Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 14.682 views •

De rijksoverheid heeft een taskforce ingesteld die de ict-beveiliging bij de overheid moet verbeteren. Niet alleen de rijksoverheid, zoals ministeries, wordt onder de loep genomen, ook de beveiliging van gemeenten, provincies en waterschappen moet worden verbeterd.

RijksoverheidDe taskforce zal in de komende twee jaar samenwerken met ministeries, provincies, gemeenten en waterschappen, zo maakte het Ministerie van Binnenlandse Zaken donderdag bekend. De tamelijk autonome provincies, gemeenten en waterschappen zijn daar eerder op woensdag vrijwillig mee akkoord gegaan, zegt woordvoerder Frank Wassenaar van het ministerie.

De ict-beveiliging moet met behulp van de taskforce op orde moet komen. Er moeten onder andere concrete afspraken over de beveiliging worden gemaakt en er moeten audits plaatsvinden. Ambtenaren moeten worden getraind op het gebied van ict-beveiliging. Daarnaast moeten overheden zich voldoende voorbereiden op 'het herstellen van informatiesystemen na verstoringen of schade'.

De taskforce is ingesteld na een onderzoeksrapport van de Onderzoeksraad voor Veiligheid naar de ict-beveiliging bij de overheid. Dat onderzoek werd ingesteld na het Diginotar-incident, waarbij die certificaatautoriteit was gehackt. Diginotar leverde veel certificaten aan de overheid. De Onderzoeksraad vond dat de ict-veiligheid bij de overheid sterk moest verbeteren. Woordvoerder Wassenaar erkent dat er verbeteringen nodig zijn. "Als alles in orde was, was deze taskforce niet nodig geweest."

Update, 21:11: Artikel aangevuld met de concrete doelen van de taskforce.

Reacties (52)

In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
Denk dat ze wel genoeg kennis hebben, maar door de ambtenarij dat het allemaa lang kan duren voordat er beslissingen worden genomen.
En dus vraag ik me af of er in de loop van de tijd veel gaat veranderen.
Ik denk van niet, maar laat me graag verrassen.
Ze zouden deze groep dan iets meer zeggenschap moeten geven zodat het niet meteen door een raad of iets dergelijks moeten als ze een beslissing moeten nemen.

Nadeel is dat er bij twaalf provincies en 415 gemeenten altijd wel iemand op de ICT afdeling is die een vinger in de pap wilt houden. Iets uit handen geven kan voor sommige nog wel is lastig worden. Lijkt me dan ook lastig om dit echt goed te regelen, zullen onderling goede afspraken moeten gemaakt worden bij invoering van zaken.

[Reactie gewijzigd door jdh009 op 13 februari 2013 16:13]

Beveiliging is niet iets wat je uit handen KUNT geven... Vooral bij applicatie design (zoals OOK veel gebeurt bij de overheid) moet er het een en ander ingeburgerd worden qua design principles. Maar ze zitten daar nogal met oude garde die niet snapt hoe je een systeem vanaf de grond veilig opbouwt.

Zo'n taskforce is leuk, maar zonder een organisatie in de meewerkstand en het geld om mensen te ontslaan/verplaatsen die tegenwerken komt zo'n taskforce niet verder dan zeggen:

"Foei..."
Daar heb je waarschijnlijk gelijk in inderdaad, maar er zijn wel manieren om verder te komen.

Zo zijn er voor de kwaliteit van gegevens in het gegevensmagazijn (gegevens over burgers, kadaster, etc.) richtlijnen in het leven geroepen waar gemeenten aan moeten voldoen.
Eens in de zoveel tijd worden dan in overheidsland "scorelijsten" uitgedeeld waarbij duidelijk te zien is (naming and shaming) wie zich wel en wie zich niet aan de regeltjes houdt.

Het is geen dwangmiddel, maar vaak zijn gemeenten (of het bestuur) er wel gevoelig voor niet te hoog op zo'n "zwarte" lijst te komen.

Er zou wat mij betreft wat meer afgedwongen mogen worden, maar dat is in de huidige situatie wel lastig te verkopen.
Je kan in plaats van naming and shaming ook een soort competitieelement inbouwen. Juist degene belonen die het goed doen. Lijkt me iets effectiever in het begin ipv meteen met een nieuw systeem met de vinger gaan zwaaien/wijzen en de minderen 'zwart' maken.

Zo krijg je ook geen gekloot met dat mensen fouten in de doofpot stoppen. Van fouten kun je leren waardoor uiteindelijk de veiligheid verbeterd kan worden. je moet het toch samen doen en dat kun je alleen bereiken door het samen te doen, zeker met zo'n grote groep.

