Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 29, views: 9.941 •

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen.

Opstelten schrijft dit als antwoord op kamervragen van VVD-kamerlid Jeanine Hennis-Plasschaert. Zij wilde weten wat de gevolgen voor de overheid waren van de afhankelijkheid van beveiligingsbedrijf Fox-IT. De minister schrijft: "Bij de bestrijding van high tech crime is soms behoefte aan een zeer specifiek specialisme waarvan het niet rendabel is dat deze binnen de opsporingsteams wordt onderhouden. In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing."

Het aantal externe bedrijven dat over de juiste expertise beschikt, is volgens Opstelten beperkt. Hij noemt de afhankelijk van bedrijven als Fox-IT 'natuurlijk onwenselijk'. Hij vult echter aan: "De ingehuurde specialisten worden binnen opsporingsonderzoeken steeds actief begeleid door opsporingsambtenaren met kennis van zaken. Daarnaast worden de tactische beslissingen binnen een opsporingsonderzoek uitsluitend door de politie en het OM genomen."

De overheid vraagt Fox-IT regelmatig om hulp bij ict-problemen. Zo werd het bedrijf ingeschakeld tijdens het DigiNotar-debacle. Verder doet Fox-IT onderzoek naar gemeentesites nadat bleek dat tientallen daarvan kwetsbaarheden bevatten. Ook andere securitybedrijven verrichten audits voor de overheid. Een aantal daarvan zou echter niet voldoen aan de vereiste kennis, zeiden securitybedrijven zelf, waaronder Fox-IT, tegen Tweakers.net. De bedrijven zouden graag zien dat de overheid of het bedrijfsleven eisen zou gaan stellen, zodat bijvoorbeeld gemeenten te allen tijde de juiste adviezen krijgen.

Uit een rondgang van Tweakers.net langs verschillende politieke partijen, blijkt dat onder meer het CDA en de PvdA niets zien in het vooraf stellen van eisen aan securitybedrijven. "Gemeenten moeten zelf kijken met wie ze in zee gaan, omdat ze zelf verantwoordelijk zijn voor hun dienstverlening. Het is geen taak van de landelijke overheid om te controleren of de bedrijven over de juiste expertise beschikken. Gemeenten kunnen in geval van twijfel een second opinion aanvragen", aldus CDA-kamerlid Raymond Knops tegen Tweakers.net. Pierre Heijnen van de PvdA sluit zich daarbij aan. "Gemeenten moeten niet met jan en alleman in zee gaan."

Reacties (29)

afhankelijkheid is niet wenselijk.
ZElf doen te duur.

Dus doen we het maar niet lijkt het wel.

De Overheid is voor alles afhankelijk van particuliere bedriujven. Kijk maar eens hoeveel consultants, waaronder ik af en toe O-), er rond lopen. Maar die toen tenminste wel wat er van ze wordt gevraagd.
De Overheid is voor alles afhankelijk van particuliere bedriujven. Kijk maar eens hoeveel consultants, waaronder ik af en toe O-), er rond lopen. Maar die toen tenminste wel wat er van ze wordt gevraagd.
Ik denk dat je bedoelt, en dat vind ik ook:
De kunst bij het uitbesteden, of verstrekken van een opdracht is niet:
Zo goedkoop mogelijk, en oh ja, het moet (eigenlijk) ook nog een beetje goed.
maar:
- Voldoen aan een bepaalde norm, waarvan vast is gesteld dat ie goed is, b.v. beveiliging, en dan eens kijken wie dat voor een redelijk bedrag kan, zodat het goed is en blijft.
En zolang het niet op zo'n soort manier gaat, blijft het mis gaan, denk ik.
De overheid kan al heel veel doen door zelf in ieder geval voldoende expertise in huis te hebben om de juiste eisen te stellen aan het beveiligingswerk van externe partijen. Je hoeft niet alles zelf te doen, maar je moet wel voldoende kennis in huis hebben om de werkzaamheden van een externe partij te kunnen beoordelen. Zelfs dat minimum expertise niveau bezit de overheid kennelijk niet meer.
En die normen heeft de overheid al vastgesteld, dat is het mooie. Vaak zijn reacties van sommige Tweakers mijns inziens wel wat kort door de bocht als er weer eens assumpties worden gedaan over hoe de overheid met IT omgaat.

