Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 48, views: 23.485 •

Op websites van de gemeente Eindhoven kan niet meer met DigiD worden ingelogd. De rijksoverheid heeft besloten om de koppeling met DigiD te verwijderen omdat meerdere websites van de gemeente met ernstige beveiligingsproblemen kampten.

Digid-logoDe beveiligingsproblemen werden door Webwereld opgespoord en onder andere aan de rijksoverheid gemeld, waarna overheidsautomatiseerder Logius besloot om de gemeente Eindhoven van DigiD los te koppelen.

Het grootste beveiligingsprobleem zat in een portal waar inwoners gemeentelijke belastingzaken kunnen regelen. De JBoss-beheerinterface van de website zou vanuit een webbrowser te benaderen zijn geweest, zonder dat authenticatie vereist was. Gebruikers zouden beheerinstellingen hebben kunnen aanpassen om zo bijvoorbeeld de versleuteling van verbindingen te manipuleren.

Andere gemeentesites zouden kwetsbaar zijn geweest voor sql-injectie en xss, en op meerdere plaatsen werden persoonsgegevens van burgers over een onbeveiligde verbinding verzonden. De gemeente heeft de sites inmiddels offline gehaald. Logius herstelt de DigiD-koppeling met Eindhoven pas als alle beveiligingsproblemen zijn opgelost.

Eindhoven is de zoveelste gemeente die deze maand van DigiD wordt afgesloten: eerder deze maand bleken vijftig sites van vooral kleinere gemeenten nauwelijks beveiligd, waardoor ze hun koppeling met DigiD verloren.

Reacties (48)

Het lijkt me de enige juiste reactie. Als je sites waarin lekken blijken te zitten aan DigId gekoppeld houdt, dan raakt dat het vertrouwen in het DigId systeem. Dat is toch al twijfelachtig geworden na de certificaten hack, en veel meer imagoschade kan het niet hebben. Dat zou grote gevolgen hebben voor de digitale overheid. Denk maar eens na hoeveel extra het kost als mensen hun belastingaangifte bijvoorbeeld niet meer digitaal durven te doen...
Dit lijkt wel het enige signaal waar de gemeenten naar luisteren. Het wordt eens tijd dat ICT geen sluitstuk is op de begroting!
En het gevolg is dat gemeente zelf iets in elkaar gaan prutsen waarbij een koppeling naar het GBA gemaakt word voor authenticatie. Ik heb het wel eens op een website van gemeente gezien, maar weet niet zo snel welke.
Je bedoeld zeker dat het tijd wordt dat er serieuze aanbestedingen worden gedaan op het gebied van ICT. Het nadeel waar we al jaren mee zitten is dat als een overheidsinstelling iets met ICT doet, dit altijd met veel haken en ogen gepaard gaat.
De eisen zijn nooit duidelijk, er zitten te veel lagen tussen die menen te moeten meebeslissen en het lijkt in heel veel dingen (niet alleen ICT) dat er veel hogere prijzen worden gevraagd omdat het de overheid is.

Als er eens fatsoenlijk beleid zou zijn, dat ook wordt gevolgd, dan kunnen dit soort problemen al veel eerder minder frequent voorkomen en herstelt dat misschien weer wat van het wankele vertrouwen dat de gemiddelde burger in de overheid heeft.

Dat het huidige model niet werkt hebben we de afgelopen maanden maar al te duidelijk gezien!
Komt dit niet omdat de ICT-bedrijven die groot zijn, en goed zijn in marketing, niet de meest competente ICT-bedrijven zijn en vice versa?

Het wordt tijd dat (het kwalitatief betere deel van) de ICT-wereld stopt met het klagen over slechte aanbestedingen en inziet dat voor het binnenhalen van een deal simpelweg goeie marketing nodig is.
Je kunt een leek van de overheid niet in hardcore jargon uitleggen wat je te bieden hebt. Dit moet nu eenmaal in PR-taal. Elke sector lijkt dit volledig te snappen, behalve de ICT-sector.

En ja, natúúrlijk zijn die gladde marketing-driven bedrijven een schande in het oog van de betere ICT-guru, maar het enige dat je daaraan kunt doen is je ICT-bedrijf beter aan de man brengen.
Daar kun je nog bij aanvullen, dat ambtenaren alles wel best vinden, 'als het maar werkt' en worden er ook oplossingen van leveranciers gekozen en daar wordt zoveel mogelijk bij gehouden.

