Minister weet niet of Kaspersky-antivirus is uitgefaseerd bij rijksoverheid

Momenteel is het nog onduidelijk of antivirussoftware van Kaspersky volledig is uitgefaseerd bij de Nederlandse rijksoverheid. Minister Grapperhaus van Justitie kan daar in beantwoording op Kamervragen nog geen helderheid over verschaffen.

In antwoord op Kamervragen van D66-Kamerlid Kees Verhoeven zegt minister Grapperhaus dat op dit moment niet kan worden bevestigd dat de Kaspersky-antivirussoftware binnen de it-systemen van de rijksoverheid volledig is uitgefaseerd. Volgens de bewindspersoon is dit uitgevraagd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de resultaten daarvan worden eind dit jaar verwacht. Op basis daarvan zal de minister van Binnenlandse Zaken de Tweede Kamer informeren.

Eveneens is onduidelijk of antivirussoftware van Kaspersky Labs op dit moment nog gebruikt wordt binnen de it-systemen van de Nederlandse vitale infrastructuur. Grapperhaus herhaalt in zijn Kamerbrief dat naast de voorzorgsmaatregel van het uitfaseren van de antivirussoftware bij de rijksoverheid aan organisaties met vitale diensten en processen het advies is gegeven om hetzelfde te doen. Omdat het om een advies gaat, is een dergelijke beslissing om tot uitfasering over te gaan aan die bedrijven en organisaties zelf.

Grapperhaus kwam in mei vorig jaar met de verplichting voor de rijksoverheid om te stoppen met het gebruik van antivirussoftware van Kaspersky. De minister gaf aan de antivirussoftware te zien als een risico, omdat deze diepgaande toegang heeft tot ict-systemen en daardoor ook misbruikt zou kunnen worden voor spionage en sabotage. Volgens de bewindspersoon waren er overigens geen concrete gevallen bekend waarbij de software door Rusland zou zijn misbruikt voor spionage- of sabotagedoeleinden, maar dat kon volgens hem ook niet worden uitgesloten. Twee maanden geleden herhaalde hij dit standpunt en gaf aan geen reden te zien om het verbod te heroverwegen; Kaspersky Labs had om een dergelijke heroverweging gevraagd.

IT-banen

Reacties (131)

131

127

Wijzig sortering

Stoelpoot 24 september 2019 12:24

Een beetje een opgeblazen reactie mijns inziens. Minister Grapperhaus weet het nog niet, wat best begrijpelijk is gezien de grootte en complexiteit van de overheid. Het is niet alsof de minister met 1 telefoontje hier het antwoord op heeft.

Randfiguur @Stoelpoot • 24 september 2019 13:06

Inderdaad, ik betwijfel of zelfs de ict-afdeling van het grote ziekenhuis waar ik nu werk precies weet welke software waar draait.

Blokker_1999

Politiek en recht
Overheid
Nederland

@Randfiguur • 24 september 2019 13:42

Als ze een beetje goed georganiseerd zijn weten ze wel degelijk welke software er aanwezig is in de organisatie. Niet alleen hoort elk product een verantwoordelijke persoon of afdeling te hebben, ze moeten ook tracken om te zien of ze voldoen aan licentievoorwaarden. En er zijn voldoende tools om een inventaris op te stellen.

tweaker2010 @Blokker_1999 • 24 september 2019 14:22

Als ze een beetje goed georganiseerd zijn weten ze wel degelijk welke software er aanwezig is in de organisatie. Niet alleen hoort elk product een verantwoordelijke persoon of afdeling te hebben, ze moeten ook tracken om te zien of ze voldoen aan licentievoorwaarden. En er zijn voldoende tools om een inventaris op te stellen.

Tracken klinkt leuk maar werkt in de praktijk niet feilloos. Systemen die niet aan het domein hangen bijvoorbeeld. Lijkt me onmogelijk dat de minister zijn handen hiervoor in het vuur durft te steken en kan zeggen: "Ja ik weet 100% zeker dat er geen enkel systeem nog een Kaspersky installatie heeft".

Even los van het licentie vraagstuk, het implementeren van een nieuwe virusscanner bij grote organisaties kost vaak vele maanden en is geen kwestie van weken. Ben trouwens benieuwd wat ze nu als 'veilig' alternatief gaan gebruiken dan. Politieke symboolveiligheid mag weer een hoop geld kosten.

blackbaby @Blokker_1999 • 24 september 2019 15:25

Aan tools is er geen gebrek, dat klopt, maar inventaris tools zijn geen enkel bedrijf een toegevoegde waarde aan de core-business. Vaak, en dan spreek ik over grote internationale bedrijven en zelfs Europese instituties wachten rustig af tot een audit hen verplicht om een inventaris voor te leggen, en dan nog wordt er vaak getwijfeld om tot de aankoop van een tool over te gaan.

[Reactie gewijzigd door blackbaby op 22 juli 2024 19:53]

Cergorach @blackbaby • 24 september 2019 16:09

maar inventaris tools zijn geen enkel bedrijf een toegevoegde waarde aan de core-business.

Actually... Bij al die MSPs en IT bedrijven die diensten en abonnementen verkopen is dit een primaire core-business. Er is een big business in RMM toolingen en documentatie systemen. Dergelijke systemen zijn redelijk essentieel, ze zorgen niet alleen voor inventarisatie, maar ook vaak voor beheer en daarmee minder downtime.

Maar AV is nare business, centraal kan je het vaak prima installeren en beheren met de tooling van de leverancier, maar deinstalleren... Das niet iets waar ze (veel) aandacht aan besteden. Bij Kaspersky kan dat echter wel prima, mits je geen rare dingen heb uitgehaald bij installeren/onderhoud, anders is het handmatig deinstalleren van 100den of 1000den PCs en absoluut p-werk!

Een afdeling is geen persoon, dat is een groep mensen. Als je het aan het hoofd IT vraagt is de kans ook niet groot of hij weet hoeveel er van x draait, tenzij hij er recentelijk mee bezig is geweest. In dit geval is er qua Kaspersky een hele heisa geweest en in dacht dat ze een project waren begonnen om dat uit te faseren. Het is dan wel degelijk aan de minister om daar regelmatige status updates over te krijgen of er naar te vragen...

[Reactie gewijzigd door Cergorach op 22 juli 2024 19:53]

Katamari-Core @Cergorach • 25 september 2019 13:02

Downtime of uptime?

dasiro @blackbaby • 24 september 2019 20:46

het voordeel van grotere organisaties is juist dat ze zelf vinden dat ze nood hebben aan zo'n tools en dan is een paar duizend euro aan licentiekosten zeker geen struikelblok. Je kan geen duizenden toestellen onderhouden zonder te weten wat er op staat, da's complete waanzin en al zeker voor bvb overheden of beursgenoteerde bedrijven.

Tozz @Blokker_1999 • 24 september 2019 16:05

Ja, maar de algemeen directeur van het ziekenhuis weet dat niet als het hem zo op de man af wordt gevraagd. Dat zal hij eerst moeten navragen.

Komt bij dat Grapperhaus erg zeker van zijn zaak moet zijn zodra hij een antwoord geeft. Anders krijgt ie straks weer een motie van wantrouwen aan z'n broek dat hij de kamer verkeerd heeft geinformeerd.

FastFred @Blokker_1999 • 24 september 2019 16:41

Dat hebben wij met ons 400 personen MKB'tje ook niet in beeld hoor. Al onze laptops en pc's hebben een volgnummer, maar die zijn allemaal van verschillende leeftijd, dus de een heeft een Avast licentie, we hebben een periode gehad dat we overal gewoon Defender of Security Essentials installeerden, sommigen hebben Symantec Endpoint Protection etc. Daarnaast zijn gebruikers vrij om zelf dingen te installeren op hun zakelijke laptop, dus er kan ook AVG, McAfee, Norton etc. op staan.

boeman1995 @Blokker_1999 • 24 september 2019 16:54

Ik werk ook in een ziekenhuis, en hier loop je al snel aan tegen mensen die opeens bijvoorbeeld een webapplicatie beginnen te gebruiken... Zonder het bij wie dan ook na te vragen. Dan komen ze vervolgens bij ICT voor support voor een applicatie waar die nog nooit van gehoord hebben. Hoe ga je dat bijhouden?

