Justitie wil ingrijpen bij bedrijven die digitale veiligheid niet op orde hebben

De overheid moet harder optreden tegen bedrijven als zij hun digitale veiligheid niet goed hebben geregeld. Minister Grapperhaus van Justitie en Veiligheid wil onder andere boetes kunnen opleggen of zelfs zelf ingrijpen, zegt hij in een interview met het Financieel Dagblad.

Grapperhaus reageert daarmee op nieuws dat de Volkskrant afgelopen weekend publiceerde. De krant schreef dat honderden Nederlandse bedrijven kwetsbaar waren voor aanvallen door een lek in een bekende vpn-dienst. Daarvoor was weliswaar een patch beschikbaar, maar die hadden veel bedrijven niet doorgevoerd. De Volkskrant schreef in het stuk ook over de frustraties binnen het Nationaal Cyber Security Center, dat alleen een adviserende rol in het bedrijfsleven heeft.

Minister Grapperhaus wil dat de rol van de overheid bij dit soort situaties 'binnen afzienbare termijn' verandert. 'Wij moeten kunnen zeggen tegen een bedrijf: "Als je het zelf niet regelt dan komen wij het wel doen",' zegt hij tegen het FD (paywall). Grapperhaus vindt samenwerken met bedrijven beter dan boetes opleggen, al blijft dat wel een optie. Een boete kan volgens hem 'stimulerend werken', maar dat lost het probleem niet meteen op. De minister pleit daarom voor 'een vorm van doorzettingsmacht'. Het NCSC zou dan met een bedrijf kunnen samenwerken om het probleem op te lossen, of zelfs het bedrijf tijdelijk helemaal kunnen overnemen. Dat gebeurde jaren geleden ook al rondom de kwestie Diginotar. Toen dat bedrijf nagemaakte certificaten bleek uit te geven nam de overheid het bedrijf tijdelijk over om grotere schade te voorkomen. Grapperhaus erkent dat dat een serieuze maatregel is, en dat dat niet makkelijk geregeld is. Hoe de invulling van het plan eruit komt te zien wordt nog bedacht.

Grapperhaus zegt dat bedrijven geen excuses hebben om noodzakelijke veiligheidsmaatregelen niet door te voeren in hun software. Ook als dat betekent dat bedrijfsprocessen dan stil komen te liggen of apparatuur moet worden vervangen is dat geen excuus, zegt hij. 'Als dat je excuus is, ben je echt een ongelooflijke oliebol', zegt hij tegen het FD. Grapperhaus stelt dat bedrijven die 'niet zonder problemen kunnen updaten hun bedrijfsvoering niet op orde hebben.' De minister spreekt dinsdagmiddag op de One Conference in Den Haag over het onderwerp.

IT-banen

Reacties (83)

r0n625 1 oktober 2019 09:02

Het lijkt mij beter, om te stellen dat een bedrijf pas zaken mag doen met een (semi) overheid, wanneer zij de beveiliging aantoonbaar in orde hebben.
Dit spaart overheids tijd en geld uit, daarbij wordt het probleem daar gelegd waar het thuis hoort.

Orangelights23 @r0n625 • 1 oktober 2019 09:59

Hoe toon je dat aan? Er wordt vaak verwezen naar ISO27001 of BIR (BIO). Ik implementeer ISO27001, onder andere bij organisaties die opdrachtnemer zijn van verschillende ministeries. Als je ziet hoe organisaties het hele ISO-traject los laten nadat wij het project succesvol afgerond hebben, is dat altijd een grote schok als wij ze weer eens spreken. Geen resources, geen geld, geen commitment van het management...

Ik denk dat het overheid zich vaker moet gaan beroepen op het 'right to audit' principe, dan dragen ze zelf de verantwoordelijkheid.

RJG-223 @Orangelights23 • 1 oktober 2019 10:03

Ik denk dat het overheid zich vaker moet gaan beroepen op het 'right to audit' principe, dan dragen ze zelf de verantwoordelijkheid.

Een soort security accountant zou wellicht een goede oplossing zijn. Net zoals een bedrijf zijn boeken moet laten controleren door een financiëel accountant, zouden ze hun IT security door een IT-security-accountant moeten laten controleren.

bw_van_manen @Orangelights23 • 1 oktober 2019 15:38

Er zijn ook zat certificeringen die jaarlijks bijgewerkt moeten worden. Wij hebben hier jaarlijks auditors over de vloer voor een SOC2 audit en controleren minimaal jaarlijks of onze leveranciers hun certificering nog recent bijgewerkt hebben. Daarbij wordt onze certificering ook door veel klanten jaarlijks opgevraagd.

Het is niet zo eenvoudig als een eenmalige controle, maar het zorgt er wel voor dat je goed weet welke partijen over langere termijn alles op orde hebben en op orde houden.

Orangelights23 @bw_van_manen • 1 oktober 2019 17:12

Klopt helemaal, ik heb ook daar ervaring in en dat is zeker van een hoger niveau. Echter vraagt de overheid vaak om het ‘laagdrempelige’ ISO27001 certificaat als bewijs dat informatiebeveiliging op orde is en is een certificaat aan de muur vaak al het streven van het management, terwijl de focus moet liggen op het behouden van het certificaat en bewijs leveren dat incidenten zich niet voordoen, of dat er de juiste mitigerende maatregelen zijn genomen indien ze plaats vinden.

wica @r0n625 • 1 oktober 2019 10:25

Daar komt de ISO27001 ;p
Daar in leg je o.a. vast, hoe je met je beveiliging om gaat.