Dus een veiliger OS wordt al per definitie niet gekozen, omdat men het niet kent en geen kennis van in huis heeft en wil hebben.

Zelf denk ik, ontwikkel dan als overheid, misschien zelfs in combinatie met andere overheden, een op selinux gebaseerde veilige distro en zorg dat dit op zijn minst beschikbaar komt voor overheidsinstanties. Zorg dat hier personeel voor te huur is, trainingen in gegeven worden en dat men een veilige 'start' kan maken met geschoold personeel.

Dat uiteindelijk iemand de voordeur van het admin account, zonder wachtwoord beveiligd, open laat staan voorkom je natuurlijk niet mee, maar de kans is in ieder geval een stuk kleiner.
Ik ben het geheel eens met je dat sites waar lokaal problemen mee zijn, mbt veiligheid geblokkeerd zouden moeten worden om het geheel veilig te houden. Wat ik echter niet begrijp is waarom het rijk niet een bepaald template maakt dat de provincies / gemeentes / instanties gewoon in kunnen vullen naar hun eigen voorkeur, maar waarbij het grootste gedeelte al klaar is. Bijvoorbeeld dat je dan de site overheid.nl hebt, waaronder dus alle sites onder vallen, bijvoorbeeld als amsterdam.nh.overheid.nl of s-gravenhage.zh.overheid.nl en uwv.overheid.nl.

Op die manier heeft Amsterdam en Den haag hun eigen website, maar ook Noord-holland (als nh.overheid.nl), andere provincies, en ook instanties allemaal hun eigen website. Dan krijg je een consistente look, functionaliteit, en dergelijke, dus is het niet zo'n chaotische bedoeling als het nu is. Plus je drukt de kosten ontzettend, want niet iedere provincie / gemeente / instantie hoeft 't wiel opnieuw uit te vinden. Want ik kan bijvoorbeeld bij mijn.overheid.nl prima inloggen met opera. Bij de belastingdienst ook, maar werk.nl? Vergeet 't maar. Not a chance.
Nou lekker is dat, Begin me ondertussen wel een beetje te schamen zo als Nederlander. Bijna om de 2-3 dagen staat er wel weer een bericht op T.net dat het IT van onze overheid belabberd is.

Snap niet waarom er zoveel lekken zijn. De overheid smijt altijd met het geld nou laat ze dat nu eens doen om een paar fatsoenlijke ontwikkelaars in te huren.
Scheer jij alles weer lekker over de spreekwoordelijke kam. We hebben het hier over één gemeente! Niet de totale overheid.

Dit staat overigens los van het feit dat deze fouten in geen enkele instantie voor mogen komen.
Er waren 50 gemeentes waar het niet op orde was, er is er nu 1 die geen DigID meer mag gebruiken, maar op 450 gemeentes is 50 gemeentes waar het niet op orde is, veel te veel natuurlijk, en kan ik me prima zijn reactie voorstellen.
nee hoor ze zijn alle 50 hun link met DigID verloren, dit is alleen een grotere gemeente.

Het lijkt erop dat ze dus nog niet alle sites getest hebben als er nu weer nieuwe gevallen bijkomen. Ik ben dus ook wel benieuwd hoeveel sites er al getest zijn (en wat dus de verhouding is).
En dit zijn dan nog wel diegenen die overal waar ze kunnen lopen rond te bazuinen hoe slim ze wel niet zijn...
Als inwoner van Ehv heb ik dan toch het gevoel dat ze het regio gemiddelde onderuit halen.
Als mede eindhovenaar, moet ik wel erg lachen idd, met de posters overal: "Gemeente Eindhoven, Slimste regio van de wereld".

Jammer dat ze die slimheid niet 'thuis' toepassen.
Jammer dat je zo ongenuanceerd reageerd. Hoewel je wel ergens een punt hebt qua overheid en IT horen deze daar niet echt bij. Gemeentes hebben de sites in eigen beheer, of eventueel in beheer bij onafhankelijke groepen die de websites van meerdere gemeentes bijhouden.
En sinds wanneer is een gemeente geen overheidsinstelling? Het is misschien de lokale overheid maar het blijft de overheid. Zeker de gemiddelde burger zal dat verschil worst wezen als blijkt dat het weer eens mis is!
Het probleem zit hem niet zo zeer/niet alleen in goede ontwikkelaars. Het probleem zit voornamelijk ook hoger in de boom.

