Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties

Tien Nederlandse gemeenten hebben maandenlang de privacywet overtreden door het burgerservicenummer op te vragen over een onbeveiligde verbinding. Drie gemeenten hebben inmiddels een https-verbinding ingesteld, de andere zeven mogelijk nog niet.

Onderzoek van RTL Nieuws heeft uitgewezen dat 27 gemeenten geen gebruikmaken van https voor het maken van een afspraak via de gemeentewebsite. Persoonsgegevens zoals naam en woonadres worden daardoor over een onbeveiligde verbinding verstuurd. Gebruik van een https-verbinding is volgens de Nederlandse privacywet vereist als er een 'bijzonder persoonsgegeven', zoals het bsn, wordt verwerkt.

Van de betreffende gemeenten waren er tien die het burgerservicenummer opvraagden over een onbeveiligde verbinding. In theorie waren de persoonsgegevens daardoor eenvoudig met een man-in-the-middle-aanval te onderscheppen. Het is niet bekend of daar ook daadwerkelijk misbruik van is gemaakt.

Volgens RTL gaat het onder andere om Bloemendaal, Wassenaar en Culemborg. Deze gemeenten hebben na melding van RTL Nieuws een https-verbinding ingesteld. Of de zeven andere gemeenten dat inmiddels ook hebben gedaan, is niet duidelijk. Welke gemeenten het om gaat wordt om veiligheidsredenen niet genoemd. RTL heeft de lijst doorgegeven aan de Informatie Beveiligingsdienst Gemeenten, die zegt daar 'direct mee aan de slag te gaan'.

RTL stelde eerder dit jaar de beveiliging van gemeentewebsites aan de kaak, waarna Kamervragen volgden. Minister Plasterk van Binnenlandse Zaken antwoordde toen dat bij hem 'geen gemeenten bekend zijn die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben'. De Autoriteit Persoonsgegevens kan voor het schenden van de Wet bescherming persoonsgegevens een boete van maximaal 820.000 euro opleggen. De Autoriteit wil niet specifiek ingaan op de overtredingen van de gemeenten.

Moderatie-faq Wijzig weergave

Reacties (109)

Kan iemand mij vertellen waarom bijna elk ict gerelateerd initiatief van de overheid zo'n ramp is? Ik heb het niet alleen hier over, maar bijvoorbeeld ook over DigiD. Ook school programma's die door de overheid worden ingezet zoals Rekenblokken en Studiemeter zijn een ramp. De Duo website is extreem beperkt en werkt vaak niet net zoals de gemeente website betreffende grofvuil Ik begrijp dat dit offtopic is maar de vraag brand nu wel heel erg. Proberen ze soms zoveel mogelijk te bezuinigen op zaken?

Overigens is dit een slechte zaak, je zou verwachten dat na de Diginotar ramp mensen hun lesje wel geleerd hebben?
Kan iemand mij vertellen waarom bijna elk ict gerelateerd initiatief van de overheid zo'n ramp is?
Deels omdat ICT bij de overheid niet gecentraliseerd is. Er is geen hogere instantie die zegt dat ICT op een specifieke manier ingericht moet worden. Dus geen regel die zegt: "een site gebruikt altijd en exclusief SSL/TLS met een geldig certificaat (van een overheids CA) en minimaal de aanbevolen instellingen", of iets dergelijks.

Door het ontbreken van centrale sturing krijg je dus de eilandenstructuur (of de 'koninkrijkjes', of het 'niet hier bedacht' syndroom), waardoor iedereen zijn eigen ding gaat doen. Hetzelfde zie je bij de Nationale Politie: ťťn korpschef, maar iedereen is vrij om te doen wat zij willen omdat sturing ontbreekt. Zo kom je nooit van die zolderkamerprojecten af, en zal je nooit een professionaliseringsslag zien die je bij veel grote ondernemingen wel ziet.

Hiermee wil ik niet aangeven dat grote ondernemingen hun zaken altijd op orde hebben. Toch stellen zij zich vaker professioneler op dan dat de overheid doet met betrekking tot ICT en beveiliging. Een reden daarvoor is omdat ICT duur is en bedrijven wel om het geld geven dat ze uitgeven. ;)

[Reactie gewijzigd door The Zep Man op 10 mei 2016 18:58]

Er zijn wel richtlijnen in de Nederlandse Overheid Referentie Architectuur (NORA) en Enterprise Architectuur Rijk (EAR) vastgelegd, zoals de Baseline Informatiebeveiliging Rijksdienst.
Deze richtlijnen scheppen het kader voor o.a. de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Hierin staat:
10.9.2 Online-transacties
Informatie die een rol speelt bij online-transacties behoort te worden beschermd om
onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten,
onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te
voorkomen.
1. Een transactie wordt bevestigd (geautoriseerd) door een (gekwalificeerde)
elektronische handtekening of een andere wilsuiting (bijv. een TAN code) van de
gebruiker.
2. Een transactie is versleuteld, de partijen zijn geauthenticeerd en de privacy van
betrokken partijen is gewaarborgd.
De baselines zelf zijn hier te vinden.
Ik vraag mij wel af in hoeverre gemeenten een prestatieverplichting hierin hebben en in hoeverre men zich hier van bewust is (niet alle gemeenten dus :+ )
Voor zover ik me kan herinneren leveren de NORA, EAR en GEMMA (ref architectuur voor gemeenten) enkel principes, ze zijn niet verbindend verklaard zoals de Webrichtlijnen dat bijvoorbeeld wťl zijn.
GEMMA is idd meer relevant dan NORA (hoogover) en EAR (Rijksdienst).

Ze leveren alle drie wel iets meer dan principes, maar - zeker voor bestuurders en veel managers - de rest van een referentiearchitectuur is minder makkelijk te begrijpen. Makkelijkste manier om te zien wat er in zit vind ik het bekijken van de kennismodellen in de respectievelijke wiki's van de drie architecturen.

Dat verbindend verklaren is in ons polderlandje wat lastig. De Tweede Kamer heeft te horen gekregen van onze staatssecretaris en minister van BZK dat het rijk zich aan EAR houdt en dat er afspraken met andere bestuurslagen zijn gemaakt om NORA toe te passen. GEMMA en de BIG is vastgesteld in de vergadering van de VNG (ofwel: leden hebben elkaar beloofd GEMMA toe te passen). Maar er komt geen popo op je dak als je je niet aan dit soort convenanten houdt.

Strenger zijn (in principe) de aansluitvoorwaarden voor landelijke voorzieningen als de BRP (Basisregistratie Personen) en SUWInet (gegevens sociaal domein). Daar staat gewoon hard in dat je bepaalde beveiliging moet implementeren op straffe van afsluiting.

