we allemaal op de een of andere manier terug zien (bezuinigen zoals het nu gaat is dus eigenlijk duurkoop).
Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.
Het zou beter zijn als ze het eens worden over het feit dat ICT niet goed is geregeld. En dat ze daar een goed ICT bedrijf iets aan laten doen. En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt.
Maar dat is waarschijnlijk te goedkoop. Laten we er eerst weer even 100+ miljoen tegenaan gooien voordat we logisch gaan worden...
Het zou beter zijn als ze het eens worden over het feit dat ICT niet goed is geregeld. En dat ze daar een goed ICT bedrijf iets aan laten doen. En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt.
Maar dat is waarschijnlijk te goedkoop. Laten we er eerst weer even 100+ miljoen tegenaan gooien voordat we logisch gaan worden...
Met 1 systeem neem ik aan dat je dat als 'logisch geheel' bedoelt en niet écht als '1 systeem'? ;-) Want zo'n alles-in-één-monstersysteem zou het ultieme falen van de overheid worden, inclusief de ultieme vendor lockin.
Lang leve open standaarden. :-)
Lang leve open standaarden. :-)
Maar dat moet dan via een aanbesteding waar ze dan uiteraard de goedkoopste kiezen. Die blijkt het niet te kunnen doen voor het bedrag (want zo werkt dat met aanbestedingen, achteraf ga je eens echt uitrekenen wat het moet kosten) en dan komt er nog een miljard bij en dan gaan ze op zoek naar een andere partij die weer van voor af aan begint en zo gaan we rustig verder.
Als de overheid niet als enorme melkkoe werd gebruikt door IT bedrijven zouden er ook niet allemaal beklemmende regeltjes nodig zijn. Dat hebben ze wel een beetje over zich zelf afgeroepen door in het verleden idiote bedragen te vragen, omdat het kon omdat het de overheid was en zij er toch niks van wisten.
Als de overheid niet als enorme melkkoe werd gebruikt door IT bedrijven zouden er ook niet allemaal beklemmende regeltjes nodig zijn. Dat hebben ze wel een beetje over zich zelf afgeroepen door in het verleden idiote bedragen te vragen, omdat het kon omdat het de overheid was en zij er toch niks van wisten.
Goedkoop, goedkoper, gehackt... misschien gaat men nu het belang van goede ICT boven goedkoop eens inzien. Het hoeft daarmee echt niet schreeuwend duur te worden.
uiteraard betekent niet goedkoop ook niet meteen veilig...
uiteraard betekent niet goedkoop ook niet meteen veilig...
[Reactie gewijzigd door airell op woensdag 7 september 2011 08:55]
Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.
Wat veel techneuten nog wel eens uit het oog verliezen, is dat er nog een wereld buiten de techniek is. Beveiliging van een ICT-omgeving is niet alleen maar certificaatjes regelen en een firewall neerzetten, maar vraagt om allerlei procedures en regels en policies, die vaak door non-techneuten bepaald worden aangezien het ook met de bedrijfsvoering te maken heeft, niet iets waarin ICT'ers uitblinken.
Het probleem is: hoe herken je een goed ICT bedrijf? DigiNotar leek in het begin ook wel te vertrouwen.En dat ze daar een goed ICT bedrijf iets aan laten doen.
Je kunt niet even een ICT-bedrijf opbellen en zeggen "doe mij even een volledig security-pakket voor de complete overheid". Een dergelijk traject betekent jarenlang consultants over de vloer, vergaderingen, audits, ontwerpcycli, peperdure hardware, etcetera. Nog los van het feit dat dit aanbesteed zal moeten worden. Heb je enig idee over de omvang van een dergelijk projekt? Dit zou het grootste IT-projekt in de Nederlandse geschiedenis worden.En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen.
Dus je wilt... de complete ICT-beveiliging... van de complete Nederlandse overheid... inclusief nooddiensten... in handen van 1 "goed ICT bedrijf" leggen?En dat ze daar een goed ICT bedrijf iets aan laten doen.
Moet ik je het gevaar daarvan uitleggen?