Om een goed ontwikkelproces op poten te zetten heb je mensen nodig die weten wat ze aan het doen zijn. Niet alleen op het niveau van de ontwikkelaar, maar zeker ook op het gebied van architectuur, ontwerp en management. Zonder goede architectuur geen goed ontwerp, zonder goed ontwerp geen goede software-ontwikkeling. Voordat je echter tot een goede architectuur/goed ontwerp kan komen moet je eerst weten wat de klant nu precies wil en dat boven water halen is al een vak apart. Spijtig genoeg wordt dat vaak genoeg door onbekwame mensen geprobeerd, met als gevolg dat je aan iets begint te bouwen wat niet naar wens van de klant is, om vervolgens wijziging op wijziging te krijgen.

Dat laatste zou ook nog niet eens zo'n probleem zijn, ware het niet dat je ontwikkelproces daar dan wel op ingericht moet zijn. Bijvoorbeeld Agile ontwikkelen en dan niet alleen op papier maar ook echt in de praktijk. Bij een ouderwetsche Watervalmethode is het einde echter snel zoek is mijn ervaring.

Het is dus niet alleen de ontwikkelaar die het 'm doet. Daarnaast zou de IT wereld ook enorm geholpen worden als iedereen zijn ego eens liet varen en voor de beste oplossing zou kiezen i.p.v. voor wat iemand zelf als oplossing voor ogen heeft.

[Reactie gewijzigd door RvL op 27 oktober 2011 08:08]

Alhoewel dit normaal helemaal klopt denk ik niet dat dit hier opgaat. Deze websites zijn 9 van de 10 keer uitbesteed aan bedrijven welke gewoon niet de juiste kennis in huis hebben blijkbaar. Managers zijn van veel de schuld, door hun oude denken, maar hier kunnen ze niet veel aan doen. Als jij een website laat ontwikkelen zou deze ongeacht het ontwikkelmodel gewoon veilig moeten zijn.

Dat er nog steeds bedrijven bestaan die hun code afleveren zonder dat er op bepaalde plekken de args worden gecontroleerd op vreemde input betekend gewoon dat de kwaliteitscontrole bij dat bedrijf 0,0 geregeld is, wat ik in de praktijk helaas nog maar al te vaak tegen kom. Een Team van 5 man maakt code, met mooie praatjes over hoe ze via svn alles mooi met elkaar synchen, maar elkaars code wordt nauwelijks gezien.

Het enige wat een overheid hier tegen kan doen is een licentiesysteem waarbij de overheid steekproefgewijs code controleert bij bedrijven die aan de overheid leveren waarna bedrijven een mooi certificaat krijgen. Ik ben hier zelf overigens tegen, de kosten die hierbij meekomen zijn vrij groot, gemeentes zullen dit zelf niet doen al wordt het ze verplicht (en bedrijven zijn welwillig om voor een paar 1000 euro "kwaliteitscontrole" op de factuur te vermelden).

Toko's die zulke grove fouten maken in hun sourcecode dienen gewoon wettelijk aangepakt te worden. Dergelijke bedrijven moeten gewoon aansprakelijk worden gesteld voor hun slechte source code (in ieder geval het aankoop bedrag terug, wat in dergelijke aanbestedingen vaakt oploopt in de duizenden euro's). Als jij als bedrijf een slecht product afneemt ontbind je toch ook het aankoopcontract, eventueel via de rechtbank? De overheid moet stoppen met "maar een ander project op te starten".

Als je nu eenmaal in het overheidsaanbestedingen wereldje rondloopt zit je als bedrijf goed. Je krijgt opdrachten waar voor veel geld al redelijk weinig hoeft te gebeuren en de controle op wat je maakt is nihil. Als de functievoorwaarden er maar in zitten....
Je hebt gelijk dat, in het voorbeeld wat je aanhaalt, het in eerste instantie de ontwikkelaars zijn die de fout maken. Het is echter wel te voorkomen dat dergelijke code ook echt in productie genomen wordt.

Er zijn voldoende mogelijkheden om een code inspectie of een code review te doen. Ook op het gebied van testen zijn er voldoende mogelijkheden om dergelijke fouten op te sporen (penetratietesten om maar een van de voorbeelden te noemen). Dat kost echter geld en daar wringt 'm de schoen. Testen wordt bij websites nog steeds gezien als overbodig want 'het werkt toch?'.

