Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Nederland heeft geld en coŲrdinatie nodig voor verbeteren digitale beveiliging'

Door , 64 reacties

Nederland besteedt momenteel 0,01 procent van zijn bruto nationaal product aan digitale beveiliging en dat is te weinig om alle plannen die de regering heeft, uit te voeren. Desondanks is Nederland volgens de Cyber Readiness Index 'op weg om cyberklaar' te worden.

Met 0,01 procent van het bruto nationaal product besteedt Nederland ten opzichte van andere westerse landen weinig budget aan het veilig houden van computersystemen, concludeert het Potomac Institute in zijn rapport over Nederland. Het instituut biedt het rapport maandag aan de directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid aan.

Behalve een gebrek aan budget merkt het Potomac Institute ook op dat in Nederland meer dan twintig overheidsinstanties werken aan het verbeteren van de digitale veiligheid, maar dat besluitvorming gebeurt op basis van het 'poldermodel' met gezamenlijk overleg. Daardoor ontbreekt een gecentraliseerde manier van besluiten nemen en is niemand eindverantwoordelijk voor het beleid rondom digitale veiligheid.

Ook claimt het rapport dat Nederlandse bedrijven en de Nederlandse overheid beter kunnen samenwerken, onder meer op het gebied van het uitwisselen van informatie. Nederland heeft sinds 2011 een strategie voor digitale veiligheid en in 2013 heeft die nog een update gehad. Het instituut spreekt de hoop uit dat het komende kabinet meer geld zal uittrekken voor het verwezenlijken van de doelen die de strategie formuleert.

Door Arnoud Wokke

Redacteur mobile

15-05-2017 • 06:48

64 Linkedin Google+

Reacties (64)

Wijzig sortering
Gebrek aan geld is niet zozeer het probleem. Gebrek aan aandacht en bereidheid om dit onderwerp aan te pakken, daar schort het aan. Nadenken over wat je wil bereiken met informatiebeveiliging, wat het doel ervan is voor je organisatie, het uitvoeren van risicoanalyses, het hebben van aandacht ervoor bij projecten, het goed inrichten van de rechtenstructuur binnen je netwerk, goed inrichten van informatiemanagement, eigenaren voor de belangrijke informatiesystemen aanwijzen, het hebben van een noodplan voor ieder belangrijk informatiesysteem, etc, kost allemaal vooral tijd en niet zozeer een zak met geld.Tuurlijk, tijd is ook geld, maar als je dit alles goed regelt, dan scheelt het tijd. Uiteindelijk levert het ook tijd op, namelijk de tijd die je anders kwijt bent aan chaos, problemen en incidenten. Ieder bedrijf kan een grote slag maken met informatiebeveiliging ZONDER die extra investering!

[Reactie gewijzigd door Faeron op 15 mei 2017 08:50]

Gebrek aan geld is zeker een probleem, maar niet op de manier waarom de meesten denken. De overheid doet nogal aan "goedkoop is duurkoop". Inplaats van zelf mensen aan te nemen en expertise te winnen, gaan ze altijd voor de "goedkoopste op korte termijn" oplossing. Namelijk, detacheer bedrijven. Ze schrijven een opdracht uit, en die detacheerders doen hun boden, natuurlijk nooit te laag maar zeker niet te hoog (die markt hebben ze goed op slot zitten met elkaar), en een van hun krijgt de opdracht. Dat valt altijd duurder uit (duh! je betaalt hun per uur) en is altijd afgeraffeld want "de Overheid betaalt toch wel en heeft toch geen verstand van dit soort dingen".

Laat de overheid zelf eens mensen aannemen met kennis, dan kunnen ze altijd detachering gebruiken om het aan te vullen. Maar met eigen kennis zullen ze ook minder vaak opgelicht worden. Ja op de korte termijn is dat een extra uitgave, maar op de lange termijn bespaart het omdat je zelf de kennis hebt om objectief de voorstellen die gedaan worden te beoordelen en analyses op uit te voeren. Zeker in het huidige tijdperk, is dit geen overbodige luxe.
Om die mensen met kennis aan te kunnen nemen, kom je weer terug op de kern van het probleem: het beschikbare budget.

Ik ben momenteel om me heen aan het kijken v.w.b. een nieuwe (security) functie. Ik ben zowel bij overheidsinstellingen als commerciŽle security partijen op gesprek geweest, waardoor ik goed vergelijkingsmateriaal heb. Mijn conclusie is dat je er bij de overheid vrij bekaaid vanaf komt.

Een Security Specialist/Analist (post-HBO/WO) moet het bij de overheid met §4000 Š §4500 bruto doen, terwijl het in de commerciŽle sector al snel richting de §6500 met lease-auto gaat. Ik heb met een payment provider gesproken die zelfs niet van §8000 schrikt.

Geld is natuurlijk niet alles en ik kom overheidsfuncties tegen die inhoudelijk erg interessant zijn. Maar met een gat van minimaal §2000 prijzen ze zichzelf buiten de markt.
Tja overheid was altijd al iets wat minder betaalde, maar je had wel baanzekerheid, goed pensioen en goede uren. Dat trok ook wel mensen, omdat je wel tijd vrij kon krijgen als bijvoorbeeld je dochtertje geboren werd. Iets wat bij een bedrijf niet altijd kon.

Dat is in de laatste jaren wel verandert. Mensen kregen afgunst naar ambtenaren en hun "lui lekker leven!", en jaren VVD heeft hun tol gehad. Nu is de overheid onbetrouwbaar geworden als werkgever, op lokaal, provinciaal en landelijk niveau. Mensen met een melkert baan (vaak niet de slimsten, maar vervulden wel belangrijke functies zoals opzichter bij een fietsenstal, waardoor mensen toch een aanspraak punt hadden), vlogen er uit. Want.. tja.. afgunst. Er voor in de plaats kwamen deze "werkverschaffingsbedrijfjes" die mensen met een beperking of voor hun uitkering laten schoffelen en het verschil in eigen zak steken. Kost meer (want je moet deze bedrijven in huren, en daar boven op de uitkering betalen van deze mensen), maar ja.. afgunst moest omlaag.

Tel daar bij op de vele regelneverij die toegevoegd werd, het constante gezeik, hoe vaak politici jou niet onder de trein gooien om eigen hachje te redden (Opstelten, Van Der Steur en Teeven zijn daar voorbeelden van op landelijk niveau)... en je krijgt een high risk, high stress, high workload (veel uren), low pay, low satisfaction job van een onbetrouwbare werkgever. Wil de overheid dit veranderen, dan zullen ze toch echt wat aan hun interne bedrijfscultuur moeten doen.
"Een Security Specialist/Analist (post-HBO/WO) moet het bij de overheid met §4000 Š §4500", lijkt me realistischer dan 6500/8000 euro (je payment provider zal het vast wel de kleine lettertjes hebben weggelaten).
Zo is het in mijn ervaring ook. Ik ben maar gestopt met aanbestedingsprojecten.
Je zit er enorm je best op te doen, alles tot in detail uit te werken met daarbij een realistische prijs. Komt er een pipo zonder duidelijk plan op een A4tje maar wel de laagste prijs en die wordt 't dan.

Dan kijk je een jaar of wat nog 's uit nieuwsgierigheid naar het project, nooit van de grond gekomen, of hebben enorm moeten bijleggen, of het is iets geworden waar niemand wat aan heeft. Ik heb dat nog nooit goed zien gaan. Uiteindelijk meer geld kwijt en nog steeds niks opgeschoten.

Geld speelt zeker een rol. Echter, wat Faeron ook al zegt, vooral ook een stukje kennis en een duidelijk beleid van bovenaf, waarvoor je geschikte mensen nodig hebt, die dus meer geld kosten.

Misschien zouden algemene overheids organisaties ook zelf geen IT projecten mogen starten en beheren en zou dat door een speciaal elite IT organisatie uitgewerkt, beoordeeld en beheert moeten worden.
Nu bepaald een miep het die al moeite heeft haar computer zelfstandig te starten.

[Reactie gewijzigd door xs4me op 15 mei 2017 14:34]

Mmm... Als die aanbesteding de Europese aanbestedingregels volgt, wat normaal het geval is voor dergelijke zaken, kan dat niet kloppen.
Prijs is maar een van de criteria en als de andere criteria ondermaats zijn (1 vel A4), kan dat dossier de aanbesteding niet winnen. Je kan hiervoor eenvoudig klacht voor indienen.

Het zal wel niet zo extreem zijn als je voorstelt.
Ik denk toch dat je kijkt naar grote aanbestedingsprojecten of misschien wat naÔef bent dat dit niet gebeurt. Want wie is er om die wetgevingen te handhaven? Dat is nu juist een deel van het probleem.

Dat A4tje is 1x voorgekomen. Een anekdote dus.
Overigens heb ik zelf ook projecten gekregen omdat we elkaar kende. Ook tegen de regels. Maar het wordt door vaak 1 persoon beoordeeld en geaccepteerd. Vaak ook nog iemand die bijv daarvoor toneel deed en nu ineens zulke beslissingen mocht maken. Vaak ook nog als passant, want veel ervan waren tijdens het project alweer weg.

Door die ervaringen kwam ik tot de conclusie dat die weken werk die ik dan in zo'n aanbesteding stop altijd verspilde moeite is gebleken. En de reden die ik kreeg was zonder uitzondering altijd de prijs. Of dat klopt, geen idee.
Vaak wordt zo'n aanbestedingsronde ook alleen maar gedaan omdat het moet, maar ze weten van tevoren al wie 't wordt. Soms helpen ze diegene zelfs met informatie. Is ook al vaker in het nieuws geweest, dat soort praktijken.
En vaak kijken ze naar prijs omdat ze de inhoud niet (willen) snappen

Dus ik weet niet waar jij jouw kennis vandaan haalt, maar de realiteit is anders. Althans, in mijn ervaring (en directe kring denkt hetzelfde). Laat mij maar lekker in de commerciŽle sector m'n centen verdienen dan. Dat gaat veel eerlijker en realistischer.
Voor mij is het rendement met overheidsprojecten verlieslijdend. En dan kijk je wat eruit komt, dat is bijzonder armoedig. Omdat het geen realistisch voorstel was en verkeerd beoordeeld is. Niemand heeft er zo wat aan.

[Reactie gewijzigd door xs4me op 16 mei 2017 13:13]

Het grote probleem is dat de ICT bij overheden nooit echt serieus is genomen. Het is meer een noodzakelijk kwaad, wat met zo min mogelijk geld en mankracht moet functioneren. Er zijn zelden scenario's bekeken die berekenen wat het kost wanneer een systeem een tijd plat ligt. Bedrijven zien dan onmiddellijk de kosten enorm oplopen en lopen de inkomsten gevaar.
Bij overheden is er geen enkele koppeling met de inkomsten. De salarissen worden toch wel betaald. Als de overheid zich zou hervormen in meer commerciŽle eenheden (er wordt alleen betaald voor wat er uitkomt) zal de investering in ICT en veiligheid onmiddellijk stijgen.
We wachten met het budget om ICT "veiliger" te maken eerst op een moment dat het mis gaat. Dan gaat er nagedacht worden hoe het anders zou moeten. Dat is in het verkeer ook het geval, er moet eerst iets goed mis gaan, dan pas is er een reden om situaties te veranderen. ICT kan in bepaalde opzichten veiliger en stap voor stap komt deze verandering op gang zodat we allemaal profijt hebben. "Volgens het boekje".
Als ik het woord "Cyber" lees, dan schiet ik altijd in de lach. Mijn god wat knullig.
Op de digitale snelweg in Cyberspace zeiden we in 1999.
En het klonk toen al dom.
Volgens Wikipedia wordt het gebruikt als voorvoegsel dat "het geheel van digitale systemen en netwerken" aanduidt. Bestaat er een geschikt synoniem?
Cyber, dat betekent toch "Ik snap IT niet" ?

Zodra iemand dat woord serieus gebruikt ga ik er van uit dat het bericht niet voor mij is maar voor de grote massa. De enige die dat nog heeft weten te overtreffen is Trump met "The Cyber".

[Reactie gewijzigd door CAPSLOCK2000 op 15 mei 2017 09:08]

Geheel mee eens. Ik vind het echt zo dommig dat Amerikaanse politici daar een woord van maken. Alleen "cybernetic" is nog een woord in het Engels, maar je kunt het niet zomaar door midden hakken.

En dat Nederlandse politici dan weer voor de zoveelste keer een lelijk Amerikanisme overnemen is zo mogelijk nog dommiger. Wat er mee bedoeld wordt lijkt "computerbeveiliging" te zijn. Zeg dat dan. Af te korten tot "veiligheid" als de context duidelijk computers is.
Wie is ‘Nederland' in dit verhaal en welke activiteiten vallen onder de 0,01%? Dit klinkt allemaal om extra geld te krijgen. Ik weet zeker dat het bedrijfsleven meer dan 0,01% aan veiligheid uitgeeft. Het wachten op een Windows Update is al meer namelijk.
Het bruto nationaal produkt is 600+ miljard.
En 0,01% is dan dus maar 60 miljoen, daar zal dan inderdaad het bedrijfsleven wel niet bij zitten want daar kan ik me ook weinig bij voorstellen.
Bedrijfsleven moet het zelf doen.
While cyber security investments are not receiving adequate funding, it is clear that the Dutch are investing in the ICT capacity of the country. Nearly 1 percent of Dutch GDP or over §23 billion (~$25 billion) are invested by the government and private sector on ICT infrastructure.
...
The NCSC received funding of §2.7 million (~$2.9 million) – increased to §12.4 million (~$13.5 million) in 2016. The Dutch Ministry of Defense received an allocation of §5 million (~$5.4 million) – increased to §9 million (~$9.8 million) in 2016. The Dutch National Police received §13.8 million (~$15 million)
Het gaat er ook om wat de overheid investeert en betaalt wbt nationale veiligheid e.d.
Ik weet zeker dat het bedrijfsleven meer dan 0,01% aan veiligheid uitgeeft.
Maar hoe is dat relevant? Het gaat over de overheid.
Dan moeten ze overheid zeggen en niet Nederland.
En toch begreep ik het, en ik garandeer je dat ik niet de enige was.
Ik wil het niet begrijpen, want dit zorgt expres voor spraakverwarring, zodat ze makkelijk het budget kunnen verhogen. Nederland als geheel doet namelijk veel meer aan security, maar ze willen vooral de discussie niet voeren dat dit ook wellicht voornamelijk eigen verantwoordelijkheid moet zijn. Ze willen meer budget. En wat ze er dan mee doen, maakt niet uit, het komt wel op.
Wie is ‘Nederland' in dit verhaal en welke activiteiten vallen onder de 0,01%?
Nederland is de Rijksoverheid en onder die 0,01% vallen alleen maar de budgetten die geoormerkt zijn voor cyber security. Uit het bronartikel:
In fact, in 2015, of the publicly announced budgets, the Dutch government only invested §28 million (~$30.5 million) or 0.004 percent of its GDP in cyber security for civilian, military, and law enforcement agencies.
2016 ligt wat hoger, omdat de budgetten groeiden. Zo steeg het bedrag, dat het NCSC kreeg voor de uitrol van een national detection network van 2,7 miljoen euro naar 12,4 miljoen. Iets verderop zeggen diezelfde onderzoekers trouwens dat 23 miljoen euro neerkomt op "nearly 1 percent of Dutch GDP".
Mijn conclusie: die cijfers rammelen aan alle kanten.
1 procent is inclusief bedrijfsleven wat dan ook geen 23 miljoen is maar meerdere miljarden.

[Reactie gewijzigd door z1rconium op 15 mei 2017 10:38]

Komt precies op het goede moment, dat rapport. Hopelijk gaat het nieuwe kabinet hier serieus aandacht aan besteden.
De vraag is alleen waar dat budget uit gehaald wordt. Want als het bv uit het budget van de politie of justitie moet gaan komen, weet je bij voorbaat dat ze dan moeten bezuinigen op andere zaken omdat ze simpelweg te weinig krijgen.

Eigenlijk vind ik het wel tijd worden voor een aparte ministerspost voor digitale zaken (oid) waar ook meteen privacy of grote IT projecten en andere zaken onder kunnen vallen (dus niet alleen beveiliging)
Het ding met aparte ministersposten is dat je dan weer last krijgt van het fenomeen verkokering; terwijl ICT in iedere instantie aanwezig is.

Binnenlandse Zaken is een veel geschikter ministerie daarvoor.
Wat is 'cyberklaar' ? (behalve slecht Nederlandsch).
Zeker weer zo'n slecht gedefinieerde managers term waar iedere manager het over eens is met elkaar, zonder dat ook maar eentje weet wat het inhoud.....
Een goede term voor de politiek dus ;)
Deur op slot en tissues binnen handbereik? O-)
Daardoor ontbreekt een gecentraliseerde manier van besluiten nemen en is niemand eindverantwoordelijk voor het beleid rondom digitale veiligheid.
Dat is een pluspunt in plaats van een minpunt.
Anders zouden die 20+ organisaties moeten wachten op een decreet van de Grote Leider Eindverantwoordelijke waarna iedereen ťen stapje vooruit mag zetten terwijl het cyberschorem ze aan alle kanten voorbij rent.
Nu doet elke organisatie zoveel stappen als ze willen en kunnen behappen en gebeurt er tenminste nog wat.
Is ook wel degelijk een minpunt, als er van de 20 organisaties er 10 niet doorhebben dat het moet gebeuren en er is geen grote leider die bepaald dat het moet dan gebeurt het maar voor 50% inplaats van 100%.
En waar is Europa? Of gaat ieder voor zichzelf het geld uitgeven? Typisch zo'n punt om groter aan te pakken lijk mij..
Of de EU wel of niet ingrijpt betekent nog steeds dat we allemaal zelf geld moeten uitgeven. Dus dat maakt geen verschil.

Verder is Europa een continent, je bedoelt de EU.
Hoe groter je het aanpakt, hoe meer mensen er iets van moeten vinden en hoe trager de besluitvorming (eigenlijk precies 1 van de punten die genoemd worden in het rapport). Het is niet voor niks dat er overal gepreekt wordt voor Agile.
Ik bedoel inderdaad de EU.
Verder heb ik er te weinig kennis over, al kan ik mezelf wel een structuur voorstellen waarbij er een team op EU niveau onderzoeken gaat uitvoeren en de resultaten terugkoppelt naar de landen zodat zij de acties kunnen gaan nemen.
De besparing zie ik dan voornamelijk in de gemene deler waarbij je maar 1x het probleem hoeft te onderzoeken en daarmee geld zou kunnen besparen.
Helemaal mee eens. Centraal onderzoek en nationaal de afweging: wat implementeren we en op welke termijn/op welke manier.
Leuk deze oproep. Maar het is veel belangrijker wat er met het geld gebeurd dan de hoeveelheid. Kijk maar naar engeland. Budget is daar vele malen groter, maar de problemen ook. Hier zijn er wat parkeergarages die last hebben, terwijl daar oa. de ziekenhuizen plat liggen.
Ik vind het behoorlijke fail die Qpark garages trouwens. Hangen de betaal automaten gewoon aan het (open) internet of heeft Qpark z'n zaakjes zelf niet op orde ? Ben geen expert, maar de kwetsbaarheid schijnt te zitten in een de SMBv1 stack. Waarom staat SMB open voor een betaalautomaat ?
Waarom ze SMB Łberhaupt hebben mee genomen in hun embedded Windows versie, zucht.

Het zal wel weer een oude CE versie zijn geweest die nog geen active directory ondersteunde |:(
Want met Active Directory kan je bestanden delen?
Zullen we met de algehele groeiende onveilige globale situatie eerst maar eens aan de bij de NAVO voor Defensie afgesproken 2% van het bruto nationaal product gaan voldoen?
2% in 2025 is het doel, niet vandaag al. En nee, zullen we vooral niet te veel investeren in kogels? Eerst even prioriteiten stellen lijkt mij beter, kan daarna het geld verstandiger worden uitgegeven.
Oh mijn god, we hebben een linkse hippy. Ten eerste, ik zeg niks over kogels. Defcert valt bv. onder Defensie .Ten tweede, de 2% afspraak staat al jaren, dat Nederland zich daar niet aan houd en dat er later een andere afspraak met 2025 is gemaakt is een heel ander verhaal. De beslissingen waar dat geld aan uitgegeven gaat worden zijn verder allang gemaak. Aan alleen kogels heb je trouwens niks, een compleet schot bestaat uit een kogel, patroon, kruit, huls en slaghoedje.

[Reactie gewijzigd door dezwarteziel op 15 mei 2017 10:54]

, een compleet schot bestaat uit een kogel, patroon, kruit, huls en slaghoedje.
Een patroon is toch het totaal ?
Verrek, je hebt gelijk, ik vergis me.
Akkoord.

Niettemin vind ik ook dat afspraken en verplichtingen nagekomen dienen te worden wat betreft contributie betalen.
Of in het andere geval niet piepen dat we 'onderverzekerd' bleken te zijn.
We hebben geen kogels :X

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*