Samengevat: wat er gebeurd is, is natuurlijk knullig en kan niet. Maar de zaak door alleen techneuten laten fixen, gaat ook niet werken.
[Reactie gewijzigd door RefriedNoodle op woensdag 7 september 2011 08:52]
Een ICT-er hoeft niets van politiek te weten, net als dat de politiek niets van ICT hoeft te weten. Maar wanneer de politiek dat nu eens gaat begrijpen... En een goed ICT bedrijf heeft een hele lading architecten en consultants die ook rekening houden met de policies en regels etc. Het bedrijf waar ik werk in elk geval wel. Je beeld van de traditionele 'ICT Nerd' is niet echt meer van deze tijd.Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.
Wat veel techneuten nog wel eens uit het oog verliezen, is dat er nog een wereld buiten de techniek is. Beveiliging van een ICT-omgeving is niet alleen maar certificaatjes regelen en een firewall neerzetten, maar vraagt om allerlei procedures en regels en policies, die vaak door non-techneuten bepaald worden aangezien het ook met de bedrijfsvoering te maken heeft, niet iets waarin ICT'ers uitblinken.
Vind je antwoorden maar een beetje vaag en blijkbaar wil je gewoon graag negatief reageren... Natuurlijk is het lastig om te weten wat 'goede' bedrijven zijn. Maar er zijn genoeg grote ICT bedrijven in Nederland die dit soort trajecten in hun portfolio hebben staan. Niet zo heel moeilijk te vinden dus.Het probleem is: hoe herken je een goed ICT bedrijf? DigiNotar leek in het begin ook wel te vertrouwen.
Wat is dit nu voor antwoord? Natuurlijk kun je niet even een ICT bedrijf bellen met zo'n bestelling... En ja, als je dit goed wilt doen zul je het geheel moeten doen. En ja dit houdt in dat je wel even bezig bent...Je kunt niet even een ICT-bedrijf opbellen en zeggen "doe mij even een volledig security-pakket voor de complete overheid". Een dergelijk traject betekent jarenlang consultants over de vloer, vergaderingen, audits, ontwerpcycli, peperdure hardware, etcetera. Nog los van het feit dat dit aanbesteed zal moeten worden. Heb je enig idee over de omvang van een dergelijk projekt? Dit zou het grootste IT-projekt in de Nederlandse geschiedenis worden.
Lekker neerbuigend die antwoorden van je.Dus je wilt... de complete ICT-beveiliging... van de complete Nederlandse overheid... inclusief nooddiensten... in handen van 1 "goed ICT bedrijf" leggen?
Moet ik je het gevaar daarvan uitleggen?
'Techneuten' is iets van vroeger. Tegenwoordig heb je consultants en architecten die het voorwerk doen. Alle regels, policies en het politieke gedeelte. Daarna heb je technisch specialisten die uiteindelijk het hele plan gaan uitvoeren.Samengevat: wat er gebeurd is, is natuurlijk knullig en kan niet. Maar de zaak door alleen techneuten laten fixen, gaat ook niet werken.
Het klinkt inderdaad wat makkelijk, en we hebben het hier over de overheid dus het lijkt ook niet echt haalbaar. Maar wil je dat dit een goed geďntegreerd systeem wordt kan je het niet echt in stukken hakken en door verschillende partijen laten doen. Uit het verleden is gebleken dat je dan eilandjes in je systeem krijgt waar niemand wat aan heeft.
Gossie, kreeg je weerwoord? Het enige wat je zelf hebt gepost is:
"En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt."
Slaat natuurlijk helemaal nergens op. Zo kan je alle problemen in de wereld wel oplossen met een utopie.
Heb je énig idee hoeveel systemen de overheid gebruikt en voor hoeveel verschillende doelen? Dus de rijksoverheid, provincies en gemeenten samen? Ik denk niet dat je het weet eigenlijk, dan had je zo'n post niet gemaakt.
Of ik het kan weten? Ik heb tijd doorgebracht bij het toenmalige ministerie van LNV, Justitie en BZK heb tientallen kritische systemen voorbij zien komen, de niks met elkaar te maken hebben en dus ook helemaal niet geďntegreerd zouden hoeven te worden.
"En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt."