Testen kan echter veel meer aantonen dan alleen de juiste werking van een product. Zeker zaken als SQL injectie en cross scripting zijn te vinden door te testen. Dat kan zelfs geautomatiseerd als de klant dat wil. Maar daar wil men niet aan. De awareness dat testen echt nodig is ontbreekt nog steeds bij heel veel bedrijven. Dat is echter iets wat je als opdrachtgever zou moeten eisen, zeker als overheid zijnde. Maar dan komen we weer uit bij het beschikbare budget en is het cirkeltje weer rond...

Certificering kan werken, maar dan moet het wel op de juiste manier gedaan worden, met relevante harde eisen aan software en broncode. Zoals jij het zo pakkend omschrijft is helaas zoals het maar al te vaak gebeurd en niet meer dan een wassen neus.

offtopic:
Ooit een een interne 'certificering' voor veilige software meegemaakt waar je al aan kon voldoen door je broncode op een interne SVN server te zetten en je computer te locken als je van je plaats ging 8)7

[Reactie gewijzigd door RvL op 27 oktober 2011 08:55]

Alhoewel dit normaal helemaal klopt denk ik niet dat dit hier opgaat. Deze websites zijn 9 van de 10 keer uitbesteed aan bedrijven welke gewoon niet de juiste kennis in huis hebben blijkbaar.
Dat niet alleen, maar het is ook een kwestie van geld: Gemeentes hebben een lange tijd een policy gehad om de goedkoopste aanbieder van externe diensten aan te nemen - bijvoorbeeld de schoonmaak, maar dus ook wel ontwikkeling.

Een tweede punt is natuurlijk dat de opdrachtgever - een mannetje of een commissie binnen de gemeente - geen verstand van zaken heeft en/of geen budget heeft om iemand met verstand van zaken in te huren als adviseur. Dus de kwaliteitscontrole naderhand... is niet zeker.
Ik weet niet of het bij de gemeente Eindhoven zo is, maar het outsourcen naar landen als India werkt dit soort problemen zeker in de hand. Je kunt nog zo goed programmeren en het kan allemaal fantastisch werken, maar als je geen flauw idee hebt van het fysieke proces op de werkvloer, dan kun je er op wachten dat het programmatuur onbedoelde mogelijkheden biedt (lees: veiligheidslekken).
En ook bij jou valt de term informatiebeveiliging niet. Je omschrijft goed hoe een proces zou moeten lopen maar, net als velen anderen, wordt informatiebeveiliging als een onderdeeltje van het één en ander gezien terwijl het toch echt een apart onderdeel zou moeten zijn.
Informatiebeveiliging wordt heel erg onderschat en wordt nog steeds als iets ICT-achtig gezien, en is dan ook meestal in die hoek belegd. Echter het gaat verder dan alleen ICT, het overkoepeld het werkproces van een volledige organisatie. Dus er is niet alleen de ICT kant maar ook de proces en mens kant die beoordeeld moet worden.
Dat zie je nog steeds niet of nauwelijks terug in projecten. Uit een eerder rapport bleek dat veel gemeenten niet eens over Informatiebeveiligingsbeleid beschikten. Het valt me dus alleszins mee dat er zo weinig lekken naar buiten komen. Volgens mij wordt er niet goed genoeg gezocht, want er zijn er nog veel meer.
Informatiebeveiliging is inderdaad een hele hoop meer zoals je al schrijft. En zeker geen onderdeeltje van een IT project.

Er moet wel zorg voor worden gedragen dat het geldende informatiebeveiligingsbeleid (of vergelijkbaar) ook wordt gevoerd door de bedrijven waaraan opdrachten worden uitbesteed. En daar komt ook direct het budgetprobleem weer om de hoek zeilen, want die zijn over het algemeen een stukje duurder dan Toko X die wel even een website in elkaar hackt (of nog erger, een stagiair die een beetje handig is met een CMS...).

In principe zou de overheid mijn inziens geen zaken mogen doen met bedrijven die geen deugdelijk en actief uitgevoerd informatiebeveiligingsbeleid hebben, eventueel ondersteunt door een ISO27001 certificering. Maar dan nog, met een informatiebeveiligingsbeleid alleen ben je er niet. Ook met een ISO27001 certificering kun je prima hele slechte software schrijven.