Alleen jammer dat jet een wassen neus is, aangezien er geen onaangekondigde audits zijn en de auditor echt niet verder kijkt, dan wat jij op papier gezet hebt.

satya @wica • 1 oktober 2019 11:05

Soms zie je dit op management nivo geimplementeerd worden en heeft het operationele personeel er geen eens weet van, of de klant (overheid) die om certificering vraagt maar er vervolgens achter komt dat het dan allemaal erg duur wordt.

oef! @r0n625 • 1 oktober 2019 09:26

Volgens mij is dit breder dan bedrijven die samenwerken met (semi) overheid.

Controleren gaat nooit lukken, je moet dan inzicht hebben in de interne IT van elk willekeurig bedrijf. Dreigen helpt ook niet, mensen gaan hun productie niet stil leggen vanwege een security patch die uitgevoerd moet worden (in de praktijk).

Madden @r0n625 • 1 oktober 2019 10:00

Op zich geen slecht idee, maar hoe ga je dit controleren?
Bedrijven op hun blauwe ogen geloven? Certificering?

Zeker met beveiliging kan het best snel gaan met nieuwe lekken die ontdekt worden en waarvoor patches beschikbaar komen. Simpel stellen 'Als je software X gebruikt moet dat altijd de laatste versie zijn' is niet voldoende. Er zijn gevallen bekend (hallo Microsoft) waarin een patch juist meer stuk maakte dan oploste.....

Darkstriker @r0n625 • 1 oktober 2019 11:14

Je moet dit veel breder zien dan alleen bedrijven die zaken doen met de overheid. Uit het artikel tenminste lijkt het alsof hij het over alle bedrijven heeft, dus ook zulke bedrijven die alleen met andere bedrijven of met consumenten zaken doen. En moet ook de insteek zijn. De beveiliging moet elk bedrijf op orde hebben. Niet alleen bedrijven die voor de overheid werken.

Yzord @r0n625 • 1 oktober 2019 11:57

Toch wel apart dat er nog steeds overheidszaken zijn die ook nog niet in orde zijn zoals bijv. AVG. Dus waar hij ineens het lef vandaan haalt om dat te gaan roepen, terwijl de overheid ook wel wat tandjes bij kan schakelen snap ik echt niet.

Maar goed, iets zegt me dat wij weer de sjaak zijn en dat de overheid er weer mee wegkomt.

En ja, ik begrijp dat het hier om encryptiezaken gaat, maar ik ken genoeg verhalen van mensen die bij lokale overheden werken welke eenzelfde problemen kennen.

kozue @r0n625 • 1 oktober 2019 12:28

Probleem is, wat is “aantoonbaar op orde”? Zo’n PCI compliancy test in ieder geval niet. Als het aan hun ligt zou je je goed ondersteunde ssh daemon in Ubuntu LTS vervangen door een eigen custom build die een nieuwere versiestring terug geeft maar vervolgens geen updates meer krijgt. Of verwachten ze dat je een FTE aan gaat nemen om alle patches bij te houden die je normaal van je distro krijgt? Iedereen lijkt er een eigen idee over goede beveiliging op na te houden en commerciële bedrijven voornamelijk een waar ze zelf op kunnen verdienen.

wiseger

Politiek en recht

@r0n625 • 1 oktober 2019 12:45

Dat kan de overheid doen maar dan moet de overheid ook een hoger kosten plaatje accepteren. Veiligheid is namelijk vrij kostbaar, je moet continue je infra en applicaties monitoren en testen uitvoeren. Daarna moet je de resultaten van de testen ook nog eens oplossen.

Bij aanbestedingen kijkt men (helaas) toch voornamelijk naar de prijs.

Skywalker27 @r0n625 • 1 oktober 2019 17:00

Nou de overheid kan er ook wat van die keuren applicaties goed die bij mij niet door de keuring komen.

CamelKnight @r0n625 • 1 oktober 2019 17:23

Ik snap niet zo goed waarom je een +2 krijgt hiervoor. Je doet de burger namelijk te kort.
Het gaat niet alleen om overheidsinstellingen, maar ook om commerciële bedrijven. Elk bedrijf dat persoonsgegevens bezit, in welke vorm dan ook, dient zijn beveiliging op orde te hebben. En laat 100% van de bedrijven nou op de één of andere manier persoonsgegevens bezitten. Van klanten dan wel van medewerkers.
Zowel als klant en als medewerker heb ik recht op een borging van mijn persoonlijke gegevens. Dat is niet alleen het geval bij de overheid, maar net zo goed bij banken, de autogarage op de hoek en mijn accountant. Indien die borging onvoldoende aanwezig is, mag de overheid van mij daar keihard op ingrijpen. We hebben de afgelopen jaren genoeg voorbeelden gezien van bedrijven die gehackt zijn of door een lullig lek dat maanden (of zelfs jaren) eerder al gepatched had kunnen zijn met updates. Die bedrijven mogen best voelen dat dit niet alleen de burger raakt, maar ook hun bedrijfsvoering.
Mooi door de overheid laten fiksen en de rekening sturen naar het bestuur.

ShellGhost 1 oktober 2019 09:07

De overheid moet zich bezig houden met regeren, niet met dit soort dingen. Als een bedrijf gehackt wordt, is het hun eigen probleem. Waarom zou dat een probleem van de overheid moeten worden?
Justitie heeft het al druk genoeg met alle schandalen en gevolgen daarvan.

RJG-223 @ShellGhost • 1 oktober 2019 10:00

De overheid moet zich bezig houden met regeren, niet met dit soort dingen. Als een bedrijf gehackt wordt, is het hun eigen probleem. Waarom zou dat een probleem van de overheid moeten worden?
Justitie heeft het al druk genoeg met alle schandalen en gevolgen daarvan.