Slaat natuurlijk helemaal nergens op. Zo kan je alle problemen in de wereld wel oplossen met een utopie.
Heb je énig idee hoeveel systemen de overheid gebruikt en voor hoeveel verschillende doelen? Dus de rijksoverheid, provincies en gemeenten samen? Ik denk niet dat je het weet eigenlijk, dan had je zo'n post niet gemaakt.
Of ik het kan weten? Ik heb tijd doorgebracht bij het toenmalige ministerie van LNV, Justitie en BZK heb tientallen kritische systemen voorbij zien komen, de niks met elkaar te maken hebben en dus ook helemaal niet geďntegreerd zouden hoeven te worden.
[Reactie gewijzigd door rodie83 op woensdag 7 september 2011 09:32]
Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.
Ik denk dat de gemiddelde ICT-er meer van politiek weet dan omgekeerd. Het vervelende is dat de politiek denkt te weten wat ICT is en het dan ook zo toepast en dan gaat het fout. Ze denken dan aan hun pctje thuis en niet verder...
Ik denk dat de gemiddelde ICT-er meer van politiek weet dan omgekeerd. Het vervelende is dat de politiek denkt te weten wat ICT is en het dan ook zo toepast en dan gaat het fout. Ze denken dan aan hun pctje thuis en niet verder...
Het is in de aard van politici en management, ze denk alles te kunnen fixen door er over te blijven praten ook al hebben ze geen verstand van zaken.
Ik ben het niet eens dat z'n project door 1 bedrijf uitgevoerd moet worden. Het is beter dat verschillende bedrijven hier mee samenwerken. Ook ben ik van mening dat het systeem volledig open source moet worden. Dat krijg de overheid geen vendor lock-in, elk bedrijf/persoon kan dan een steentje bijdragen.
Ik ben het niet eens dat z'n project door 1 bedrijf uitgevoerd moet worden. Het is beter dat verschillende bedrijven hier mee samenwerken. Ook ben ik van mening dat het systeem volledig open source moet worden. Dat krijg de overheid geen vendor lock-in, elk bedrijf/persoon kan dan een steentje bijdragen.
Gezien het grote aantal blunders in de ICT, weten politici blijkbaar evenveel van ICT als de gemiddelde ICT'er die aan dit soort projecten weten.Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.
Geen bal.
Doe nou niet of mensen die voor dit soort overheid ICT bedrijven werken zo goed zijn. Als ze hun vak verstonden zouden de projecten of niet falen of zouden ze ergens anders beter werk vinden.
Hier kun je iets mee. Maar in plaats van 1 ICT bedrijf kun je een alliancie makken van ICT bedrijven die een oplossingen moeten gaan verzinnen. AKA een denktank. Overheid moet actie ondernemen ze hebben duizenden oplossingen. De Nederlandse overheid is zo slecht nog niet. Ze beschikken over geld, denktanks, het hele land.
Maak er werk van. En je kunt altijd op tweakers.net de discussie volgen.
Maak er werk van. En je kunt altijd op tweakers.net de discussie volgen.
[Reactie gewijzigd door Amir0ff op woensdag 7 september 2011 14:48]
Het grote probleem is juist dat er geen vertrouwen is in de politiek op het gebied van ICT.
Daar gaan ze over praten. Ik wil echt een oplossing. Na dit debakel moet er wel meer geluisterd worden naar ICT'ers. Een stuk hier boven is een vergelijking gemaakt tussen een bedrijf en overheid.
Bedrijven maken fouten, als het goedkoper was dan storte een heleboel bedrijven hun vuil gewoon in de natuur.
Dat kun je niet verwachten van een Overheid. Daarom ben ik van mening dat dit probleem ook niet hoort voor te komen. Ook al moeten we bezuinigen dit is iets waar we in moeten investeren
Daar gaan ze over praten. Ik wil echt een oplossing. Na dit debakel moet er wel meer geluisterd worden naar ICT'ers. Een stuk hier boven is een vergelijking gemaakt tussen een bedrijf en overheid.
Bedrijven maken fouten, als het goedkoper was dan storte een heleboel bedrijven hun vuil gewoon in de natuur.