[Reactie gewijzigd door RvL op 27 oktober 2011 10:08]

Daarnaast zou de IT wereld ook enorm geholpen worden als iedereen zijn ego eens liet varen en voor de beste oplossing zou kiezen i.p.v. voor wat iemand zelf als oplossing voor ogen heeft.
Dit geldt op heel erg veel lagen. Ik neem aan dat jij hier de overheid voor ogen had die de beste oplossing moet kiezen, maar het geldt ook voor developers.

Te vaak kom ik in een development team van haantjes die denken het allemaal super goed te weten, maar ondertussen ver onder de maat presteren. Development blijft hoe dan ook erg veel kennis, ervaring en talent vereisen, en niet iedereen heeft dat. Maar in veel teams is het gewoon not-done om te stellen dat iemand een 'mindere' developer is.

Dan komt zo'n 'mindere' developer met code die gewoon niet goed is. Het is veels te simplistisch (simpel is goed, simplistisch niet!), geen rekening houdt met welke anomalie dan ook en slechts ongeveer doet wat vereist is. Kortweg het is prutswerk.

Er wat van zeggen is moeilijk, ook als onpartijdige statische code analyse overduidelijk problemen aangeeft. Voor je het weet ben je partijdig, heb je wat tegen die developer en wordt er keihard op de man gespeeld. Niet zelden loopt zo'n situatie uit de hand en om de gemoederen te bedaren wordt de code van de mindere developer dan maar geaccepteerd of wordt jij overgeplaatst naar een ander team of zelfs bedrijf.

Men wil de problemen gewoon niet zien en klokkenluiders worden te vaak verketterd.

Om dit aan te pakken zou je misschien een beter systeem van rangen moeten hebben in de IT, of meer onafhankelijke proces controles. Het is heel erg lastig en ik weet zelf niet wat de oplossing is, maar dat er problemen zijn is mij wel duidelijk.
Omdat webwereld Oktober heeft omgedoopt tot Lektober en aangespoord heeft om lekken te vinden op overheid websites. De originele reden was volgens mij om de politici eens en voor altijd de mond te snoeien dat Nederlandse websites "veilig" zijn.

http://webwereld.nl/dossi...d-van-het-privacylek.html

Een goed initiatief zolang er maar geen privacy issues ontstaan (wat natuurlijk weer onmogelijk is met hacking)

Dat de overheid met geld smijt wil natuurlijk niet zeggen dat ze een goed en veilig eindresultaat krijgen. Zoals al vaak hier aan bod is geweest is onze overheid geen ster in ICT en zal dus vaak ook niet eens weten wat ze willen of krijgen. De hopeloze wisselingen van meningen en ambtenaren zorgen er naar mening voor dat ze zelfs het beste plan (voor een website bijvoorbeeld) onderuit kunnen schoffelen. Daar kan de beste website designer nog niets aan doen.

Goed voorbeeld:
http://theoatmeal.com/comics/design_hell

[Reactie gewijzigd door dycell op 27 oktober 2011 08:16]

Ach, de verschillen tussen overheid (en hier op t.net worden alle overheden + aanleverende commerciele bedrijven + alles waar over en heid in dezelfde zin voorkomen op een hoop gegooid) en commerciele bedrijven zijn klein, ik gok dat het vooral met algemene ICT incompententie te maken heeft, teveel focus in nederland op papieren kennis en te weinig inhouse ervaring bij overheden (en bedrijven overigens idem).
Tel daar vaak incompetent management en gebrek aan politieke wil EN gebrek aan steun voor veranderingen bij de kiezer mee en je kunt wel aanvoelen dat dit niet zo snel zijn veranderen.

* blouweKip wordt treurig van al het onderbuik gevoel wat tegenwoordig richtinggevend is en het feit dat schijnbaar al de beste stuurlui aan wal staan

[Reactie gewijzigd door blouweKip op 27 oktober 2011 13:15]

Je snapt niet waarom er zoveel lekker zijn? Matig geschoold personeel aannemen / inhuren die een websiteje moeten opzetten bij de gemeente en geen kaas hebben gegeten van allerlei vormen van web vvulnerabilities zoals SQLi, XSS en RFI.

Functionaliteit komt op dit soort websites altijd boven beveiliging, wat natuurlijk erg merkwaardig is, als je ziet wat voor gegevens achter een dergelijke website zijn opgeslagen.