Zo specificeert NORA 3.0 een (goede) normering voor informatie beveiliging.

Onder de NORA familie is er zelfs per verschillende bestuurslaag een referentie architectuur uitgewerkt.

Waarom gaat het dan toch vaak fout? Omdat de overheid erg groot is, en nog niet alle IT medewerkers 100% up to date zijn met wat in andere delen van de overheid wordt gedaan. Misschien is er nog wat winst te halen m.b.t. interne communcatie en opleidingen...

[Reactie gewijzigd door Frost_Azimov op 21 oktober 2011 17:07]

Echter roept het dan bij mij de vraag op of men daar wat mee opschiet. Doe je alleen wat je wordt gevraagd of wijk je ook af van de vragen en schiet men er ook iets mee op.
Anders ben je precies diezelfde overheid die alleen maar doet wat er gevraagd wordt en niets meer (en soms zelfs minder...)
Wacht even,... Diginotar was niet zomaar het goedkoopste bedrijf, het had ook nog dubieuze contacten in de politiek en ambtenarij......
Het is simpel de wereld draait om geld, als de persoon met jouw toekomstige geld je vraagt om iets op een minder goede manier te doen dan kun je heus wel aangeven dat het niet correct is en zelfs boos worden. Maar uiteindelijk is de keuze tussen wel of niet het geld ontvangen de enige echte keuze die je kunt maken. Je doet het werk zo als verzocht al dan niet correct en krijgt betaald zo als af gesproken of je doet het niet en krijgt dan ook niets of als je pech hebt een schade claim.

Ik werk voor een erg groot bedrijf en ik wordt gebruikt als technische vraagbaak voor allerlei projecten. Ik kan af en toe best boos worden omdat men iets op een manier op zet die simpel weg niet correct is. Ik doe dan netjes mijn plicht en leg zo duidelijk en correct mogelijk uit waarom ik vind dat het geen gedaan wordt niet correct is. Ik bied een alternatief aan en waar mogelijk reken ik zo wel de kosten voor het alternatief als de mogelijke schade door de foute manier van werken voor. Als men daarna mij vriendelijk bedankt voor de input en vervolgens besluit toch op de verkeerde manier te werken dan rest mij niets anders dan me daar bij neer te leggen.

Natuurlijk moet je dingen zo goed mogelijk doen en ik heb ook heus wel eens simpel weg geweigerd om een taak uit te voeren met als argument dat het geen mijn gevraagd werd te doen fout was. Mits je dat goed onderbouwt en uit kan leggen dan is het lang niet altijd een probleem.
Aan de andere kant als iemand me vraagt om bijvoorbeeld aan de interface tussen ons bedrijf en een kleine 150 vliegtuig maatschappijen te werken, of om mee te werken aan het vervangen van 50.000 desktops in +80 landen dan is het te begrijpen dat de mensen die hier over besluiten mijn stem amper horen tussen de tientallen andere belanghebbende. Op zo'n moment is het vaak veel meer een politiek spel dan een IT beslissing perse en dat is precies wat er binnen de overheid heel erg veel vaker gebeurt. En dit is waar veel al niet al te beste IT oplossingen geboren worden.

Natuurlijk is het makkelijk om te roepen dat moet anders en dat roep ik dan ook nog al eens met veel passie, maar realistisch gezien in een bedrijf met honderdduizenden medewerkers dat in alle landen van de wereld actief is daar zijn zo veel verschillende belangen en belanghebbende die over de jaren heen bepaalde macht hebben vergaard. Je kunt niet zo maar deze mensen hun macht af pakken en dat betekend dus dat je moeilijk nieuwe dingen kunt doen omdat de mensen met macht alleen macht hebben als andere die macht erkennen. En de enige manier waarop dat gebeurt is als ze laten zien dat ze macht hebben door bijvoorbeeld een bepaald besluit tegen te werken, of het nu verstandig is of niet maakt niet uit een bepaald percentage moet je tegen werken.