En vergeet niet de richtlijnen voor veilige webapplicaties die NCSC heeft vastgesteld. Maar ook die zijn niet hard bindend..
Daarom geef ik aan dat het richtlijnen zijn, maar als je verder kijkt zie je dat er ook operationele handreikingen uit voortvloeien en producten bij de IBD. Hoe bindend die zijn vraag ik mij ook wel af, hoewel de product documenten veel meer stellend zijn dan de kaders. Zou het liggen in de bekendheid en afstemming van gemeenten met IBD v.w.b. de kaders (bijna retorisch, enigszins cynisch ;) )
De BIR is een "verwijs" document naar allerlei tactische maatregelen in plaats van een eenduidige opsomming wat er allemaal moet gebeuren.
Dit maakt een correcte implementatie niet makkelijk.
Klopt, daarom heet het voluit ook BIR:2012 - Tactisch Normenkader (TNK). Op dezelfde pagina staat ook de BIR Operationele Handreiking, welke juist wel veel meer een handreiking geeft voor implementatie. Eenzelfde principe geldt ook voor de BIG, alleen heeft de IBD gemeend wat meer uitsplitsing te maken naar producten, zoals Encryptiebeleid (PKI) Gemeente. Hier staat o.a. het volgende in:
Veilig communiceren met de overheid
De Nederlandse overheid stelt steeds meer diensten en informatie beschikbaar via internet. Zo is het mogelijk om bij (een aantal) gemeenten, bijvoorbeeld een uittreksel uit het geboorteregister of een vergunning aan te vragen via hun website. Maar hoe weet je nu zeker dat de website waar je je gegevens invult daadwerkelijk van je gemeente is en of de communicatie met een overheidswebsite beveiligd is, zodat deze gegevens niet 'op straat' komen te liggen? Een oplossing hiervoor zijn zogenoemde SSL-certificaten.
En iets verder (2.2):
De gemeente dient het beleid, de operationele plannen, richtlijnen en procedures voor encryptie en PKI te ontwikkelen en implementeren:
1. Er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek
opgesteld, ten aanzien van encryptie en PKI.
2. Versleuteling vindt plaats conform ‘best practices’ (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens gevoeliger zijn. De gemeente gebruikt encryptie conform de PKIoverheid8 standaard.
3. Digitale documenten van de gemeente waar burgers en bedrijven rechten aan kunnen ontlenen, maken gebruik van de PKIoverheid-certificaten voor tekenen en/of encryptie.
4. De beveiliging van informatie, zowel gedurende transport als opslag, en het interne dataverkeer (‘machine to machine’) wordt conform beveiligingseisen in de gemeentelijke informatiebeveiligingsarchitectuur en -classificatie beveiligd.
5. Er worden beheerprocedures opgesteld met betrekking tot het (centrale) beheer van sleutelmateriaal en beveiligingscertificaten.
Naar mijn idee voldoende aanwijzingen om iets concreet te doen, zeker ook omdat het document op dit soort punten stellend geschreven is (de gemeente dient etc..). Ikzelf ben overigens werkzaam geweest bij kleine en grote gemeenten en de rijksoverheid, waar ik dit helaas wel vaker tegen kom.. Heeft in mijn ogen veel te maken met bewustzijn en prestatieverplichting en in kleine gemeenten is het soms ook simpelweg een kwestie van te weinig mensen/budget er voor.
Die laatste factor (te weinig mensen/budget) is denk ik voor de kleinere gemeenten ook de echte boosdoener, zij "hebben" (lijkt mij) veelal ook niet de resources om dat zelf op poten te houden (zetten kan vaak wel, maar een full-time it-team aanhouden zit, begrijpelijk, er bij niet alle gemeenten in, Dat zou te duur zijn). Mijn onderbuikgevoel is dat op dat soort punten een iets centraler IT-orgaan enorm kan helpen.

Ik zou mij durven inbeelden dat zij ook door die kleinere gemeenten gevraagd zou kunnen worden om soms bepaalde plannen te overzien of bij mee te denken en zou durven hopen dat dit kan helpen doordat het ervoor zou kunnen zorgen dat er meer eenduidige implementaties kunnen ontstaan en dan misschien ook makkelijker aangehouden kunnen worden.

Echter weet ik ook dat ik niet bekend ben met de gang van zaken bij gemeenten, en kan het dus heel goed dat dit allemaal zelfs al gedaan wordt... Maar mijn onderbuikgevoel zei wat u op sommige punten lijkt te onderstrepen; Heel wat (mijn aanname is, vooral kleinere ) gemeenten werken elkaar indirect tegen door op veel punten wielen opnieuw uit te vinden en daardoor grote verschillen kunnen ontstaan in hun implementaties...

[Reactie gewijzigd door Annihlator op 11 mei 2016 10:38]

Het is dan ook duidelijk dat er geen audits worden gedaan na een implementatie en changes.
Je kan het 'probleem' op twee manieren bekijken. Of men weet niet waarover men praat of fabrikanten van software leveren hun spullen onveilig af.

Dat laatste is het begin van het kwaad. Zo heeft een van de grootste software leveranciers van de wereld het root certificaat van de nederlandse overheid als onveilig bestempeld omdat ze niet willen betalen. Leveren ze een webserver an fabriek af die qua beveiliging zo lek is als een mandje.

Daarnaast heb je natuurlijk ook veel lang lopende IT'ers in de overheid die graag vast willen houden aan hun eigen wereld.

Wat zeker een feit is, is dat zo hier en daar ook de methode van testen eens goed tegen het daglicht aangehouden moet worden. Want die is niet rocksolid.

Blijft wel een feit dat er, en niet alleen door de overheid, slordig omgesprongen wordt met het BSN nummer. BSO, KvD, Tandartsen, verzekeringen en nog een paar anderen. Die sturen per mail info door waarin het BSN nummer vermeld staat.
Bijzondere is dat van alle eenmanszaken de BSN s ook voor het oprapen ook liggen. Er word verwacht dat je je btwnummer op je site en briefpapier hebt staan, maar je btwnummer is letterlijk NL + (BSN) + B(2 nummers, meestal 01)...
Zelf zie ik BSN nummers maar als een kentekens. Openbaar zichtbaar en daardoor niet betrouwbaar. Hopelijk zien de overheidsinstanties dat ook zo ;-)

[Reactie gewijzigd door bazzi op 11 mei 2016 08:22]

Extra reden, de overheid heeft geen winstbejag met zijn sites, bedrijven wel.

En er zijn wel degelijk richtlijnen waar men zich aan moet houden, althans voor ministeries. Voor gemeentes, ZBO's en dergelijke weet ik het niet.
Bewoordingen als "elk initiatief" of "ramp" worden erg makkelijk in de mond genomen zonder goede onderbouwing. Maar ik begrijp je punt.

Eind 2014 is het rapport van het Parlementair onderzoek ICT-projecten bij de overheid uitgebracht. Conclusies: het besturen en beheersen van projecten is waar het vaak op mis gaat en er teveel versnippert zou zijn.

Als je naar een arts gaat verwacht je dat iemand een inhoudelijk passende scholing heeft gehad. Kan je dat in de politiek of zelfs het bedrijfsleven verwachten als de meest kiezers/aandeelhouders het liever hebben over richtingen hebben dan inhoud?
Ja... Gebrek aan kennis is een deel van het probleem. Maar het zit ook in het systeem, bijvoorbeeld de verplichting om van preferred suppliers te kopen. En dat zijn de grote, dure, inefficiente, incompetente ICT dienstverleners. Vaak kun je voor een tiende van het geld en tijd een klein bureau het werk laten doen. Probeer eens nieuwe tech te gebruiken, en methodes als agile. Dat snappen en willen ambtenaren niet... En de dienstverleners al helemaal niet, ze verdienen er veel minder aan.
Dat is wel erg kort door de bocht. Wat gemeentewebsites betreft zijn er een aantal grote partijen die deze sites bouwen (zoals bovengenoemde Wassenaar). Gemeentes kunnen ook kiezen het zelf te doen, zoals Culemborg lijkt te doen. En gemeentes kunnen ook uitbesteden bij een bureau naar keuze, zoals Bloemendaal doet.