[Reactie gewijzigd door jdh009 op 13 februari 2013 19:19]

Best OK, een top-down benadering, maar vergeet niet dat diezelfde management laag al 30 jaar mensen een hand boven het hoofd houdt omdat ontslag ook duur is en voor de huidige salarissen je bijna een idealist moet zijn om jezelf in dienst te stellen van de overheid. Dan kun je beter bij een commercieel bedrijf gaan werken en je opdrachten pakken of als ZZP'er jezelf (indirect) aan de overheid verhuren.

Denk dat je ook meer moet sturen op competenties, cultuur en bewustwording om een echte ommekeer te bewerkstelligen. Er zijn heus wel (semi-)overheden waar het goed of beter gaat, alleen deze resultaten worden soms genadeloos teniet gedaan door gemeentes met bovenstaande structuren en culturen.

Niet op een lijstje willen komen zou niet je reden moeten zijn, beschermen van (de gegevens van) je burgers is dat zeker wel.
Het gaat wel iets verder dan FOEI!. De TaskForce heeft 2 jaar om de doelstellingen te halen. Indien het dan nog niet voldoende geregeld is gaat de minister het bij wet vastleggen en dan moet iedereen wel.
In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
Goede vraag, daar ben ik ook wel benieuwd naar. Het zou me niets verbazen als deze taskforce ook uitbesteed wordt aan externe partijen omdat de overheid zelf onvoldoende kennis over beveiliging heeft.
Volgens mij wordt Fox-IT meestal geraadpleegd voor dit soort vraagstukken. Die naam zie ik tenminste vaak terug in de media over dit onderwerp, oa na het dignotar-debacle.

Zie ook hier.

[Reactie gewijzigd door EQJim op 13 februari 2013 16:22]

Er zal echt wel kennis aanwezig zijn, alleen komen dat soort mensen nu net niet in een dergelijke taskforce. Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg (van een afstandje meekijkend).

[Reactie gewijzigd door _Dune_ op 13 februari 2013 20:24]

Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg van een afstandje meekijkend).
Dat gevoel (een onderbuikgevoel?) is gewoon niet juist. Zoek maar eens wie er in dat soort groepen zitten, vrijwel altijd kundige mensen. Dat de resultaten niet altijd perfect zijn is vanzelfsprekend maar als je in het oog houd dat de overheid veruit de grootste werkgever en automatiseerder is valt het te verklaren dat er vaak slecht nieuws is.

Ik ben zelf in een vorig leven gedurende 10 jaar als ambtenaar betrokken geweest bij IT projecten en heb alle waar ik bij betrokken be geweest als geslaagd gezien. Van die projecten heb ne nog nooit gehoord.
Ik weet goed dat ICT projecten ook goed gaan, alleen met een taskforce of denktank heb ik slechtere ervaringen dan puur projecten, ik quote mijzelf even uit een reactie onder in dit draadje:
Scheer niet alles over dezelfde kam, er is weldegelijk verschil. Zo sprak ik laatst iemand binnen de overheid en budgethouder van IT zaken, die zich er weldegelijk erg van bewust is dat hij met belastinggeld te maken heeft, geld van jou en mij (de burger in dit land). Deze persoon probeert weldeglijk goede afwegingen te maken.

Daarnaast heb ik vorige jaar in een overheidsproject meegedraaid, waar aan het einde van het project een groot bedrag uit wat begroot was terug is gegeven aan de organisatie, puur omdat het project echt super gelopen heeft en niet omdat er over gebudgetteerd was.
Als men nou gewoon de zittende ITers goed opleid of vervangt door mensen met hedendaagse kennis dan moet het toch ook wel goed komen? Toch?
Dat is nog niet zo makkelijk. De echt goede IT-ers kunnen in de private sector ontzettend veel geld verdienen. Dat zal de overheid niet betalen, waardoor je eigenlijk enkel de mensen krijgt die het in de private sector niet redden of die om ťťn of andere reden graag voor de overheid willen werken.

Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeŽn eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).

Dit maakt de overheid een onaantrekkelijke werkgever.
Met name dit is vaak, maar niet altijd het probleem:
Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeŽn eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).
en daar moet je inderdaad wel tegen kunnen.

[Reactie gewijzigd door _Dune_ op 13 februari 2013 16:43]

Dat is in veel bedrijven en niet alleen bij overheden, of semi-overheidsinstanties zoals ziekenhuizen.

Bij Vodafone had de architect waarschijnlijk wel een uitwijklocatie bij de plannen ingetekend, maar vermoedelijk dacht de eind-beslisser dat de kans zeer klein was dat er een brandje zou ontstaan op de locatie waar alle verbindingen samen komen en dat daardoor Vodafone bellend Nederland 2-meerdere dagen plat lag. Hierdoor zijn deze plannen van tafel geschoven.
Er lopen bij ons enkele externen met een salaris wat niet mogelijk is als ambtenaar.
Het zijn er niet veel maar waar ze nodig zijn kan dat gewoon.
De paar waar ik nu aan denk doen overigens ook uitstekend werk en hebben ons security niveau flink omhoog geschopt.