Zo als je ziet is het in het bedrijfsleven niet anders dan binnen de overheid, het grote verschil is dat de meeste bedrijven geld moeten verdienen en dus meer belang hebben bij de dingen zo goed mogelijk doen dan een overheid heeft. Ook maakt grote een groot verschil, in een bedrijf met ongeveer 250 tot 500 medewerkers kan een persoon nog erg veel verschil maken maar in een bedrijf waar een business unit al 500k mensen telt kan 1 persoon zelfs als ze binnen de absolute top werken maar weinig echt verschil maken en is het meer een kwestie van het enorme gevaarte een heel klein beetje in de juiste richting duwen op zijn best...
De Overheid is voor alles afhankelijk van particuliere bedriujven. Kijk maar eens hoeveel consultants, waaronder ik af en toe O-), er rond lopen. Maar die toen tenminste wel wat er van ze wordt gevraagd.
ik werk niet voor de overheid, maar bij een aantal consultants stel ik mij regelmatig de vraag waarom ze als dusdanig worden uitgestuurd, want vaak gebeurt het dat onze technische kennis en ervaring verder gaat dan hun theoretische kennis brengt en dan is het enige dat je krijgt een gepeperde factuur ene verloren tijd aan de huidige consultant n het zoeken naar een betere
De huidige situatie m.b.t. IT en de overheid zorgt duidelijk voor een dilemma, zoals minister Opstelten duidelijk verwoord.

Als overheid zou je eigenlijk de kennis in huis moeten hebben om je websites (communicatie is duidelijk een overheidstaak) deugdelijk te kunnen beveiligen. Zeker op niveau van het rijk. Maar dat kost geld. Meer geld dan de overheid denkt te kunnen verantwoorden (of de prioriteiten dan echt goed liggen kan je over twisten), maar zo is het nu eemnaal. Men besluit dus on 'de markt' de specialistische kennis over beveliging te laten leveren.

Nu vind ik dat persoonlijk (net als de minister) ongewenst, maar ik zou ook niet kunnen zeggen waar we het geld dan vandaan moeten halen om een overheids ICT beveiligingsdienst op te tuigen.

Ik denk echter dat er nog een (goed) alternatief bestaat. Europa. De beveiligingsproblemen zijnbijna precies hetzelfde voor alle landen in Europa, en lenen zich dus voor samenwerking. Al was het maar vanwege het 'many eyes' fenomeen, en natuurlijk om de kosten te drukken door het terugdringen van dubbel werk. Denk maar een aan het CERT in de VS.

Net zoals de rijksoverheid een rol heeft als achtervanger en aanspreekpunt van lagere overheden (gemeenten, provincies), zo zou je een Europese organisatie kunnen optuigen voor ICT veiligheid. Bijvoorbeeld onder te brengen bij Europol o.i.d.
Er zijn binnen Europe tal van als goed en deskundig bekendstaande
(nationale) expertise centra. Ik noem b.v. de BSI (Bundesamt fr Sicherheit in der Informationstechnik). Die zouden voor zo'n Europese dienst bepaalde terreinen kunnen afdekken, en daarin expertise van wereldklasse kunnen samenbrengen en Europa-breed op dat deelgebeidje het voortouw kunnen nemen. Wat er overblijft voor de centrale organisatie is dan een goed (en beveiligd) zoek- en communicatie systeem.

Zou Europa nog eens nuttig en kostenbesparend kunnen wezen.
De overheid vindt de afhankelijkheid van beveiligingsbedrijven onwenselijk? Moeten ze zelf eerst leren hoe het GOED moet... in plaats van met de goedkoopste idiotenfirma in zee te gaan (zie DigiNotar)
Zolang vrijwel alle partijen nog altijd minder ambtenaren willen zullen er altijd externen rond lopen binnen de overheid. Die tellen immers niet als ambtenaar maar doen wel de taken die overheid doet.