Maar aan een gemeentewebsite hangen heel veel eisen, zoals de website "drempelvrij" maken, wat inhoudt dat iedereen de content moet kunnen bezoeken ongeacht welke browser ze gebruiken of wat hun lichamelijke beperkingen zijn (doof/blind/etc) en hoe dat hun surfgedrag beinvloed.
Dat is een reden waarom je tegen een gemeente niet kan zeggen "Probeer eens nieuwe tech te gebruiken" want als de dekking van die "nieuwe tech" niet 100% is, mag je het simpelweg niet gebruiken.

"En methodes als agile". Simgroep is veruit de grootste gemeente-websitebouwer en die werken gewoon met agile, scrum etc.
Vaak kun je voor een tiende van het geld en tijd een klein bureau het werk laten doen.
Dat ben ik niet eens. Een klein bureau heeft niet al complete stukken code klaarliggen die moeten werken op elke gemeente site, zoals koppelingen met bijv. DigiD, kennisbanken etc etc. Grote gespecialeerde bedrijven (zoals Simgroep) investeren veel om 1 compleet product voor elke gemeente te maken. Die investering levert uiteindelijk (over 350+ gemeentesites) veel op.

Overigens snap ik niet precies wat er zo goed is aan "agile" forceren, want net als bij elke methodiek ligt het niet aan het systeem wat je gebruikt maar hoe je het implementeerd. Zeggen dat "je moet agile gebruiken" lost geen problemen op. Maar da's een andere discussie

[Reactie gewijzigd door anargeek op 11 mei 2016 11:50]

Ok, ik overdreef wat. Het gaat me hier ook om eerlijk te zijn minder om websites met info dan om web apps en grote ICT projecten in het algemeen. En 10 keer is wellicht wat overdreven, hoewel... soms niet :'(
Zoveel mogelijk uitgeven, zo min mogelijk nadenken, zoveel mogelijk wegsluizen.

Even een snelle edit: Dit zal waarschijnlijk niet alleen bij de overheid liggen maar ook het management aan de andere kant.

[Reactie gewijzigd door fantafriday op 10 mei 2016 18:26]

Edit: ter verduidelijking,om vaag agressieve reacties te voorkomen:

Dat is niet waar. Ik doe veel zaken met gemeenten en ik kan je melden dat er -vaak- veel oog voor beveiliging is, soms zelfs op het absurde af. Wat je wel in de praktijk af en toe wel ziet is dat:
a) vooral bij kleinere gemeenten niet genoeg kennis en mankracht is om zaken goed te regelen -en dat er dus te weinig aandacht aan privacy geschonken wordt-

b) gemeenten over het algemeen niet gewend zijn om met saas-achtigen/webportalen te werken waardoor de kennis hiervan ontbreekt (alles traditioneel in-house).
-Men vindt privacy dus wel belangrijk en dwingt dat op sommige punten sterk af waardoor er sprake kan zijn van tunnelvisie-

c) er eilandjes zijn met mensen die alleen zorg dragen voor hun eigen applicatie en geen oog hebben voor belangrijke bijzaken. -dit is inherent aan het concept (de organisatievorm) bureaucratie en niet zomaar te veranderen-

-Als een van de bovenstaande punten van toepassing is dan kunnen hier problemen bij optreden.-

Hiermee praat ik overigens niets goed, er bestaat geen fatsoenlijk excuus om dit soort wanbeheer goed te praten. Helaas gooien de praktijk en verkeerde prioriteiten vaak roet in het eten.

[Reactie gewijzigd door oef! op 10 mei 2016 20:36]

Hoezo DigiD? Dat is nu het enige wat altijd goed gewerkt heeft.
Het enige probleem waar ik van gehoord heb is dat hun certificatenleverancier dingen fout gedaan had.
De certificatenleverancier die jij bedoeld is waarschijnlijk diginotar?

Diginotar was een normaal commercieel bedrijf, later in handen gekomen van Vasco.
Heeft verder niets met de overheid te maken behalve dat ze certificaten voor de overheid mochten uitgeven, net zoals KPN
Ja, inderdaad. Voor zover ik me herinner was er iets mis met de certificaten die DigID aangeleverd kreeg waardoor ze niet geldig waren, en er was gedoe waarom dit niet beter gecontroleerd werd vanuit de regering.

Het was niet dat het nepcertificaten waren of zo, maar een technisch detail dat niet klopte en dat ook bij andere klanten van diginotar voor ongeldige certificaten zorgde.

[Reactie gewijzigd door StefanDingenout op 10 mei 2016 23:02]

Een technisch detail?
De CA server van Diginotar was rechtstreeks verbonden met de kantooromgeving van Diginotar en zat inhetzelfde domein. Eerstgenoemde was misschien vrij streng beveiligd, maar laatstgenoemde zeker niet.
Daarnaast zaten er enkele enorme lekken in de website van Diginotar.

Fox-IT heeft toen een volledige audit gedaan van Diginotar en daar kwamen behoorlijk wat vreemde dingen naar boven. het rapport is hier te downloaden.

Het ergste dat Diginotar trouwens in mijn ogen heeft gedaan (afgezien van de slechte beveiliging) is de hack stil houden.
Je bedoelt: Bij mij heeft het altijd gewerkt. Bij heel veel andere menesen niet; Constant niet in kunnen loggen, geen smsjes ontvangen, webpage resets zonder reden, niet bereikbaar enz. enz.
Hmm, allemaal nog nooit iets over gehoord.
Ik heb 19 keer een code per post moeten aanvragen.
19 keer een andere gebruikersnaam kiezen enz.
19 keer wachten op een envelop die niet kwam...
het enige wat altijd goed gewerkt heeft
Na 19 keer wel ja, en dan ook alleen omdat een kennis via via iemand zover kreeg om de code handmatig en aangetekend te verzenden en voila de volgende dag ligt er ineens wel een code.
Maar als we dat soort gedoe negeren, de vrij regelmatige downtime en 'leuke' grappen als iemand die drie keer je gebruikersnaam in typt en dan je DigID blokkeert is het een prima systeem...
ALS het werkt, werkt het prima, zo was de belastingaangifte heerlijk makkelijk (zolang je het niet 5 minuten voor de deadline invult..., maar zodra het niet werkt houdt alles ook op en is er geen mogelijkheid om het op te lossen, dan is het gewoon afwachten en maar hopen dat iemand een keer zin heeft om het te repareren...
Blij dat er zoiets als DigID is, maar om dat nou 'goed werkend' te noemen O-)
Ja, erg vervelend voor je natuurlijk. Maar geen enkel systeem werkt natuurlijk helemaal zonder fouten. Vergeleken met andere sites heb ik van DigID vrijwel nooit iets in het nieuws gezien over problemen. Buiten certificaten kan ik me niet herinneren ooit iets op tweakers gezien te hebben.

En ja, ik kan ook wel eens niet inloggen vanwege down time, maar ik kan niet zeggen dat het vaak genoeg gebeurd dat ik een probleem zie.

Dus het lijkt me eerder dat je een uitzondering bent dan dat het nou werkelijk een ramp is zoals aryan1171 zegt.
Bij de overheid verdien je (als icter) nou eenmaal minder dan in de private sector. Dus minder goede icters bij de overheid.
lol, gelukkig is de wereld niet zo zwartwit als jouw comment
Hij heeft wel gelijk. De meeste ťcht goede specialisten gaan niet bij de overheid werken als je het viervoudige kunt verdienen in de private sector.