Trouwens (Niet specifiek aan jou Cyber), bij de overheid werken zowel onbekwame en zeer bewame mensen. Mijn ervaring is dat de positieve uitzonderingen ruimschoots voor de negatieve compenseren.
Binnenin de overheid zijn er diverse aandachtspunten waar borging van kennis maar slechts een onderdeel is van het geheel. Overigens wordt er wel aan kennis verbreding gedaan in vormen van cursussen en opleidingen. Maar dan wordt er direct gezegt dat je dus expert bent op het desbetreffende onderdeel zonder daar op een enige manier diepgaande kennis over te hebben en dat is juist het gevaarlijke aspect. Want dat betekend dat jij als ambtenaar best veel kan mee bepalen/sturen van besluiten zonder daadwerkelijk de wijsheid in pacht te hebben, zo ook dus over informatie beveiliging.

En omdat er binnen de overheid erg veel wordt afgekaderd en afgepraat want iedereen wil zijn invloed laten gelden, is het een klassieke nachtmerrie waar informatiebeveiliging niet de juiste aandacht zoals het moet krijgen.

Binnen de overheid wordt er wel geschreeuwd dat het veiliger moet maar aan de eindstreep zal alleen maar dat gene gedaan worden om ervoor te zorgen dat zij kunnen aantonen dat er wat aan gedaan wordt en in veel gevallen is dat naar 'best effort'.

Ik kan zeggen dat er binnen de overheid zelfs nog met NT4 en 2000 advanced server gedraait wordt gewoon omdat er vaag pakket op draait waar misschien 1/3 personen gebruik van maken.
Hoort dit niet al standaard een continue proces te zijn?
Mijn gedachten precies. Veiligheid is geen project dat ooit af is...
Dat is ook het doel van de TaskForce. Men wil informatiebeveiliging als continue proces op de kaart hebben. Een van de opdrachten van de Taskforce is ook om juist bestuurders e.d. goed te doordringen van het nut en de noodzaak van de beveiliging. Op die manier wordt gepoogd informatiebeveiliging goed te borgen in de overheidsorganisaties. Dus niet mensen zonder kennis van zaken laten beslissen over dit soort zaken, maar zorgen dat de beslissers juist wel kennis van zaken hebben.
Overheid en Rijksoverheid wordt in dit stuk door elkaar gebruikt alsof het een en dezelfde koek is. Ook in het gelinkte artikel.
Het zijn echter niet dezelfde dingen, Defensie valt niet onder Rijksoverheid, maar onder de sectie Defensie.
Wordt er ook bij Defensie geknutseld, of valt deze onder een ander regime?
(Het Ministerie van) Defensie is wel degelijk onderdeel van de (Rijks)overheid. Misschien op de website niet, maar het is toch echt zo.
Niet echt. Je hebt de sector overheid, en de sector defensie. Ik ben geen rijksambtenaar, en val niet onder het BBRA. We hebben een eigen CAO en dergelijke.
Nu is dat op arbeidsvoorwaarden gebied, maar ook op ICT gebied is Defensie een buitenbeentje. Geen directe koppelingen met Rijksweb (veel te gevaarlijk!) en ga zo maar door.
Vandaar mijn vraag.
Op de verschillend overheidsniveau's kan je inderdaad veel verschil tegen komen - Landelijk, Provinciaal of Gemeentelijk en op deze verhillende niveau's is er ook nog veel vrschil. De een erg vooruit strevend en de ander (te) behouden.

Een ieder probeert steeds zelf het wiel opnieuw uit te vinden en er lijkt practisch geen samenwerkingte zijn. Allen op kleinschalig niveau. Overigens insommige gevallen is et wel begrijpelijk.
Typisch de overheid he, zelf clubje oprichten in eigen beheer! Want ja daar moeten we ons mee bezig houden dus dan kunnen we dat ook wel zelf doen. (CBS, CWI, Belastingdienst, UWV, RWS en niet te vergeten vtsPN, daar is het met de IT projecten allemaal uitermate vlekkeloos verlopen!!!)

Er zullen zat ethische hackers rondlopen die de organisatie zowel van binnen als van buiten uit kunnen doorlichten.

Maar nu, ik zie het alweer voor me, interne kennis is er niet, dus wordt dat extern geworven. Ik schat zo in dat die jongens niet goedkoop zullen zijn, dus daar gaan we dan... detacheren bij de overheid voor een lekker tarief.

Wellicht is er zelfs nog een bedrijf die dat doet. Krijgen we een aanbesteding, gaat prijs weer voor kwaliteit. Levert de eerste leverancier een gedrocht op. Komt er weer een aanbesteding, de tweede leverancier gooit er met de pet naar en hartk alleen maar tegen aburde tarieven. Brokertje ertussen. Hopplakee, de belasting betaler weer een paar duizend euro uit de tas geklopt..