Dit soort vraagstukken is nog best lastig en is moeilijk (lang) goed te doen, vooral door organisatieveranderingen, bureaucratie en vervangingen heen.

jorisvergeerTBA @Blokker_1999 • 24 september 2019 14:13

Onzin,

Een beetje werkgever laat jouw vrij om de tools te gebruiken die jij nodig hebt om je taak te volbrengen. Een paar hiervan zoals security en en collaboration suites zullen mogelijk centraal geregeld zijn, maar per afdeling of zelfs per persoon heb je je eigen tooling.

Een centrale ICT afdeling heeft dan echt geen idee wat er allemaal precies bij wie met welke versie draait.

jpsch @jorisvergeerTBA • 24 september 2019 14:20

Licenties moeten betaald worden, zijn echt wel facturen van.

CPM @jpsch • 24 september 2019 15:15

Een licentie betaal je per 1,2 of 3 jaar. Dat zegt niets over het daadwerkelijke gebruik. Tenzij je er van uit gaat dat de licentie verlopen is en dat het product daarmee niet meer werkt en dus niet meer in gebruik is. Maar dat zou wel een beetje verkeerde manier zijn.

jpsch @CPM • 24 september 2019 16:50

Waarom zou je een virusscanner draaien die niet meer update?

SgtElPotato @jorisvergeerTBA • 24 september 2019 14:54

Een beetje bedrijf weet precies wat er gebeurt op het netwerk en welk software of zogenaamde tools geïnstalleerd zijn.

Zo zouden onbekende apparaten niet eens aangemeld mogen worden op het internet netwerk en zouden ze door middel van VLAN tagging buitengesloten moeten worden van het netwerk totdat het MAC adres goedgekeurd wordt.

Om over eigen software op bedrijfscomputer nog niet te beginnen, het lijkt me standaard dat een gebruiker niet zijn eigen software mag installeren zonder overleg, of wat nog meer mag / kan doen.

Genoeg scenario’s te bedenken waarbij het door jou geïnstalleerde programma conflicten kan opleveren met andere software en dan hebben we het nog niet eens over de risico’s die het met zich mee brengt zoals alle ‘analytische’ data die retour gestuurd wordt naar het bedrijf..

Hoover @jorisvergeerTBA • 24 september 2019 14:54

Ligt eraan. Wij hebben een marketplace waar ik software licenties aan kan vragen gebaseerd op mijn werkzaamheden. Deze worden dan goed of afgekeurd door mijn manager. Dat staat allemaal geregistreerd.
Buiten die marketplace heb ik geen rechten om software te installeren.

DutchKevv @jorisvergeerTBA • 24 september 2019 14:30

Er zijn gevallen waar het zo werkt, maar dat zijn zeker geen kritische bedrijven.

Er zijn vanuit security en financiële oogpunt nogal wat redenen om jan en alleman niet lekker te laten installeren "waar ze maar zin in hebben" en bedrijf betaald wel.

Lekker om pornhub en een Bitcoin miner op een CT scan computer te gaan zitten draaien, of computers die water systemen regelen etc.

Als je dat niet snapt moet je ook meteen ontslagen worden

[Reactie gewijzigd door DutchKevv op 22 juli 2024 19:53]

Frituurman @Randfiguur • 24 september 2019 14:09

Als dit het geval is, dan is het hoog tijd om een keer een rationalisatieslag te maken in het software landschap. Bij een voormalig werkgever van me hebben we dit i.s.m. de technisch beheerpartij gedaan, tegelijkertijd met een werkplek upgrade. Uiteindelijk kwamen we op in totaal ruim 700 verschillende applicaties, waarvan er pakweg 100 bedrijfskritisch waren en daarnaast nog ruim 200 die noodzakelijk waren om op een goede manier te kunnen blijven werken. Al met al konden er bijna 400 applicaties 'opgeschoond' worden (eigenaren of gebruikers waren niet langer in dienst). Via het 'piep'-systeem zijn van die 400 applicaties uit m'n hoofd 3 uiteindelijk toch nog gepackaged.

Los daarvan: het ging hierbij niet om een gigantische IT-organisatie, maar door de overlevering (fusies, overnames, splitsingen, etc.) was er een gigantische warboel ontstaan. Door schaalvergroting in de zorg (fuserende ziekenhuizen, bijvoorbeeld) zie je dit ook vaak terugkomen. Het is in elk geval niet raar dat één minister niet de exacte status weet. Je hebt immers te maken met 12 ministeries en ik weet niet hoeveel andere overheidsinstanties (van Belastingdienst tot de Waterschappen, van Kamer van Koophandel tot het CBR en minder bekende goden zoals het Nederlands Meetinstituut ex Regeling meetmiddelen politie of de Bloembollenkeuringsdienst). Dan reken ik voor het gemak de 12 provincies en 380 gemeenten nog niet eens mee.

@jpsch Fixed. Dan gaat het nog steeds om 12 ministeries, pakweg 160 agentschappen, Inspectiediensten en zelfstandige bestuursorganen zoals hierboven genoemd, adviescolleges (bijvoorbeeld Raad voor het Openbaar Bestuur en de Autoriteit Persoonsgegevens) en Hoge Colleges van de Staat (Eerste en Tweede Kamer, Raad van State en de Nationale Ombudsman). Dit wordt allemaal gerekend tot 'de Rijksoverheid'.

[Reactie gewijzigd door Frituurman op 22 juli 2024 19:53]

jpsch @Frituurman • 24 september 2019 14:22

Vraag aan minister ging altijd over rijksoverheid.

Fijinees @Randfiguur • 24 september 2019 13:13

Dan zou ik eigenlijk wel willen weten welk ziekenhuis dat is, als ze de admin van een stel software pakketten al niet kunnen bijhouden doet me het ergste vrezen voor de rest.

jansenr86 @Fijinees • 24 september 2019 13:49

Elk ziekenhuis.

Er zijn honderden, al dan niet duizenden pakketten voor modaliteiten van verschillende leveranciers per ziekenhuis. Elke modaliteit heeft eigen specifieke applicaties, tooling, drivers en koppelingen. Sommige zaken zijn zo minutieus, dat verzin je niet.

Veel applicaties vallen buiten scope van beheer, maar er zijn vaak wel raakvlakken waar de IT mee te maken heeft. Bijvoorbeeld een service van een algehele suite dat communiceert met een ander systeem; dan is voor de IT alleen die service interessant omdat daar een koppeling voor moet komen. De rest van de applicatie boeit dan niet.

Tegenwoordig zijn IT afdelingen binnen ziekenhuizen dienstverleners voor specifieke zaken: Servers, netwerk, WiFi, domein, (dus infrastructuur), besturingssystemen van werkstations binnen scope en ziekenhuisbrede applicaties (ZIS/PACS/Koppelingen).

Fijinees @jansenr86 • 24 september 2019 19:17

Ik heb het niet over ICT, maar over ALLE apparaten in een hele grote organisatie, multinationals die internationaal meerdere fabrieken heeft, en veel kantoren. Dus van een zaklamp van €20 tot een centrifuge van €2 miljoen.

Stoelpoot @Fijinees • 24 september 2019 13:20

Op een bepaalde grootte gaat het er eigenlijk niet meer om dat iemand die dingen weet, maar dat het te achterhalen is. Als elke applicatie die wordt gebruikt ooit is goedgekeurd, en elke applicatie kan worden getraceerd wanneer dat nodig is, is het dan echt nodig dat de exacte status van die pakketten wordt bijgehouden? Of is het voldoende om te weten dat die status op een bepaald moment kan worden opgezocht?

Fijinees @Stoelpoot • 24 september 2019 13:23

Als je het niet bijhoud is er tracing mogelijk. Dus ook versies, locatie en dergelijke.

FreshMaker @Fijinees • 24 september 2019 13:19

Als hij zijn reactie veranderd in "directie weet niet welke pakketten waar draaien" had het inderdaad correcter geweest

Fijinees @FreshMaker • 24 september 2019 13:22

Hij schreef de ICT afdeling

FreshMaker @Fijinees • 24 september 2019 13:23

Hij schreef de ICT afdeling

Ja, en lees nu mijn reactie NOG eens ....