Het is niet allemaal zwart-wit inderdaad, maar uiteindelijk komen de beste ICT'ers vaak niet bij de overheid terecht. Qua (ICT) management helpt de balkenende norm ook niet.

Helaas ziet de (korte-termijn) politiek niet in dat goedkoop op termijn duurkoop is.
Goede IT'ers komen alleen bij de overheid via inhuur. Ik wil niet zeggen dat de IT'ers bij de overheid allemaal slecht zijn, maar als je buiten veel meer kan verdienen dan ben ik wel sceptisch als men dat niet doet.
Waarom ben je sceptisch? Er zijn andere zaken in het leven dan zoveel mogelijk verdienen. Veel vrije dagen, de vrijheid om plaats en tijd onafhankelijk te werken, meewerken aan innoverende projecten waar niet alleen met een winstoogmerk gewerkt wordt. Goede opleidingsmogelijkheden, doorstromen en leren in richtingen die je zelf wil.

En als ik het viervoudige wil verdienen, moet ik zzp-er worden en laat ik daar nu net geen zin in hebben.

Als laatste: als ik op het forum kijk wat mensen verdienen, dan doe ik het als ambtenaar toch echt bovengemiddeld. (Wat verdient de ICT'er / GoT'er? (deel 13))
If you pay peanuts you get monkeys.

En ja in feite is het zo zwart wit wel bij de overheid.
Nou dat valt best mee hoor. Ik vraag mij af wie de monkey is?

Even een vergelijk. Mijn buurman werkt als data analist bij een grote ICT boer en doen nagenoeg hetzelfde als ik bij een overheidsinstelling, maar dan in een andere (beter betaalde) branche. Lease auto onder z'n gat (nee, geen dikke) en elke ochtend om 7 uur wegrijden, om 18:30 weer thuis. Z'n zoontje ziet hij bijna nooit en als we een keer bij elkaar borrelen op een zondag middag dan gaat z'n telefoon minimaal een paar keer, want bereikbaarheidsdienst.
Voor de gein een keer alle inkomsten naast elkaar gezet, dus ook alle bonussen en lease belasting. Het resultaat? Voor 100 euro minder netto per maand eet ik elke avond op tijd thuis, kan ik 's ochtends de hond uitlaten en zie ik de schoolvoorstellingen van mijn zoontje.

Vooralsnog zie ik de dik verdienende ICTer als een wijd verbreide mythe.
Hier zelfde situatie, van een blijkbaar "goede ICT-er" een slechte geworden.
Overgestapt van een hele grote ICT dienstverlener naar de overheid.
Van 12 uur per dag met reizen, gewoon om 18:00 thuis. Zie ik mijn kinderen ook nog eens..
Financieel maakte het niet heel veel uit....

Gezien de reacties moet je eerst bij zinnen komen om te ontdekken dat niet het hele leven om geld draait.. Er is een punt in inkomen dat meer geld niet meer levensvreugde geeft. en dan 4x zoveel verdienen... Tjsa lekker belangrijk.. Wil je heel veel verdienen heb je toch als IT-er het verkeerde vak gekozen

[Reactie gewijzigd door _root op 10 mei 2016 22:16]

Ik heb het meer over het kader en de senior cisco engineers ed. De onderkant van de organisatie verdiend best goed.

Maar de echte specialisten kan je met de huidige salarissen niet aan je binden. En de jonge carrieretijgers haken af bij de opmerking dat ze geen leaseauto krijgen.
Op mijn afdeling sterft het al van de CCNA -ers kijk ik een afdeling verder ziet ik ze tot en met CCIE met een vast contract bij de overheid.
En inderdaad geen leaseauto, maar blijkbaar is de financiŽle beloning niet alles..
Ccna heb ik ook geloof ik. Ik had het over specialisten, de mensen die het hele netwerk van de grond af aan kunnen designen en up to date houden.

Mensen die in de vrije sector 5 cijfers per maand kunnen vragen.
Als je een CCNA hebt moet je deze elke 3 weer laten toetsen, neem aan dat je dat dan wel bij blijft.
Een CCIE kunnen dit soort bedragen vragen, en die hebben we ook aan boord. Maar je gaat heel makkelijk voorbij aan de persoonlijke voorkeuren van mensen.
Niet alles draait om geld, er zijn zat onderzoeken zat geweest waar uitkwam dat na 2x modaal het geluk niet meer toenam.

En ja, de meeste werknemers zijn inderdaad wat ouder, en hebben vaak al meer dan 10 jaar bij commerciŽle bedrijven gezeten, maar kiezen vaak dan voor een baan bij de overheid.
Voorspelbaar, alles goed geregeld, prima balans tussen werk en prive..

Maar ik zie ook dat nu de onrust door de zoveelste reorganisatie in 10 jaar toenemen. Veel van de oudgediende zie ik nu vertrekken naar externe partijen...

[Reactie gewijzigd door _root op 11 mei 2016 10:28]

Oh dan ben ik geen ccna meer. :P

En er zijn zeker mensen die niet de wereld hoeven te verdienen ben zelf al ruim 15 jaar ict'er bij de overheid en hoop dit tot mijn pensioen te kunnen doen.

Maar ik heb geen behoefte aan een carriŤre, heb een kleine 10 jaar lang privť wel een leasehok gereden maar ben blij dat ik er nu vanaf ben. Ik weet al heel lang dat ik niet gelukkiger ga worden van een paar duizend euro meer per maand, dus ben prima tevreden met modaal+, met de wetenschap dat ik nooit echt meer ga verdienen. En nu heb ik werk waarvan ik iig indirect wat kan bijdragen, ipv uurtje factuurtje binnenharken voor een bedrijf en bij een bedrijf dat als enige doel heeft winstmaximalisatie.

Dan nog zie ik wel om me heen dat het zo niet gaat werkende echte goede gemotiveerde mensen blijven misschien een jaartje of 2 dan lopen ze of tegen de muur aan dat ze geen enkele invloed hebben en dat de hogere legerleiding geen flauw idee lijkt te hebben vaak. Of ze worden partner bij een leuk consultatie bureau en hebben dan een hartstikke leuk CV(+screening) om opdrachten te gaan doen bij het rijk voor een beter salaris en niet de stroperigheid.
exact hetzelfde verhaal hier, na 20 jaar buiten met ook echt mooie klussen toch naar de overheid gegaan. Inmiddels al een jaar of 8 bij de leukste afdeling van DMO, dus elke dag fluitend naar mijn werk..
Over het algemeen is het probleem juist dat de overheid het werk uitbesteed en dat er onrealistische biedingen gemaakt worden.
Niet een beetje overgegeneraliseerd?