[Reactie gewijzigd door Sniffert op 27 oktober 2011 08:54]

ik neem aan dat de meeste gemmentes niet zelf een site in elkaar hacken, maar dit uitbesteden dit zal dan wel gaan via een aanbesteding waarbij de goedkoopste / mooiste praatjes en design (van alle dure, want het is voor een overheids instelling, dus proberen we er een slaatje uit te slaan) maar blijkbaar dus ook de minste kennis heeft van beveiliging.
Het voornaamste probleem zal hierbij zijn dat, zeker voor de kleinere gemeenten, een efficiënte en veilige webomgeving relatief veel geld kost, voor iets waar een minimaal gebruik tegenover zal staan. Nu is een gemeente als Eindhoven hierop natuurlijk een uitzondering; maar voor gemeenten met een klein inwonersaantal tussen de 3 000 en 30 000, wat zal je bereik nu éénmaal digitaal zijn, en welke kosten wil je daar als gemeente aan spenderen?

Hierbij moet de overheid als overkoepelend orgaan simpelweg bij voorhand al zeggen dat gezien de uniformiteit en veiligheid zij deze taak op zich nemen. Eén systeem, één geheel. Geen losliggende splintertakjes meer met ieder hun eigen problematiek, geen afschuiven van de verantwoordelijk. Maar een centraal initiatief waarbij het dan dus ook vele malen interessanter wordt om als overheid ervoor te zorgen dat je ICT'ers in dienst kan nemen welk actief bij de beveiliging hiervan gemoeid blijven.

De huidige chaotische methodiek om iedere gemeente maar zelf te laten klussen, zou eigenlijk voor een land als Nederland anno 2011 niet meer moeten kunnen. Het staat amateuristisch, duidelijkheid is veelal ver te zoeken tussen diverse gemeente sites omdat er weinig uniformiteit is, en het is een cumulatief beveiligingsrisico.

Het is dan ook niet voor niets dat de zakelijke markt niet werkt met een AH-Zeewolde.nl, albertheijneindhoven.eu, mediamarkt-rotterdam.nl, etc. Maar wel op nationaal, en voor vele bedrijven zelfs internationaal niveau, één digitaal punt hebben.

@Korben: Zoals ik reeds ook al schreef, is de gemeente Eindhoven uiteraard een uitzondering op de overige kleinere gemeenten.

[Reactie gewijzigd door psychodude op 27 oktober 2011 09:08]

We hebben het hier wel over Eindhoven, de 4-na-grootste gemeente van Nederland. Die hebben niet door een random medewerker die wat van computers weet een website in elkaar laten prutsen, maar door GX, die ook de website van KPN hebben gebouwd. Geen goede reclame voor GX overigens.
Eindhoven laat haar websites door meerdere leveranciers bouwen. Alle sites die genoemd staan in het WebWereld-artikel zijn momenteel uit de lucht. De GX-sites worden niet in het artikel genoemd, zijn niet getroffen en zijn dus ook niet uit de lucht.
Je hebt gelijk als je zegt "Geen goede reclame voor GX", omdat veel mensen deze link zullen leggen. Maar dat is dus niet terecht, het gaat om sites van andere leveranciers. Eindhoven.nl heeft er overigens wel last van dat het DigiD-account tijdelijk geblokkeerd is, maar de oorzaak daarvan ligt dus elders.
De GX-sites worden niet in het artikel genoemd, zijn niet getroffen en zijn dus ook niet uit de lucht.
I stand corrected. Het lijkt er op dat GX voornamelijk de hoofdsite van Eindhoven heeft gebouwd, en inderdaad niet de getroffen sites. Daar heeft Eindhoven dan in ieder geval nog geluk mee gehad.
Nou, denk maar niet dat het in andere landen beter is hoor. Ik heb regelmatig te maken met overheidswebsites in het buitenland en geloof me, Nederland ligt qua websites voor overheden ver voor hoor.
Dat je bij het beheer van een applicatieserver kan heeft niets met ontwikkeling te maken maar puur met beheer. Het is een onvergefelijke fout die nooit gemaakt had mogen worden.
De overheid smijt altijd met het geld nou laat ze dat nu eens doen om een paar fatsoenlijke ontwikkelaars in te huren.
Het zit hem ook vaak in de harde deadlines en het gebrek aan (onafhankelijk) testen. Je kunt nog zo'n goede developer zijn, je eigen fouten zie je vaak niet. Overigens zijn de genoemde zaken geen 'fouten', maar zaken die in de ontwerpfase al fout zijn gegaan.
Stel dat ik de developer was die het moest bouwen, en het moet op datum x af zijn, en een extern systeem waar ik mijn gegevens vandaan haal heeft geen SSL verbinding/certificaat. Moet ik dan gaan verkopen dat het op datum x niet af is omdat systeem y niet goed is ingesteld (dat systeem ligt buiten mijn scope)? Wat denk je dat de gemeente dan zegt? a) we gaan dat oplossen en trekken er wat los geld voor uit om dat door partij z te laten fixen of b) je zorgt maar dat het werkt en anders huren we de concurrent in en krijg je niks.
Welcome in the real world. De IT-ers krijgen nu de schuld terwijl het ook aan afschuivende, incompetente (aansturende) ambtenaren kan liggen.

