Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse bedrijven werken samen voor beveiliging van vitale infrastructuur

Door , 39 reacties, submitter: Teka

Een zestal Nederlandse beveiligingsbedrijven hebben een samenwerkingsverband in de vorm van een bv opgericht. Die moet zich richten op de beveiliging van vitale infrastructuur, zoals Schiphol, sluizen en energiebedrijven.

Het Algemeen Dagblad schrijft dat de initiatiefnemer ex-hoofd van de militaire inlichtingendienst MIVD Pieter Cobelens is. De nieuwe bv draagt de naam Cyber Security Keten en moet ervoor zorgen dat de overheid en bedrijven in de kritieke sectoren minder afhankelijk zijn van buitenlandse beveiligingsbedrijven. Fox-IT doet dan ook niet mee aan het consortium, omdat het sinds 2015 in handen van de Britse NCC Group is.

Het samenwerkingsverband moet zich onderscheiden doordat er alleen volledig Nederlandse bedrijven aan mee kunnen doen. Daardoor zouden alleen Nederlandse regels van toepassing zijn. Zodra een bedrijf in het consortium naar de beurs gaat of wordt overgenomen door een buitenlandse onderneming, is deelname niet meer mogelijk. Cobelens legt aan BNR uit dat het 'in het grenzeloze it-domein belangrijk is dat de overheid de vinger achter de beveiliging kan krijgen en weet waar data is opgeslagen'.

Daarbij wordt nog wel gebruikgemaakt van buitenlandse technologieën, maar daar moet een Nederlandse beveiligingsstructuur overheen gelegd worden, aldus Cobelens. Een woordvoerder van het ministerie van Veiligheid en Justitie laat aan het AD weten dat het 'goed is dat bedrijven dit oppakken en dat internetbeveiliging meer in Nederlandse handen blijft'. Of de overheid ook daadwerkelijk met Cyber Security Keten gaat samenwerken, kan de woordvoerder niet zeggen. Cobelens zegt daarover dat het 'uitgebreid met de overheid is gecommuniceerd' en dat het 'stapsgewijs wordt opgebouwd'.

In een reactie aan het FD laat Fox-IT-directeur Ronald Prins weten dat het consortium een oplossing is voor een probleem dat helemaal niet bestaat. De eigendomsstructuur van een bedrijf zou geen invloed hebben op de manier waarop de beveiliging geregeld is. Fox-IT zou volgens de in Nederland geldende regels werken. De bedrijven die momenteel aan het consortium deelnemen, zijn Legian, Intermax, Grabowsky, Restment, Keylocker en Hudson Cybertec.

Reacties (39)

Wijzig sortering
De eigendomsstructuur van een bedrijf zou geen invloed hebben op de manier waarop de beveiliging geregeld is. Fox-IT zou volgens de in Nederland geldende regels werken.
Het gaat dan ook niet om hoe je het aanpakt of welke regels je toepast maar wie bij deze gegevens kan komen. Dan is eigendomsstructuur van groot belang, in dit geval speelt dit in het nadeel van FOX-IT.
Maakt uiteindelijk totaal niet uit Snowden werkte als externe medewerker bij de NSa onder Amerikaans bedrijf en kon allerlei informatie downloaden.

Eigendom wil niet veel zeggen, de vraag is eerder moet een overheid dit Łberhaupt uitbesteden.
de vraag is eerder moet een overheid dit Łberhaupt uitbesteden.
Mijn intuÔtie zegt nee, maar als de overheid dit zelf vorm moet gaan geven ben ik ook pessimistisch (realistisch?) genoeg om aan te nemen dat het oorspronkelijk budget tig keer over de kop gaat en als het eindelijk klaar is na tig verschoven deadlines het onder de strip nogsteeds gewoon sub-optimaal werkt.
En dan kan je je nog afvragen of je data in "overheidshanden" eigenlijk wel significant veiliger is dan wanneer het in "commerciŽle handen" is. Voor zo'n commerciŽle partij is er in ieder geval nog de fiscale motivator om goed werk af te leveren, zo'n motivator is er bij de overheid gewoon niet. Die verzinnen hun eigen regels en zijn ook redelijk arbitrair met zichzelf aan die regels te houden. Hoeveel overheidssites werken bijvoorbeeld nog steeds niet over SSL?