Waarom hoor je vaak van mislukte ICT projecten bij de overheid en niet zo vaak van bedrijven? Omdat de overheid publiek geld gebruikt en een bedrijf eigen geld. Het gaat net zo goed vaak fout. En daarbij: hier hebben 380 gemeenten hun zaakjes dus wél gewoon op orde. 10 gemeenten, dat is 2.5% van het totaal. Vind ik geen slechte score.
Over generaliseren gesproken, 2,5% klinkt voor jou misschien niet veel maar laten we het eens een beetje verder trekken. 390 gemeentes is 100%. 17009177 inwoners volgens het CBS. laten we het houden op 2,5% dus ongeveer 425229 inwoners waarvan hun gegevens potentieel op straat staan. En dat vind je geen slechte score? Al was het maar een procent, zelfs dat is teveel. Naar mijn weten kost het (relatief) weinig moeite om een website of een onderdeel daarvan van https te voorzien dus nee, ik vind je opmerking onnodig en ook nog eens gevaarlijk. Stel je eens voor als dit de norm wordt...
Wat betreft datalekken heb je een punt dat het veel te veel is, maar volgens mij had ktf het over mislukte ICT projecten in het algemeen. Andere kant van het verhaal kan je ook zeggen dat elk mislukt project 1 teveel is, zeker in geval van publiekelijk geld. Dat ben ik dan ook weer met je eens, maar dat zal iedereen wel zijn.

Over publieke gelden gesproken, ik hoop dat het AP dan ook niet een gigantische boete gaat geven, dat vervolgens de inwoners weer moeten ophoesten. Ontsla de projectmanager(s) maar en zet toezicht in voor een periode van xx jaar. Ergens is het vrij vreemd dat lagere overheden zo maar even wat kunnen "uitproberen"... of juist niets implementeren wegens <insert reden>.

Over publieke gelden gesproken deeltje 2. Calculeert de hogere overheid wel voldoende in wat een bepaalde regelgeving de op lange duur gaat kosten? Kortom het totale plaatje op gebied van uitvoering, beheer en het toezicht erop. Soms denk ik wel eens dat bepaalde zaken worden vastgelegd vanuit een idee dat iets "zo moet" of "zo hoort", terwijl tijdens de uitvoering lagere overheden het kapitalen kost en het maatschappelijk doel ver voorbij streeft of dus bij lange na niet haalt door falen. Ik vraag me daarom af in hoeverre abstracte ideeŽn over regelgeving getoetst worden op realisme en of dit niet kritischer moet gebeuren?
Dan ga je er van uit dat de problemen bij gemeenten van gemiddelde grote zit. Dat is niet het geval. Je hoeft het ook niet uit te rekenen want het staat in het RTL artikel:
Bij tien gemeenten, die verantwoordelijk zijn voor ruim 180.000 burgers, werd er ook om het burgerservicenummer gevraagd.

Het gaat dus om 1% van de inwoners van Nederland.

Nog steeds kwalijk. Het geeft wel aan dat kleine gemeenten meer problemen hebben met het in orde houden van hun ICT.

[Reactie gewijzigd door Belboer op 11 mei 2016 11:59]

Ik heb het niet alleen hier over, maar bijvoorbeeld ook over DigiD.

Wat is er precies mis met DigiD? Persoonlijk vind ik dat een van de betere aspecten van de overheid ICT. Als je naar het buitenland kijkt is DigiD vaak een baken van licht vgl met wat je daar aantreft.

Laatst moest ik nog wat pensioenzaken regelen, en het is dan een fantastische iets dat ik mij kan identificeren en authentificeren bij een pensioenfonds waar ik al geen 10+ jaar contact mee gehad heb, en meteen allerlei persoonsgegevens kan updaten. En dat alles zonder me zorgen te maken of ik wel of niet spreek met een betrouwbare website.

Heel wat beter dan alles in een email kloppen en met een gescant kopietje paspoort moeten opsturen. Dat is namelijk de gangbare praktijk veel instanties die niet op DigiD aangesloten zijn.

De Duo website is extreem beperkt en werkt vaak niet net zoals de gemeente website betreffende grofvuil Ik begrijp dat dit offtopic is maar de vraag brand nu wel heel erg. Proberen ze soms zoveel mogelijk te bezuinigen op zaken?

Dat is echter niet de schuld van DigiD. Zo is de gemeente website van Den Haag ook een ramp, maar die van Eindhoven weer erg soepel. Net zoals de ene bedrijfswebsite slechter is dan de andere.
Dat is echter niet de schuld van DigiD.

Dat claim ik ook niet, ik probeerde gewoon een aantal voorbeelden achter elkaar te zetten. Tevens laat je het klinken alsof ik terug wil naar het "mailen met een kopietje" wat ook totaal nietr klopt. Overigens heb ik dit eerder gezegd maar alleen omdat het voor jou goed werkt betekent niet dat dat voor iedereen zo is. Ik en vele anderen hebben extreem veel problemen gehad.
Ik denk vooral een gebrek aan controle, te weinig kennis bij lagere overheden (en bestuurders) en weinig prioriteit in de bedrijfsvoering.
Op de overheid ligt het vergrootglas omdat dezelfde overheid de wetten instelt. Ook zat bedrijven hebben het privacy-gedeelte van de ict nog lang niet voor elkaar.
De overheid is geen commerciŽle instelling, en heel erg veel is niet overkoepelend dus elke gemeente doet zijn eigen dingetje.
Waarschijnlijk kleine gemeenten met 1 1/2e beheerder die voornamelijk werkplekken (Windows XP) beheren en verder ook niet weten hoe het werkt.
Als ze uitbesteden dan natuurlijk naar de goedkoopste want anders win je de aanbesteding niet en dus de meest kansloze partij als het gaat om de uitvoering.
Wat mij wel verbaasd is dat ze dit niet ergens centraal vandaan auditen.
De overheid is aanbestedingsplichtig en de Europese aanbesteding is zo'n groot gedrocht geworden dat 9 van de tien keer de aanbestedende partij astronomische bedragen neertelt voor een inferieur product.
Aanbesteden is iets voor pennen en post-it blokjes. Niet voor IT.

Daarnaast gaat het ook veel mis bij commerciŽle bedrijven, maar doe hoeven dat niet openbaar te maken.
Vergeet ook niet dat de overheid vaak een stuk transparanter is dan een privaat bedrijf.
Omdat de overheid absurde eisen heeft omtrent omzet van een partij die de opdracht mag uitvoeren.

Daarom komen die partijen die er elke keer weer een zooitje van maken door alles uit te besteden aan India en tevens de hoofdprijs vragen er elke keer mee weg. Bij de volgende aanbesteding staan ze gewoon weer op de stoep.
Omdat alles wat qua ICT bij de overheid fout gaat in het nieuws komt. Bij bedrijven gaat minstens zoveel fout, maar die kunnen de fuck ups meestal binnenshuis houden (gewoon in het jaarverslag on operationele kosten schuiven en niemand die het ziet).
Simpel, het is net zo vaak een ramp als in het bedrijfsleven, maar de exposure is veel hoger.
Dat is redelijk simpel, het is een cultuur van je stempel er op drukken binnen de overheid. Dus wat er dan ook voorgesteld wordt je moet ergens met een verbeterpunt komen (hoe absoluut nutteloos en dom dat ook mogen zijn) en dat geld voor eigenlijk iedere ambtenaar. Veel al hebben deze mensen zelf weinig tot geen kennis van de materie waar men over beslist en is er een absolute noodzaak om de kosten voor de uitvoer zo laag mogelijk te houden want de controlerende laag moet de succesvolle implementatie van al weer een http pagina die amper werkt wel kunnen vieren natuurlijk.

In plaats van een simpele oplossing waar bij de gemeente binnen de VNG een standaard website ontwikkelen op basis van een gezamenlijk budget waar alles simpel op te vinden is en de uitleg en hulp extreem makkelijk is want als je eenmaal weet hoe het in 1 gemeente werkt kun je in alle gemeente te recht doet iedereen maar wat. Dit werkt corruptie en vriendjes politiek in de hand want kleine bedragen die aanbesteed worden en dus weinig controle, die schoonzoon met een internet bedrijfje maakt wel even die pagina voor ons etc...
De kwaliteit is ver te zoeken simpel weg omdat in plaats van een platform te maken dat iedereen gebruikt, waar je 1x de kosten hebt van de ontwikkeling (zelfs als de marginaal hoger zouden zijn) doet iedere gemeente haar eigen site bouwen want haantjes gedrag en als het hier niet uitgevonden is kan het niet goed zijn etc...

Als burgers zouden de Nederlanders er iets aan kunnen doen maar dat vereist dat men eindelijk eens verder kijkt dan binnen de eigen familie/vrienden kring en probeert echt iets te verbeteren. Omdat er in Nederland nog steeds veel te veen geld is de politieke elite absoluut geen inspraak duld en de Nederlanders dat wel goed vinden zo is er maar een echte oplossing.

Mond houden, portefeuille trekken en gewoon blijven betalen voor de taxpoet verbranders van de overheid want je gaat er toch nooit iets aan doen als burger zijnde (daar ben je te lui voor)
Probleem is dat er een uitstekend concept uitgedacht wordt. Vervolgens een functionele specificatie waar iedereen zich in kan vinden. En dan komt een eerste release. Daaruit blijkt dat allerlei afdelingen het toch iets anders hadden voorgesteld. De ene afdeling wil dit aangepast, de andere juist dat. Maar dit ťn dat gaan niet samen. Desondanks houdt men per afdeling toch vast aan hun eigen wensen (lees eisen). Gevolg is dat het product eigenlijk onmogelijk is om werkend te krijgen, met eindgebruiker als gedupeerde.

En omdat in de managementwereld er maar weinig managers zijn die hun hoofd boven het maaiveld uit durven te steken en radicaal een project op zo'n moment een halt toeroepen, blijven dergelijke projecten tot in eeuwigheid "doorontwikkelen". Met alle financiŽle en functionele gevolgen van dien.
Laat je niets wijs maken. Argumenten als project management zijn bijzaak. Het echte probleem is dat ICT te snel de samenleving is ingevoerd en zo ook heeft de overheid het te snel omarmd. Beveiliging was lange tijd een bijzaak en in den beginne werd er niet eens over gesproken. En de inhaalslag zal nooit gewonnen worden.

ICT is ingevoerd en bedacht door mensen bij bedrijven die toen zij zelf jong waren nauwelijks iets
wisten van computers. En ze wisten ook al weinig tot niets van wat er filosofisch gezien gebeurt als je techniek combineert met menselijke communicatie.

Ook scholen worden geleid door mensen die nooit hebben geleerd wat internet is en wat dat betekent voor de menselijke conditie. Iedereen rommelt maar wat aan. Alleen enkele ouderen nsappen dit, dan is er een groep relatief jonge mensen die min of meer met internet opgegroeid zijn, die nog iets snappen van veiligheid. En dan is er de groep kids die opgroeien met een smart phone in de hand. Die ahdden geen mobile boven de krib maar een phone aan een draadje met plaatjes van vliegende drones.

Die weten meer van veiligheid maar zijn al vergeten dat beveiliging dient ter bescherming van privacy en andere mensenrechten en dus die generatie is ook al verloren voor de wereld. Want vrijheid heeft die groep al veel minder, achterna gejaagd door leerplichtambtenaren en BJZ en zo.

De enig mogelijkheid om de schade te beperken is een volledige stop op meer implementatie van ICT tot het hele idee fundamenteel tegen het licht is gehouden. En dan nog zul je problemen vinden simpelweg omdat communicatie een basis element is van wat we zijn als mens. En communicatie gaat over informatie. En informatie in een ICT wereld is een olieraffinaderij blussen met benzine.
Juist idee, iets te rigoreuze oplossing.

Er is de afgelopen jaren heel veel "gedecentraliseerd" in gemeente land. Heel veel nieuwe taken. Heel veel nieuwe software. Met heel veel bugs en inrichtingsfouten want allemaal, stuk voor stuk, waren ze te laat of net op t nippertje klaar. En dan krijg je dit.

Jij hebt het meer over de algehele houding van de maatschappij tov ICT. Dat is heel lastig tot helemaal niet te veranderen.. 80% vd mensen interesseert het gewoon niets.
Ach, dan bedenk je "in de privť, daar kunnen ze pas goed met ICT omgaan" :+
En al zeker in de bankwereld! }:O

Belgische bank liet zich vorig jaar voor hun volledige jaarwinst ofte 70 miljoen euro oplichten door email spoofing. :?

Hacker stuurt mailtje in naam van de baas naar de secretaresse om eventjes vlug 100 miljoen over te schrijven naar een buitenlandse bankrekening. O-)

In de privť sector komt het gewoon minder vlug in de kranten. Maar het is er even erg.
http://www.nieuwsblad.be/cnt/dmf20160119_02078829

[Reactie gewijzigd door ? ? op 11 mei 2016 11:16]

Centric. Cap Gemini.
Zij schrijven (en richten in) zo'n 80% van de "gemeentelijke" software.

Nog meer vragen?
Raar dat niet al die websites bij dezelfde partij moeten staan. Of in ieder geval dat is wat ik hier uit haal. Grotere kans op een datalek? Check!
Bij monocultuur is de impact als het misgaat veel groter. Wat mij betreft is het prima als elke gemeente/overheids apparaat zelf dit soort dingen mag aanbesteden. De uitwisseling van gegevens tussen overheden is immers netjes gestandardiseerd (bv Digikoppeling/ (een EBXML draak)).
Maar het is wel raar als dat het wiel (ict/security) 400x (~400 gemeenten) opnieuw uitgevonden moet worden van ons belastinggeld.
Begrijp niet waarom de overheid niet een landelijke ICT/security afdeling heeft die daar over kan gaan, en niet gewoon een minister van ICT heeft, zoals er ook een minster van Verkeer is.

Het uitbesteden zorgt alleen maar voor het indirect uitbesteden aan lage kwaliteit IT ontwikkelaars in India (met bugs en security problemen tot gevolg), (waarbij frauderende bedrijven als Ordina veel geld verdienen), het omkopen van corrupte ambtenaren, en het verspillen van belastinggeld.
Zie ook:
http://zembla.vara.nl/seizoenen/2015/afleveringen/28-01-2015
http://zembla.vara.nl/seizoenen/2014/afleveringen/02-10-2014
De waarde van de scheiding tussen lokaal bestuur en landelijk bestuur is niet gering en verre van alleen financieel. Verantwoordelijkheid over de juiste middelen om de taken uit te voeren is daarin niet beperkt tot ICT. Of het nu allemaal zo rampzalig is? We hebben in Nederland kennelijk 380 gemeente waar het wel goed bleek geregeld. Ruim 97%. Is het dan allemaal zo erg? Als je dat percentage in het bedrijfsleven kan vinden aan wat ze allemaal aan persoonsgegevens vragen en mensen het klakkeloos invullen ben je een held. Terwijl je bij de gemeenten vaak niet verplicht bent om via het internet je zaken te regelen.
Begrijp niet waarom de overheid niet een landelijke ICT/security afdeling heeft die daar over kan gaan, en niet gewoon een minister van ICT heeft, zoals er ook een minster van Verkeer is.