[Reactie gewijzigd door Rick2910 op 27 oktober 2011 09:30]

Tja, je zegt nu overheid, maar dit is echt niet alleen bij overheid.. en Nederland is echt niet het enige land waar er zulke lekken zijn.

Enuh, de gebruikte 'fatsoenlijke ontwikkelaars' zijn van de grote detacheerders zoals PinkRoccade etc, dus je kunt dan eigenlijk wel bedenken hoe slecht het gesteld is met deze IT-bedrijven, welke dus voor veel grote bedrijven weer projecten doen. Zolang ze uren kunnen schrijven zal het ze een rotzorg zijn..

Overigens, iedereen kan wel eens een foutje maken, en vergeet niet dat er elke dag weer mogelijkheden gevonden worden die een lek tot gevolg heeft waarvan voorheen gedacht werd dat het rete-veilig was.. Wil je totale veiligheid, dan moet je in iedergeval niet toegang verlenen via internet.
Nou lekker is dat, Begin me ondertussen wel een beetje te schamen zo als Nederlander. Bijna om de 2-3 dagen staat er wel weer een bericht op T.net dat het IT van onze overheid belabberd is.
Omdat het een Nederlandse site is, niet alle problemen bij de IT voorziening van de overheden in Canada, Brazilië, Italië of Groot Brittannië (ik noem maar wat landen) staan op deze site. Je kan de conclusie je jij trekt niet trekken, of hooguit als onderbuik gevoel classificeren.
De tekst in het artikel is ietwat misleidend omdat het suggereert dat de DigiD koppeling gecompromitteerd zou kunnen zijn. Aangezien dat een soap koppeling (https) via dubbelzijdige certificaten verloopt zou het rotzooien hiermee uitermate moeilijk zijn geweest omdat ze dan de DigiD kant ook hadden moeten aanpassen. Maar dan nog zijn er zat scenario's te bedenken waarbij er misbruik kan worden gemaakt van deze onbeschermde toegang.

Dit voorbeeld toont ook maar weer eens aan dat ook grote gemeenten dit kan overkomen en het zelfs lijkt dat hoe groter de gemeente hoe meer mogelijke gaten kunnen zitten.
Waarom laat elke gemeente volledig afzonderlijk een website/dienst maken. De meeste gemeentes zullen voor een groot deel dezelfde diensten en services leveren dus volgens mij moet het mogelijk zijn om een soort template website/dienst te maken die door de meeste gemeentes gebruikt kunnen worden. Op die manier kan er veel geld bespaard worden wat dan weer gebruikt kan worden om bijvoorbeeld meer aandacht te geven aan de beveiliging van de website/dienst.
Omdat elke gemeente een eigen koninkrijkje is...
Helemaal mee eens. Ik begrijp ook niet waarom elke gemeente weer opnieuw het wiel moet uitvinden. Dat is vragen om ellende en kost bakken tijd en geld.
Dat zal nooit werken. De diensten zijn wel het zelfde, bijvoorbeeld een productencatalogus, maar dat wordt wel ondervangen door diverse programma's van de overheid zoals IPM, NUP, etc. Het probleem zit hem vaak in de ontsluiting.

Daarnaast is het onmogelijk om voor alle 440 gemeenten eenzelfde template / dienst te maken, omdat de wensen en eisen en ook mogelijkheden (o.a. financieel) te veel verschillen. Dit is voor één dienst, de GEMMA eFormulieren, wel geprobeerd, maar is inmiddels, althans zo lijkt het, ook een zachte dood gestorven, omdat elke gemeente voor haar formulieren weer andere wensen heeft.