Als een bedrijf gehackt wordt, en jouw gegevens worden gestolen, en daarmee worden bijvoorbeeld op jouw naam aankopen gedaan en niet betaald, of er wordt een auto op jouw naam gezet, dan is dat niet het probleem van het bedrijf. Dan is dat jouw levensgroot probleem, en toon dan maar eens aan dat jij al die spullen niet besteld hebt. Dat jij niet in die auto gereden hebt, en dat het dus niet jouw boetes zijn. En als dat je lukt, dan kost het je wel héél veel moeite en stress. En zie dan het schuldige bedrijf maar eens te achterhalen, én zie ze maar eens aansprakelijk te stellen.

De burgers beschermen tegen onscrupuleuze en/of incompetente personen en bedrijven (*) die hun winst rucksichtlos maximaliseren ten koste van de digitale veiligheid van die burgers, dat is juist de taak van de overheid. Dat is (o.a.) wat regeren is.

(*) dat onscrupuleuze bedrijf is niet noodzakelijkerwijs het gehackte bedrijf. Het kan natuurlijk ook Beun de Haas IT services zijn, waar het gehackte bedrijf zijn IT-diensten inkocht.

Nu is het de vraag of het justitie moet zijn die de IT van een bedrijf overneemt om orde op zaken te stellen. Misschien is het beter als daarvoor een speciale beroepsgroep komt. Net zoals een curator bij een faillissement. Justitie zou wel boetes en dwangsommen op kunnen leggen.

Probleem blijft natuurlijk: hóe weet je welke bedrijven hun IT security slecht op orde hebben...

[Reactie gewijzigd door RJG-223 op 23 juli 2024 12:20]

CAPSLOCK2000

Nederland
Politiek en recht

@RJG-223 • 1 oktober 2019 10:55

Probleem blijft natuurlijk: hóe weet je welke bedrijven hun IT security slecht op orde hebben...

Ik vergelijk het graag met de brandweer, die zijn vooral preventief bezig. Die weten ook niet zeker of een bedrijf brandveilig is, maar er zijn een hoop aanwijzingen te vinden. Hangen overal brandblussers? Is er een evacuatieprocedure? Wordt er regelmatig geoefend? Is bekend of en waar er gevaarlijke stoffen zijn opgeslagen? Zijn er voldoende brandtrappen?

Als je op alles goed bent voorbereid is de kans op brand een stuk kleiner. Mocht er toch brand uitbreken dan moet je ook niet gek opkijken als brandweer met grof geweld je voordeur intrapt en het hele pand vol water en schuim spuit. Als je goed was voorbereid dan betaalt de verzekering.

Zo'n 'brandverzekering' hebben we overigens ook nodig voor IT. De meeste inspectie wordt namelijk niet door de brandweer zelf gedaan, maar door de verzekeraar die moet opdraaien voor de kosten als het niet in orde is. Zo'n verzekeraar kan gespecialiseerde adviseurs in dienst nemen, gericht tips geven, en door de premie te verhogen of te verlagen een bedrijf belonen of straffen voor goede maatregelen.
Verder wil je een verzekering zodat er iemand voor de kosten opdraait als het bedrijf zelf failliet gaat.

OddesE @RJG-223 • 1 oktober 2019 10:57

(*) dat onscrupuleuze bedrijf is niet noodzakelijkerwijs het gehackte bedrijf. Het kan natuurlijk ook Beun de Haas IT services zijn, waar het gehackte bedrijf zijn IT-diensten inkocht.

+2, maar met deze zin ben ik het niet eens. Ik noemde hierboven (edit: ehm... hieronder blijkbaar) het voorbeeld van KPN. Een beursgenoteerde multinational met miljarden omzet. De CMS leverancier had 100 man in dienst. Geen hele kleine jongen dus maar een dwerg natuurlijk vergeleken met KPN. En KPN is degene die de website heeft. Het zijn de gegevens van de klanten van KPN. KPN kiest die leverancier. Dus KPN en alleen KPN is verantwoordelijk voor de veiligheid van haar website. Dat KPN daarna de leverancier kan aanklagen is weer een tweede dingetje maar dan moet ze wel wat slimme contractvoorwaarden over de beveiliging hebben opgenomen.

[Reactie gewijzigd door OddesE op 23 juli 2024 12:20]

RJG-223 @OddesE • 1 oktober 2019 11:24

+2, maar met deze zin ben ik het niet eens. Ik noemde hierboven (edit: ehm... hieronder blijkbaar) het voorbeeld van KPN. Een beursgenoteerde multinational met miljarden omzet. De CMS leverancier had 100 man in dienst. Geen hele kleine jongen dus maar een dwerg natuurlijk vergeleken met KPN. En KPN is degene die de website heeft. Het zijn de gegevens van de klanten van KPN. KPN kiest die leverancier. Dus KPN en alleen KPN is verantwoordelijk voor de veiligheid van haar website.

Machtsverhoudingen zijn inderdaad belangrijk. En als een klein bedrijf met weinig IT-kennis bij een groot IT-bedrijf een IT-systeem inkoopt, dan ligt de schuld eerder bij het IT-bedrijf.

Dat KPN daarna de leverancier kan aanklagen is weer een tweede dingetje maar dan moet ze wel wat slimme contractvoorwaarden over de beveiliging hebben opgenomen.

Als een groot bedrijf zaken doet met een klein bedrijfje, dan zijn er in zulke gevallen weinig slimme contractvoorwaarden op te stellen. Zelfs al doet het kleine bedrijfje alles fout: er is nog steeds niet veel te halen. Als KPN vanwege een hack een schade lijdt van 5 miljoen, dan zullen zie die schade uiteindelijk voornamelijk zelf moeten dragen...