Fijinees @FreshMaker • 24 september 2019 13:26

En de directie moet met 1 telefoontje bij de admin kunnen opvragen. En de admin heb ik dus twijfels over.

Een ICT afdeling, waar admin een onderdeel van is, die niet weet waar ze mee bezig zijn kun je beter dichtgooien.

FreshMaker @Fijinees • 24 september 2019 13:35

En daarbij betwijfelde HIJ of de admin dit wel zou weten.
Er staat niet dat hij het zeker weet dat dat zo is.

Ik twijfel ook wel eens aan collega's, maar soms blijkt het allemaal wel mee te vallen in de praktijk

FreshMaker @Stoelpoot • 24 september 2019 12:40

in theorie dus wel, want zijn staatssecretaris zou het al moeten hebben verzameld bij zijn ondergeschikte departementen.

Dat het in praktijk allemaal wat minder snel opgeleverd is ( welke reden dan ook )

litebyte @FreshMaker • 24 september 2019 13:15

"...Dat het in praktijk allemaal wat minder snel opgeleverd is ( welke reden dan ook..." )

Tientallen, mogelijk honderden ICT bedrijven die allerlei soorten diensten leveren aan de Nederlandse (rijks)overheid, danwel direct of indirect te maken hebben met systemen binnen de Nedrlandse overheid.

FreshMaker @litebyte • 24 september 2019 13:17

Dus, daar is de reden ...

het moet allemaal in een trechter, gefilterd worden en uitgewerkt in een antwoord wat alles omvat
Kennelijk heeft nog niet elke instantie het vinkje gezet "Nee, we draaien geen Kaspersky"

En is het antwoord correct van de minister "ik heb nog geen inzage of alle departement Kaspersky heeft uitgefaseerd"

En de waarheid is belangrijker dan de vraag, lijkt mij

[Reactie gewijzigd door FreshMaker op 22 juli 2024 19:53]

Multispeed @Stoelpoot • 27 september 2019 14:27

Bovendien kan hij inderdaad beter zeggen dat hij het nog niet weet. Dan wellicht afgaan op een eerste rapport wat hij al heeft waarin staat dat het overal is uitgefaseerd. Zoals je zelf al aangeeft is de grootte en complexiteit nogal een ding als we praten over de Nederlandse rijksoverheid.

Mocht het nu ergens nog niet helemaal weg zijn en iemand spot dat of meld dat aan de oppositie dan is morgen de headline. Minister Grapperhaus loog over uitfaseren virusscanner bij Nederlandse rijksoverheid.

CAPSLOCK2000

Nederland
Overheid
Politiek en recht

24 september 2019 16:02

Je ziet in alle grote organisaties hetzelfde, er is altijd een spanning tussen centraal en decentraal. Hoe meer je centraliseert hoe meer controle en inzicht je krijgt, maar daar staat trage bureaucratie tegenover. Decentrale organisaties werken over het algemeen sneller en efficiënter op lokaal, maar de organisatie verliest al snel het overzicht en op centraal niveau wordt het steeds moeilijker om nog iets gedaan te krijgen, omdat er overal eilandjes zijn die afwijken van de rest.

Idealiter wil je natuurlijk ieder stuk software exact registreren en centraal aansturen, maar als dat betekent dat ieder project een jaar opstarttijd nodig heeft dan is dat behoorlijk verlammend. Dan krijg je dat mensen zelf iets downloaden en installeren, al dan niet met toestemming van hun direct chef, en schaduw-IT bedrijven. Met een credit card in de hand kun je in 10 minuten een website opzetten voor de prijs van een kop goede koffie.

Als dat model toch onvermijdelijk is kun je het maar beter faciliteren om het nog een beetje in goede banen te leiden, maar het maakt het erg lastig om een goed overzicht te hebben. Het uitfaseren van een stuk software, of zelfs maar vragen of het in gebruik is, kan dan lastig worden, want je zal het aan alle onderdelen apart moeten vragen, als je ze al kan vinden.

coenox 24 september 2019 16:27

De Kamer onjuist informeren is een doodzonde in de politiek. Grapperhaus durft daarom nu geen 100% zekerheid te geven. En dat is verstandig. De 'Rijksoverheid' is veelomvattend. Daar vallen niet alleen de ministeries onder, maar ook alle diensten en agentschappen daaronder. Van Defensie en KNMI tot Rijkswaterstaat. Denk ook aan de politie, laboratoria, inspecties, aetc. En bedenk ook dat de diensten op Curacao, Sint Maarten en Aruba hieronder vallen. Kost even tijd.

tom.cx 24 september 2019 12:17

Ik vraag mij toch af waarom het de overheid niet lukt om een centraal systeem te maken voor al haar organen. Dat zou beheer en veiligheid toch alleen maar ten goede brengen?

ApexAlpha @tom.cx • 24 september 2019 12:27

De overheid is niet één organisatie. En elke organisatie regelt zijn eigen PC's en andere systemen. Er is geen enkele reden waarom gunstig zou zijn als het ministerie van Financiën op precies dezelfde systemen zou werken als de Rijkdienst voor Gebouwen, of het UWV, of de Belastingdienst, of de Ambassades.

[Reactie gewijzigd door ApexAlpha op 22 juli 2024 19:53]

z1rconium @ApexAlpha • 24 september 2019 12:36

Nog steeds is het dan geen rocketscience om een inventory per organisatie te hebben.
Hoe kun je nu een "veilig" netwerk bouwen als je geen idee hebt wat er op draait ? Echt zorgelijk.

K-aroq @z1rconium • 24 september 2019 12:54

Als jij denkt dat simpel is kan je gouden bergen verdienen als consultant.

z1rconium @K-aroq • 24 september 2019 13:13

Ik zei niet "simpel", maar "geen rocketscience".

Systeem/netwerk beheer anyone ? Er word hier een beetje verbolgen gereageerd, in wat voor organisaties word hier gewerkt ? Zijn dit nu de tweakers ?

Een inventaris maken is geen rocketscience. Je moet je echt achter je hoofd krabben als je het normaal vind dat er vanalles op je netwerk zit waar je geen weet van hebt.

Noeandee @z1rconium • 24 september 2019 13:38

Een inventaris is wel degelijk rocketscience, als je je beseft dat grote ministeries letterlijke honderden locaties, subnetten, vlans, firewalls e.d. omvatten. Netwerk technisch gezien is de infrastructuur zeer uitgebreid en complex. Een ministerie is niet zomaar 1 entiteit, maar een verzameling van allerlei organisaties. En dus is een simpele inventaris wel wat ingewikkelder, dan simpelweg een sweep laten uitvoeren.

Blokker_1999

Politiek en recht
Overheid
Nederland

@z1rconium • 24 september 2019 13:48

Er zijn maar weinig netwerken waarop je geen software gaat vinden die niet is goedgekeurd. En weet je wie daar nog het slechtst van al in is? IT mensen. Die denken: die tool is handig voor mijn job. Ik weet goed genoeg wat ik doe. Snel even downloaden en ik kan mijn werk beter doen. Geen haan die er naar kraait.

En een inventaris kan dan ineens ook moeilijker worden dan je denkt. Want er is steeds meer software die werkt zonder te installeren (mede omdat admin rechten minder gebruikelijk zijn vandaag de dag maar ook portabiliteit belangrijker is geworden). Dan moet de software al draaien op het moment dat je inventariseert.

Of je moet gebruik maken van tools zoals applocker, dat enkel goedgekeurde software kan gedraaid worden. Maar daar zien enorm veel organisaties tegen op omdat het enorm onflexibel is.

einreb73 @Blokker_1999 • 24 september 2019 14:03

Is ook weer software voor om te controleren , dit bijvoorbeeld :https://www.snowsoftware.com/nl/producten/snow-license-manager

nst6ldr @einreb73 • 24 september 2019 14:42

Voor een MKB met ~500 werkstations is dat misschien wel haalbaar, maar een ministerie kan daar serieus niks mee.

einreb73 @nst6ldr • 24 september 2019 14:48

Staan genoeg grote bedrijven tussen : https://www.snowsoftware.com/int/case-studies

nst6ldr @einreb73 • 24 september 2019 15:16

Dan heb je het dus nog niet begrepen. Een ministerie bestaat uit meerdere bedrijven en leveranciers. Allemaal één (of meerdere) domeinen over verschillende infrastructuren. Het gaat hier over een heel ander level dan één bedrijf. Een Ahold of Unilever gaat ook niet al haar bedrijven op één netwerk plempen, dat is vragen om problemen.