Verder zit je nog met officiële aanbestedingsregels waar gemeenten zich aan moeten houden. Helaas wordt daarbij vaak gekozen voor de "economisch meest voordelige" partij (lees, de goedkoopste) en niet voor kwaliteit.

[Reactie gewijzigd door Dakdoef op 27 oktober 2011 09:14]

economisch meest voordelige" partij

Dat betekend echt niet altijd de goedkoopste, want je kent het gezegde toch: goedkoop is duurkoop.
Op zich heb je gelijk maar geloof me, als dit in aanbestedingen staat, bedoelen ze echt, de goedkoopste.
Gemeente hebben namelijk nooit geld als het om aanbestedigen gaat.
+1, het belangrijkste punt is altijd de prijs, zeer slecht imho.
Dit soort dingen zijn te voorkomen zodra gemeentes goed personeel gaan inhuren of goede partijen inschakelen. Deze dingen kosten geld, vaak wordt er met fixed price gewerkt en om dan winst te maken worden er shortcuts gebruikt. Professioneel gezien is dat totaal onacceptabel maar we zijn min of meer in het systeem ingerold en je komt er niet uit. Als er een partij komt die een realistisch beeld geeft van de kosten dan krijgen zij gegarandeerd de opdracht niet.
Goede teams met goede ontwikkelaars, architecten en testers is niet goedkoop.

Hierboven mij stelt @YuriV terecht de vraag waarom de gemeentes allemaal voor zich zelf iets aan het bouwen zijn. In plaats van elke keer zelf iets te bouwen zouden ze ook kunnen kiezen voor een open source aanpak waar alle gemeentes een inbreng hebben. Maar zo iets zou nooit stand houden want je krijgt dan dat gemeentes geen budget willen opmaken omdat ze denken dat iemand anders het doet of omdat ze niet willen betalen voor de functionaliteit van de ander.

Ander argument van gemeentes om niet gezamenlijk te werken (ook door @Dakdoef aangegeven) is dat gemeentes denken allemaal verschillend te zijn en dat hun aanpak zo veel beter of anders is. Maar in plaats van aanpak beetje aan te passen kiezen ze voor een IT oplossing. Ik ben er van overtuigt dat het mogelijk is om een modulair systeem op te zetten dat voor veel gemeentes geschikt zou zijn en waar er verschillen zouden zijn zouden er geen grote aanpassingen nodig zijn.
Ik lees o.a.
Gemeenten met slecht beveiligde websites zijn voorlopig afgesloten van DigiD.
en
Landelijk zijn er veiligheidsproblemen geconstateerd met oa DigiD.
Wat is hier aan de hand? Ligt het aan DigID, of ligt het aan de sites van gemeenten? Wie kan er niet scripten? Waarom zijn de administratieve modules voor iedereen toegankelijk en waarom is het mogelijk beheersinstellingen aan te passen??
Waarom zijn die sites gevoelig voor SQL-injection en waarom vindt er onversleutelde gegevensverzending plaats?
Het lijkt erop dat er vaak wordt gekozen voor 'goedkoop' en dat er geen experts in de arm worden genomen.

De volgende gemeenten zijn hun DigID koppeling kwijt:
Beemster, Bemmel, Bergambacht, Beverwijk, Binnenmaas, Bladel, Borger-Odoorn, De Beekse Akkers, Binnenwerk, De Bilt, De Marne, Doetinchem, Drimmelen, Drin, Dronten, Eindhoven, Enkuizen, Vlist, Gendt, Genemuiden, Gilzerijen, Harenkarspel, Hasselt, Heumen, Huissen, Laarbeek, Landgraaf, Land van Wehl, Lemsterland, Leudal, Lingewaard, Littenseradiel, Nederlek, Nijkerk, Noorderkoggenland, Olst en Olst-Wijhe, Rijnwaarden, Sevenum, 's Gravendeel, Sint Oedenrode, Sport Zeewolde, Vianen, Webdam, Wijhe, Zeevang, Zeewolde, Zevenhuizen-Moerkapelle, Zoeterwoude, Zwarte Waterland en Zwartsluis.
Dit betekent dat de digitale dienstverlening in deze gemeenten is opgeschort en dat je voor de meest simpele dingen weer naar het gemeentehuis moet en een nummertje mag trekken.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014