De dag de overheid minder regels / activiteiten en dus ambtenaren zal hebben is de dag dat er een regering komt die bij een incident zegt, ja dat kan gebeuren, het is niet anders. In plaats van het instellen van een werkgroep en het verzinnen van 300 nieuwe regels en activiteiten.
Dit kunnen ze ook niet zelf, want ze mogen maar tot een bepaald bedrag aan salaris gaan en daar komen dergelijke zwaargewichten niet voor werken omdat ze in het bedrijfsleven een betere beloning krijgen.
Dus ofwel mag de overheid eens in gaan zien dat de minister president niet de hoogste kwaliteiten heeft die je maar kunt hebben en dat salaris dus het plafond is dat ontvangen kan worden, maar dat er ook specialisten zijn die een hoger salaris dan de minister president verdienen.

Op dat moment kunnen ze zelf de expertise in huis hebben en ondanks dat het niet rendabel is ten opzichte van externe partijen, hebben ze het dan wel zelf in huis.
Het ligt er dus maar aan hoeveel je dat waard vind.
je kunt ook zeggen dat die 'specialisten' wellicht gewoon niet zo gierig moeten zijn en ook genoegen kunnen nemen met slechts 2 ton per jaar... lees wel dat is bijna 20 duizend euro per maand - ergo bijna 1 jaar salaris van een hardwerkende aarbeider.

all die figuren die lekker op kosten van de staat hebben gestudeerd omdat ze toevallig net iets makkelijker konden leren dan hun klasgenootjes, schijnen wel eens te denken dat ze er hard voor hebben moeten werken, terweil ze met hun luie aars op een mega jacht in santrope liggen te dobberen.

en dan heb ik het dus over 2 ton, niet eens over de 1,3 mln die sommigen daar nog als bonus bij krijgen, terweil hun bedrijf notabene verlies heeft gedraaid..
Volgens mij ben jij de werkelijkheid redelijk uit het oog verloren, in elk van je 3 alinea's
op alinea 1: als je 2 ton per jaar verdient, betaal je 1 ton per jaar aan belasting. Dus zou je er blij mee moeten zijn dat er mensen zijn die dat op (moeten) hoesten.

Op alinea 2: Iedereen leert 100% op kosten van de staat. OP studeren na, daar heb je ook een eigen bijdrage.

OP alinea 3 kan ik het zelfde zeggen als op 1

Eigenlijk ben je gewoon stinkend jaloers op die mensen die zichzelf zo hebben ontwikkeld dat ze een dergelijk salaris kunnen toucheren.
Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen.
Ja zeg dan NIKS.
Ivo Opstelten moet zich hier ook helemaal niet mee bemoeien, staatsveiligheid is een taak van defensie.
Ik begrijp niet dat de overheid dit niet onderbrengt bij IVENT (defensie) http://www.defensie.nl/cdc/ivent/

Het valt immers onder bescherming van de nederlandse overheids ICT. Ze zijn ook deelnemer van GOVCERT http://www.govcert.nl/community/Deelnemers

Weet de minister wel van het bestaan van deze interne diensten?
IVENT zou de kennis moeten beschikken, maar uit eigen ervaring kan ik vertellen dat ook daar de kennis en expertise schaars is.

waar het bij IVENT vooral aan schort is het gebrek aan praktijk ervaring/toepassing in de praktijk, veelal zie ik producten van IVENT de revue passeren die theoretisch voldoen aan wat er gevraagd word, echter in de praktijk niet toepasbaar zijn, danwel matig beveiligd zijn.

en wat nog verontrustender is, is dat IVENT producten produceert voor vergelijkbare prijs-maatstaaf als Fox-IT, maar veel minder presteert kwalitatief.

[Reactie gewijzigd door un1ty op 21 oktober 2011 16:17]

Bij de overheid lopen een aantal zeer uitmuntende security tweakers rond. Maar dat zijn het ook tweakers iaw. werkers, die niet altijd (h)erkend worden door hun leidinggevenden.

Inhuur is goed voor aanvullende expertise in specifieke gevallen., specialisten in eigen dienst verdienen meer, maar minder inhuur en/of minder puin op de werkvloer is evenduur of goedkoper. (Oh ja, goedkoper mag niet, dan wordt je gekort...uitgeven dat geld)
Dus het zal een combinatie van beide moeten blijven.