Verwijderd @K-aroq • 24 september 2019 13:13

Inderdaad! ApexAlpha, kom je die inventaris even bij mijn bedrijven doen? Goede oefening voordat je aan een inventaris van de software in gebruik bij elke overheidsinstantie begint.

ik ken iemand die software doet bij rijkswaterstaat. Zoals zo vaak is dat een enorme mix van hele oude en helen nieuwe software. Het mooiste verhaal was over een gemaal in het zuiden waar er dos software draaide waarvan men de naam niet eens meer kon herleiden. De executable had de fraaie naam 'begin.com'.

Wouterkaas @z1rconium • 24 september 2019 12:45

Op papier geen rocket science, in de praktijk blijken (met name grote) organisaties toch wat lastiger en complexer in elkaar te zitten. Het is wonderlijk (en soms frustrerend) hoe ongrijpbaar organisaties kunnen zijn.

bamboe @Wouterkaas • 24 september 2019 12:53

Ik denk dat je het financiele plaatje en te kort aan personeel ook niet moet onderschatten veel bedrijven en ook de overheid zitten soms krap met personeel, gezien de hoeveelheid pc's server etc en de complexiteid gaat er heel wat tijd en daardoor ook geld in zitten willen ze het 100% uitgezocht hebben.

BeosBeing @bamboe • 24 september 2019 16:35

Dat uitzoeken zou geen issue moeten zijn. Dat had al lang op papier (ofwel in een excel* of een database) moeten staan.

Via Dell KACE K1000 (nu Quest KACE Systems Management Appliance) kun je geautomatiseerd over alle beheerde systemen de gebruikte softwareversies bijhouden. Er zijn ook andere appliances en software waarmee zoiets mogelijk is.

Maar ook via Excel is het geen grote opgave. Kwestie van iedere subsubafdeling een standaard excel* in te laten vullen, alle excels* per subafdeling mergen, dan per afdeling mergen en dan voor het geheel.
Lijkt me ook zinvol voor het bijhouden of voor ieder stuk software een licentie is afgesloten,

* kan natuurlijk iedere spreadsheet zijn

MSalters

Politiek en recht
Nederland

@BeosBeing • 24 september 2019 17:11

Want je kunt natuurlijk gewoon die Excel sheets mergen. Is "FooBar Prof. Ed" hetzelfde als "Foobar Professional Edition"? Natuurlijk, maar dat betekent dus dat je geen string comparison kunt doen. Normalisatie is handwerk.

En "voor ieder stuk software een (aparte) licentie?". Weet je hoeveel licenties er van toepassing zijn voor een gewone Linux PC? Ja, het aantal inhoudelijk verschillende licenties is beperkt tot enkele tientallen, maar "elk stuk software" zijn honderden packages. Check maar met je package manager.

BeosBeing @MSalters • 25 september 2019 16:06

Want je kunt natuurlijk gewoon die Excel sheets mergen. Is "FooBar Prof. Ed" hetzelfde als "Foobar Professional Edition"? Natuurlijk, maar dat betekent dus dat je geen string comparison kunt doen. Normalisatie is handwerk.

Uiteraard moet je in die Excel geen vrije invoer toestaan. Keuzemenu's bestaan ook daar. Uiteraard zal er altijd iets tussen zitten dat niet in het menu staat, hoe je daar mee omgaat is afhankelijk van hoeveel afdelingen er zijn, en hoeveel van dergelijke pakketten het betreft. Dat je er met een lijstje van de 50* meest voorkomende apps niet gaat komen als er in iedere afdeling zo'n 100* pakketten gebruikt worden, is logisch. (* lees hiervoor ook even de vierde alinea).

Echter ook in een applicance als het door mij genoemde KACE krijg je echter wel van dat soort problemen, bv als "Foobar Office Pro Plus 15 patch 867" en "Foobar Office Professional Plus 15 patch 687" zich zonder patchnummer maar met verschillende namestrings melden (ja dat ben ik tegen gekomen) of als "Foobar Office Pro Plus Duits" en "Foobar Office Professional Plus Frans" zich niet laten samenvoegen. Ja, dan zal je op een gegeven moment handmatig moeten "normaliseren". Maar dat kun je doen nadat je die 20,000 pc's hebt laten inventariseren. Ja met dergelijke aantallen doe je dat inderdaad niet meer met Excel.

En "voor ieder stuk software een (aparte) licentie?". Weet je hoeveel licenties er van toepassing zijn voor een gewone Linux PC? Ja, het aantal inhoudelijk verschillende licenties is beperkt tot enkele tientallen, maar "elk stuk software" zijn honderden packages. Check maar met je package manager.

Naarmate je de Linux PC's beter up-to-date houdt, zal je zien dat er slechts een beperkt aantal profielen terug komt. Met een appliance als genoemde KACE is dat prima bij te houden en kun je in kaart brengen waar mogelijke kwetsbaarheden zitten. En die KACE SMA is slechts één voorbeeld, want er is echt wel een aantal alternatieven voorhanden die dat ook kunnen.

Echter waar het in dit soort compliance-zaken vooral om draait is uiteraard het aantal paketten waarvoor een commerciële licentie afgesloten zal moeten zijn, zoals Windows, MS Office, Oracle, Kaspersky. Dan praat je niet meer over Linux PC's, want die zullen grotendeels op GNU-software draaien. Zolang je van die GNU-pakketten geen (gewijzigde) versies gaat distribueren naar buiten je organisatie, zal het niemand interesseren hoeveel images je daarvan in de geheugens hebt staan.

Hier ging het om Kaspersky en hoewel dat er is in een Linux versie zal het hier ook voornamelijk betrekking hebben op Windows omgevingen. Die Linux versie is namelijk bedoeld voor servers. Het aantal daarvan zal relatief gering zijn, en is in een goed beheerde omgeving, uiteraard ook weer via beheerssoftware op te vragen.

De ellende zal grotendeels zitten in kleine sub-afdelinkjes waar op een gegeven moment ten behoeve van een nieuwe werknemer of stagair een Windows desktop is neergezet die - hoe bestaat het - om wat voor redenen dan ook buiten eventuele domeinen en/of beheerscontracten valt. Dan krijg je inderdaad al heel snel dat het een beheerstechnische chaos wordt waarvan je niet meer in kaart kunt brengen hoeveel PC's er staan, hoeveel softwarepakketten er draaien en of er niet via-via ergens losse licenties zij aangeschaft. Echter ook dat soort zaken zijn met genoemde KACE relatief gemakkelijk op te lossen. Ja je zal langs iedere PC moeten om de KACE agent te installeren. Daarna worden die ook weer meegenomen in de volgende inventarisatieronde, en als je het goed doet kun je ook zorgen dat die PC's automatisch van de juiste patches worden voorzien.

DrSnuggles @z1rconium • 24 september 2019 12:45

Omdat er een enorme berg legacy software, data en manieren van werken bestaat, is het wel rocket science.

[Reactie gewijzigd door DrSnuggles op 22 juli 2024 19:53]

Fijinees @DrSnuggles • 24 september 2019 13:14

Een administratiesysteem is rocket science?

DrSnuggles @Fijinees • 24 september 2019 17:38

Wel op deze versnipperde en grote schaal, zoals blijkt, ja.

Fijinees @DrSnuggles • 24 september 2019 19:20

Voor overheden blijkbaar wel. Ik heb voorbeelden van zeer doordachte, grote en gedetailleerde admins gezien. Waar in een organisatie veiligheid van belang kan zijn MOET dat een belangrijk onderdeel zijn

z1rconium @DrSnuggles • 24 september 2019 13:21

Het gaat hier niet om "legacy" software, maar om een inventarisatie van "Kaspersky antivirus binnen de it-systemen van de Nederlandse vitale infrastructuur" - dat is geen rocket science, als IT-er moet je je diep schamen.

- edit gaan we weer, moderatie systeem abuse, ongewenst ? Really ? Ik kan niet meer on-topic zijn dan dit, dit is wat het artikel verteld, als er iets offtopic is, is het wel "legacy software".

[Reactie gewijzigd door z1rconium op 22 juli 2024 19:53]

Webgnome @z1rconium • 24 september 2019 15:14

Een administratiesysteem is ansich geen rocket science nee. Maar om het op deze schaal goed te beheren is dat dan weer wel. Het is niet zo dat de hele overheid met z'n allen in Den Haag zit. Er zitten kantoren verspreid over het hele land. Elk kantoor valt dan weer onder een ander ministerie (dat zou natuurlijk niets mogen uitmaken..) etc etc. Dus het is geen rocket science maar zeker wel moeilijker dan eventjes een administratie bijhouden..

DrSnuggles @z1rconium • 24 september 2019 17:40

Punt is dat de overheid niet één organisatie is, en op basis van kans verwacht je al clubs te vinden waar om wat voor reden dan ook niet alle devices goed in het zicht zijn.

Dat dat een probleem is mag natuurlijk helder zijn, maar dat de minister er geen antwoord op kan geven is geen verrassing.

Znorkus @z1rconium • 24 september 2019 12:50

Kennis moet nog van de systeembeheerders + managers daarvan bij het ministerie terecht komen. Dat is een complex ding. De minister wil ook de kans op false negatives op nul zetten: nu zeggen dat er geen Kaspersky meer wordt gebruikt terwijl er later dan toch blijkt dat er in waddinxveen een school die dingen nog niet heeft uitgefaseerd ondanks 2e herinnering - ja dat is dan een politiek schandaal. Dus beter het op safe spelen.

latka @z1rconium • 24 september 2019 12:54

Het is op een enkel datacenter al lastig zat en zijn er specialistische oplossingen voor. Daar zitten dus geen telefoons, laptops, labelprinters, kaartlezers. Die dot-matrix printer uit de vorige eeuw e.d. bij. Veel plezier om dat allemaal vast te leggen.

Fijinees @latka • 24 september 2019 13:18

Ik heb bij bedrijven gewerkt waar ALLE systemen en onderdelen ervan geregistreerd moesten zijn. ook die printer van 30 jaar oud. Ook lab apparaten, telefoons( vast en mobiel), echt alles. Ook reparaties aan apparaten moesten worden ingevoerd, zo compleet mogelijk. En alles kwam er zo uit rollen bij een check.

Wel werk, maar noodzaak.

Dit waren een multinationals.
edit is laatste toevoeging.

[Reactie gewijzigd door Fijinees op 22 juli 2024 19:53]

urf @Fijinees • 24 september 2019 13:37

- En wat als dingen niet waren geregistreerd of ingevoerd?
- Waren er geen apparaten in omloop waar gebruikers zelf software konden installeren?
- PC's los van het netwerk waar geen controle op was?

Denk dat het in de praktijk wel eens tegen kan vallen om echt met 100% zekerheid te zeggen dat bepaalde software op geen enkel apparaat gebruikt wordt.

Fijinees @urf • 24 september 2019 19:14

Als apparaten niet in het register stonden werden ze verwijderd. Als onbekende software draaide werd dit verwijderd of de machine verwijderd.

Met 3 tot 6 maandelijkse checks. Zonder sticker was een apparaat niet toegestaan.Ik heb zelf machines laten verwijderen en vernietigen in andere vestigingen.

Een admin goed opzetten en onderhouden is een klus, waar iedereen in een organisatie van doordrongen moet zijn

OxWax @Fijinees • 25 september 2019 09:40

Als apparaten niet in het register stonden werden ze verwijderd. Als onbekende software draaide werd dit verwijderd of de machine verwijderd.

Met 3 tot 6 maandelijkse checks. Zonder sticker was een apparaat niet toegestaan.Ik heb zelf machines laten verwijderen en vernietigen in andere vestigingen.

Een admin goed opzetten en onderhouden is een klus, waar iedereen in een organisatie van doordrongen moet zijn

Here here !!
Dat klinkt inderdaad als een multinational.
Toen ik de migratie deed bij BASF was dit idd de procedure.
En toen vielen de lijken uit de kast "ik heb geen idee waar de laptop is" , " ja, maar u hebt er wél voor getekend"

)

xbeam @ApexAlpha • 24 september 2019 12:46

Ze kunnen wel een landelijk punt inrichten die alle software licenties bewaakt. Ze bemoeien zich nergens mee maar bewaken of niet ongebruikte licenties op de kast blijven liggen.

Bijv het COA sluit locaties en Rijkswaterstaat opent locaties en koopt nieuw computers. Dan zou het fijn zijn als er partij is die how wacht je wil bit defender of nod32. Prima maar we hebben daar nog niet gebruikte licenties op plank liggen gebruik deze eerst.

Zoon partij weet dan ook wanneer niet toegestane software wordt gekocht of dat deze nog in gebruik is.

itdinges @xbeam • 24 september 2019 13:05

Ik twijfel zelfs of het gaat mogen..
Veel overheidsinstanties zijn volgens mij een eigen juridische organisatie, vaak onder leiding van een raad van bestuur..

Software licenties worden 'vermoed ik' op basis van de juridische organisatie afgegeven.
Ik verwacht niet dat de software makers het goed vinden als je licenties dan onderling gaat verhandelen / uit wisselen

Aangezien dat in veel gevallen nu tussen consumenten / bedrijven ook niet mag.

Rdamphonic @itdinges • 24 september 2019 14:04

Ik weet wel zeker dat je buiten dat probleem, de nieuwe licenties weer zou moeten aanbesteden op EU niveau.

MSalters

Politiek en recht
Nederland

@itdinges • 24 september 2019 17:17

"De rijksoverheid" is één rechtspersoon, dat deel is simpel. Al de Zelfstandig Bestuurs Organen (ZBO's) zijn zelfstandig, zoals de naam al zegt. Theoretisch kunnen die dus niet zomaar software uitwisselen.

Aan de andere kant: als jij als softwareleverancier een opdracht van de overheid krijgt, dan gaat dat via hun aanbestedingsvoorwaarden, en niet jouw eigen Algemene Voorwaarden. Het hangt er dus van af wat er in de aanbesteding staat over het uitwisselen van licenties.

PhilipsFan @xbeam • 24 september 2019 12:58

Dit lijkt allemaal heel simpel in een consumentenscenario. In grote organisaties is dit echter hopeloos. Dat betekent dat je als project afhankelijk wordt van WEER een extra partij, softwarelicenties. Daar zitten projecten terecht niet op te wachten, want ze hebben al afhankelijkheden genoeg.

Bovendien krijg je dan dingen als: project heeft in eerste instantie 10 werkplekken nodig, okee daar liggen nog licenties voor op de plank dus nieuwe aanschaf niet nodig. Lijkt efficient. Een jaar later wordt het project opgeschaald en zijn er nog 90 licenties nodig. Die liggen niet op de plank en moeten dus worden aangeschaft. Het project zit dan met 2 soorten licenties met mogelijk verschillende voorwaarden en looptijden. Ik zou daar niet vrolijk van worden als ik verantwoordelijk was voor dat project.

Om nog maar helemaal te zwijgen als er bij zo'n punt administratieve fouten worden gemaakt en licenties per ongeluk aflopen. Dan heb je straks dat mensen op een hele afdeling hun werk niet meer kunnen doen omdat hun Operating System geen licentie meer heeft. Wie gaat die verloren uren betalen dan?

K-aroq @xbeam • 24 september 2019 12:54

Hoe zou jij dat implementeren?

Thystan @xbeam • 24 september 2019 15:48

En welke organistie die in gebruik is, maar ze kopen ook in grotere bulk in wat de kosten zou minimaliseren.
Plus er is minder hoogwaardig personeel voor nodig, waar dit nu door meerdere mensen met (en vooral ook zonder) verstand van licenties moet gebeuren kan het ook met enkele mensen die het dirigeren, plus een paar stagairs of studenten voor de uitvoering.

wica @ApexAlpha • 24 september 2019 12:51

Het is maar zo complex en anders, zo als ze het willen zien. Alles is op te breken in kleinere stukjes, welke je elk anders kan behandelen.