Dat kun je niet verwachten van een Overheid. Daarom ben ik van mening dat dit probleem ook niet hoort voor te komen. Ook al moeten we bezuinigen dit is iets waar we in moeten investeren
En dit zijn de momenten waarop ik baal dat de Piraten Partij geen zetels heeft gekregen.
Oh kom op, wat hadden dat stel kneuzen dan moeten doen? Sorry hoor, ik wil niemand beledigen, maar het is niet alsof de PP nou van die ervaren politici op de lijst hadden staan. Het waren jonge broekies die de nodige communicatieve vaardigheden misten om überhaupt een goede discussie aan te gaan. Denk je nou echt dat zij de rest wel eens even gingen laten zien hoe het wel moet?
Aha Donner, dezelfde minister die adviseerde internet links te laten liggen.
Nou, dat belooft wat.
Nou, dat belooft wat.
Het grootte probleem is dat de overheid een bak met geld heeft welke niet leeg lijkt te kunnen en een aantal mensen die beslissingen nemen niet goed weten waarover ze beslissen en dat ook niet (willen) toegeven. Als een bedrijf zoals Tweakers.net zou blunderen zoals de overheid regelmatig doet dan gaan ze over de kop, zo vallen de zwakkere bedrijven af en blijven de gezonde bedrijven over. Echter bij de overheid kan deze selectie niet plaatsen vinden.
Inprincipe zijn daar verkiezingen voor. Probleem is alleen dat er nauwelijks ICT'ers in een politieke partij zitten op een verkiesbare plaats en het kennisniveau dus laag blijft 
ze zijn er wel, maar over het algemeen is er niet veel steun voor integere politici met kennis van zaken: uiteindelijk is de schuldige natuurlijk de "kiezer"
Een "fors debat". Ik zal hier wel voor weggemind worden, maar het spijt me heel erg. Maar waarom moet ik lachen bij de woorden "fors debat"?
Misschien omdat de regering al jaren roept dat alles veilig is en dat ze voldoende capaciteit hebben om onze waardevolle gegevens als vingerafdrukken, DNA etc. op te slaan. Ene meneer Donner die al vaker heeft laten zien dat hij cyberspace niet echt belangrijk vindt.
Ik word een beetje bang bij de combinatie: regering, veiligheid en schijnheiligheid.
Misschien omdat de regering al jaren roept dat alles veilig is en dat ze voldoende capaciteit hebben om onze waardevolle gegevens als vingerafdrukken, DNA etc. op te slaan. Ene meneer Donner die al vaker heeft laten zien dat hij cyberspace niet echt belangrijk vindt.
Ik word een beetje bang bij de combinatie: regering, veiligheid en schijnheiligheid.
Ik zat eerder nog te pleiten voor het stemmen digitaal te maken zodat je niet meer naar de stembus hoeft maar gewoon thuis met je DigiD in loggen en stemmen.
Maar dat is nog te onveilig, het zal in de toekomst wel kunnen neem ik aan.
Maar dat is nog te onveilig, het zal in de toekomst wel kunnen neem ik aan.
Dat is al eens voorgesteld, en is juridisch niet mogelijk, omdat een stem nooit en te nimmer herleidbaar mag zijn naar 1 persoon. Bovendien moet er een papieren variant van zijn, zodat stemmen altijd betrouwbaar herteld kunnen worden.Ik zat eerder nog te pleiten voor het stemmen digitaal te maken zodat je niet meer naar de stembus hoeft maar gewoon thuis met je DigiD in loggen en stemmen.
Maar dat is nog te onveilig, het zal in de toekomst wel kunnen neem ik aan.
Dan zouden handschoenen tijdens het stemmen verplicht moeten zijn aangezien ze anders de vingerafdrukken van de stembiljetten kunnen halen en die matchen aan de database.
Misschien is het wel niet zo dat alle overheids ict projecten falen. De gene die slagen hoor je niks van. Die zijn er gewoon. En dan vind iedereen normaal. Volgens mij moet elke systeembeheerder dat herkennen. Als er niks aan de had is kijken mensen je niet aan. En als er iets mis is staan ze rij-en dik aan de balie te klagen dat het ook altijd wat is.