OddesE @RJG-223 • 1 oktober 2019 11:44

Maar op zijn minst zouden ze de verantwoordelijkheden kunnen afkaarten.

En mij lijkt het dat als een instantie of rechter die moet beoordelen of er sprake is van wanprestatie kan zien dat je de nodige inspanning hebt geleverd om de beveiliging te waarborgen, dat je dan een minder hoge boete krijgt als het toch mis gaat.

CAPSLOCK2000

Nederland
Politiek en recht

@OddesE • 1 oktober 2019 13:00

Maar op zijn minst zouden ze de verantwoordelijkheden kunnen afkaarten.

Het lastige is dat je gespecialiseerde IT'ers nodig hebt om die verantwoordelijkheden goed te omschrijven en zinnig in te vullen. Als je het zonder eigen IT'ers doet (maar met die van de leveranciers, of alleen met gebruikers of juristen) dan ga je gewoon een hoop over het hoofd zien. Zo heb ik ooit een contract tegengehouden waarin 96% uptime was afgesproken. De gebruiker vond het zelf best veel, 96%, tot ik voorrekende hoeveel uur storing dat per jaar is.

CAPSLOCK2000

Nederland
Politiek en recht

@OddesE • 1 oktober 2019 12:55

+2, maar met deze zin ben ik het niet eens. Ik noemde hierboven (edit: ehm... hieronder blijkbaar) het voorbeeld van KPN. Een beursgenoteerde multinational met miljarden omzet. De CMS leverancier had 100 man in dienst. Geen hele kleine jongen dus maar een dwerg natuurlijk vergeleken met KPN. En KPN is degene die de website heeft. Het zijn de gegevens van de klanten van KPN. KPN kiest die leverancier. Dus KPN en alleen KPN is verantwoordelijk voor de veiligheid van haar website. Dat KPN daarna de leverancier kan aanklagen is weer een tweede dingetje maar dan moet ze wel wat slimme contractvoorwaarden over de beveiliging hebben opgenomen.

Heel herkenbaar, in de middelgrote organisatie waar ik werk gebruiken we veel niche-software. Software die vaak geschreven is door een ijverige student die na z'n studie de markt op is gegaan met z'n werk. Als wij ons pakket aan eisen tonen dan rent zo'n programmeur gillend weg, er zijn misschien wel tien extra personeelsleden nodig om overal aan te voldoen, dat kan zo'n bedrijf niet betalen.
Dan hebben wij niks, dat is geen optie, dus accepteren we die software toch maar en laten we een stukje papier tekenen dat de programmeur overal voor verantwoordelijk is (beetje kort door de bocht, maar je snapt het punt), en proberen dan zoveel mogelijk aan die software te (laten) verbeteren. Uiteraard staat daar een forse rekening tegenover.

Dan hebben we de gekke situatie dat wij veel geld betalen om software te kopen, vervolgens onze eigen mensen inzetten om de ontwikkelaar op problemen te wijzen en uit te leggen water aan gedaan moet worden, waarna we ook nog eens de rekening krijgen voor het oplossen van die problemen. We hebben zelfs (meer dan eens) meegemaakt dat die student het werk weer heeft uitbesteed in een of ander lage-lonen-land. Dan moeten wij indirect een ondergekwalificeerde programmeur in een ver buitenland, in een andere tijdzone en een ander taalgebied op niveau zien te krijgen. Ik zal niet hoeven uitleggen dat het een kansloze situatie is.

In een ideale wereld zouden we daar natuurlijk nooit aan mee doen maar een contract sluiten en dan juristen inzetten als er iets mis gaat, maar in praktijk zitten we dan zonder essentiële software. Zelfs als we het probleem lang van te voren zien aankomen is er eigenlijk niet veel tegen te doen omdat er gewoon geen alternatieve software is, en we nu eenmaal andere verplichtingen hebben die belangrijker zijn voor de bedrijfsvoering.

Het is allemaal geen excuus, maar af en toe wel redelijk hopeloos.
De grote softwarehuizen zijn helaas niet veel beter. Die hebben wel meer mensen en kennis in huis, maar ook een hoop juristen die het onmogelijk maken om harde afspraken te maken waar je echt iets aan hebt.

OddesE @ShellGhost • 1 oktober 2019 09:25

De overheid moet zich bezig houden met regeren, niet met dit soort dingen.

Niet mee eens. Grapperhaus gaat heus niet zelf iets controleren. Hij wil dat er boetes op komen. Dat is wat regeren is.

En het is nodig ook. Want er is een groot probleem in de huidige opzet waarin een bedrijf de persoonlijk gegevens van soms miljoenen mensen in hun database heeft en die vervolgens slecht beveiligt. Want de gegevens zijn vooral voor die mensen zelf veel waard.

Stel je gebruikt al jaren e-mail van Yahoo. Voor hoeveel mag ik jouw inlog gegevens dan kopen?
Vind je één dollar te weinig? Tien? Honderd?
De vraag is hoe hoog de boete voor Yahoo had moeten zijn toen ze meer dan 700 miljoen accounts lekten...

Individuele gebruikers kunnen zich onmogelijk beschermen hier. Daar ligt echt wel een taak voor de overheid. Ik roep dit zelf al jaren en ben heel blij om te zien dat het de laatste jaren veel meer aandacht krijgt.

EDIT:
Dit is misschien een goed moment voor een persoonlijke noot.
k ben web developer van beroep en was ooit (jaren geleden, dat wel) één van de mensen die de website van KPN in de lucht hielp houden. In die functie had ik toegang tot de database met o.a. de account gegevens. Nu ben ik dan in die rol iemand die er bij mag, maar wat echt niet ok is, is dat de gebruikersnamen en wachtwoorden van alle 'web gebruikers' unencrypted in de database stonden. Ik kon gewoon SELECT username, password, email FROM webusers doen en dan kwamen de gebruikersnamen, e-mail adressen en wachtwoorden van toch al snel een miljoen webgebruikers langs rollen. Sorry maar dat kan echt niet. Schrok me kapot toen ik dat zag.
Ironische is dat de KPN medewerkers via een andere weg een account kregen die in een andere tabel stond en waarvan de wachtwoorden wel versleuteld waren.

Ik was toen nog erg jong en heb mijn mond gehouden. Daar heb ik eigenlijk een beetje spijt van. Als ik het nu zou zien zou ik iets zeggen van 'jongens, dit kan niet. Als ik geen plan hoor om dit te gaan fixen ben ik door mijn geweten gedwongen dit te gaan melden bij de instanties'. Heb ik niet gedaan. Ik weet overigens dat het inmiddels verholpen is en dat alle wachtwoorden nu netjes encrypted zijn zoals het hoort. Maar feit blijft dat KPN dit nooit had mogen toestaan. En daarom hebben we (hoge) boetes nodig; er moet een stok achter de deur zijn om te zorgen dat bedrijven niet alleen hun eigen gegevens beveiligen maar ook die van hun gebruikers.

Het zelfde geldt overigens voor planet.nl en nog een reeks andere websites. Ook sites van gemeenten trouwens. Maar KPN was de grootste partij met ook de meeste gebruikers.

[Reactie gewijzigd door OddesE op 23 juli 2024 12:20]

ShellGhost @OddesE • 1 oktober 2019 09:51

Op het moment dat er een datalek is kan er al een flinke boete worden opgelegd. Dus ik zie de "toegevoegde" waarde niet dat Justitie zich er nog eens mee moet bezig houden.
Daarbij zijn ambtenaren nou niet echt goed in grote IT projecten....

Zoop @ShellGhost • 1 oktober 2019 10:15

Inderdaad, flink beboeten als ze de mist in gaan. Veel meer zou er toch niet moeten gebeuren, imo. Anders moet er gecontroleerd worden en dat gaat ontzettend veel tijd/geld kosten. Bedrijven krijgen er een lading bureaucratie erbij om aan te voldoen en dan nog zullen er zaken doorheen glippen (alles controleren is simpelweg onmogelijk). En zoals je ook zegt, ook ik heb niet veel vertrouwen als het om justitie/overheid en IT gaat. Die controle moet uitgevoerd worden door mensen die er goed verstand van hebben (lekkages kunnen vinden enzo, waarschijnlijk white hat hackers). Ik geloof nooit dat er daar genoeg van zijn voor de schaal waar op dit zou moeten gebeuren.

Dat moeten bedrijven zelf regelen, dat kan niet anders en volgens mij is de enige manier om die bedrijven te dwingen, is te dreigen met hoge boetes.

OddesE @Zoop • 1 oktober 2019 10:50

Het kan natuurlijk eenvoudig anders.

Wat je nu ziet is dat er idioot veel 'custom' inlog systemen gebruikt worden. Zoals het voorbeeld van de webusers van KPN waar ik het hierboven over had. Was een homebrew oplossing van de leverancier van het CMS dat KPN gebruikte. Dat moet anders. We moeten naar gestandaardiseerde oplossingen toe die we laten certificeren.

Het is niet zo moeilijk om aan je leverancier te vragen hoe het zit met de beveiliging en welk systeem ze gebruiken en of dat gecertificeerd is e.d. Dwing dat gewoon af; een beetje verplicht vooronderzoek naar de beveiliging. Dat er gewoon iets over besproken moet worden en vastgelegd. En dan moet zo'n leverancier dus zeggen: we hebben het systeem zelf gebouwd en wachtwoorden zijn onversleuteld. Of liegen, maar dat is dan gewoon fraude. En dan zul je vanzelf zien dat er een aantal partijen komt die wel echt goed beveiligde systemen voor authenticatie / authorisatie leveren en dat de overige partijen of hun beveiliging fixen of overstappen.

Als er een gevangenis wordt gebouwd dan verwacht ik dat men voor de cellen sloten kiest van een bedrijf dat daar ervaring mee heeft. Dat die sloten getest en liefst gecertificeerd zijn.
Als een gevangenis er sloten in heeft laten zetten door een bedrijf dat zijn eigen custom oplossing heeft gebouwd en er is nooit iets over gevraagd of die sloten goed zijn, dan vindt ik dat verwijtbaar. Zelfde principe. Ze hoeven heus niet elke regel code door te lopen. Ze moeten gewoon duidelijke afspraken met de leverancier hebben en wat simpele vragen stellen.

Zoop @OddesE • 1 oktober 2019 14:01

En hoe controleer je of dat gecertificeerde spul daadwerkelijk onbewerkt op je servers draait? Is leuk als je met een papiertje kan wapperen, maar dat zal toch echt gecontroleerd moeten worden. En wie gaat dat spul certificeren? En ga je verwachten dat alle bedrijven de boel gaan ombouwen om een standaard inlog systeem te gebruiken (in elk mogelijke bestaande backend-taal?)?
Liegen en fraude, ik denk dat je onderschat hoeveel dat voorkomt.

Die certificering op sloten stellen ook niet al te veel voor, dus dat is niet een al te sterk voorbeeld.

Ik denk dat je zwaar onderschat hoeveel tijd en geld er in de handhaving van dit gaat zitten. Kijk maar eens naar de AVG, een hartstikke mooi streven om de burgers te beschermen. Maar ze gaven al voordat de wet in werking ging dat ze zwaar geld en mankracht tekort kwamen om het daadwerkelijk te handhaven. En dat gaat nogal liefst met name over publiek benaderbare verklaringen. Wat er daadwerkelijk met de data gebeurd is nog steeds verdomde moeilijk te controleren (moet er meestal toch eerst iets misgaan).
reviews: Hoe staan we ervoor na één jaar AVG: serieuze handhaving laat op zic...

Maar nu praten we over de achterkant van dit soort spul en dat moet dan ook nog eens allemaal gecontroleerd worden? Gedoemd te falen, als je het mij vraagt.

OddesE @Zoop • 6 oktober 2019 16:43

Kijk maar eens naar de AVG

Ja, daar kijk ik ook naar. Die is een groot succes wat mij betreft. Want ik zie in mijn werk dat mensen er nu veel bewuster mee omgaan. Is de AVG hier relevant is ineens een vraag die gesteld wordt. Wat moeten we doen om compliant te zijn? Ik zie die vragen gewoon ineens tijdens werkoverleg gesteld worden en invloed uitoefenen op de requirements.

Calypso @OddesE • 1 oktober 2019 10:06

Niet mee eens. Grapperhaus gaat heus niet zelf iets controleren. Hij wil dat er boetes op komen. Dat is wat regeren is.

Dat is niet wat-ie zegt:

Minister Grapperhaus wil dat de rol van de overheid bij dit soort situaties 'binnen afzienbare termijn' verandert. 'Wij moeten kunnen zeggen tegen een bedrijf: "Als je het zelf niet regelt dan komen wij het wel doen",' zegt hij tegen het FD (paywall). Grapperhaus vindt samenwerken met bedrijven beter dan boetes opleggen, al blijft dat wel een optie. Een boete kan volgens hem 'stimulerend werken', maar dat lost het probleem niet meteen op.

En eerlijk gezegd vind ik "dan komen wij het wel doen" een heel gevaarlijke uitspraak. Allereerst heeft de overheid zelf zaken ook vaak niet op orde (UWV - anyone?), is er maar beperkt kennis aanwezig en kan het daarnaast de indruk wekken dat bedrijven bewust anticiperen op hulp van de overheid.

OddesE @Calypso • 1 oktober 2019 10:53

Is een beetje een gevalletje begrijpend lezen denk ik. Want ik lees in 'dan komen wij het doen' echt geen aanbod van hulp maar een dreigement. Lijkt me niet dat je als bedrijf blij wordt er van.

Calypso @OddesE • 1 oktober 2019 11:17

Dat je er als bedrijf niet blij van wordt ben ik helemaal met je eens, maar dat van begrijpend lezen niet. Er staat wat er staat, met expliciet "samenwerken is beter dan boetes uitdelen". Dan kun je zeggen dat ik het stuk niet begrijp, maar als jij aangeeft "hij wil dat er boetes opkomen" is dat flink tegenstrijdig in wat er letterlijk staat.

OddesE @Calypso • 1 oktober 2019 11:50

True.

Maar samenwerken met de overheid betekent in de praktijk toch meestal gewoon dat de overheid zegt wat er moet gebeuren en dat jij dat dan precies zo moet uitvoeren.

Ik kan de bewoordingen van de minister natuurlijk niet kiezen. Maar laat ik het zo stellen dat het me bijzonder zou verbazen als minister Grapperhaus het hier zou hebben over de traditionele manier van samenwerken... hij is hier aan het dreigen. In bedekte termen weliswaar maar voor de oplettende toehoorder toch duidelijk genoeg imho.

Polittici hebben het over investeren als jij en ik het hebben over geld opmaken
Mensen uit de uitkering duwen heet 'mensen laten participeren'
De kosten op jou afwentelen heet 'eigen verantwoordelijkheid'

Makelaars gebruiken hetzelfde trucje. Een bouwval is een karakteristiek monumentaal pand
Een kleine ruimte is gezellig en knus
Enzovoorts.

Estel 1 oktober 2019 09:09

Hij heeft wel een punt. Er kan geen enkele goede bedrijfs reden zijn om dit soort security patches niet door te voeren, zelfs als dit impact heeft op een bedrijfsproces. Als je het niet doet, zijn de risico's hoger.
Dit komt mede doordat IT nog steeds wordt gezien als kostenpost ipv asset bij veel bedrijven. Een business case voor funding is vaak best een uitdaging voor technische IT projecten, omdat er veelal geen evident voordeel voor de busines in zit.
Daarnaast is beheer helemaal een sluitpost die elk jaar weer alleen maar moet bezuinigen.

thePiett

@Estel • 1 oktober 2019 09:12

Hij heeft helemaal geen punt. Hij moet zich er niet mee bemoeien. Als je als bedrijf het risico wil lopen door te beknibbelen op security (met als grootste risico het kunnen opdoeken van je bedrijf) dan moet je dat helemaal zelf weten. Dat is erg vervelend voor de getroffen klanten, maar dat is de enige manier waarop het bedrijfsleven gaat leren dat investeren in dit soort zaken belangrijk is.

kodak

Nederland

@thePiett • 1 oktober 2019 09:31

Hoe sluit een bedrijfsrisico nemen uit dat ook de rechten van derden nageleefd moeten kunnen worden voor er iets mis gaat?

Bedrijven die risico nemen met andermans situatie, tot mogelijk leven aan toe, niet aanpakken lijkt je een goed idee zolang de slachtoffers achteraf mogelijk nog wat compensatie of gerechtigheid kunnen krijgen?

Estel @thePiett • 1 oktober 2019 09:22

Ben ik niet met je eens. Zeker dit soort grote bedrijven hebben genoeg relaties met andere bedrijven en overheden zodat het een sneeuwbal effect teweeg kan brengen. Het waren niet de minste bedrijven. Wat denk je dat met de rest van het bedrijfsleven/overheid gebeurt als dit bijvoorbeeld KLM gebeurt of een ander groot bedrijf? Die impact gaat veel verder dan het bedrijf zelf. Waarom denk je dat de Nederlandse Bank zeer strenge eisen stelt aan de IT van banken en verzekeraars en geregeld audits uitvoert? Van mij mag het Nationaal Cyber Security Center meer bevoegdheden hebben.

OddesE @thePiett • 1 oktober 2019 09:36

Welk risico?
Het risico dat miljoenen gebruikers hun prive gegevens op straat komen te liggen? Wat maakt dat het bedrijf uit? Die boete, dát is het risico. Daarom is het belangrijk dat er (hoge) boetes komen voor wanprestatie op het gebied van beveiliging.

killerfreak @thePiett • 1 oktober 2019 09:39

In een 3e wereld land misschien, maar in het westen is de overheid er over het algemeen voor de burgers en om die burgers te beschermen. Zeker in een tijd waar (grote) bedrijven denken dat ze alles maar mogen en er alles aan doen om zoveel mogelijk geld te verdienen welke morele waarden ook overschreden moeten worden, is het fijn dat de burger daartegen beschermd wordt. Alleen jammer dat de overheid daar zelf regelmatig in tekort schiet.

K-aroq @thePiett • 1 oktober 2019 09:48

Dus ook het niet dragen van een veiligheidsgordel en door rood rijden of te hard rijden niet meer bestraffen?

Als je als autorijder dat risico neemt moet je dat helemaal zelf weten toch?

RJG-223 @thePiett • 1 oktober 2019 10:22

Hij heeft helemaal geen punt. Hij moet zich er niet mee bemoeien. Als je als bedrijf het risico wil lopen door te beknibbelen op security (met als grootste risico het kunnen opdoeken van je bedrijf) dan moet je dat helemaal zelf weten. Dat is erg vervelend voor de getroffen klanten, maar dat is de enige manier waarop het bedrijfsleven gaat leren dat investeren in dit soort zaken belangrijk is.

Net zoals de overheid zich niet met de financiën van een bedrijf moet bemoeien zeker, ? Of met de veiligheid van de produkten die het bedrijf op de markt brengt ? Of met de hygiëne bij voedselverwerkende bedrijven ? Of met de manier waarop financiële bedrijven omgaan met het geld van de klanten ? Je vindt dat de markt dat allemaal maar op moet lossen ??

Natuurlijk is dat voor een bedrijf allemaal erg vervelend, maar als het gedrag van een bedrijf tegen het algemeen belang in gaat, en het bedrijf op die manier een oneerlijk concurrentievoordeel heeft ten opzichte van bedrijven die zich wel netjes gedragen, dan is dat in ieders belang als de overheid daaraan wat doet. Ook in het belang van alle andere bedrijven. Enkel niet van het zich misdragende bedrijf. Maar ja, als de overheid een oplichter achter de tralies zet, is dat ook voor iedereen goed, behalve voor de oplichter. En die opichter zal ook zeggen dat de overheid zich niet met zijn 'zaken' moet bemoeien.

De enige manier waarop het bedrijfsleven (en eigenlijk de mens in het algemeen) zijn gedrag aanpast, is als dat gedrag binnen een redelijke tijd voorspelbare positieve of negatieve gevolgen heeft. Als blijkt (en dat is dus gebleken) dat bedrijven ongewenst gedrag vertonen, dan moeten daaraan extra gevolgen gekoppeld worden. Of positieve (belastingvoordelen, etc.) of negatieve (boetes, dwangsommen). De bestaande gevolgen zijn dan blijkbaar niet voldoende, of niet urgent genoeg, of te weinig van invloed op het bedrijf zelf.

Croga

1 oktober 2019 08:37

Oh Grapperhausje toch......

Gaat hij dan ook ingrijpen bij alle overheidsinstanties die het niet op orde hebben? Ik heb een beetje het gevoel dat ze daar al een stevige dagtaak aan zullen hebben....
Iets met het zien van de splinter in andermans oog maar niet de balk in het eigen oog....?

tweaker2010 @Croga • 1 oktober 2019 08:48

Het een sluit het ander natuurlijk niet uit, maar feit is wel dat veel externe partijen er een puinhoop van gemaakt hebben waardoor overheidsinstanties slecht beveiligd zijn. Mompelt iets over DNB en Centric.

FreezeXJ @tweaker2010 • 1 oktober 2019 10:14

Zal, maar alsnog moet de overheid dat dus blijkbaar gaan controleren terwijl ze het bij zichzelf nota bene niet kunnen zien... Ik verwacht dan alleen papierwerk-controles, waarbij je 'ok' bent als je voldoende euros tegen een volledig gecertificeerde prutstent gesmeten hebt. Dat is precies waar we niet heel willen.

OddesE @FreezeXJ • 1 oktober 2019 11:06

Jawel, dat is precies waar we wel heen willen.

Beveiliging is niet eenvoudig dus er zullen bewezen goede oplossingen moeten komen. Certificatie is typisch een manier om dat te regelen. Nu worden er idioot veel login systemen gebouwd. Men maakt een users tabel met kolommen username en password, als je de mazzel hebt dan encrypt men het wachtwoord nog voordat het de database ingaat, er wordt een login schermpje gemaakt en dat is dat. Maar de gegevens die opgeslagen worden verdienen meer beveiliging. Zo'n oplossing moet goed gebouwd worden, onderhouden, getest en liefst door een derde onafhankelijke partij bekeken en gecertificeerd worden.

MeMoRy @tweaker2010 • 1 oktober 2019 13:12

Dat is gemakkelijk redeneren: er zijn namelijk geen interne partijen meer. De overheid heeft die externe partijen alleen maar moeten inschakelen omdat alles (in de jaren 80-90) geprivatiseerd is: de overheid heeft intern geen mensen meer die het zouden kunnen.
Nu wordt er voor elk project steeds een offerte aangevraagd bij een aantal bedrijven, waarna ze voor de goedkoopste gaan.
Vervolgens mijnen die bedrijven wel aangestuurd worden.... maar omdat er binnen de overheid dus nauwelijks meer know-how is, zijn de specificaties van lage kwaliteit. In de loop van het project komen er dan steeds allemaal nieuwe dingen naar voren... met als gevolg dat het project uitloopt. Aanegezien daar meestal maar beperkt budget voor is, worden dingen afgeraffeld. Q.E.D.

miknic @Croga • 1 oktober 2019 09:07

Op GeenStijl nu een interessante wekelijkse Kroniek over de puinhoop bij het UWV. Deel 1 https://www.geenstijl.nl/...t-er-te-redden-valt/#more

Deel 2 https://www.geenstijl.nl/...ufters-en-vluchters/#more

Elke zondag een nieuwe

[Reactie gewijzigd door miknic op 23 juli 2024 12:20]

mhnl1979 @Croga • 1 oktober 2019 08:46

De belastingdienst zal wel trillend zijn wakker geworden vanmorgen....

Punkbuster @mhnl1979 • 1 oktober 2019 09:21

Iets meer vertrouwen in de Belastingdienst 🤗

mhnl1979 @Punkbuster • 1 oktober 2019 09:40

Hmm, in het algemeen vind ik dat vrij lastig, gezien mijn (professionele) ervaringen :-)
kuchToeslagen kuchachterhoudeninformatie

chrisboers 1 oktober 2019 08:53

Het enige dat werkt is een directe compensatie bij data-verlies aan de slachtoffers. Iedereen weet dat (persoonlijke) data geld waard is, dus als er weer eens een datalek gemeld wordt, direct compenseren aan allen die het betreft.
Ja, dat kost miljoenen, en is enorm moeilijk uitzoeken wie schade geleden heeft, maar dan moeten ze maar zorgvuldiger met de data omgaan.

Douweegbertje 1 oktober 2019 09:58

Dit is misschien een rant, maar laten we dan eerst bij de (semi) overheidsinstellingen beginnen. We kunnen het nu wel over het bedrijfsleven hebben, maar zelf zijn ze geen steek beter.

"bron"; ik heb zonder moeite nu al 3 tshirts met "I hacked the dutch goverment and all I got was this lousy tshirt".

OhMyGod 1 oktober 2019 08:39

Alsof Justitie daar nog tijd en mankracht voor heeft.

Auteur

TijsZonderH Nieuwscoördinator @OhMyGod • 1 oktober 2019 09:33

Dat zal eerder via het NCSC gaan, of een andere club (politie, speciale dienst binnen de THTC of zo).

Fijinees 1 oktober 2019 08:37

"Grapperhaus stelt dat bedrijven die 'niet zonder problemen kunnen updaten hun bedrijfsvoering niet op orde hebben.' De minister spreekt dinsdagmiddag op de One Conference in Den Haag over het onderwerp.".

Dan is de overheid met regelmaat een hele grote bak met oliebollen. Zij hebben zo vaak problemen.

Thystan 1 oktober 2019 09:20

Ik denk dat hij zijn Kaspersky eens moet (proberen te) updaten

Verwijderd 1 oktober 2019 09:56

Grapperhaus zegt dat bedrijven geen excuses hebben om noodzakelijke veiligheidsmaatregelen door te voeren in hun software. Ook als dat betekent dat bedrijfsprocessen dan stil komen te liggen of apparatuur moet worden vervangen is dat geen excuus, zegt hij. 'Als dat je excuus is, ben je echt een ongelooflijke oliebol', zegt hij tegen het FD. Grapperhaus stelt dat bedrijven die 'niet zonder problemen kunnen updaten hun bedrijfsvoering niet op orde hebben.'

Ik krijg steeds meer respect voor deze minister. Hij durft het hard te zeggen en heeft gewoon een punt. Natuurlijk is het in heel veel van de gevallen niet zo zwart-wit, maar dan heb je het simpelweg niet in orde. Nu nog de daad bij het woord voeren.

FreezeXJ @Verwijderd • 1 oktober 2019 10:16

Het harde roepen doen politici al tijden, er moet _nu_ echt iets veranderen want dit dit en dit is mis. Prima. En daarna worden er commissies opgezet, plannen gemaakt, en wordt het stil. De aandacht is weg, en het budget kan niet gevonden worden want er moet een nieuwe commissie worden geplanned voor wat er nu topic du jour is.

Calypso @Verwijderd • 1 oktober 2019 11:21

Het lijstje met zaken binnen de overheid waar problemen met beveiliging zijn of zelfs de wet genegeerd wordt met het argument "maar we kunnen nu niet anders" (= bedrijfsprocessen) is erg lang.

Gaat hij het nu ook zo hard spelen bij UWV, belastingdienst en al die andere overheidsinstellingen?

Dit geroep is puur voor de buhne.

Op dit item kan niet meer gereageerd worden.

Justitie wil ingrijpen bij bedrijven die digitale veiligheid niet op orde hebben

Lees meer

Minister wil achterdeur in encryptie

IT-banen

Reacties (83)

Lees meer

Minister wil achterdeur in encryptie

IT-banen

Reacties (83)

Sorteer op:

Weergave: