Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister dient voorstel voor Cybersecuritywet bij Tweede Kamer in

Minister Grapperhaus van Justitie en Veiligheid heeft donderdag het voorstel voor de Cybersecuritywet bij de Tweede Kamer ingediend. Aanbieders van essentiŽle diensten krijgen de verplichting hun beveiliging op orde te houden.

De Cybersecuritywet waar de Tweede Kamer zich over gaat buigen is de implementatie van de Netwerk- en Informatiebeveiligingsrichtlijn, oftewel de NIB-richtlijn, van de Europese Unie. Die moet ervoor zorgen dat lidstaten beter samenwerken op het gebied van ict-beveiliging en ook dat ze hun kritieke infrastructuur beter beveiligen.

Onderdeel van de NIB-richtlijn is een meldplicht voor aanbieders van essentiŽle diensten bij incidenten op het gebied van internetbeveiliging. Het gaat dan om bedrijven als drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen. Zo'n meldplicht geldt in Nederland al sinds 1 januari 2018, als onderdeel van de Wet gegevensverwerking. De huidige Wet gegevensverwerking en meldplicht cybersecurity worden opgenomen in de nieuwe Cybersecuritywet maar die wet regelt in aanvulling daarop de toezichthouders en de sancties die ze kunnen gaan opleggen. Zo moeten banken incidenten bij De Nederlandsche Bank gaan melden.

De Cybersecuritywet zal straks bovendien gelden voor online aanbieders van marktplaatsen, clouddiensten en zoekmachines. Daarnaast staat in het wetsvoorstel dat de betreffende bedrijven passende maatregelen moeten nemen om inbreuk op hun netwerken te voorkomen en ervoor te zorgen dat de situatie zo snel mogelijk weer op orde gebracht kan worden bij incidenten.

Door Olaf van Miltenburg

NieuwscoŲrdinator

15-02-2018 • 19:21

42 Linkedin Google+

Reacties (42)

Wijzig sortering
Volgens mij is computersecurity zo langzamerhand een wassen neus/pipe dream aan het worden.

Denk je alles goed te doen, alles op orde: Spectre of Heartbleed. Blijkt het gehele fundament uit drijfzand te bestaan.
Als je security bekijkt zoals hoe in de natuur systemen, dieren, en zo verder zichzelf beveiligen (de eindpunten zijn allemaal op zichzelf veilig, en niet dat ťťn groot federated systeem dan maar voor alle veiligheid moet zorgen) dan zijn Spectre en Heartbleed geen grote problemen. Heartbleed meer dan Spectre, omdat Heartbleed de communicatie tussen die eindpunten betreft.

M.a.w. tot en met de individuele stukken software op je systeem, iedere gebruiker op je systeem, je systeem zelf, ieder systeem op je netwerk, iedere afdeling, iedere vloer, ieder gebouw, iedere provider, iedere gemeente, ieder land, ieder werelddeel apart en op zichzelf beveiligd.

Als je echter anti-virus en firewall dozen schuift en denkt daarmee veilig te zijn, dan is je organisatie al vele jaren geleden gehacked door uw incompetentie. Je eigen computer overigens ook. Je hebt het dan enkel gewoon niet door terwijl je loopt te roepen dat anti-virus doos A beter is dan anti-virus doos B. Sterker zelfs, de meeste anti-virus dozen zitten tegenwoordig zelf vol malware en ZIJN zelfs zelf malware.

ps. Om Spectre van op afstand te exploiten moet de aanvaller bv. zaken op je browser kunnen uitvoeren. Bv. JavaScript dus. De meeste browsers hebben updates uitgebracht die de aanval sterk mitigeren. Verder zijn er microcode CPU updates aan het uitgerold worden voor je systeem zelf, en zijn er operating system upgrades beschikbaar voor de Meltdown variant van Spectre. M.a.w. als je momenteel je eindpunten juist upgrade dan is er geen probleen. Heartbleed is ook gepatched. Als je je internet-of-things rommel geupgrade hebt is er daar geen probleem, je systeem zou al heel lang moeten geupgrade zijn.

Dat er internet-of-things boegt bestaat gemaakt door fabrikanten die het zich totaal niet aantrekken, die niet kan geupgrade worden, weet ik. Daarom dat ik meestal spreek van The Internet Of Crap. Veruit de meeste IoT fabrikanten zijn belachelijk slecht bezig wat betreft security. Zelfs nog lachwekkender dan Windows 95 was in de jaren negentig.