Daarnaast denk ik dat de overheidsprojecten die falen eerder in het nieuws zullen komen dan een bedrijf wat over de kop gaat omdat ze hun zaakjes niet op orde hebben. Want wie intresseerd het nu dat de website van de garage op de hoek zo lek als een mandje is? De landelijke media in elk geval helemaal niets.
Derde puntje wat Delando ook al aan geeft. Er zitten daar te veel mensen met te veel geld die niet alles kunnen weten. En alleen opzoek zijn naar de goedkoopste bedrijven om projecten uit te voeren. En altijd de zelfde poel van bedrijven.
Ik zou er voor zijn als er een lijst wordt gemaakt van bedrijven die al eens gefaald hebben. En die dan voor de grote projecten uitsluiten. Dan voelen de bedrijven tenminste ook dat ze moeten presteren.
Daarnaast denk ik dat de overheidsprojecten die falen eerder in het nieuws zullen komen dan een bedrijf wat over de kop gaat omdat ze hun zaakjes niet op orde hebben. Want wie intresseerd het nu dat de website van de garage op de hoek zo lek als een mandje is? De landelijke media in elk geval helemaal niets.
Derde puntje wat Delando ook al aan geeft. Er zitten daar te veel mensen met te veel geld die niet alles kunnen weten. En alleen opzoek zijn naar de goedkoopste bedrijven om projecten uit te voeren. En altijd de zelfde poel van bedrijven.
Ik zou er voor zijn als er een lijst wordt gemaakt van bedrijven die al eens gefaald hebben. En die dan voor de grote projecten uitsluiten. Dan voelen de bedrijven tenminste ook dat ze moeten presteren.
Je hebt te maken met europese aanbestedings regels (de overheid moet zich ook aan de wet houden). Daarnaast is er natuulijk niets mis mee dat de overheid een beetje zuinig met het geld doet.
Dat je alleen van de mislukte projecten hoort is natuurlijk helemaal waar. Dit "forse debat" past ook volledig in het plaatje van een partij die graag schreeuwt dat het allemaal niet goed is, maar zelf eigelijk ook niet weet waar het over gaat.
Persoonlijk zie ik in dit incident nu net geen overheids fail. Volgens mij lossen ze dit vrij goed op en je kunt toch moeilijk van de nederlandse overheid verwachten dat ze alle problemen van het wereldwijde internet oplossen.
En mensen gaan nu weer faxen... Wie zegt dat daar geen "man in the middle" is.
(zelfde discussie als over de ov-chipkaart: Die kan gekopieerd worden, maar dat kon met strippenkaarten toch ook)
Dat je alleen van de mislukte projecten hoort is natuurlijk helemaal waar. Dit "forse debat" past ook volledig in het plaatje van een partij die graag schreeuwt dat het allemaal niet goed is, maar zelf eigelijk ook niet weet waar het over gaat.
Persoonlijk zie ik in dit incident nu net geen overheids fail. Volgens mij lossen ze dit vrij goed op en je kunt toch moeilijk van de nederlandse overheid verwachten dat ze alle problemen van het wereldwijde internet oplossen.
En mensen gaan nu weer faxen... Wie zegt dat daar geen "man in the middle" is.
(zelfde discussie als over de ov-chipkaart: Die kan gekopieerd worden, maar dat kon met strippenkaarten toch ook)
Het zijn vaak ook de uitvoerende externe partijen die daarin falen, mede vanwege het feit dat de ICT expertise bij de overheid voor het managen van dergelijke externe partijen is wegbezuinigd.
Ik snap alleen niet helemaal waarom de overheid MS gevraagd heeft om de update uit te stellen. Dat is immers alleen symbool bestreiding. Op het nieuws word ook elke keer verteld dat de burgers weer veilig gebruik van overheids sites kunnen maken als de certificaten vervangen zijn, maar nergens word verteld dat er dan wel gekeken moet worden of de Root CA correct is.Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Die druk is dinsdagavond iets opgevoerd, toen het softwarebedrijf de bewuste update vrijgaf. Internetters en systeembeheerders die niet willen wachten tot de automatische update uitkomt, kunnen deze nu al downloaden en installeren.
Het was IMHO beter geweest om MS ( en alle andere browser makers ) meteen de certificaten te laten intrekken, dan is het voor de burger tenminste duidelijk of hij "veilig" gebruik kan maken van een site.
Omdat het niet alleen om het bezoeken van websites gaat.
Want dat is vrij eenvoudig te veranderen.
Het probleem zit nu juist bij bijv aangiftesoftware bij accountantskantoren.
Dat werkt met BAPI certificaten. Die zullen ook vervangen moeten worden.
Door nu gelijk keihard de hele diginotar lijn te laten vallen kan het ook hierop impact hebben.
Want dat is vrij eenvoudig te veranderen.
Het probleem zit nu juist bij bijv aangiftesoftware bij accountantskantoren.
Dat werkt met BAPI certificaten. Die zullen ook vervangen moeten worden.
Door nu gelijk keihard de hele diginotar lijn te laten vallen kan het ook hierop impact hebben.
Vergeet de computer - computer communicatie niet bij bijvoorbeeld gemeenten. Ik geloof dat er iets van 50.000 certificaten vernieuwd moeten worden.
Ik snap best dat dat een tijd kan duren, maar tot die tijd kun je toch al niet meer op de veiligheid van de certificaten vertrouwen. En anders hadden de gemeentes altijd nog zelf kunnen kiezen om een bepaalde update niet uit te rollen. Maar tot de tijd dat de DigiNotar certificaten niet meer accepteert kun je dus eigenlijk geen enkel certificaat vertrouwen zonder dat je het root-certificaat controleert. Op dit moment is internetbankieren dus ook niet veilig als je het certificate path van het certificaat niet zelf controleert.
[Reactie gewijzigd door Woy op woensdag 7 september 2011 09:24]
Je hebt het steeds over "als je het controleert", maar ADQ heeft het over computer-computer communicatie. Daar is controle door een gebruiker helemaal niet aan de orde. Die processen falen gewoon keihard als een certificaat niet meer geldig is, en dan kun je ook niet even handmatig het ongeldige certificaat allowen.
Dat zou dus ook terecht zijn dat die falen, immers kan er niet meer gegarandeerd worden dat ze met de juiste partij aan het communiceren zijn, en dat is juist het hele idee van het gebruik van het certificaat.
Verder kan je nog perfect dat certificaat per PC alsnog allowen, of gewoon zorgen dat op die PC's niet de update geďnstalleerd word ( Al valt het nut van het Certificaat dan alsnog gedeeltelijk weg )
Verder kan je nog perfect dat certificaat per PC alsnog allowen, of gewoon zorgen dat op die PC's niet de update geďnstalleerd word ( Al valt het nut van het Certificaat dan alsnog gedeeltelijk weg )
[Reactie gewijzigd door Woy op woensdag 7 september 2011 12:59]
Terecht dat die falen...totdat het om systemen gaat die verantwoordelijk zijn voor de uitbetaling van jouw salaris of uitkering. In sommige gevallen is onbetrouwbare communicatie te verkiezen boven geen communicatie.
Als dat te verkiezen is, zullen op die systemen de update van de CRL en Root Certificates niet doorgevoerd moeten worden. Maar dat is nog geen reden om dan de security van de rest van alle CA's teniet te doen.
Zolang dat een bekend gehackt CA certificaat niet is ingetrokken zijn feitelijk alle andere certificaten in de wereld ook "zinloos", zolang daar niet extra gecontroleerd word wat de uitgevende instantie is.
Zolang dat een bekend gehackt CA certificaat niet is ingetrokken zijn feitelijk alle andere certificaten in de wereld ook "zinloos", zolang daar niet extra gecontroleerd word wat de uitgevende instantie is.
Maar die certificaten zijn niet meer te vertrouwen, dus die problemen zouden er hoe dan ook al moeten zijn. Immers kunnen ze die certificaten niet meer vertrouwen. Het is voor een organisatie prima mogelijk om als nog een ingetrokken certificaat te gebruiken, maar handig is het natuurlijk niet.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Consoles Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