[Reactie gewijzigd door Ton Deuse op 2 juni 2017 17:52]

Maar dan moet je dus ook alleen maar rasechte ontbijtkoek- en erwtensoepetende Hollanders aannemen. Want stel je voor dat er een Thee-drinker naast staat die de geheime plannen alsnog even aan The Queen doorbelt....
Integriteit is persoonsgebonden.

Praat met iemand over materialistische dingen zoals voorkeur van auto's en je weet vaak al hoe iemand in elkaar steekt.

In mijn optiek heeft een chauvinistische "nerd" geen interesse in materialisme of kapitalisme.
Zolang hij/zij maar zijn hypotheek en lekker belegde boterham kan veroorloven en chauvinistisch genoeg is, zal hij/zij alles opofferen voor ons vaderland.

Bovenstaande klinkt misschien bij huidige generatie oud bollig. Maar als men geen offers overheeft voor het land waarin je geboren en van je vrijheid kunt genieten, kun je naar mijn mening niet goed genoeg zijn om iets voor de samenleving (of bij overheid) te kunnen doen.

Intentie is alles.
Hoeveel belasting zouden wij betalen als competentie op orde was en nepotisme niet zou bestaan?

Mensen die zoals ik bij overheid hebben gewerkt zullen allemaal wel voorbeelden kunnen vertellen over verspilling van tijd/geld en bedenkelijke situaties.
Waarom beschrijf je mij? :)

Ik zou dol graag voor de overheid willen werken, mits ik ook daadwerkelijk het gevoel heb iets bij te dragen.
Maar wat mij echt weerhoud om voor de overheid te werken is, de vergadercultuur en stuurgroepen etc etc.

Die paar projecten, die ik voor de overheid heb gedaan. Vond ik technisch super leuk, maar de zitting bij 20 stuurgroepen en 10 post-it sessies was mij te veel.

Oja, ik rij in een suzuki baleno, wat zegt dat overmij :)
Sterker nog, je reed vroeger in een Fiat Multipla toch?
Si Si,
Heb je daar je nick van?


/edit
Heb je echt speciaal voor deze reactie een account aangemaakt?
Ik voel mij zeer vereerd :)

[Reactie gewijzigd door wica op 2 juni 2017 17:01]

Ha ha, ik had ooit een account, maar lurk al zo lang dat ik mn credentials niet meer weet :)
Jirihihihi
*lol* dat maakt de selectie nog wel kleiner.
Ik zou bijna aan bier gaan denken.
Die andere kan niet, want die heeft nu een zakelijke BBQ :)
Vond je niet het meest irritante dat je verantwoording moest afleggen aan mensen die aan/uit knop van een PC niet eens kunnen vinden ?
Dat viel nog wel mee.
Maar niet gewoon eerlijk mogen zijn, altijd een politiek correct antwoord moeten geven.
Als ik of en collega een fout maken, wil ik dit gewoon kunnen toegeven en vertellen wat wij er van geleerd hebben. In plaats van kei hard liegen tegen die gene aan de overkant van de tafel.
Managers verstoppen zich in "bla bla".
Competente mensen hebben geen managers nodig slechts heldere doelen.
Dit had ik op gelost door mijn manager rechts in te halen. Zodat ik alleen een meeting had om 10 uur en daarna mijn collega's kon aansturen.
Dit zodat ik en mijn collega's minder ad-hoc (sorry ad ;) ) werk hadden, maar wel meer voor elkaar kregen.

Maar zoals zovaak, eerlijkheid wordt niet gewaardeerd.
Eerlijkheid duurt het langst.

Letterlijk en figuurlijk.

Als angst cultuur zou verdwijnen en mensen elkaar respecteren zal dat veel tijd en geld kosten.

Maar politiek correct moeten zijn is de reden waarom ik geen werk bij overheid en grote bedrijven meer doe.

Maar als er echte problemen zijn zoals een oorlog ben ik gratis beschikbaar.
Als er echt problemen zoals oorlog zijn, zou ik liever hebben dat jij en de andere experts goed betaald (en beschermd) worden en dat enkel de besten waken over wat belangrijk is.

En niet enkel degene die het gratis willen doen.

In oorlog kan je geld drukken. Zoveel je maar wil.
In 2000 had je KWINT. (Ecp.nl)

In de verschillende werkgroepen zaten voornamelijk gedetacheerd personeel die bij overheid en bedrijven in dienst waren.

Ik was samen met me collega de enige die hun eigen reiskosten betaalden als ook de enige met (dagelijkse) operationele ervaring. Wat mij voornamelijk opviel is dat men clueless waren en stonden te preken voor eigen kerk.

Gezien bedrijfsnamen klinkt het niet erg Nederlandstalig en bovendien ken ik er geen met een achtergrond in security research. Misschien dat ze die medewerkers indienst hebben ?

Maar als dit security dozen schuivende partijen zijn is Nederland niet beter af.

Ook betwijfel ik dat inkopers zonder motivatie om o.a. van nepotisme en bestaande contracten af te zien om deze partij zonder enige track record te overwegen.

Jaren geleden klaagde ik al over FOX-IT en de risico van haar markt dominantie. Echter pas na overname door buitenlandse partij vinden anderen het pas een probleem.

Het probleem bij een monopolist is inteelt en winstbejag. Waardoor de intentie om je land van dienst te zijn van ondergeschikt belang zal zijn.

Ik vind dat overheid geen gebruik moet maken van marktpartijen.

Overheid moet over eigen teams beschikken die bij oorlog of noodgevallen zonder medeweten van derden ingezet kan worden.

Verder geeft de website opbouw (getest met google) al genoeg aan over competenties van deze groep....

[Reactie gewijzigd door totaalgeenhard op 2 juni 2017 15:29]

Het eerste waaraan ik denk ex hoofd mivd, de beste man wil lekker cashen. Prat gaan op je oude functie, gebruik maken van je haagse netwerk en dan al duur betaald bedrijf veel geld bij de overheid vragen.

Zoals je al aangeeft de overheid moet geen gebruik maken van marktpartijen. De overheid zal dan wel flexibel moeten kijken naar wat ze wil betalen. Dat soort kennis kost geld en valt normaal niet binnen een standaard salaris schaal. Als het extern is mag het wel betaald worden, beetje krom dus hier moet men zeker eens een discussie over voeren.
Het eerste waaraan ik denk ex hoofd mivd, de beste man wil lekker cashen. Prat gaan op je oude functie, gebruik maken van je haagse netwerk en dan al duur betaald bedrijf veel geld bij de overheid vragen.
Nepotisme dus.

Maar los daarvan er zijn genoeg digitale rechercheur (mogelijk op mijn advies) die 4 keer meer zijn gaan verdienen in het bedrijfsleven. Als je eenmaal competenties hebt opgebouwd bij de overheid zal dat feit een meerwaarde hebben in het bedrijfsleven.

In geval van deze persoon..... in hoeverre is hij operationeel beleidsmatig en technisch echt bij infosec betrokken zijn geweest?

Als hij een "sweep" bedrijf had ingehuurd, waren er genoeg partijen te vinden die hem zou inhuren.

Het leiden (of eigenlijk besturen) van een overheidsorgaan is iets anders als opzetten en runnen van een bedrijf. Maar gezien het feit dat het een samenwerkingsverband is, heb je iemand nodig die politiek correct kan "lullen" niet op tenen zal gaan staan en kan helpen met zakken vullen.

De risico van dit bedrijf zit hem juist dat je totaal niets te zeggen hebt over competenties en integriteit van personeel van de losse partners.

Als ze in zouden zetten in opensource vervangende oplossingen van alles wat nu gangbaar is, dan zouden ze wel "nobel" zijn, want het uitsluiten van partijen met mogelijk een buitenlandse aandeelhouder slaat nergens op als je wel gewoon oplossingen gaat gebruiken waar je sourcecode niet van hebt.
Zoals je al aangeeft de overheid moet geen gebruik maken van marktpartijen. De overheid zal dan wel flexibel moeten kijken naar wat ze wil betalen. Dat soort kennis kost geld en valt normaal niet binnen een standaard salaris schaal. Als het extern is mag het wel betaald worden, beetje krom dus hier moet men zeker eens een discussie over voeren.
Inderdaad als jongeren met liefde voor R&D volwassen zijn geworden weten ze snel wat ze waard zijn en kiezen voor een dynamische werkgever met auto van de zaak en een goed salaris.

Eenmaal aan kapitalistische infuus gaan ze er meestal nooit meer vanaf.

Chauvinisme aanleren op scholen (zoals vrijwel alle landen op aarde) met goed salaris is daar een oplossing voor.
Inderdaad als jongeren met liefde voor R&D volwassen zijn geworden weten ze snel wat ze waard zijn en kiezen voor een dynamische werkgever met auto van de zaak en een goed salaris.

Eenmaal aan kapitalistische infuus gaan ze er meestal nooit meer vanaf.
Mwoah nee, wij worden gewoon freelancer hoor. Werkgevers die investeren in U bestaan niet. Werkgevers die een serieus loon willen betalen ook niet. Dus factureren we. De overgrote meerderheid van de mensen die echt veel kennis van zaken hebben die ik de afgelopen bijna twee decennia tegenkwam, zijn freelancer.

Toch bij ontwikkeling. Bij security en zo (waar al maar en vaker kennis van low level systeemontwikkeling voor zal nodig zijn) weet ik niet. Maar de dozenschuivers zijn voornamelijk lachwekkend, inderdaad. Hoe vaak ik ergens kom waar de "security" een absoluut lachwekkende ramp is, is niet meer te tellen. En ik ben niet eens een geoefend expert daar in. Gewoon de typische neurd die af en toe een CCC conferentie meepikt. Voor die mensen is de beveiliging in 98,7% van de bedrijven en overheidsinstanties een totaal lachwekkend gebeuren.
Grijp je kans zou ik zeggen...
Grootste uitdaging bij overheid is het vinden van beleidsadviseur wienst beleid zal worden overgenomen.

Uitstroom van specialisten bij overheid helpt daar niet bij.

Geef iemand eens ongelijk of met 2 handen vastgebonden alleen aanwezig mag zijn. Of daadwerkelijk je werk kunnen voor het dubbele salaris?

Wat je bij overheid overhoud (niet allemaal) is voornamelijk mensen die net niet goed genoeg zijn om in het bedrijfsleven te kunnen werken.

Dit is naar mening het grootste gevaar bij overheid. Sales engineers weten hen allea aan te smeren omdat ze het niet geheel begrijpen en/of niet door de mand willen vallen met als gevolg dat overheid (maar ook sommige bedrijven) teveel betalen voor iets wat functioneel weinig of niets toe gaat voegen.

Om maar te zwijgen over nepotisme en pure omkoping.

[Reactie gewijzigd door totaalgeenhard op 2 juni 2017 15:28]

Grootste uitdaging bij de overheid is een marktconformsalaris. Een overheidsfunctie die vergelijkbaar is met de functie die ik nu heb in de infosec in het bedrijfsleven, levert me 30-40% minder op. Nu ben ik best bereid wat in te leveren voor een functie die dienstverlenend is aan ons mooie landje, maar dit verschil is gewoon te groot om acceptabel te zijn.
Marktconform bestaat niet.

Ik heb bijna dagelijks headhunters in me spambox met functies onder 100 euro per uur en daar kom ik me bed niet voor uit (lange projecten met verschijningsplicht tussen 09:00 en 17:00).

Zodra je weet wat je waard bent en je weet dat er niemand zomaar beschikbaar zal zijn kun je vragen wat je wilt en kiezen wat/waar/wanneer.

Ik ben wel bereid om voor 50 euro per uur te werken, zolang ik me werk volledig remote kan doen en werk tijd en zelf kan bepalen.

In geval van overheid is het lastig iemand met 5 jaar ervaring te vinden die voor onder de 4000 netto dagelijks tussen 09:00 en 17:00 in apepakje met stropdas op kantoor te verschijnen. Het rare is dat ze wel bereid zijn om "tijdelijk" jaren lang een externe voor 16.000 excl. Btw/maand diezelfde vacante functie te laten bekleden.

Maar daar kunnen ze wel van eisen dat hij met apepakje op zijn werk verschijnt op de dagen dat hij/zij niet remote werkt.
In BelgiŽ zijn naar mijn mening de zogenaamde barema's het grootste gevaar voor onze nationale veiligheid als het gaat over cybercriminaliteit.

Je kan niet meer verdienen dan x als je y als diploma hebt.

Dus ja. Dan gaat niemand met kennis van zaken voor de overheid werken. Da's simpel zegge wij dan.

Het grappig is dat academische mensen (met dus diploma's) helemaal niet noodzakelijk mensen zijn die (in hun jeugdige jaren) experimenteerde met dingentjes uit elkaar te halen, terug in elkaar te steken, kijken of je er iets mee kan doen wat niet de bedoeling is maar wel grappig en leuk (= het hacken), code bestuderen op zoek naar fouten, en zo verder. Dat je dit gedaan hebt is zelfs bijna omgekeerd evenredig aan hoe veel je gestudeerd hebt (misschien hebben unif studenten daar te weinig tijd voor?).

Dus krijg je in top security posities mensen die over dozen hebben geleerd. Die zijn dus nu nog anti-virus dozen en Cisco routers (terwijl die zelf vol zitten met (opzettelijke) fouten) aan het proberen te verkopen overal. Terwijl het echte gevaar meer en meer extreem slecht geprogrammeerde IoT toestellen die her en der rechtstreeks en onrechtstreeks op netwerken kunnen geraken (de polshorloge van de medewerker die via zijn computer of smartphone onrechtstreeks toegang tot het bedrijfsnetwerk krijgt) aan het worden is.

Stond er niet ergens in de tech media vandaag dat er bv. pacemakers zijn met 8000 security fouten? Wel kom met ons mee lachen op bv. https://www.schneier.com of bv. de blog van Matthew Garrett durft ook wel eens een lachwekkend verhaal te staan, over lightbulbs die je remote kan exploiten terwijl die standaard op je netwerk zitten of muur-bevestigde tablets in de kamers van hotels waarmee je alle lichten van het hele gebouw, camera's in iedere kamer, deuren en dakramen kan bedienen. Auto's die je kan overnemen.

Het is totale waanzin aan het worden. En de IoT rommel hype is nog maar net begonnen. Dit gaat nog erger worden dan Windows ooit was, want Windows KAN te minste geupdate worden (als Microsoft nog eens goesting heeft wel hun werk te doen).

En medewerkers, medewerkers die willen dat net zoals thuis op het werk ook alles "connected" is. Dus dit komt er aan. Gegarandeerd. Bij de overheid ook.
Ook betwijfel ik dat inkopers zonder motivatie om o.a. van nepotisme en bestaande contracten af te zien om deze partij zonder enige track record te overwegen.
Vaak komt het voor dat de inkopers gewoon doen wat wordt gevraagd en dus totaal niet enige check doen:
Koop dit daar in tegen dit bedrag.
Zie ook nieuws: Politie heeft geen recht op terugbetaling 3 miljoen euro aan Office-l...

[Reactie gewijzigd door PcDealer op 2 juni 2017 15:10]

Ah ja, 100% Nederlands. Net als hun aannemer: http://i.imgur.com/YJg3By0.png
En de website gemaakt door een amerikaanse oost-europeaan
Forbidden

You don't have permission to access / on this server.
Tja, iets te veel veiligheid?
Eerste linkje die ik op die pagina probeer te openen (van Grabowsky) werkt niet... Verwijst naar grabowski.com i.p.v. grabowsky.com.
Ik heb al eerder geroepen dat er aparte netwerken moeten komen die los staan van het internet maar wel internet protocollen gebruiken (zoals TCP/IP en HTTP). Een voorbeeld is LORA (voor IoT).

Je kan bijvoorbeeld een apart netwerk voor overheidsinstantie aanleggen (overheid.net) en voor medische instellingen (MediNet). Deze netwerken zijn direct noch indirect met het internet verbonden. Soms zal er een gateway zijn maar die wordt extreem zwaar bewaakt.
.net is alleen niet onze handen.

.nl of .aw wel, tenminste, SIDN heeft gewoon het laatste woord over die TLDs.
oh ja fox it en ronald prins, de man die enkele jaren geleden in de volkskrant een artikel had staan waarin hij letterlijk beweerde dat iedereen die niets te verbergen heeft, niets van de dragnet hoeft te vrezen. die man die voordat hij voor zichzelf begon voor de aivd werkte. ja, ik geloof alles wat hij zegt meteen.
En de NL'se regering gelooft hem ook. Daarom hebben ze Fox-IT nu uitgesloten van alle overheidsprojecten zeker. Bij de AIVD zijn ze er volgens mij al uitgekwakt.
reactie verwijderd... door mijzelf

[Reactie gewijzigd door AJ op 3 juni 2017 13:32]

Ronald heeft het goed begrepen (slimme man).
Door samen te werken verzwakken ze zich juist (stof tot nadenken)!
Ronald heeft het goed begrepen (slimme man).
Natuurlijk zegt ie dat, wat is het alternatief, toegeven dat je zijn bedrijf beter niet kunt vertrouwen!?
Door samen te werken verzwakken ze zich juist (stof tot nadenken)!
Zucht... hoe zie je dat in vredesnaam voor je? :X
Wat hij alleen niet wil snappen is dat een bedrijf in buitenlandse handen zich ook moet houden aan buitenlandse wet en regelgeving - wanneer dit door dat land zo wordt opgelegd. Voor sommige dingen wil je het risico gewoon niet eens lopen dat het - heel misschien - zou kunnen gebeuren.

Niet voor de kerninfrastructuur die in dit geval Nederland draaiende houdt, en dat is niet alleen de communicatienerwerken maar ook bijvoorbeeld OV- en andere transportinfrastructuur, het electriciteitsnetwerk, waterwegen en drinkwater, gevaarlijke doelen zoals kerncentrales en zo kan ik nog wel wat voorbeelden noemen.

En er zijn al voorbeelden waar het mis gaat. Geen overheid met enig verstand zal staatsgevoelige data bij een U.S.A. gebaseerde cloudprovider stallen, want de Amerikaanse overheid kan door regelgeving als ze willen zo overal bij. Ook als de data bij een buiten Amerika gevestigde dochter is gestald. Ze hoeven er niet eens de schijn voor op te houden door het 'achter de schermen' door hun inlichtingendiensten te laten doen.

Wie zegt mij, en ik ga nu even heel erg doemdenken, dat de Brexit niet zo uit de hand loopt dat er een handels (of *shudder* echte) oorlog ontstaat tussen Engeland en het Europese vasteland? Of dat Trump wordt afgezet en z'n conservatieve opvolger nog protectionistischer is en technologiebedrijven verplicht alle infrastructuur die ze beheren beschikbaar te maken aan de Amerikaanse overheid, inclusief de buitenlandse?

Dus, ja. Dat soort dingen door interne teams laten beheren is de meest te verkiezen oplossing. Alternatief is het te laten doen door een bedrijf die zich alleen maar aan de Nederlandse wetgeving hoeft te houden.

[Reactie gewijzigd door jiriw op 2 juni 2017 15:41]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*