De gebruikers bij de verschillende ministeries en andere overheidsdiensten. Hebben een computer nodig voor hun werkzaamheden. Welke bijna allemaal op elkaar lijken. (windows, anti-virus, office , etc)

Het probleem is eerder, dat ze allemaal hun eigen koninkrijkjes zijn met ieder hun eigen oplossingen ipv van over de schutting te kijken en samen te werken.

Het is niet voor niets, dat ministeries en ambtenaren van het Bureau ICT-toetsing (BIT) af willen. Omdat BIT een bedreiging is voor hun zelfstandige koninkrijkjes. Mensen doen altijd moeilijk als ze verworven macht moeten afstaan.

K-aroq @wica • 24 september 2019 12:56

Je gaat de fout in bij de woorden "bijna allemaal". Juist de verschillen maken het moeilijk. Iedere discipline heeft eigen tools nodig. Dat is niet anders dan bij bedrijven. Een winkelbedrijf gebruikt andere software dan een accountantskantoor. Dat is bij ministeries (en zelfs tussen afdelingen binnen ministeries) niet anders.

Maar als jij een plan hebt hoe je alles kunt standardiseren dan hoor ik graag hoe. Dat zou namelijk een revolutionair idee zijn.

Citroentjuh @wica • 24 september 2019 13:39

Alles is op te breken in kleinere stukjes

De gebruikers bij de verschillende ministeries en andere overheidsdiensten. Hebben een computer nodig voor hun werkzaamheden. Welke bijna allemaal op elkaar lijken.

Jij neemt het opbreken in kleinere stukjes wel heel letterlijk..

Verwijderd @tom.cx • 24 september 2019 12:26

Zodat als je bij 1 locatie binnen ben, meteen alle systemen van de overheid in het hele land te pakken heb? Ja goed idee

TheGreatAtuin @Verwijderd • 24 september 2019 12:29

Waarom zou een overheid niet kunnen standaardiseren uit veiligheidsoverwegingen? Hoe meer centraal geregeld wordt, hoe beter de beveiliging van dat centrale punt zal worden, omdat al die kleine budgetten samengevoegd kunnen worden om de beveiliging te verbeteren.

YoMarK @TheGreatAtuin • 24 september 2019 13:04

Dat is maar de vraag. Je kan ook stellen dat juist niet standaardiseren een goede veiligheidsoverweging is.
Relevant voorbeeld: als ik kijk naar onze eigen infra, dan wordt een email gescand door verschillende virusscanners voordat deze vrij wordt gegeven, en daarnaast draait er nog een van andere makelij op de computer van de gebruiker.

Natuurlijk is het goed om goede beveiligingsrichtlijnen te maken waar ieder overheidsorgaan aan moet voldoen, maar hoe ze dat doen (op het gebied van beveiligingssoftware en hardware) is eigenlijk helemaal niet zo relevant zolang er maar goed over nagedacht wordt.

Wat betreft het advies over Kaspersky, ik blijf dit een vreemd verhaal vinden. D'r is geen bewijs van misbruik door "de russen", maar toch komt er een dergelijk advies. Dus het komt er op neer dat dit een puur politieke keuze is(op zich nog prima) en daarnaast waarschijnlijk bij elkaar gelobbyd door belanghebbenden van de concurrentie van Kaspersky(niet prima). Alu hoedje je of niet, d'r wordt hoe dan ook een spelletje gespeeld.

Want als je kijk naar feiten naar naar de praktijk, dan Kaspersky is toch een van de betere virusscanners(en content/data inspection software). En dus juist (een van de) beste keuze die je kan maken.

TheGreatAtuin @YoMarK • 24 september 2019 13:10

Standaardiseren betekent niet beveiligingslagen wegnemen toch? Een auto die op de loopband wordt gemaakt, wordt ook regelmatig door zowel robots / lasers / mensen gecontroleerd, net zoals dat een mail door verschillende scanners gaat.

Ik weet ook niet zo goed wat ik met het onderliggende verhaal moet, vind het sterk lijken op de anti-China vendetta waar Google mee is gaan doen. Overigens betekent 'geen bewijs' niet dat er geen heel sterke verdenkingen zijn (ik weet niet hoe dat bij deze zaak zit overigens!). Ik persoonlijk acht een sterke verdenking van een expert op dit gebied belangrijker dan "er is geen bewijs".

dabronsg @TheGreatAtuin • 24 september 2019 12:38

Dit gebeurd al op redelijk grote schaal. Een aantal ministeries zit op dezelfde infrastructuur. Zelfs de licenties worden (voor een groot deel) gezamenlijk gekocht.

TheGreatAtuin @dabronsg • 24 september 2019 12:45

Klopt inderdaad, ik legde ook uit waarom dit ook op beveiligingsvlak voordelen kan hebben.

Verwijderd @TheGreatAtuin • 24 september 2019 12:58

Dan alsnog ookal heb je dan zo n sterke beveiliging. 1 simpel apparaatje kan dan al voldoende zijn voor alle computers/servers etc in het hele land. Dat risico kan je simpelweg niet nemen.

TheGreatAtuin @Verwijderd • 24 september 2019 13:07

Bedoel je een simpel apparaatje om in te loggen? Of een van die voor mij onbekende simpele apparaatjes die gebruikt worden om beveiliging te kraken?

Ik neem even aan dat als het gaat om een inlog-token, dat er toch wel heel verschillende rechten worden toegekend aan iedere gebruiker, en dat de lokale buurtagent dus even niet kan gaan neuzen in de correspondentie van het Hooggerechtshof of de Belastingsdienst. Net zomin als dat ik met mijn digid niet de gegevens van de buurman kan zien.

In een systeem ingelogd zijn betekent niet dat je alles zomaar kunt benaderen.

Verwijderd @TheGreatAtuin • 24 september 2019 13:12

Dan is hacken voor jouw ook een hele andere wereld?

TheGreatAtuin @Verwijderd • 24 september 2019 13:25

Nee hoor, maar ik begrijp gewoon niet waar je heen wil. In de eeuwige race tussen beveiligen en hacken is standaardiseren en daardoor je beveiligingsbudget vergroten een van dé manieren om veiligheid te creëren. Overigens is het geen toekomstmuziek meer dat in grote IT-systemen "verdachte" informatiestromen worden gemeld en soms zelfs gestopt. Wat ik daarmee wil zeggen is dat als je er eenmaal "in" zit je niet zomaar kunt doen wat je wil, het risico om gezien te worden blijft er altijd.

Het is vaak veel aantrekkelijker om iemand om te kopen / spionage te verrichten op de betreffende plaatsen: er worden door ons huidige systeem blijkbaar geen vragen gesteld als een relatief hooggeplaatste agent opeens enorme hoeveelheden willekeurige dossiers gaat openen en kopieren.

ajolla @Verwijderd • 24 september 2019 12:51

Om dat binnen komen te verhinderen heb je dan weer Kaspersky Anti... o, wacht...

TheMak @tom.cx • 24 september 2019 12:33

Ik denk dat dat een illusie is. Als je precies weet wat je nodig heb wel. Maar je blijft problemen houden. Bijvoorbeeld de nachtwaker die de camera s moet zien. Het software pakket daarvoor zal nog og niet in het centrale gezeten hebben tijdens de migratie van Windows 7 naar Windows 10. Dus die machine valt buiten het centrale systeem. Niemand durft zijn hand in het vuur te steken of de installateur daar ook niet kaspeesky heeft gezet.

Thystan @TheMak • 24 september 2019 16:02

Ik wel, want ik wil toch heel graag elke ochtend kunnen checken of de beveiliging van het kantoor zijn virusscanner update.

MSalters

Politiek en recht
Nederland

@Thystan • 24 september 2019 17:21

Hoe precies had je dat voor je gezien? Die camera is geïnstalleerd door een professional en zit net zoals die Windows 7 PC op een apart VLAN. De switch voorkomt actief dat jij die Windows 7 PC of de camera's ziet.

Thystan @MSalters • 30 september 2019 09:21

Ik heb toch dat VLAN gemaakt, die security moet toch ook die camera kunnen zien. Het is echt niet moeilijk om alleen interne adressen toegang te geven om de updates te installeren.

Stoelpoot @tom.cx • 24 september 2019 12:28

Dat zou beheer en veiligheid toch alleen maar ten goede brengen?

Nee, juist niet. Door de gehele Rijksoverheid in 1 mal te proppen, moet er bij elke aanpassing rekening gehouden worden met de belangens van elke organisatie. Als er met een update van de centrale antivirus een probleem is op kantoor in Groningen vanwege een versleten netwerkkabel, zou dat de update in Maastricht blokkeren. En als blijkt dat softwareproduct x verouderd is en een overgang gemaakt wordt naar y, moet dat op landelijk niveau in een keer gebeuren.

Thystan @Stoelpoot • 24 september 2019 16:01

Ehm, als het om alleen software licenties gaat vind ik dit prima.

Neem de huidige situatie, men weet niet eens waar de software draait. Dan is de kans uitermate hoog dat deze niet wordt onderhouden door de ICT-afdeling en daarmee dus waarschijnlijk niet up-to-date is. Best slecht voor een virusscanner.
Het betekent ook dat de gebruikers waarschijnlijk teveel rechten hebben om de virusscanner bij te werken (ook eng in mijn ogen).

Als jou update systeem over een land, dus niet eens de hele wereld zoals heel veel grote multinationals, wereldwijd blijft hangen op een problem in Groningen, dan doe je echt iets fout.

Als je landelijk een overgang maakt van een verouderd naar een nieuw product, dat lijkt mij juist de bedoeling. Het lijkt mij juist niet de bedoeling dat bepaalde delen van je organisatie op een verouderd product blijven werken, helemaal als het een virusscanner betreft.

Stoelpoot @Thystan • 24 september 2019 16:44

Neem de huidige situatie, men weet niet eens waar de software draait. Dan is de kans uitermate hoog dat deze niet wordt onderhouden door de ICT-afdeling en daarmee dus waarschijnlijk niet up-to-date is. Best slecht voor een virusscanner.

Je denkt te klein. In een groot kantoor zou dit inderdaad het geval zijn. Misschien ook nog bij een multinational. Maar dit gaat in feite over een groot aantal redelijk grote bedrijven met 1 toezichthouder, en elk van die bedrijven is volledig onafhankelijk van de rest. Het onderhoud is geregeld per overheidsinstantie, niet door 1 ICT-afdeling. Echter als de minister dus wil weten waar de software nog gebruikt wordt, dan moet elke ICT-afdeling daar dus een rapport van opleveren. Daar gaat wat tijd in zitten en daar moet dus op worden gewacht. Denk bijvoorbeeld aan de Belastingsdienst. Meerdere kantoren, die elk een eigen ICT-afdeling hebben en hierdoor elk op een ander moment kunnen updaten. Dan moet elke beheerder van elke ICT-afdeling van alle afdelingen in dat kantoor rapporteren of het product wordt gebruikt, hoe vaak, en wanneer dit waarschijnlijk niet meer het geval is. Dit komt dan terecht bij het centrale management van de belastingdienst en die maakt hier opnieuw een samenvattend rapport van. Dan pas kan dit naar de minister, en dat wordt mogelijk ook niet door de minister ontvangen maar door een ambtenaar op het ministerie die daarna de rapporten weer samenvat voor de minister zodat die de verzamelde resultaten kan presenteren aan de Tweede Kamer, zonder er weken over te hoeven doen om eerst de volledige rapporten van de honderden afdelingen te hoeven bestuderen.

En dat kost best veel tijd.

Als jou update systeem over een land, dus niet eens de hele wereld zoals heel veel grote multinationals, wereldwijd blijft hangen op een problem in Groningen, dan doe je echt iets fout.

Als je landelijk een overgang maakt van een verouderd naar een nieuw product, dat lijkt mij juist de bedoeling. Het lijkt mij juist niet de bedoeling dat bepaalde delen van je organisatie op een verouderd product blijven werken, helemaal als het een virusscanner betreft.

Deze twee alinea's zeggen het tegenovergestelde van elkaar. Aan de ene kant zeg je dat bij problemen op 1 locatie de andere locaties daar geen last van mogen ondervinden. Aan de andere kant wil je niet dat sommige delen op een ouder product blijven hangen. Dus, als er problemen zijn op 1 locatie moeten andere locaties wel door kunnen, maar die ene locatie kan ook niet achterblijven op andere locaties dus kunnen andere locaties niet over.

De huidige aanpak van de overheid om elke locatie relatief vrij te laten in hun aanpak is hier dus de oplossing voor. Als Groningen nog problemen heeft met de overgang naar een nieuwe virusscanner, dan kan Maastricht gewoon door omdat Maastricht en Groningen los van elkaar kunnen aanpassen. Dit betekend dat Groningen uiteraard tijdelijk achterblijft omdat zij eerst de problemen oplossen. Maar dat betekend niet dat dat permanent is, enkel dat ze iets langzamer zijn. De minister hoeft zelf niet de status van alle locaties te kennen, maar zodra dat nodig is kan dat worden uitgevraagd bij die locaties. Het belangrijkste is dat elke locatie er mee bezig is.

Thystan @Stoelpoot • 24 september 2019 16:46

Elke een Eigen ICT-afdeling, je zegt het goed.
Al die kleine afdelinkjes hebben al een jaar de tijd gehad.
En als het kleinere afdelingen zijn, dan telt jou 'schaal grootte' argument niet.

[Reactie gewijzigd door Thystan op 22 juli 2024 19:53]

Stoelpoot @Thystan • 24 september 2019 17:00

Mijn argument over de schaalgrootte gaat niet over de problemen bij het aanpassen van de software, maar over de enorme boom aan verantwoordelijkheden waar de informatie doorheen moet voordat het de minister bereikt.

Thystan @Stoelpoot • 24 september 2019 17:06

En daarom zou een centrale organisatie die over de licenties gaat een enorme uitkomst zijn, vind je niet?

nst6ldr @tom.cx • 24 september 2019 12:37

Omdat iedere overheidstak andere belangen heeft met daaronder verschillende organisaties, die elk verschillende behoeftes heeft en daarbij dus ook uiteenlopende set met eisen. Het zou idioot zijn om dat te generaliseren. Je gaat een schoolnetwerk ook niet combineren met dat van een autofabriek en de ESA omdat het beheer dan goedkoper is.

lagefrequentie 24 september 2019 12:16

Welkom bij de politiek. De baas zou toch op de hoogte moeten zijn van wat er aan de hand is.

[Reactie gewijzigd door lagefrequentie op 22 juli 2024 19:53]

jesse! @lagefrequentie • 24 september 2019 12:20

Als mensen onder je niet op tijd terug rapporteren. Of dit nog niet helemaal uitgezocht hebben, dan weet je dit als "baas" ook niet.
Ik denk dat het zwaar onderschat wordt hoe veel je moet weten als "baas" en hoe lastig het is om overal van op de hoogte te zijn.
Hiervoor heb je mensen onder je, die dat weer rapporteren aan de baas

latka @jesse! • 24 september 2019 13:36

Als baas weet je ook dat je informatie niet hebt. In je management rapportage staat er dan een

ipv. een

. (ja, heb dit soort rapporten ook mogen voeden). Als je het niet weet staat het niet op je radar (en dus niet in je management rapport). Dat kun je de manager dan wel direkt aanrekenen.

FreshMaker @jesse! • 24 september 2019 12:37

In gesprekken met werkgevers, is dat ook vaak een managementlaag eronder

Dat ik werk voor bedrijf jansen, wil niet zeggen dat ik direct met meneer Jansen te maken heb.
Pas als het op grotere schaal gebeurt, word de hogere laag betrokken bij het verhaal.

Overheid is al helemaal een vaag verhaal, voor wie werkt de politieagent op straat ?
is dat voor 'de burger' want die betalen belasting
Is dat voor de korpschef, want die stuurt de regio aan
Dan komt nog later ministerie van Justitie, die onderling ook al in lagen zijn verdeeld.

Uiteindelijk lijk je dan voor de Koning te werken, want die is weer 'baas' over de regering, dus zou je denken dat deze alle wetgeving van buiten kent, en alle applicaties beheerst ?
Terwijl je op koningsdag het gestuntel ziet, als hij moet ringwerpen ... iets waar hij dan ook weer 'baas' zou moeten zijn, want de hele string vereniging / stichting / subsidies / verantwoording .....

Grapperhaus is een geplaatste CEO, en afhankelijk van zijn 'managers'
Verantwoordelijk, ja maar niet het uitvoerende personeel.

mgizmo @lagefrequentie • 24 september 2019 12:20

welnee, teveel eilandjes met teveel lagen en verschillende belangen.

TheGreatAtuin @lagefrequentie • 24 september 2019 12:32

De Minister van Justitie heeft direct nooit te maken met welke antivirus er gebruikt wordt, tenminste, ik neem aan dat hij bezig is met andere zaken. Als ie er al iets over weet, is het uit interesse of toeval.
De bazen van de meeste grote bedrijven weten écht niet hoe hun IT in elkaar zit. Waarom zou dat voor een minister anders zijn?

Ja, het gaat hier om een kamervraag waar ze zich veelal op kunnen voorbereiden, maar als de minister niet tijdig een antwoord ontvangt van zijn ondersteunend personeel (die weer de IT moeten bereiken, etc, etc) dan moet hij heel netjes "ik weet het niet" zeggen. Da's eerlijker dan de kamer foppen.

ToolBee @lagefrequentie • 24 september 2019 16:59

Fysiek natuurlijk onmogelijk, maar hij geeft aan dat het rapportagesysteem draait en eind dit jaar cocnlusies kent.
Even wachten dus.

Soldaatje @lagefrequentie • 24 september 2019 12:33

Er wordt ook aan de medewerkers zelf gevraagd of ze het nog gebruiken op hun eigen laptop/tablet of smartphone, en willen verwijderen.
Dat kan je niet allemaal weten.

K-aroq @lagefrequentie • 24 september 2019 12:57

Weet de directeur van jouw werkgever ook precies wat jij allemaal doet?

_Thanatos_ @lagefrequentie • 24 september 2019 15:22

Nee natuurlijk niet. De baas weet alleen in hoofdlijnen wat er speelt. Ik snap best dat de minister niet ieder en elk detail over het land uit z'n hoofd kent.

Rudie_V 24 september 2019 13:43

Volgens de bewindspersoon is dit uitgevraagd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de resultaten daarvan worden eind dit jaar verwacht.

Toch best teleurstellend dat het vragen alleen al tot eind van het jaar duurt. Dat kan toch binnen een dag, een paar dagen uitgezocht worden? Mailtje naar alle betrokken instanties en dag later antwoord terug, even excelsheetje maken en klaar.

Zou je zeggen...

tweaker2010 @Rudie_V • 24 september 2019 15:49

Proest, ik mag hopen dat dit een grapje is toch? De overheid bestaat uit tig losse organisaties met allemaal verschillende ingehuurde IT dienstverleners. Het is geen kwestie van een excel lijstje opleveren en klaar.

Rudie_V @tweaker2010 • 24 september 2019 16:42

Nee het is geen grap. De minister weet niet of Kaspersky is uitgefaseerd bij de rijksoverheid, maar hoe moeilijk is het om alle instanties daar naar te vragen? Dat het niet in één dag uitgewerkt is snap ik ook wel, maar dat moet toch binnen een weekje kunnen.
Overigens is het best wel kwalijk dat toen men besloten heeft Kaspersky uit te faseren bij de rijksoverheid, wat toch een projectje op zich is, dat men blijkbaar geen overzicht heeft van alle instanties die Kaspersky gebruiken en wat de status daar van is met betrekking tot het uitfaseren van deze software. Blijkbaar is er niemand die het overzicht heeft, blijkbaar coördineert niemand dit project? Dat is best kwalijk. Zeker gezien vragen met betrekking tot dit onderwerp al eerder voorbij zijn gekomen en toen wist men het ook al niet, en nu nog steeds niet...

joker1977 @Rudie_V • 24 september 2019 18:01

Je hebt waarschijnlijk geen idee, maar in de praktijk gaat het zo:

* Er komt een RFI (Request-For-Information) binnen waarin niet helemaal duidelijk is beschreven wat men wil weten
* Je verzoekt tot meer informatie
* Je krijgt nog meer bagger binnen en denkt "fok dat, als ze het precies willen weten hoor ik later wel de exacte vraag en dan doe ik dat dán wel, want nu is de kans groot dat ik het verkeerde doe / geen zin en tijd voor"
* Je hoort er nooit meer wat over en denkt "zo weer efficient tijd bespaard"
* Je gaat zonder overwerken weer lekker op tijd naar huis

TheSiemNL 24 september 2019 12:36

Ik ben benieuwd naar welk pakket ze dan gaan. De redenering die ze hebben om van Kaspersky af te gaan gaat namelijk op voor elk antiviruspakket.

ari2asem @TheSiemNL • 24 september 2019 12:59

zou ik ook graag willen weten. puur uit nieuwsgierigheid.
weet iemand welk pakket nu de overheid als AV gebruikt?

FreshMaker @ari2asem • 24 september 2019 13:21

Dat wordt dan lastig, de grote zijn allemaal even spionage gevoelig natuurlijk.
Wil je de Russen, de Amerikanen of de Duitsers in je systemen hebben ?
Of ga je het wiel opnieuw uitvinden, of gokken op open source, met bijbehorende kosten voor auditing, want die moet je dan bij elke update toepassen, of er niets is ingeslopen

OxWax @FreshMaker • 24 september 2019 13:51

Men heeft geprobeerd dit te weten te komen echter

Om erachter te komen of er ook concrete verdenkingen waren tegen de software van Kaspersky Lab, heeft KRO-NCRV ook verslagen van de Raad voor Veiligheid en Inlichtingen (RVI) opgevraagd over deze kwestie. Het openbaar maken van die documenten is geweigerd. "Informatie die inzicht biedt in de werkwijze van en aanwezige kennis bij de betrokken veiligheidsdiensten weiger ik omdat inzicht in dergelijke informatie door kwaadwillenden misbruikt kan worden", staat in de antwoordbrief. Ook zou openbaarmaking van de verslagen het goed functioneren van de RVI in gevaar brengen.
https://www.security.nl/posting/582760#posting583064

FreshMaker @OxWax • 24 september 2019 13:57

Mijn ouders zeiden altijd - je mag alles vragen, maar hoeft niet alles te weten ...

Ik kan me prima voorstellen dat men dit niet 100% vrij geeft.
Over 10 jaar ( geen idee wat de kortst durende staatsgeheimen kunnen zijn ) kan je het terugvinden.

Soms is Nee ook een antwoord

ChAiNsAwII @OxWax • 25 september 2019 03:37

Stoer, maar ze hadden gewoon niks...

Aschtra @TheSiemNL • 24 september 2019 12:37

Als het goed is wel. Even kijkje nemen in de management tool van kaspersky of er nog systemen in zitten...

The Zep Man

Nederland
Politiek en recht
Overheid

24 september 2019 12:18

Grapperhaus kwam in mei vorig jaar met de verplichting voor de rijksoverheid om te stoppen met het gebruik van antivirussoftware van Kaspersky.

Dan doe je bij die verplichting toch ook een rapportage per kwartaal voor elk overheidsonderdeel dat nog geen "ja" kan beantwoorden op de vraag of het uitgefaseerd is?

Cheese_man 24 september 2019 13:52

Gelukkig heeft beheersoftware uit de VS, dan wel Israel geen diepgaande toegang tot de IT systemen. Die vervelende Russen ook altijd. smh

Crahsystor 24 september 2019 17:28

Natuurlijk is Kaspersky nog in gebruik bij de Rijksoverheid. Hoe moet de AIVD en MIVD anders weten hoe dat te omzeilen? De vraag is natuurlijk of het nog in productieomgevingen draait. Aangezien de overheid groot is, het vervangen van software een risico kent en risico mijden boven goed functioneren gaat, ja waarschijnlijk draait er nog op genoeg plaatsen Kaspersky.
Ik maak me er niet zo druk om. Zolang er geen voorbeelden zijn van misbruik, geloof ik niet zo dat het onveiliger is dan de Amerikaanse tegenhangers gebruiken. Eerder het omgekeerde. Idealiter zou er een goed alternatief in Nederland of iig binnen West Europa gemaakt worden waardoor de belangen duidelijk meer samenhangen met ons dan wereldmachten.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (131)

Sorteer op:

Weergave: