Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 14.732 views •

De rijksoverheid heeft een taskforce ingesteld die de ict-beveiliging bij de overheid moet verbeteren. Niet alleen de rijksoverheid, zoals ministeries, wordt onder de loep genomen, ook de beveiliging van gemeenten, provincies en waterschappen moet worden verbeterd.

RijksoverheidDe taskforce zal in de komende twee jaar samenwerken met ministeries, provincies, gemeenten en waterschappen, zo maakte het Ministerie van Binnenlandse Zaken donderdag bekend. De tamelijk autonome provincies, gemeenten en waterschappen zijn daar eerder op woensdag vrijwillig mee akkoord gegaan, zegt woordvoerder Frank Wassenaar van het ministerie.

De ict-beveiliging moet met behulp van de taskforce op orde moet komen. Er moeten onder andere concrete afspraken over de beveiliging worden gemaakt en er moeten audits plaatsvinden. Ambtenaren moeten worden getraind op het gebied van ict-beveiliging. Daarnaast moeten overheden zich voldoende voorbereiden op 'het herstellen van informatiesystemen na verstoringen of schade'.

De taskforce is ingesteld na een onderzoeksrapport van de Onderzoeksraad voor Veiligheid naar de ict-beveiliging bij de overheid. Dat onderzoek werd ingesteld na het Diginotar-incident, waarbij die certificaatautoriteit was gehackt. Diginotar leverde veel certificaten aan de overheid. De Onderzoeksraad vond dat de ict-veiligheid bij de overheid sterk moest verbeteren. Woordvoerder Wassenaar erkent dat er verbeteringen nodig zijn. "Als alles in orde was, was deze taskforce niet nodig geweest."

Update, 21:11: Artikel aangevuld met de concrete doelen van de taskforce.

Reacties (52)

Reactiefilter:-152049+138+21+30
Moderatie-faq Wijzig weergave
Wij zijn ook ingehuurd om verschillende gemeentes beter te laten samenwerken. Het is allemaal nog teveel eilandautomatisering. Het is ook niet meer dan normaal dat hier wat moet gaan gebeuren. Stel je voor dat je binnen één bedrijf per afdeling allemaal hun ict-beleid gaan uitvoeren. Dat is dus wat er nu gaande is binnen de overheid.
Ik snap je redenering niet. De overheid kent maar enkele grote ict diensten, het is dus niet zo dat afdelingen zelf hun ict beheren. Bij gemeenten ligt dit anders.
Wat ik bedoel is, ste'l één beleid op elk gebeid. Dus aanschaf van software, apparatuur, hantering van regels, maar dus ook qua ict-beveliging. Door één beleid te hanteren is dit ook beter uitvoerbaar. Eilandautomatisering is o.a. dat iedereen zijn eigen regels hanteerd.
Taskforce? wordt het niet eens tijd voor een 'Ministerie van Informatietechnologie' om het écht te wortelen in onze samenleving?
Zolang dat ministerie met zijn eigen taskforces ook echt een vinger in de pap heeft bij de gehele overheid en de organisatie gevuld wordt met technische mensen en niet met ex ministers lijkt mij dat een uitstekend plan.
Men is al wel bezig met het werven van specialisten, maar het heeft tot op heden nog niet veel met security te maken:

http://tweakers.net/jobs/zoeken/?company=Rijksoverheid

Senior applicatiespecialist Digitale Werk Omgeving
Specialist applicatie virtualisatie
Technisch applicatiespecialist Middleware OSB, ministerie van Veiligheid en Justitie, GDI
Technisch applicatiespecialist Oracle ? EBS, ministerie van Veiligheid en Justitie, GDI
Applicatiespecialist Exchange
Ik denk dan ook dat we eerst moeten gaan afvragen wat veiligheid is.
Maar daarnaast mag ook duidelijk de vraag gesteld worden wanneer weet een specialist werkelijk iets van veiligheid die dan ook van punt A t/m Z weet hoe het werkt.

En ik denk dat je daarvoor slimme programmeurs nodig hebt, niet zozeer voor programmeer werk maar die weten vaak wel bottlenecks die niet overal bekend zijn ook niet bij specialisten.

[Reactie gewijzigd door BoringDay op 13 februari 2013 22:36]

Een simpel testje kan de overheid doen: hoeveel mensen zijn gecertificeerd ethical hacker? Ik denk dat je die op 1 hand ( zonder vingers ) kunt tellen.
Ik werk bij de Rijksoverheid en ik kan zeggen dat er aandacht is voor beveiliging en kwaliteit in het algemeen. Alleen wordt er bezuinigd en al jaren gereorganiseerd, waardoor het management het de werkvloer wel erg lastig maakt. Je weet wel: in BELEID zitten dezelfde letters als in DEBIEL. Er is te weinig kennis bij de mensen die de beslissing nemen, de politici en managers.

In tijden van bezuinigingen is het moeilijk geld te krijgen voor beveiliging. Elke bejaarde, huurder, autorijder, jonge werkloze etc wil zijn inkomen behouden. En als niemand kennis heeft (debiel) is het makkelijk om het te 'vergeten'. Vandaar dat ik blij verrast wordt door de aandacht die ict-beveilging krijgt. Er is nog hoop voor de Overheid...
Ik onderschrijf je verhaal. Ik heb zelf ook diverse reorganisaties meegemaakt. Wezenlijk verandert er weinig tot niets. Een belangrijk punt is het 'dubbeltje op eerste rang' beleid waardoor ik regelmatig externe mensen krijg die bijna niets weten. Kennis kost geld en dat vergeet het kabinet liever. De managers zijn soms schrikbarend incapabel, ze slaan regelmatig de adviezen van de echte ict kennishebbers in de wind. Helaas kent de overheid bijna geen sancties tegen dit soort mensen.
helemaal mee eens. ik heb een project bij een bibliotheek gedaan en daar werden helder en goed onderbouwde rapporten over IT-risico's binnen de organisatie gewoon genegeerd. Het management had geen flauw benul van de impact hiervan en stond niet open voor veranderingen.

Zelden zo'n vastgeroeste organisatie meegemaakt waar zoveel weerstand was tegen moderne IT of zelfs maar best practice. Zo was het invoeren van een password-policy al iets wat op enorm veel weerstand stuitte.
Overheid en Rijksoverheid wordt in dit stuk door elkaar gebruikt alsof het een en dezelfde koek is. Ook in het gelinkte artikel.
Het zijn echter niet dezelfde dingen, Defensie valt niet onder Rijksoverheid, maar onder de sectie Defensie.
Wordt er ook bij Defensie geknutseld, of valt deze onder een ander regime?
Op de verschillend overheidsniveau's kan je inderdaad veel verschil tegen komen - Landelijk, Provinciaal of Gemeentelijk en op deze verhillende niveau's is er ook nog veel vrschil. De een erg vooruit strevend en de ander (te) behouden.

Een ieder probeert steeds zelf het wiel opnieuw uit te vinden en er lijkt practisch geen samenwerkingte zijn. Allen op kleinschalig niveau. Overigens insommige gevallen is et wel begrijpelijk.
(Het Ministerie van) Defensie is wel degelijk onderdeel van de (Rijks)overheid. Misschien op de website niet, maar het is toch echt zo.
Niet echt. Je hebt de sector overheid, en de sector defensie. Ik ben geen rijksambtenaar, en val niet onder het BBRA. We hebben een eigen CAO en dergelijke.
Nu is dat op arbeidsvoorwaarden gebied, maar ook op ICT gebied is Defensie een buitenbeentje. Geen directe koppelingen met Rijksweb (veel te gevaarlijk!) en ga zo maar door.
Vandaar mijn vraag.
Als men nou gewoon de zittende ITers goed opleid of vervangt door mensen met hedendaagse kennis dan moet het toch ook wel goed komen? Toch?
Binnenin de overheid zijn er diverse aandachtspunten waar borging van kennis maar slechts een onderdeel is van het geheel. Overigens wordt er wel aan kennis verbreding gedaan in vormen van cursussen en opleidingen. Maar dan wordt er direct gezegt dat je dus expert bent op het desbetreffende onderdeel zonder daar op een enige manier diepgaande kennis over te hebben en dat is juist het gevaarlijke aspect. Want dat betekend dat jij als ambtenaar best veel kan mee bepalen/sturen van besluiten zonder daadwerkelijk de wijsheid in pacht te hebben, zo ook dus over informatie beveiliging.

En omdat er binnen de overheid erg veel wordt afgekaderd en afgepraat want iedereen wil zijn invloed laten gelden, is het een klassieke nachtmerrie waar informatiebeveiliging niet de juiste aandacht zoals het moet krijgen.

Binnen de overheid wordt er wel geschreeuwd dat het veiliger moet maar aan de eindstreep zal alleen maar dat gene gedaan worden om ervoor te zorgen dat zij kunnen aantonen dat er wat aan gedaan wordt en in veel gevallen is dat naar 'best effort'.

Ik kan zeggen dat er binnen de overheid zelfs nog met NT4 en 2000 advanced server gedraait wordt gewoon omdat er vaag pakket op draait waar misschien 1/3 personen gebruik van maken.
Dat is nog niet zo makkelijk. De echt goede IT-ers kunnen in de private sector ontzettend veel geld verdienen. Dat zal de overheid niet betalen, waardoor je eigenlijk enkel de mensen krijgt die het in de private sector niet redden of die om één of andere reden graag voor de overheid willen werken.

Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeën eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).

Dit maakt de overheid een onaantrekkelijke werkgever.
Er lopen bij ons enkele externen met een salaris wat niet mogelijk is als ambtenaar.
Het zijn er niet veel maar waar ze nodig zijn kan dat gewoon.
De paar waar ik nu aan denk doen overigens ook uitstekend werk en hebben ons security niveau flink omhoog geschopt.

Trouwens (Niet specifiek aan jou Cyber), bij de overheid werken zowel onbekwame en zeer bewame mensen. Mijn ervaring is dat de positieve uitzonderingen ruimschoots voor de negatieve compenseren.
Met name dit is vaak, maar niet altijd het probleem:
Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeën eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).
en daar moet je inderdaad wel tegen kunnen.

[Reactie gewijzigd door _Dune_ op 13 februari 2013 16:43]

Dat is in veel bedrijven en niet alleen bij overheden, of semi-overheidsinstanties zoals ziekenhuizen.

Bij Vodafone had de architect waarschijnlijk wel een uitwijklocatie bij de plannen ingetekend, maar vermoedelijk dacht de eind-beslisser dat de kans zeer klein was dat er een brandje zou ontstaan op de locatie waar alle verbindingen samen komen en dat daardoor Vodafone bellend Nederland 2-meerdere dagen plat lag. Hierdoor zijn deze plannen van tafel geschoven.
In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
Denk dat ze wel genoeg kennis hebben, maar door de ambtenarij dat het allemaa lang kan duren voordat er beslissingen worden genomen.
En dus vraag ik me af of er in de loop van de tijd veel gaat veranderen.
Ik denk van niet, maar laat me graag verrassen.
Ze zouden deze groep dan iets meer zeggenschap moeten geven zodat het niet meteen door een raad of iets dergelijks moeten als ze een beslissing moeten nemen.

Nadeel is dat er bij twaalf provincies en 415 gemeenten altijd wel iemand op de ICT afdeling is die een vinger in de pap wilt houden. Iets uit handen geven kan voor sommige nog wel is lastig worden. Lijkt me dan ook lastig om dit echt goed te regelen, zullen onderling goede afspraken moeten gemaakt worden bij invoering van zaken.

[Reactie gewijzigd door jdh009 op 13 februari 2013 16:13]

Beveiliging is niet iets wat je uit handen KUNT geven... Vooral bij applicatie design (zoals OOK veel gebeurt bij de overheid) moet er het een en ander ingeburgerd worden qua design principles. Maar ze zitten daar nogal met oude garde die niet snapt hoe je een systeem vanaf de grond veilig opbouwt.

Zo'n taskforce is leuk, maar zonder een organisatie in de meewerkstand en het geld om mensen te ontslaan/verplaatsen die tegenwerken komt zo'n taskforce niet verder dan zeggen:

"Foei..."
Het gaat wel iets verder dan FOEI!. De TaskForce heeft 2 jaar om de doelstellingen te halen. Indien het dan nog niet voldoende geregeld is gaat de minister het bij wet vastleggen en dan moet iedereen wel.
Daar heb je waarschijnlijk gelijk in inderdaad, maar er zijn wel manieren om verder te komen.

Zo zijn er voor de kwaliteit van gegevens in het gegevensmagazijn (gegevens over burgers, kadaster, etc.) richtlijnen in het leven geroepen waar gemeenten aan moeten voldoen.
Eens in de zoveel tijd worden dan in overheidsland "scorelijsten" uitgedeeld waarbij duidelijk te zien is (naming and shaming) wie zich wel en wie zich niet aan de regeltjes houdt.