We horen er over een jaartje wel weer wat van.. en het jaar daarna en het jaar daarna...

[Reactie gewijzigd door loewie1984 op 13 februari 2013 16:21]

Ik weet inhoudelijk wat meer over de TaskForce en kan je verzekeren dat er niet per definitie externen voor worden aangetrokken.
Scheer niet alles over dezelfde kam, er is weldegelijk verschil. Zo sprak ik laatst iemand binnen de overheid en budgethouder van IT zaken, die zich er weldegelijk erg van bewust is dat hij met belastinggeld te maken heeft, geld van jou en mij (de burger in dit land). Deze persoon probeert weldeglijk goede afwegingen te maken.

Daarnaast heb ik vorige jaar in een overheidsproject meegedraaid, waar aan het einde van het project een groot bedrag uit wat begroot was terug is gegeven aan de organisatie, puur omdat het project echt super gelopen heeft en niet omdat er over gebudgetteerd was.
Als je je nou eerst eens verdiept in het verhaal voordat je de papagaai uithangt.

De TaskForce is geen ICT project - Het is een club die locale overheden gaat helpen bij het goed regelen van informatiebeveiliging.
Het is toch niet te geloven, alsof nooit over beveiliging is nagedacht. Daar hoort toch standaard in de "planning en uitrol" ?? Nu snap ik dat bij de lagere lagen dit niet helemaal is meegenomen, uiteraaard stom genoeg al, maar nu nog beveiliging daar omheen bouwen?
Ik heb het gevoel dat dit niet gaat werken of het moet al een immens groot taskforce worden. Oftewel de beveiliging zal vast weer uitbesteed worden en daar gaat het vaak mis. Begin met de basics en niet iets om te toveren naar super goed beveiligd.
Beveiliging wordt over het algemeen ook meegenomen en is vaak heel behoorlijk op orde.Alleen mag je als burger van een overheid verwachten dat het over het geheel op een acceptabel hoog niveau staat. Doordat overheid en semi-overheid zo gefragmenteerd zijn opgezet en bestuurd worden door evenveel afzonderlijke besturen is dat helaas niet altijd het geval. Kleine gemeentes hebben bijvoorbeel veel minder te besteden op dit gebied dan een hele grote gemeente (of beter gezegd arme en rijke gemeentes) en het belang van informatiebeveiliging wordt lang niet even goed onderkent door afzonderlijke besturen.
Daar gaat de TaskForce wat aan proberen te doen

[Reactie gewijzigd door Killer op 14 februari 2013 09:12]

Men is al wel bezig met het werven van specialisten, maar het heeft tot op heden nog niet veel met security te maken:

http://tweakers.net/jobs/zoeken/?company=Rijksoverheid

Senior applicatiespecialist Digitale Werk Omgeving
Specialist applicatie virtualisatie
Technisch applicatiespecialist Middleware OSB, ministerie van Veiligheid en Justitie, GDI
Technisch applicatiespecialist Oracle ? EBS, ministerie van Veiligheid en Justitie, GDI
Applicatiespecialist Exchange
Ik denk dan ook dat we eerst moeten gaan afvragen wat veiligheid is.
Maar daarnaast mag ook duidelijk de vraag gesteld worden wanneer weet een specialist werkelijk iets van veiligheid die dan ook van punt A t/m Z weet hoe het werkt.

En ik denk dat je daarvoor slimme programmeurs nodig hebt, niet zozeer voor programmeer werk maar die weten vaak wel bottlenecks die niet overal bekend zijn ook niet bij specialisten.

[Reactie gewijzigd door BoringDay op 13 februari 2013 22:36]

Een simpel testje kan de overheid doen: hoeveel mensen zijn gecertificeerd ethical hacker? Ik denk dat je die op 1 hand ( zonder vingers ) kunt tellen.
Taskforce? wordt het niet eens tijd voor een 'Ministerie van Informatietechnologie' om het ťcht te wortelen in onze samenleving?
Zolang dat ministerie met zijn eigen taskforces ook echt een vinger in de pap heeft bij de gehele overheid en de organisatie gevuld wordt met technische mensen en niet met ex ministers lijkt mij dat een uitstekend plan.
mijn eerste reactie op de kop: hahahahahahahaha suuuuuuuuuure.

Nadat ik inmiddels genoeg over de grond heb gerold hoop ik ten zeerste dat ze in elk geval experts inschakelen en dat de beleidsvoerders serieus gaan luisteren naar het advies van hen. Eventueel met vertalers ertussen, want het zal niet voor de eerste keer zijn dat er iets door een minister word geroepen over ICT-beleid wat totaal geen hout slaat.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True