Wat je daaraan doet? a) niet kopen, b) oproepen dat de EU die markt extreem hard reguleert (mťt zware straffen voor de fabrikanten die weigeren mee te werken).
Spectre en Heartbleed waren een voorbeeld van gerenommeerde stukken software en hardware die in de basis ineens niet veilig bleken te zijn. Waar ik op doel is dat er zoveel bewegende onderdelen in een OS/CPU/BIOS etc. etc. zitten dat het haast ondoenlijk lijkt dit goed te beveiligen. Zelfs als je alle huidige security kennis inzet, blijkt er ineens een fundamenteel probleem te zijn met een stuk software of hardware waarop de beveiliging leunt.

Zoiets als dit: https://arstechnica.com/i...y-keys-750k-estonian-ids/

Neem je een HSM, want Crypto is moeilijk dat laat je aan de pro's over, blijkt dat die kantjes er ook vanaf hebben gelopen.

En dan heb je ook nog de menselijke factor.
De menselijke factor is trouwens vele vele malen erger. Exponentieel erger, zelfs. De grotere meerderheid van de succesvolle inbraken gebeuren door eenvoudige phishing aanvallen. M.a.w. de menselijke factor.

Maar als je alle eindpunten individueel hebt beveiligd, dan is op dat moment enkel dat eindpunt ingebroken.

M.a.w. (ik geef maar een voorbeeld) hoe komt het dat als een bepaalde medewerker van ťťn of andere Amerikaanse partij dubbelclicked op een E-mailtje, dat ALLE E-mails van iedereen plots gelekt kunnen worden? Zelfs een administrator zijn laptop zou niet zomaar voor zoveel toegang mogen zorgen. Als de admin op het FS van de E-mail server wil komen, dat die dan eens gewoon fysiek naar de server room gaat?!

Als je dat zo doet, dan kan bv. Spectre er niet voor zorgen dat iemand plots op systemen van waterkeringen of kerncentrales zou kunnen. Zelfs al draait daar Win95 op. Waarom moet zoiets online? Dat moet niet. Ook niet voor dat betweterig onnozel mannetje dat pas van de ICT school is.

Crypto laat je inderdaad aan de pro's over. Crypto is een wetenschap en een wiskundige discipline. Als je niet bekend bent in die wereld, dan kan je het waarschijnlijk niet en maak je vanzelfsprekende fouten (m.a.w. is je encryptie eenvoudig te breken of ernstig te verzwakken). Dus zelf crypto ontwikkelen is meer dan ernstig waarschijnlijk een dwaas idee.
Het zal wel lost in translation zijn denk ik.
Beveiliging is daarom vooral risico beheersen. 100% veilig bestaat namelijk niet dus loop je in alles een risico. Dus kan je beter maar onderkennen wat er mis kan gaan, hoe je daar mee om wil gaan en wat je wil accepteren als verlies.

Bijna nooit zijn de kwetsbaarheden het enige probleem als er iets heel erg mis gaat. Hardware of software met een lek dat grote gevolgen kan hebben hoeft daarom niet het einde van de wereld te zijn. Ook al willen de media je graag laten geloven alsof het einde van de wereld nabij is. Specter / Meltdown of de zwakke RSA sleutels in identiteitskaarten zijn lekken die veel risico met zich meebrengen omdat er veel schade kan ontstaan als iemand het lek misbruikt.

Daarom is deze wet ook zo belangrijk. Dat computergebruikers laconiek kunnen zijn omdat er zoveel kwetsbaarheden bestaan en er niet tegen op te werken maakt het niet veiliger. Maar als de belangrijkste bedrijven waarvan Nederland van afhankelijk is die vrijheid heeft en daarmee risico nog meer bij de Nederlandse bevolking leggen is niet gewenst. Zeker niet als die bedrijven met hun belangrijke positie wel heel veel geld verdienen. Ze moeten straks verantwoorden waarom er zaken mis konden gaan of waarom hun beveiliging volgens hun voldoende zou zijn. En daar hoort ook toezicht bij. Dat was tot nu toe niet geregeld. Bedrijven hadden bijna alle vrijheid om zo veel mogelijk te verdienen aan hun belangrijke positie maar op gebied van cybersecurity waren er nauwelijks eisen.

En nu maar hopen dat ook de computergebruikers die niet onder deze wet vallen dan tot het besef komen dat ze zelf ook verantwoordelijk zijn voor het beperken van risico's. Het zou namelijk best kunnen dat internetbedrijven hun klanten strenger gaan behandelen als ze overlast veroorzaken zoals onbewust meewerken aan een ddos of gebruikt worden voor verspreiden van virussen, phishing of het hacken in andere systemen.

[Reactie gewijzigd door kodak op 15 februari 2018 23:07]

Bij het implementeren van ISO 27001 viel het me bij mijn bedrijf ook op dat er "gaten" zaten in hoe consequent we waren. Sommige zaken waren goed op orde en over andere zaken was niet nagedacht. Per afdeling ging het ook weer anders. Die cultuur "rechttrekken" maakt dat het een stuk beter uit te leggen is als het toch fout gaat.
Eigenlijk is het belangrijkste voor uw bedrijf dat ongeacht de onveiligheid van een afdeling, geen enkele andere afdeling geÔmpacteerd mag zijn.

M.a.w. als afdeling A iets nodig heeft van afdeling B, dan moet dat altijd via een beveiligde 'gateway' gaan. Met gateway bedoel ik dan niet 'router' ofzo. Hoewel het dan kan zijn. Maar wel een punt waarbij de gegevens die van A naar B gaan, nagekeken worden.

Wat netwerken betreft horen alle afdelingen op hun eigen VLAN/LAN te zitten. M.a.w. bijvoorbeeld de boekhouders op 10.0.1.0/24 en de programmeurs op 10.0.2.0/24. En als de boekhouders aan een computer van de programmers willen, dan moeten ze via de default gateway router gaan. Willen ze bestanden delen? Dan hebben de programmeurs een file-share waar ze dingen kunnen delen, en hebben de boekhouders een andere file-share waar ze dingen kunnen delen. Willen boekhouders met de programmeurs iets delen, dan is dat een aparte file-share. Die file-shares hebben ook telkens rechten op een need-to-know basis. Niet iedereen in je bedrijf moet aan alle file-shares kunnen.

M.a.w. neem je dan een freelancer tijdelijk in dienst, dan kan hij aan bepaalde gedeelde bestanden die de programmeurs nodig hebben. Maar dus niet aan de godganse boekhouding van het bedrijf. Dien heeft dat niet nodig. En als die dat nodig heeft, dat gaat dat eerst via jouw om die goedkeuring te vragen.

Programmeurs onderling moeten bv. niet aan alle source code kunnen, maar wel enkel aan de source code het moduletje waar zij aan ontwikkelen op dat moment.

En zo verder. M.a.w. alle laagjes moeten in orde zijn. En de ICT mensen moeten ieder laagje op die manier aan U kunnen uitleggen en voorleggen en in demo laten zien dat het inderdaad en effectief afgeschermd is.
Dat klinkt ideologisch als een erg goed idee, maar hoe ga je zoiets organiseren op enterprise niveau? Ik heb enige ervaring met hoe dat bij een groot consultancy bureau werkt (~400k werknemers wereldwijd) en de kennisdeling daar is een significante operatie.

Het is niet meer mogelijk om alles op need-to-know basis te regelen en te beoordelen als er duizenden werknemers per dag een keer informatie nodig hebben van een andere afdeling dan waar zij toebehoren. Dat gaat veel te langzaam, dus wordt het grootste deel van de informatie die niet extreem gevoelig is gewoon in grote databases opgeslagen die iedereen kan doorzoeken.

Het is ook logisch om als programmeur jezelf eens te willen inlezen in hoe een accountant werkt om daarvoor bijvoorbeeld een stuk software te schrijven. Of als accountant te lezen wat de workflow van een programmeur is om te beoordelen waarom een programmeur +20% budget nodig heeft volgend jaar. Als de oplossing daarvoor is "geef het aan iemand die er verstand van heeft" dan leert nooit iemand wat meer.

Kortom, kennisdeling is essentieel om een grote organisatie flexibel te houden en kennis van elkaar scheiden voor beveiliging werkt niet zoals jij voorstelt.

Wat niet wegneemt dat het wel degelijk een goed idee is (airgapped storage is daar een voorbeeld van), maar hoe het op enterprise niveau zou moeten zou ik niet weten.
Hey! Je stelt dat de opbrengst van kruisbestuiving tussen afdelingen de kost van slechte security overtreft.

Ik kan het bedrijfs-economisch eens worden met die stelling. Niet filosofisch ethisch. Dit gaat trouwens niet op voor kleine en middelgrote ondernemingen.

Voor grote en extreem grote ondernemingen wil ik accepteren dat die kruisbestuiving enige waarde heeft. Dat die waarde hoger kan zijn dan de kost van slechte security.

Men moet in zo'n geval natuurlijk ook de maatschappelijke kost in acht nemen.

Zulk groot bedrijf als wat jij beschrijft heeft vermoedelijk een grote maatschappelijke impact. Dus heel wat van de gegevens die het beheert kunnen een dusdanig grote verkrachtig van de samenleving veroorzaken dat haar eigen winst, door haar eigen toedoen, in het gedrang komt. Ik denk dan bv. aan een Google, Microsoft, Facebook en zo verder.

Voorts moet het bedrijf in acht nemen dat overheden haar zullen bestrijden. Kijk opnieuw naar Facebook en de Belgische Privacy Commissie (nieuws van vandaag). Het bedrijf moet dan ook kijken naar de reactie van haar clieŽnteel op zulk overheids-actie.

Laat ik kortweg stellen dat het organiseren van wat ik eerder beschreef een job kan worden. Een expertise-domain, zelfs. Een studie-vak op universiteiten. Een vorm van kennis in de samenleving.

Het is helaas geen eenvoudig zwart-wit A4tje. Ik denk wel dat de ideeŽn op een A4tje passen. Maar de implementatie hoort rekening te houden met mensen. Van zodra dat nodig is, heb je plots hele boeken nodig. En meer.
Eigenlijk is het belangrijkste voor uw bedrijf dat ongeacht de onveiligheid van een afdeling, geen enkele andere afdeling geÔmpacteerd mag zijn.
Dit is niet hoe een goed beveiligingsplan in elkaar zit, zeker niet bij ISO 27001. Het gaat zo, kortweg:
- Benoem de zaken in je bedrijf die je wilt beveiligen
- Benoem en minimaliseer/accepteer de mogelijke manieren waarop beveiliging doorbroken kan worden.
- Benoem en minimaliseer/accepteer de mogelijke impact als beveiliging doorbroken is.
- Rinse and repeat om de 6/12 maanden.
- Schrijf een plan om dit te doen binnen een bedrijf. Laat de directie ondertekenen.

Verder:
Op zich ben ik voor "compartimentatie" als onderdeel van "minimaliseer". Zo verminder je de mogelijke impact van een security incident. We hebben bijvoorbeeld de netwerkschijven per afdeling gemaakt (zonder uitzonderingen, zoals die er waren). Zo kan de directeur bijvoorbeeld niet meer bij persoonsgegevens (want dat is niet nodig).

Maar niet alles leent zich voor technische maatregelen. Er werden bijvoorbeeld intern bestanden met persoonsgegevens via email uitgewisseld. Hoe garandeer je (retorische vraag) dat die bestanden nergens heenlekken (want de emails staan plotseling op de mobiele telefoon, emails worden niet weggegooid, meerdere ontvangers). Ga je dan alle excel sheet attachments blokkeren in de email? Of de afspraak maken dat dat niet meer mag met persoonsgegevens? Keuzes keuzes...

Maar om een voorbeeld te geven over "beveiligingscultuur"... Op de ene afdeling lockte iedereen zijn scherm. Op de andere zeiden ze "dat gaat vanzelf na 5 minuten". Tja...

[Reactie gewijzigd door cbravo2 op 17 februari 2018 11:00]

Ik schreef nadrukkelijk "het belangrijkste". Niet "ISO 27001".
En omdat je bij ISO 27001 zelf mag bepalen wat je belangrijk vind heb je dus ongelijk.
Ok, maar dat heeft niets met security te maken. Dat wil zeggen dat je zelf mag kiezen wat je jezelf wil wijsmaken.

Vooral doen. Heeft nul met security te maken.

Heeft meer iets weg van Homeopathie.
Wat het dichtst bij 100% veilig komt is een systeem wat zich in een aparte geisoleerde ruimte bevindt en niet is aangesloten op een netwerk. Alleen is zo' n systeem tegenwoordig zo goed als onbruikbaar.
De fix voor meltdown zorgt voor crashes op veel intel systemen. Ook komt er lang niet voor elk mobo een microcode update uit. Dit gaat nog best een staartje krijgen hoor.
Anti-virus software en firewalls zijn wel een vitaal onderdeel van je bescherming in veel gevallen. Het is niet de al omvattende oplossing maar je filterd er al heeeel veel mee. In je verhaal vindt ik het overkomen alsof anti-virus software een soort gimmick is, ik hoop dat je dat niet bedoelt want dat zou behoorlijke misinformatie zijn.

[Reactie gewijzigd door t link op 15 februari 2018 20:46]

Anti-Virus software is ondertussen ook een gimmick zie bijv: https://arstechnica.com/i...2017/01/antivirus-is-bad/

Anti virus moet kernel level toegang hebben om activiteiten te kunnen doen dit kan meer risico met zich mee brengen dan dat dit het oplost.
Nuja, een gimmick niet. Omdat er steeds gebruikers zijn die er hun gat aan vegen zoals we dat in ons Vlaams dialect wel eens zeggen.

Die gebruikers die hun gat vegen aan de beveiliging zijn ook de gebruikers die gewoon alles dat ze maar tegenkomen als wilde beesten opstarten. Tegelijk gillen en roepen ze van de dingen die op hun scherm komen. Hoe meer geweldig die dingen, hoe meer ze als de beesten alles nog meer opstarten en in het rond klikken en downloaden en doen, en zo. Ze bezig zien is een woesternij voor je mentale gezondheid.

Zulke mensen hebben een job. En die jobs die bevinden zich misschien ook wel in het bedrijf waar jij ICT doet. M.a.w. op jouw netwerk, dat jij beheert, zitten er mensen, die toch een job hebben, die als wilde beesten alles wat ze maar tegenkomen downloaden, opstarten, in het rond klikken en vanalles.

Voor die wilde beesten kan een virusscanner soms een heel klein beetje helpen.

Tegen om het even welke digitale inbreker eigenlijk al niet meer. Want een virusscanner is te eenvoudig te omzeilen tenzij de virusscanner zo goed als alle software als verdacht moet vlaggen.

Wat je bij zulke gebruikers beter doet is na iedere reboot de harde schijf terug overschrijven naar een propere installatie (d.m.v. network boot m.a.w.). Daarna zet je hun home directory terug, die ook op de NAS staat. En dan die home directory scan je elders op virussen. Zodat je die virus-kweekvijver-met-blote-madammen-op.png.exe in de folder Desktop, en die "Recycle Bin.exe" met icoontje van dat Windows vuilbakje, opschoont tegen de volgende morgen.

Beiden files zullen waarschijnlijk iedere dag na de lunchpauze er terug staan. Want zulke beesten klikken echt gruwelijk ernstig in het rond.

Die mensen hun computergedrag is vergelijkbaar met parkeren met bumberhulp. Maar dan het geluid van de botsende bumpers gebruiken in plaats van het geluid van de sensoren in die bumpers.

Als je die mensen niet in een netwerkje zet dat volledig afgeschermd is van de te beveiligen gegevens, dan ben je iedere dag opnieuw een vogel voor de kat. Je corporate virusscanners zullen altijd te laat komen.
Anti-virus is absoluut geen gimmick, de rotzooi die ermee gebundeld wordt vaak wel. zo heb ik kaspersky anti-virus, daar zitten een paar dingen in die gewoon troep zijn. andere dingen geven me daadwerkelijk meer controle en betere beveiliging. zo krijg ik meteen een melding als er een poortscan op mijn apparaat wordt uitgevoerd, of een MITM via arp poisoning, dingen die windows uit zichzelf vrolijk accepteerd. ook zit er een feature in die automatisch programmas up to date houdt die in hun database staan, ik heb soms updates van software waarvan ik vergeten ben dat ik het had, zoals k-lite codec pack. Een andere geweldige feature is een vulnerability scan, hij vindt daadwerkelijk CVE's in je OS en software. Zo kreeg ik vandaag deze melding over CVE's van 7-zip. Ik raad je echt aan het eens te draaien en te kijken wat het tegenkomt, volgens mij zit het ook gewoon in hun gratis tools ingebouwt.

Het klopt dat een virusscanner ook een beveiligingsrisico kan zijn, maar met skeptical computing zoals ook in het artikel staat is die kans extreem klein. De kans is vele male groter dat het je beschermd tegen een virus of kwaadaardige op het netwerk dan dat de software geexploiteerd wordt om je iets afhandig te maken. Het hangt uiteindelijk ook af van wat je doet op je computer, ik download veel software en tools, vaak open source maar niet altijd even bekend waardoor ik een groter risico loop.

Maar een paar gimmicks zijn de irritante VPN die er automatisch bij geinstaleerd wordt, gelukkig kan je die ook gewoon weer verwijderen. Of de parental control en backup meldingen (die je overigens wel kan muten).

[Reactie gewijzigd door t link op 17 februari 2018 16:16]

Dan zou je wel een RSS feed kunnen opzetten van mijn reacties haha, ik ben extreem dyslectisch.
Dit is een zeer terechte opmerking. Ik vrees alleen dat het altijd zo geweest is en in de nabije toekomst zeker zo zal blijven.
Het is onmogelijk om zowel op hardware- en softwareniveau alles dicht te maken. Je hoeft ook alles versleuteld te ontvangen en sturen (end tot end) want anders heeft je lokale beveiligingsbeleid weinig zin als alle data onderschept kan worden.
Het grootste onderdeel van het probleem "security" is dat bedrijven denken dat ze ooit klaar zijn..
Welk merk antivirus moet ik gebruiken? Welke firewall is het beste? Allemaal niet de probleempunten maar IT bedrijven maken er maar al te graag misbruik van om jou te laten geloven dat als je hun product koopt, je plots secure bent.....

Security komt uit de basis, segmenteer je netwerk, zorg dat je least privilege doorvoerd en belangrijkste van alles, ga er vanuit dat je al gehacked bent en niets te vertrouwen is.

Klinkt allemaal erg aluhoedje maar de meer beveiligingslagen je opbouwt, des de minder vatbaar je bent.
Volgens mij is computersecurity zo langzamerhand een wassen neus/pipe dream aan het worden.

Denk je alles goed te doen, alles op orde: Spectre of Heartbleed. Blijkt het gehele fundament uit drijfzand te bestaan.
Het feit er meer aandacht word gegeven aan Cybersecurity betekend niet dat het er allemaal slechter op wordt, in tegendeel! de beveiliging van veel systemen word steeds beter!

Sterker nog Heartbleed en Spectre zijn gevonden door zeer getalenteerde security onderzoekers die jouw internet leven veiliger proberen te maken, als zij deze fouten niet gevonden hadden had wellicht kwaadwillende dit wel gedaan.

Buiten dat Spectre zelfs geen remote exploit is! is heartbleed in een zeer korte tijd opgelost.
Ik lees vaak geklaag over cybersecurity en dat is erg jammer.
Een goed beveiligingsplan bestaat uit meer dan alleen "de compromise".

Typische hardware beveiliging bestaat uit:
- hardenen tegen kwetsbaarheden
- detectie van (poging tot) compromise
- mitigatie
- forensische gegevens vastleggen

Hopelijk valt het op dat er meer stappen na de compromise zijn dan er voor... De meeste bedrijven denken alleen aan punt 1.
Gaan de overheidsinstellingen (ook gemeenten) en diensten ook onder de wet vallen?
Eigenlijk is alles wat de overheid doet in principe een essentiŽle dienst (anders hoeft het geen overheidstaak te zijn) dus valt het onder de wet. Overheid kennende maakt het voor zichzelf vast weer een uitzondering.
Geen uitzondering maar "krijgen langer de tijd om de zaken op orde te krijgen" vanwege de complexe materie. Of een soortgelijke strekking.
De overheid is er erg goed is om hun eigen taken zelf zeer slecht op waarde te beoordelen. Een totaal gebrek aan interesse en de stroperigheid zorgt ervoor dat ze wegkomen met vele zaken die bij grote bedrijven absoluut nooit doorgang zouden vinden.
En ook de audits die accountants!! doen qua security is een wassenneus. Dit zijn excel audits waarbij ze alleen willen dat er voldoende informatie wordt verstrekt zodat ze zelf nooit juridisch kunnen worden aangeklaagd. Ik heb zelden een goede audit meegemaakt van alle grote bedrijven (KPMG, Ernst Young, PWC) die echt kijken naar het risico. Het zijn vaak de kleinere specialistische bedrijven die echt kunnen zien wat de risico's zijn maar die mogen niet meedoen omdat ze geen Europese aanbesteding kunnen winnen. Dit houd het systeem mooi in stand.
De overheid doet trouwens vaak ook geen essentiŽle zaken. Vaak zien ze dit zelf anders, maar een museum of bibliotheek valt bij mij niet onder de eerste levensbehoeften.
Daar geef ik je ongelijk in. De overheid doet veel dingen die niet essentieel zijn, maar waar een ander ze niet doet. Het speeltuintje om de hoek, de fontein. En anderszins zijn er dingen die niet van de overheis zijn, maar wel essentieel, zoals de energievoorziening,
Ik bedoelde eigenlijk de nationale overheid en ik schreef al "in principe". Ook op gemeentelijk niveau zijn er essentiŽle diensten, maar hoe lager je in de structuur komt, hoe meer niet essentiŽle taken erbij komen.

Gemeenten hebben ook niet de invloed om de wetten zo te beÔnvloeden dat er uitzonderingen (of extra tijd) in de wet opgenomen worden om de zaakjes niet of pas later te hoeven regelen.
Eigenlijk is alles wat de overheid doet in principe een essentiŽle dienst (anders hoeft het geen overheidstaak te zijn) dus valt het onder de wet. Overheid kennende maakt het voor zichzelf vast weer een uitzondering.
Er is veel geprivatiseerd door de overheid(Oa. KPN telecom, kabelbedrijven), waardoor een boel kritieke infrastructuren gewoon in private handen zijn...
Ergens toch wel vreemd; aan de ene kant wordt er gelobbyd voor meer beveiliging terwijl de overheid te gelijkertijd inzet op massasurveillance dankzij de "sleepwet".
Het zal misschien niet iedereen duidelijk zijn wat de twee met elkaar te maken hebben, maar in beveiliging is het effectief gezien een kwestie van alles of niets. Of iedereen leest mee of niemand leest mee. Dat brengt overheden in deze onmogelijke spagaat. Ze willen selectief mee kunnen lezen/spioneren uitgaande van het idee dat zij een partij zijn die met de verantwoordelijkheid om kan gaan. Beveiligingsspecialisten zijn door schade en schande wijs geworden en weten dat je niemand kan vertrouwen, ook overheden niet.
Niet alleen kan je een overheid niet vertrouwen, zelfs al zou je de overheid kunnen vertrouwen dan nog bestaat een overheid uit mensen. Die mensen zouden fouten maken. Die fouten zouden er voor zorgen dat de mogelijkheid (de meester-sleutels bv.) zouden uitlekken.

Daarna zou plots de hele wereld een probleem hebben.

Voorts kan je als overheid ook niet weten of het al gelekt is naar een partij die er voordeel uit haalt om verborgen te houden dat zij die toegang hebben.
(moest reactie op wica zijn. Ging iets fout...

[Reactie gewijzigd door ManiacsHouse op 15 februari 2018 19:57]

Het zou fijn zijn als de overheid eens url's gaat gebruiken in hun PDF's,
Artikel 14 lid 3 en 4 (meldplicht AED’s)
Art. 10 lid 1 onder a en lid 2 en 4, en art. 11 en 12 Csw
Dit is toch niet te volgen?
Hoe moet een Kamerlid dit doen, aangezien ze wel meer wetten zouden moeten doorlezen?
Daar hebben ze dan weer volk voor die dat voor ze uitzoekt en klaarlegt. Afhankelijk van waar het om gaat zal men zich er daadwerkelijk in verdiepen of gewoon het (dwingende?) advies van de partij/coalitie volgen. Dus ja ze doen wel iets voor de centen. Of het altijd in het belang van het volk is kun je weer een andere discussie over voeren.
opzig niet heel erg moeilijk, zie het als "bladzijde 6 regel 20"
Google vind heel goed wetsartikelen :+ Verder zullen ze daar mogelijk een digitaal wetboek voor hebben waarbij je artikel en lid invult. Bovendien zullen politici een stuk meer weten over wetsartikelen en aak wel ongeveer weten waar het om gaat.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True