Het probleem zit bij het ambtenaren apparaat wat graag een leidinggevende functie bekleedt en het grootste deel van het budget weghapt..

Hier zitten genoeg storende factoren die het efficient en kundig opereren van een overheids ICT belemmeren door....gebrek aan kennis.
Tevens is elke overheids instantie zelf het wiel aan het uitvinden.

Het kundig stroomlijnen van de overheids ICT diensten met een centrale aansturing en een hoop 'loze' ambtenaren eruit en hiervoor (minder, maar duurdere) kundige specialisten en leidinggevenden in de plaats zou bij gelijkblijvend budget zeer goed mogelijk zijn.

Je mag hierop flamen als je wilt, maar dit is mijn ervaring met diverse overheden op alle niveaus. Zoals: 60 man vast/inhuur eruit en vervangen door 6 tweakers + 1 manager (+ randvoorwaarden als verplichte en vrijwillige cursussen). Er wordt nu meer werk uitgevoerd en meer budget voor andere IT aanbestedingen. (lees: bonus voor directeur, anders kan je echt geen ambtenaren ontslaan/re-alloceren)

[Reactie gewijzigd door kwakzalver op 21 oktober 2011 14:15]

[...]
Het probleem zit bij het ambtenaren apparaat wat graag een leidinggevende functie bekleedt en het grootste deel van het budget weghapt..
[...]
Zelf kom ik al de nodige jaren bij diverse bedrijven, resp. heb ik meerdere werkgevers gehad. Eigenlijk zie je dit overal, en niet alleen bij de overheid: managers worden "meer gewaardeerd" dan "techneuten" en de laatsten delven regelmatig het onderspit t.o.v. de managers. En dit geeft wel eens problemen.
En dan kun je de techneuten wel een soort "communicatie probleem" verwijten, maar het zit aan beide kanten: de techneut moet de boodschap willen overbrengen, en de "organisatie" moet er naar willen luisteren. Zonder dat laatste is het eerst zinloos.
Je kunt een ambtenaar niet zomaar ontslaan. Die hebben verregaande bescherming in zo'n situatie, dus even 'eruit' is er niet bij. En ambtenaren die werkloos raken kosten ook geld, immers wachtgeld of ww.

Daarnaast is het onrealistisch om te denken dat het werk van 60 mensen wel even vervangen kan worden door 6 + een manager. Ja, door een flinke efficiency slag is het misschien mogelijk om bepaalde werkzaamheden uit te faseren, maar met een factor 10 het personeel reduceren en verwachten dat dan de output hetzelfde blijft (of beter wordt) is niet reel.
Dat is wellicht wel de richting dat het in zou moeten gaan,
kwaliteit tegen kwantiteit, wellicht moeten mensen maar gaan accepteren dat sommige dingen wat langer duren, maar het uiteindelijke resultaat beter is (beide functioneel en veilig)
Ik vind het juist goed dat er zulke externe bedrijven zijn. Ik ken Fox-IT niet heel goed, heb alleen dingen van ze gezien. Maar ik zit zelf al jaren bij kleine professionele IT bedrijven en kom regelmatig voor projecten van een paar dagen tot hooguit een paar weken bij overheid, ziekenhuizen, scholen en bedrijven. Wat ik zie is dat kleine partijen die dingen op moeten leveren veel meer kennis in huis hebben dan een grote logge organisatie. Je verzand naar mijn mening anders teveel in operationele en politieke zaken en dan komt er niks meer terecht.
Het strafste vind ik toch wel het laatste, dat de overheid niet moet beslissen met wie de gemeentes mogen werken. Het is een teken dat ze het belang nog steed niet inzien, als je bedrijfsrevisor wil worden moet je je ook laten acrediteren. Ik vind dan dat bedrijven dit ICT securety audits doen dat dan best ook mogen hebben. Niet dat overheidsaccreditatie steeds werkt , kijk maar naar de energie certificaten voor vlaamse huizen. Maar meestal gaat het met vallen en opstan toch in de juiste richting.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Sony Apple Games Besturingssystemen Politiek en recht Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013