Het is geen dwangmiddel, maar vaak zijn gemeenten (of het bestuur) er wel gevoelig voor niet te hoog op zo'n "zwarte" lijst te komen.

Er zou wat mij betreft wat meer afgedwongen mogen worden, maar dat is in de huidige situatie wel lastig te verkopen.
Best OK, een top-down benadering, maar vergeet niet dat diezelfde management laag al 30 jaar mensen een hand boven het hoofd houdt omdat ontslag ook duur is en voor de huidige salarissen je bijna een idealist moet zijn om jezelf in dienst te stellen van de overheid. Dan kun je beter bij een commercieel bedrijf gaan werken en je opdrachten pakken of als ZZP'er jezelf (indirect) aan de overheid verhuren.

Denk dat je ook meer moet sturen op competenties, cultuur en bewustwording om een echte ommekeer te bewerkstelligen. Er zijn heus wel (semi-)overheden waar het goed of beter gaat, alleen deze resultaten worden soms genadeloos teniet gedaan door gemeentes met bovenstaande structuren en culturen.

Niet op een lijstje willen komen zou niet je reden moeten zijn, beschermen van (de gegevens van) je burgers is dat zeker wel.
Je kan in plaats van naming and shaming ook een soort competitieelement inbouwen. Juist degene belonen die het goed doen. Lijkt me iets effectiever in het begin ipv meteen met een nieuw systeem met de vinger gaan zwaaien/wijzen en de minderen 'zwart' maken.

Zo krijg je ook geen gekloot met dat mensen fouten in de doofpot stoppen. Van fouten kun je leren waardoor uiteindelijk de veiligheid verbeterd kan worden. je moet het toch samen doen en dat kun je alleen bereiken door het samen te doen, zeker met zo'n grote groep.

[Reactie gewijzigd door jdh009 op 13 februari 2013 19:19]

In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
Goede vraag, daar ben ik ook wel benieuwd naar. Het zou me niets verbazen als deze taskforce ook uitbesteed wordt aan externe partijen omdat de overheid zelf onvoldoende kennis over beveiliging heeft.
Volgens mij wordt Fox-IT meestal geraadpleegd voor dit soort vraagstukken. Die naam zie ik tenminste vaak terug in de media over dit onderwerp, oa na het dignotar-debacle.

Zie ook hier.

[Reactie gewijzigd door EQJim op 13 februari 2013 16:22]

Er zal echt wel kennis aanwezig zijn, alleen komen dat soort mensen nu net niet in een dergelijke taskforce. Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg (van een afstandje meekijkend).

[Reactie gewijzigd door _Dune_ op 13 februari 2013 20:24]

Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg van een afstandje meekijkend).
Dat gevoel (een onderbuikgevoel?) is gewoon niet juist. Zoek maar eens wie er in dat soort groepen zitten, vrijwel altijd kundige mensen. Dat de resultaten niet altijd perfect zijn is vanzelfsprekend maar als je in het oog houd dat de overheid veruit de grootste werkgever en automatiseerder is valt het te verklaren dat er vaak slecht nieuws is.

Ik ben zelf in een vorig leven gedurende 10 jaar als ambtenaar betrokken geweest bij IT projecten en heb alle waar ik bij betrokken be geweest als geslaagd gezien. Van die projecten heb ne nog nooit gehoord.
Ik weet goed dat ICT projecten ook goed gaan, alleen met een taskforce of denktank heb ik slechtere ervaringen dan puur projecten, ik quote mijzelf even uit een reactie onder in dit draadje:
Scheer niet alles over dezelfde kam, er is weldegelijk verschil. Zo sprak ik laatst iemand binnen de overheid en budgethouder van IT zaken, die zich er weldegelijk erg van bewust is dat hij met belastinggeld te maken heeft, geld van jou en mij (de burger in dit land). Deze persoon probeert weldeglijk goede afwegingen te maken.

Daarnaast heb ik vorige jaar in een overheidsproject meegedraaid, waar aan het einde van het project een groot bedrag uit wat begroot was terug is gegeven aan de organisatie, puur omdat het project echt super gelopen heeft en niet omdat er over gebudgetteerd was.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True