Het uitbesteden zorgt alleen maar voor het indirect uitbesteden aan lage kwaliteit IT ontwikkelaars in India
God bespare ons van nog een overheidsmonopolie! Waarom denk je dat de overheid dit beter zou kunnen dan privebedrijven? Waarom zou een overheid zich hier zelfs maar mee bezighouden? Het ministerie van verkeer bouwt ook niet zelf de wegen en de auto's.
Er is geen reden om aan te nemen dat elke uitbesteding automatisch leidt tot Indische ontwikkelaars en nog minder dat de kwaliteit daarom lager zou zijn
Klopt maar de kans dat het misgaat vergroot je ook wel weer door alles bij andere partijen neer te zetten. Stel de ene gemeente host hem voor 10 euro bij de pc boer op de hoek die hosting erbij doen en die servers worden gehackt is het toch best vervelend dat daar nou net al het verkeer doorheen moet voor die gemeente website.
Aan de andere kant is de schade bij een hack dus veel kleiner. Rationeel gezien maakt het niet uit, maar dat de beveiliging een keer gekraakt gaat worden is min of meer een feit, al is het maar door een menselijke fout. Dan kun je maar beter zorgen dat de schade meevalt. Het maakt je ook een minder interessant doelwit, want de buit is veel kleiner.
het is gewoon uiterst triest dat een nationale overheid (in belgiŽ hebben we er namelijk wel nog een paar niveau's tussen zitten) dit soort zaken niet meer volledig in eigen beheer mag houden en voor alle andere onderliggende niveaus een gestandaardiseerd platform aanbieden. Bekijk het als een wet met lokale verordeningen.
Raar dat niet al die websites bij dezelfde partij moeten staan

Websites zijn enkel front-ends. En je wilt in het kader van decentralisatie ook gemeenten ruikte geven. Zo zal de ene gemeente extra belasting heffen en daarmee o.a. een goede website kunnen bouwen. De andere besteed liever meer geld ana de voetbalclub en minder aan de website. etc. De ruimte geven is een inherent onderdeel van de democratie, waar je niet alles vanuit Den Haag (of Brussel) wilt regelen waar dat niet nodig is.

Qua backends zijn er echter wel degelijk meer centrale connecties. Ofwel op inter-gemeentelijke niveau of soms gewoon verbonden met centrale computers van het rijk.

Tenslotte de meeste handelingen worden lokaal uitgevoerd (web formulier wordt vaak omgezet in een gewone email), dus is het enkel logisch dat men communiceert met de lokale gemeente servers. Anders moet die centrale webserver alsnog terug koppelen met al die individuele gemeenten.
Wees blij dat niet alles gecentraliseerd is en dat lokale overheden (waar je als burger nog de meeste invloed op hebt) ook zelfstandig dingen mogen en kunnen doen.
Je zou denken dat doordat je nu gratis SSL certificaten kunt krijgen, hoe moeilijk het nog kan zijn om het daadwerkelijk te gaan gebruiken.
Schijnbaar moet er eerst weer data lekken bij deze gemeentes totdat er actie word ondernomen.
Een gemeente mag vast niet een willekeurige CA gebruiken voor een lullig domain verified certificaat. Ik hoop dat dat EV certificaten moeten zijn in het kader van PKIOverheid/. Dan heb je de keuze uit 4 CAs en is er heel wat papierwerk nodig om een cert te krijgen.
Waarom is het beter als er veel papierwerk voor nodig is? Het enige verschil is dat er een extra groen balkje in je browser verschijnt, verder is het qua veiligheid identiek.
Misverstand.

Qua encryptie is het identiek, maar Het Doel van een certifciaat is nu net bewijs dat je ook praat met wie de ander zegt dat die is. Ofwel hoe makkelijker (*) het is een certifciaat te krijgen, hoe minder betrouwbaar het certificaat.

Het groene balkje is een indicatie dat er extra verifciatie plaatsgevonden heeft bij het afgeven van het certificaat. En als voor deze specifieke CA's er ook nog extra papierwerk nodig is, is dat wel degelijk een extra betrouwbaarheid.

Die gratis CA's vereisen dikwijls enkel dat op moment van aanvraag je controle had over het root-email of onderdeel van de HTTP-server van het domein. Daar zit dan een laag boven, en het 'groene balkje' is niveau 3 qua verificatie. Ik neem aan dat de overheid in feite nog een niveau extra is.

In de VS heb je als voordeel dat als je met een .gov communiceert je weet dat het de overheid is. In NL en de meeste andere landen moet je daarom inhertent voorzichtiger zijn.

*) Uiteraard 'makkelijk' niet in procedure/bureaucratie, maar de hoeveelheid stappen om te bewijzen dat jij als aanvrager van het certifciaat ook die gemeente bent en de eigenaar van het betreffende domein.
Ofwel hoe makkelijker (*) het is een certifciaat te krijgen, hoe minder betrouwbaar het certificaat.
Het maakt niet uit hoe betrouwbaar het certificaat is, zolang hij maar door de browser vertrouwd wordt.

Als cert A door een CA wordt uitgegeven die alle mogelijke controles uitvoert, en cert B door een CA wordt uitgegeven welke nalatig is en geen enkele controle uitvoert, maar beide CA's door de browser vertrouwd worden, zulle beide certificaten worden geaccepteerd.

De zwakste schakel is altijd de zwakste CA. Een certificaat afnemen bij een goede CA heeft geen toegevoegde waarde. (tenzij de slechte CA wordt geblacklist natuurlijk, maar dat gebeurt in de praktijk zelden)
Het maakt niet uit hoe betrouwbaar het certificaat is, zolang hij maar door de browser vertrouwd wordt.

Technisch is dat waar in de zin dat de browser/client de connectie accepteerd, maar in die context is een 'groen balkje' ook een overbodige aanduiding. Dat is echter een verkeerde weergave, van wat een certificaat betrouwbaar maakt of niet.

Het punt dat ik maak, is dat het antwoord op de vraag: is hoe makkelijk is het om een certifciaat te krijgen voor domein X, verschillend is per domein.

Het is makkelijker een certifciaat voor Tweakers.net te krijgen, dan voor DigiD.nl of DenHaag.nl juist omdat die laatste altijd via die speciale overheids CA's gaan. En dat "veel papierwerk voor nodig is" is precies een van de redenen waarom dat is. Het is dus moeilijker om een certificaat te krijgen dat inderdaad door alle browser vertrouwd wordt voor DenHaag.nl, en dus is dat cerrtifciaat betrouwbaarder dankzij de extra controles van de CA.

Uiteraard kan je als kwaadwillende proberen via een van de minder strenge CA's een certifciaat proberen te krijgen. Maar dat is precies wat ik bedoel. Concreet als ik als gebruiker naar DenHaag.nl suf kan ik meer zeker zijn dat ik echt met DenHaag.nl praat - indien de CA een van die 4 is - dan als ik met Tweakers.net praat. En dat komt omdat dat eerste certifciaat betrouwbaarder is, dankzij die extra controles.

In dat zelfde licht is een groen balkje dus ook een extra indicatie, dat deze website echt is wie die zegt dat die is.

Een certificaat afnemen bij een goede CA heeft geen toegevoegde waarde.

Niet qua pure encryptie en authenticatie functionaliteit. Wel qua vertrouwen richting bezoekers. Of die bezoeker daar naar kijkt is een tweede. Het gros zal dat niet doen. Maar voor mensen die meer verstand van zaken hebben, dus wel.

Veel bezoekers echter kijken overigens wel naar een groene balkje. Het groene balkje zegt namelijk dat behalve dat de CA vetrouwd wordt, die een extra controle gedaan heeft, ťn dat de browser zonet realtime (of in ieder geval recent) ook nog een hercontrole gedaan heeft.

Zo is er ook software die expliet kijkt of de CA inderdaad de overheids CA is, en niet een van de genoemde gratis CA's.
Dat is niet helemaal waar, het draait dan ook om vertrouwen. Als overheid kom je er niet mee weg door een onbekende CA te gebruiken als er iets mis gaat. Als het root certificaat uitlekt heb je wel even wat uit te leggen (zoals Comodo tijden terug).

Sterker nog jij en ik kunnen allebij vandaag nog een CA worden maar er is geen hond die je vertrouwd. Het is ongelofelijk simpel alleen vertrouwen komt ter voet en vertrekt ter paard.. er is geen hond die je vertrouwt.

[Reactie gewijzigd door Ventieldopje op 10 mei 2016 19:13]

Als er iets mis gaat ben je inderdaad waarschijnlijk beter verzekerd bij een goede CA. Of er daadwerkelijk iets misgaat heeft weinig te maken met welke CA je gebruikt. Als bijvoorbeeld Comodo nu weer een malafide certificaat uit naam van de overheid uitgeeft kan een andere goede CA daar niks aan doen.

Overigens spreek je jezelf tegen met vertrouwen: Comodo heeft in het verleden gefaald en wordt nog steeds vrolijk door alle grote besturingssystemen en browsers vertrouwd.
Daarom spreek ik mijzelf toch niet tegen? Ik heb alleen het vertrouwen dat als jij en ik een CA zouden worden het lang niet zo best voor elkaar hadden dan een gerenomeerde en gecertificeerde CA. Banken halen ook wel eens ongein uit maar toch staat daar je geld omdat het daar nog steeds veilig is.

Verzekering is inderdaad nog een punt. Bij menig certificaat ben je al snel voor tien duizenden zo niet miljoenen verzekerd. Zeker bij OV en EV zijn deze bedragen aardig hoog.

Ik denk niet dat je aan moet kloppen bij let's encrypt als er iets is gebeurd ;)

Gezond boeren verstand zegt misschien, ach wat is de kans nou dat er iets mis gaat maar staat niet stil bij wŠt er precies mis kan gaan. Als overheid / bedrijf hoor je je zelf in te dekken en daar hoort een certificaat met verzekering bij.
Ware het niet dat niet zozeer Comodo heeft gefaald, maar een van hun resellers ;)
Als je je had ingelezen had je geweten dat het hierbij om DV en niet om OV en EV certificaten gaat. Leuk om te weten dat het domein een SSL certificaat heeft en het geldig is maar ik wil ook wel graag weten wie het bedrijf / overheidsinstantie achter de website is voordat ik dat informatie doorgeef.
Op zich nuttig zo'n HTTPS verbinding, maar de echte dreiging ten aanzien van persoonsgegevens in handen van gemeenten zit em in de verwerking zelf. Ondanks alle mooie woorden van Plasterk is de beveiliging bij gemeenten niet op orde. Het beveiligingsbewustzijn is laag, kennis van de privacywetgeving is laag, zicht op verschillende informatiesystemen die in gebruik zijn is onvoldoende en het eigenaarschap van die informatiesystemen is niet belegd. Persoonsgegevens zijn niet in goede handen bij gemeenten. En dit zeg ik op basis van eigen ervaring vanuit mijn werk als security consultant.
Plasterk van Binnenlandse Zaken antwoordde toen dat bij hem 'geen gemeenten bekend zijn
Lijkt me vooral een kwestie van niet willen weten en wat niet weet wat niet deert. In ieder geval heeft hij niet de vinger aan de pols.
En die boete betaald de overheid dan aan de burger?
Nee, die wordt van de ene broekzak naar de andere overgeheveld bij wijze van spreken, en betaald met de belasting die door de gedupeerde burgers opgehoest moet worden (of uit het budget voor hulpbehoevenden gehaald). |:(
Ach en vervolgens stuurt de gemeente een groot deel van je informatie door naar een marketing onderzoeksbureau die vervolgens een enquete houdt om de gevraagde dienstverlening te beoordelen. Laten we het erop houden dat ik niet blij was met een onbeveiligde digitale enquete in opdracht van de gemeente.
Er zijn vaak voldoende experts binnen een gemeentelijke ict organisatie. Ik weet zeker dat er zeker een beheerder is die dit heeft aangekaart.

Maar doordat het politieke topdown organisaties zijn moet vaak de opdracht van het management komen. Management heeft geen kennis van zaken en werken vanuit macht en directe sturing. Hierdoor ontstaat een cultuur waarin icters niet altijd verantwoordelijkheid nemen en er niet vaak zaken op eigen titel gebeuren zoals in de commerciŽle wereld logisch is.

Ik denk dat als afdelingen binnen de overheid die zich bezig houden met de Tactische ICT, ICT Beleid, en de ICT operatie beter zouden samenwerken dergelijke problemen niet of minder vaak zullen optreden.

[Reactie gewijzigd door Agima! op 10 mei 2016 19:07]

Ik vind het eigenlijk best wel meevallen, ik had het veel hoger geschat. Blijkbaar is er de afgelopen jaren toch wel veel vooruitgang geboekt want het is wel eens anders geweest.


Je hoort het niet vaak maar volgens mij kan het bedrijfsleven hier jaloers op zijn. Onder kleine webwinkels is het nog heel gebruikelijk om zonder https te werken. Grote bedrijven hebben tegenwoordig meestal wel HTTPS maar ik zie regelmatig configuraties langskomen die zou verouderd zijn dat het nog steeds onveilig is. Dat is dan voor maximale compatibiliteit ofzo maar als je per se zaken wil doen met XP+IE6 gebruikers dan offer je de veiligheid van de andere gebruikers op.
Als je op Google kijkt zie je wel een enorme stijging aan https geactiveerde websites. Verwachting is dat dit komende jaren de standaard wordt. Een certificaat kost nauwelijks wat en LE is gratis.
Bloemendaal doet het wel weer slecht dit jaar. De burgemeester is foetsie, de gemeenteraad ligt onder vuur omdat ze vergunningen verkeerd hebben verleend en de hele Brederodelaan ligt al bijna een jaar open en ze zijn vergeten glasvezel aan te leggen in de Brederodelaan waardoor we nog steeds vast zitten aan ADSL. Nu vergeten ze ook TLS in te schakelen. Als TLS eenmaal ingeschakeld is, dan zal het wel SSL 3.0 en TLS 1.0 zijn :)

Doet een beetje denken aan de blunder van de provincie Noord-Holland. Die waren vergeten de N206 aan te leggen. Zuid-Holland had de N206 mooi aangelegd, maar bij de grens houdt de N206 plotseling op en ga je over een binnendoorweggetje verder.

Het is gelukkig nog lang niet zo slecht als het bestuur van Amsterdam, maar er zijn wel wat verbeterpuntjes mogelijk in Bloemendaal.

[Reactie gewijzigd door Trommelrem op 10 mei 2016 19:56]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True