Rekenkamer: thuiswerkende ambtenaren communiceren vaak via onveilige tools

Thuiswerkende ambtenaren bij de Rijksoverheid gebruiken sinds de coronacrisis vaak onveilige communicatiemiddelen en privé-e-mailaccounts om gevoelige informatie uit te wisselen. Ook ministers doen dat, omdat de beveiligde middelen te ingewikkeld zijn.

Hoge ambtenaren en ministers maken weinig gebruik van de speciale beveiligde apparatuur die ze krijgen, staat in een rapport van de Algemene Rekenkamer. Ministers hebben bijvoorbeeld Sectra Tiger-telefoons die berichten automatisch versleutelen, maar in de praktijk blijken die weinig gebruikt te worden. Ze zouden 'niet makkelijk in het gebruik zijn'. De ambtenaren gebruiken daarom apps als Zoom en WhatsApp, op gewone tablets en smartphones. In het voorjaar van dit jaar werd er door CIO-Rijk een online methode opgezet voor extra beveiligde videovergaderingen, maar daar bleek 'bij kabinetsleden geen behoefte aan te zijn'.

De Rekenkamer merkt daarbij ook op dat bewindspersonen zoals ministers en staatssecretarissen moeilijk kunnen worden aangesproken op het gedrag. "Ze zijn formeel geen ambtenaar en vallen niet onder de verantwoordelijkheid van de secretaris-generaal of de chief information security officer", staat in het rapport.

Risico's voor de informatieveiligheid en privacy

De problemen kwamen met name in de afgelopen maanden aan het licht. De toezichthouder onderzocht het ict-gebruik van ambtenaren op ministeries en andere overheidsinstellingen. De Rekenkamer concludeert dat er risico's zijn voor de informatieveiligheid en privacy. Ambtenaren gebruiken veel verschillende tools om te communiceren, ook als die niet zijn voorgeschreven door de technische dienst. Zo wordt gevoelige informatie soms verstuurd via WhatsApp of privé-e-mailadressen, en worden documenten opgeslagen in bijvoorbeeld Dropbox of Google Drive. De Rekenkamer keek specifiek naar de periode van juli tot en met oktober. De meeste ambtenaren werkten in die periode thuis vanwege de coronacrisis.

In de meeste gevallen gebruiken ambtenaren Webex om te videobellen, maar ook Skype for Business en Microsoft Teams zijn populair. Voor 'informele communicatie' wordt in de meeste gevallen WhatsApp gebruikt. Volgens de Rekenkamer bleek zeven procent van de ondervraagde ambtenaren vertrouwelijke informatie te hebben verstuurd via WhatsApp. Ook zou privé-e-mail vaak worden gebruikt voor het versturen van zulke informatie.

Veel verschillende applicaties

Het rapport ziet een probleem met manieren om online samen te werken. Er zouden tientallen programma's in omloop zijn om mee samen te werken, bijvoorbeeld om documenten op te slaan, bestanden te delen of planningen te beheren. "Een verklaring voor dit grote aantal gebruikte applicaties is dat er bij de rijksoverheid weinig samenwerkingsplatforms bestaan waarop organisaties onderling veilig kunnen samenwerken."

Een bijkomend probleem van het gebruik van de verschillende apps is dat van archivering. Gemaakte afspraken worden bijvoorbeeld niet centraal vastgelegd, maar in Dropbox of Google Drive. Dat leidt volgens de Rekenkamer tot 'een gebrekkig inzicht' over besluitvormingen. Bovendien kan de situatie in de toekomst problemen opleveren als er een audit plaatsvindt.

Ontevredenheid over verplichtingen

Een belangrijke oorzaak van het probleem is dat ministeries en departementen zelf kunnen bepalen welke tools werknemers mogen gebruiken. Desondanks blijkt er onder veel ambtenaren onduidelijkheid te zijn over de afspraken die worden gemaakt over welke tools er mogen worden gebruikt, en een groot deel is daar 'niet tevreden mee'. Zulke regels zouden in de praktijk bijvoorbeeld moeilijk uitvoerbaar zijn.

De Rekenkamer noemt het voorbeeld van het verplicht gebruik van Citrix om veilig op afstand te werken, maar videobellen werkt binnen die omgeving vaak niet. Ook zou het een probleem zijn dat de afspraken per afdeling verschillen. Bij de ene organisatie binnen de overheid is WhatsApp onder voorwaarden wel toegestaan, maar bij andere juist weer niet.

Staatssecretaris Raymond Knops van Binnenlandse Zaken erkent in een reactie dat 'de door Covid-19 ontstane situatie een groot aanpassingsvermogen van de Rijksoverheid vergt'. Hij zegt dat er sinds dit voorjaar verschillende maatregelen zijn getroffen waarvan inmiddels wordt bekeken of die kunnen worden verbeterd. Ook is er een informatiecampagne gestart voor ambtenaren.

Lees meer

Reacties (181)

Eonfge
2 november 2020 11:09

Ook iets om over na te denken: Alle genoemde producten in dit artikel zijn closed source en Amerikaans. Dat gaat vast nooit problemen geven in de toekomst.

Edit. Betere schreenshot hier Oplettende Tweaker @vlaaing peerd zag dat er nog iets ontbrak.

[Reactie gewijzigd door Eonfge op 2 november 2020 15:19]

YopY
@Eonfge • 2 november 2020 11:16

Zijn er Nederlandse of Europese alternatieven?

Ik bedoel EncroChat was volgens mij van Europese bodem,

Eonfge
@YopY • 2 november 2020 11:21

Natuurlijk. Franse en Duitse defensie gebruiken bijvoorbeeld Matrix voor communicatie:
https://matrix.org/ (client: https://element.io/)

En voor het hosten van documenten kun je natuurlijk kijken naar producten zoals Next Cloud. Er is helaas nog geen volwaardig SharePoint alternatief, want dat is een catch-22: Elke overheid heeft SharePoint dus niemand investeert in een concurrent, dus dan kan de overheid alleen SharePoint kopen.

Bronnen trouwens:
- https://matrix.org/blog/2...ure-instant-messenger-app
- https://matrix.org/blog/2...week-in-matrix-2020-05-15

In Duitsland heet dat dus de Bundeswehr Messenger, waar ik wel om kan lachen. Is uiteindelijk gewoon de Element client met een eigen skin.

[Reactie gewijzigd door Eonfge op 2 november 2020 12:02]

GertMenkel

Beveiliging en antivirus

@Eonfge • 2 november 2020 11:38

De videobel-functie van Matrix werkt via Jitsi, wat bij meer dan één persoon volgens mij nog niet eens encryptie kan. Voor veilig videobellen moet je dus weer wat anders hebben en moet je je medewerkers uitleggen niet op de videobelknop in de chatapp te klikken.

Het probleem van open source tooling is dat er geen open source alternatief is voor een volledige kantoorsuite. Mailcow met NextCloud en ONLYOFFICE in combinatie met Matrix/Element en Meet komen een heel eind, maar alles aan elkaar lijmen om er een samenwerkend geheel van te maken is en blijft een uitdaging.

Kopano heeft wel een behoorlijk geïntegreerd pakket maar ik weet niet hoe goed dat te gebruiken is. Ze gebruiken ook Mattermost als chatservice, dus geen e2ee, wat het ook weer een slechtere implementatie maakt voor gevoelige gegevens dan bijvoorbeeld Whatsapp.

Eonfge
@GertMenkel • 2 november 2020 11:41

Zie de Catch-22 van SharePoint. Als elke overheid en grote werkgever MS SharePoint en Office gebruikt, dan is er weinig motivatie om in een concurrent te investeren. Wat ervoor zorgt dat SharePoint en Office nog verder ingeburgerd raken.

vervolgens nog 200 gram vendor-locking toevoegen, 100 gram gemalen gesloten bestandsformaten, en een mespuntje patenten, en je zult op je blote knieën moeten smeken dat Microsoft de licentiekosten volgend jaar niet verdubbeld.

Eerlijk gezegd, ik dank dat de overheid er goed aan doet om hier het voortouw in te nemen. Als ze een aanbesteding opzetten voor het bouwen van een open-source SharePoint, welke ze dan in de loop der tijd kunnen gaan gebruiken als vervanging voor de bestaande SharePoint, dan kunnen we er op een dag vanaf zijn. En het bedrijfsleven... hebben we geen GDPR die het gebruik van deze leveranciers ondertussen aan banden zou moeten leggen? Laat de AP maar wat boetes uitschrijven.

[Reactie gewijzigd door Eonfge op 2 november 2020 11:48]

YangWenli

@Eonfge • 2 november 2020 16:23

Het helpt natuurlijk niet dat de overheid iedere keer weer wordt opgelicht door de ICT boevenbende als ze een nieuw systeem willen laten ontwikkelen.

beerendlauwers
@YangWenli • 3 november 2020 11:06

Helpt natuurlijk niet dat de overheid enkel bij de gekende boevenbendes offertes gaat ophalen, die dan, zoals ze gewoonlijk doen, drastisch hun offerte onderschatten zodat ze dat miljoenencontract binnenkrijgen, en daar kiest de overheid dan de goedkoopste uit. Daarna worden er drie demo's en contactmomenten per jaar uitgezet om "de voortgang te monitoren", en deadline+3j later wordt alles geannuleerd zonder dat ooit maar één eindgebruiker ooit met de developers heeft samen gezeten

batjes

Politiek en recht

@Eonfge • 2 november 2020 16:35

Goed nieuws! Niet open source, maar het is een begin.

https://pleio.nl/over-ons/

Dit heeft behoorlijk veel sharepoint omgevingen ontvangen.

sebati
@GertMenkel • 2 november 2020 12:49

Voor zover nog niet geïmplementeerd wordt daar aan gewerkt, zie https://jitsi.org/blog/e2ee/

"HIPS is about using a new Chrome WebRTC API called “Insertable Streams” to add a second layer of end-to-end encryption to media streams in a way that would make them inaccessible to the video router.
...
This is already enabled on meet.jit.si and people can try it out if they are using a browser based on Chromium 83 and above (such as the corresponding versions of Edge, Chrome, Opera and Brave)."

Er wordt met het Firefox team samengewerkt om deze API ook daarin te krijgen.
https://github.com/mozilla/standards-positions/issues/330
https://github.com/mozilla/standards-positions/pull/451
Op basis hiervan lijkt het erop dat dit afgelopen week is toegevoegd (prototype).

GertMenkel

Beveiliging en antivirus

@sebati • 2 november 2020 12:51

Ah, fijn. Ik wist dat eraan gewerkt werd, maar het is goed dat het er bijna is.

aikebah
@GertMenkel • 2 november 2020 20:09

Reken jezelf niet te snel rijk op basis van de gerefereerde pull-request. Die betreft het in-mergen van de 'official position' van mozilla over de voorgestelde standaard/specificatie. Met betrekking tot die positions heeft de readme van diezelfde repo de disclaimer:

Note that these positions do not address whether Mozilla will commit resources to a specification, nor does it commit Mozilla to implementing them.

Of ze dus ook aan het werk zijn om hem als prototype te implementeren? Geen idee.

Ernie_W
@sebati • 3 november 2020 13:16

End-to-end is heel mooi, maar schaalt lastig. Die Jitsi server beheren de Duitsers natuurlijk zelf en dan lijkt me E2EE alleen maar nodig als je je eigen beheer niet vertrouwt..

Superstoned

@GertMenkel • 2 november 2020 23:09

Je hoeft ze ook niet echt te combineren, dan krijg je echt een zooi van niet samenwerkende oplossingen. Nextcloud heeft een chat en video call functie, die weinig onder doet voor Jitsi of Matrix, en ook mail/calendar. De Mail app heeft nog wel wat werk nodig maar niets wat niet binnen een half jaar alles kan hebben wat een overheid nodig zou hebben. Zodra de NL overheid een contract sluit voor 2-3 jaar voor alle Nederlandse ambtenaren is alles wat er mist zo opgelost.

Het probleem is echt niet dat er geen alternatief is. Het probleem is dat de overheid het niet wil.

sebati
@Superstoned • 3 november 2020 09:00

Het probleem is echt niet dat er geen alternatief is. Het probleem is dat de overheid het niet wil.

Veel overheden hangen in wat ooit de "Microsoft tenzij" 'visie' was.Ontzettende tegenstrijdigheid in het niet afhankelijk willen zijn van een enkele partij, ondertussen streven naar het brengen van alle diensten naar Microsoft en standpunt dat die producten alle problemen oplossen. Veel kennis/advies is gebaseerd op de Microsoft marketing machine "Alles kan met...".

Heeft dus alles te maken met keuzen; kiezen voor open- of gesloten systemen/standaarden, kiezen voor lokale (Europese) bedrijven/aanbieders, of kiezen voor grote Amerikaanse bedrijven.

De korte termijn strategie bij de keuze voor MS valt wel wat voor de zeggen, gemak van het instappen e.d.. De lange termijn effecten zijn nadelig omdat we/ze steeds afhankelijker worden van deze partij.

jvdmeer
@Eonfge • 3 november 2020 01:03

Voor het uitwisselen van documenten is er inmiddels al een Nederlands alternatief, specifiek voor het rijk: https://securetransfer.rijkscloud.nl/

Eonfge
@jvdmeer • 3 november 2020 08:30

Grappig stukje in de handleiding: Als je bestanden wilt versturen die niet voldoen aan het veiligheidsfilter, moet je ze even zippen.

Dat staat letterlijk in de handleiding, dus vergeef mij als ik niet meteen weer met opgetrokken wenkbrauw kijk naar dit overheidsproject.

iThinkSo
@Eonfge • 2 november 2020 15:23

In Duitsland heet dat dus de Bundeswehr Messenger, waar ik wel om kan lachen. Is uiteindelijk gewoon de Element client met een eigen skin.

Ik zie het al voor me, met zo'n mooie jaren 90 camo skin

Eonfge
@iThinkSo • 2 november 2020 15:42

Moeilijk veel bier drinken en vervolgens over je eigen tent struikelen.

Omega
@YopY • 2 november 2020 12:00

Er zijn vrijwel overal alternatieven voor beschikbaar. Maar bedrijven zoals Microsoft hebben de mindshare en maken misbruik van hun machts-positie om iedereen in hun ecosysteem te houden.

Eonfoge rade Matrix al aan, dat is een gedecentraliseerd messaging protocol, er zijn verschillende clients voor beschikbaar waar Element (Tot recent genoemd Riot) een van de populairste is. Het is niet platform afhankelijk zoals veel proprietary tools dat wel zijn. Dus het werkt op Windows, Linux, BSD, Android, iOS, MAC OS, ARM, x86, PowerPC, RISC-V, je smart koelkast etc..

De al genoemde NextCloud is ook een geweldige vrije tool voor file sharing. Microsoft en andere partijen maken hier misbruik van hun machts-positie en maakt het installeren en configureren van een gemakkelijke manier van toegang to NextCloud onmogelijk. Je kan een Windows machine niet configureren op een manier dat NextCloud gemakkelijk toegankelijk maakt voor zij die minder technische zijn. Op Windows en andere proprietary besturingssystemen moet dit allemaal via de browser. Als je kijkt naar vrije software GUIs voor Linux/BSD zoals GNOME en KDE kan je inloggen op je NextCloud en zijn al je bestanden toegankelijk vanuit je file manager, je hebt alles lekker centraal zitten dan.

Daarnaast ook alles zelf hosten, geen email in de "cloud", gewoon lekker op je eigen server draaien. dan heb jij er volledige controle over en kan je garanderen dat er geen rare dingen gebeuren.

Voor Office pakketten heb je Libre Office om lokaal te werken en een zelf gehoste OnlyOffice voor online. Microsoft Office dat standaard al je documenten naar de Microsoft cloud pushed zou je niet moeten gebruiken om de privacy en dataveiligheid te waarborgen.

[Reactie gewijzigd door Omega op 2 november 2020 12:01]

The Realone
@Omega • 2 november 2020 13:36

In plaats van het machtsmisbruik van Microsoft te noemen kun je het ook gewoon een kwalitatief ongenaakbare suite van producten noemen. LibreOffice kan zich echt totaal niet meten aan het Microsoft Office pakket in mijn ogen. De enige reden dat LibreOffice altijd naar voren geschoven wordt als alternatief is omdat er verder helemaal niks is. Als dat de basis is van je Office suite, en dat is het voor het gros van de organisaties, dan is de verdere integratie van Microsoft producten geweldig.

Ik heb regelmatig in trajecten gezeten waarbij we naar diverse producten en diensten keken waar Microsoft een variant van heeft, maar we kwamen toch iedere keer terug op het punt van integratie. Zo nu en dan kom je een product tegen dat naadloos integreert, maar bij de rest blijven het houtje-touwtje oplossingen die vaak ook geen lang leven beschoren zijn.

Je opmerkingen over Nextcloud integratie op Windows slaan natuurlijk nergens op, want net als OneDrive is daar gewoon een client voor die een organisatie rond kan duwen.

Er zijn overal alternatieven voor te bedenken maar je krijgt dan een wilgroei aan losse producten die totaal niet op elkaar inhaken, geen uniforme manier van werken bieden, totaal andere interfaces hebben en je ook maar af moet wachten of het volgend jaar niet ineens "gaat rommelen in 1 van die teams en je weer kunt kiezen uit een fork of 10".

RogerWilco2
@The Realone • 2 november 2020 15:15

Libre Office is voor veel mensen best voldoende. Waar Microsoft echt de winnaar is is in Exchange+Outlook. Dat is veel beter dan de alternatieven zoals Groupwise en Lotus Notes.
Goede open source alternatieven voor Exchange+Outlook zijn ken ik niet.

De OS wereld lijkt erg slecht te zijn in collaboratie tools.

En MS is dat met cloud, Teams, Skype en zo alleen maar verder aan het uitbreiden.
Het moet niet alleen werken, maar de gemiddelde 60 jarige digibeet moet het ook kunnen gebruiken.

Het is zeg maar het omgekeerde gebruikers model dan Git.

The Realone
@RogerWilco2 • 2 november 2020 15:46

De opmerking dat LibreOffice voor veel mensen "best voldoende" is, is een veelgehoorde. Dat klopt in zekere zin wanneer je het hebt over thuisgebruik en mensen die af en toe een briefje typen en een spreadsheet in willen vullen. Het probleem is dat dit helemaal spaak loopt wanneer je dit in de context van een (middel)grote organisatie plaatst. Niet alleen is de UI van MS Office vele malen prettiger en zit het veel logischer in elkaar, de integratie met andere diensten is de laatste jaren enorm gestegen.

IT is de laatste 20 jaar enorm aan het professionaliseren binnen organisaties. Men wil steeds meer af van het model dat er overal wel iets voor te vinden is. We willen geen 30 verschillende stukjes losse software meer die individueel gezien het beste zijn. We willen uniformiteit, coherentie en integratie.

Je kunt natuurlijk vinden van Microsoft wat je wil, maar je kunt niet stellen dat ze amateuristische software en diensten uitbrengen. Die zijn kwalitatief gewoon enorm goed. Natuurlijk slaan ze de plank wel eens volledig mis, maar hoe vaak knijpt men niet een oogje dicht wanneer dat bij de alternatieven gebeurt?

chaogai
@The Realone • 2 november 2020 16:49

MS office is best wel overschat, mensen werken om de gebreken heen. En de cloud versies zijn zwaar uitgekleed.

The Realone
@chaogai • 2 november 2020 17:45

Oh, vertel? Wat is er overschat aan? En welk alternatief is dan zoveel malen beter?

Superstoned

@The Realone • 2 november 2020 23:02

Libreoffice in de cloud kan veel meer dan ms office... een boel functionaliteit mist. Maar dan is het opeens dat dat goed genoeg is terwijl eerder het argument was dat libreoffice niet goed genoeg is... ofwel gewoon argumenten voor ms zoeken.

Als de hele Nederlandse overheid over stapt op lo (er er voor betaald wat ze nu aan ms geven) kan elke feature die mist en moeilijkheid die er in zit zo worden opgelost - dat is meer geld dan lo nu globaal in 10 jaar uitgeeft... maar we blijven liever geld en data naar de vs zenden want big picture denken doen we niet.

The Realone
@Superstoned • 3 november 2020 00:33

Waarom ga je nou web versies van MS Office vergelijken met een full desktop install van LibreOffice? Dat slaat natuurlijk nergens op. Ik heb het nergens over de web versie van Office.

En ja je kan geld tegen LibreOffice aan smijten om het te verbeteren maar dan heb je over 10 jaar misschien een volwassen Office pakket dat zich mogelijk kan meten met MS Office. Dan zit je wederom met een eilandje. Een product dat op zichzelf goed werkt, maar waarbij je kunst en vliegwerk uit moet halen om het te integreren met alle andere diensten.

Als je nu nog denkt dat een office pakket een stukje op zichzelfstaande software is dan begrijp je het niet.

Superstoned

@The Realone • 7 november 2020 14:24

Sorry, mijn punt was dat het hele argument dat MS Office gebruikt moet worden omdat het beter is vaak gewoon kul is: men wil MS Office gebruiken en zoekt naar excuses om dat te rechtvaardigen. Als voorbeeld geef ik aan dat de browser variant van MS Office duidelijk inferieur is qua functionaliteit, maar dan doet het er opeens niet meer toe.

Qua interoperabiliteit is MS office ook zeker niet beter dan LibreOffice, er zijn net zoveel documenten waarbij het mis gaat tussen MS Office versies en varianten (op mac, in de browser of oudere versies) dan tussen MS Office en LibreOffice, dus dat argument is ook kul.

Anoniem: 1409490
@Omega • 2 november 2020 12:21

Je kan een Windows machine niet configureren op een manier dat NextCloud gemakkelijk toegankelijk maakt voor zij die minder technische zijn. Op Windows en andere proprietary besturingssystemen moet dit allemaal via de browser. Als je kijkt naar vrije software GUIs voor Linux/BSD zoals GNOME en KDE kan je inloggen op je NextCloud en zijn al je bestanden toegankelijk vanuit je file manager, je hebt alles lekker centraal zitten dan

Waar heb jij het over? Als je de Nextcloud desktop sync client gewoon download van website, en gewoon folder synchronisatie instelt, kun je keurig via explorer bij je bestanden. Ik heb de desktop client nu gebruikt op Windows, Ubuntu, Fedora etc, het werkt overal hetzelfde.

Omega
@Anoniem: 1409490 • 2 november 2020 12:50

Op Linux ed. is dus geen client nodig. Dit allemaal doen via een client voegt onnodige complexiteit toe. Het moet gemakkelijk in te stellen zijn voor de beheerder en gemakkelijk toegankelijk voor de gebruiker. Het moet geïntegreerd zitten in de desktop of de file browser.

orvintax
@Omega • 2 november 2020 16:18

Als een systeembeheerder geen simpele applicatie kan downloaden van het internet is de systeembeheerder aan vervanging toe.

Overigens als je de Nextcloud sync client download en insteld is het gewoon een folder waarin al je Nextcloud bestanden staan. Net zoals OneDrive,Dropbox en etc. Dus het zit dan wel geïntegreerd in de file explorer

edit: typo

[Reactie gewijzigd door orvintax op 2 november 2020 16:19]

GeroldM
@Omega • 2 november 2020 16:56

In essentie heb je zelfs de NextCloud client niet nodig. De gratis client is wel een "gestroomlijnde" ervaring, vergeleken met andere methodes.

Maar je kunt in principe elke DAV client software gebruiken. Dat is wat ik doe: CarotDAV is een scherm in Windows waar je naar hartewens kunt drag-droppen, nadat je connectie hebt gemaakt met een DAV server. NextCloud...of OpenCloud, Dropbox, OneDrive, GoogleDrive en nog een paar andere services. Maakt de transfer van bestanden tussen meerdere cloud omgevingen een fluitje van een cent.

En tegenwoordig is CarotDAV ook via de command-line te gebruiken (wat ik ook doe), dus via batch/powershell scripts kan je ook bestanden van en naar de cloud overhevelen. Zo kom je erachter dat een web-interface zeker nuttig kunnen zijn, maar zeker niet dé oplossing voor bulk transfers van en naar cloud services of je eigen web server.

Want WebDAV is al sinds jaar en dag onderdeel van het HTTP protocol en praktisch alle web server software (op Linux alsmede Windows) ondersteund WebDAV. Een beetje zoeken op het internet en je hebt je eigen Cloud file server zo opgezet. Scheelt toch weer een Cloud abbonementje...

sebati
@Omega • 2 november 2020 20:55

"Voor Office pakketten heb je Libre Office om lokaal te werken en een zelf gehoste OnlyOffice voor online."
Of LibreOffice/Collabora Office Online om met NC (on andere oplossing) Online te werken, geen OnlyOffice nodig.

3raser

@YopY • 2 november 2020 11:35

WhatsApp WAS van Europese bodem. Totdat de Amerikanen het inlijfden. Dus blijkbaar moeten we vooral geen al te goede producten produceren want dan wordt het vanzelf weer Amerikaans.

Nss
@3raser • 2 november 2020 11:38

Nee hoor, Whatsapp was al een Amerikaans bedrijf voor de overname door Facebook. De oprichters waren (deels) Europees, maar daarmee is het niet opeens een Europees bedrijf

Edit: bronvermelding "On February 24, 2009, he incorporated WhatsApp Inc. in California"

[Reactie gewijzigd door Nss op 2 november 2020 11:43]

Anoniem: 42901
@3raser • 2 november 2020 11:44

WhatsApp was founded in by Brian Acton and Jan Koum

Opgericht door 2 Amerikanen.

Koum named the app WhatsApp to sound like "what's up". On February 24, 2009, he incorporated WhatsApp Inc. in California.

Met een Amerikaans bedrijf.

Bron: https://en.wikipedia.org/wiki/WhatsApp#2009%E2%80%932014

Maurits van Baerle
@Anoniem: 42901 • 2 november 2020 12:18

Ik weet niet precies wanneer Jan Koum Amerikaan is geworden maar hij is geboren in Kiev in Oekraïne en in de jaren '90 naar de VS verhuisd. Dat betekent dat hij ofwel oorspronkelijk Russisch of Oekrains staatsburgerschap had bij zijn geboorte (dat is nog best complex in Oekraine) en pas later het Amerikaans burgerschap heeft gekregen. Of dat voor of na het oprichten van WhatsApp weet ik niet.

Basszje
@Maurits van Baerle • 2 november 2020 12:43

Dat is niet complex, dat was de Sovjet-Unie . Dat is bij de onafhankelijkheid omgezet in Oekrains staatsburgersschap. Over het algemeen hebben Oekrainers geen Russisch paspoort ( dubbele nationaliteit is overigens ook niet toegestaan ) .

Maurits van Baerle
@Basszje • 2 november 2020 12:53

Ik heb twee vrienden uit de Oekraine, geboren en getogen in Kiev maar die hebben allebei een Russisch paspoort en spreken geen Oekrains. Toch noemen ze zichzelf Oekrains en niet Russisch. Hoewel ze tien jaar geleden zichzelf nog Russisch noemden, de oorlog heeft dat wel veranderd.

Kortom, identiteit in Oekraïne is nog best complex.

[Reactie gewijzigd door Maurits van Baerle op 2 november 2020 12:53]

Remzi1993
@Maurits van Baerle • 2 november 2020 13:31

Dat zijn allemaal bijzaken. Het gaat erom dat Whatsapp als bedrijf is opgericht in de VS. Het maakt geen drol uit wat de nationaliteiten van de oprichters zijn. Waar het bedrijf zijn hoofdkantoor zetelt definieert uit welk land het bedrijf komt en of het een Amerikaanse of Europese of Joost mag weten bedrijf is.

[Reactie gewijzigd door Remzi1993 op 2 november 2020 14:11]

Maurits van Baerle
@Remzi1993 • 2 november 2020 14:06

Oh absoluut. WhatsApp is een Amerikaans bedrijf en altijd geweest. Ik reageerde op dat de oprichters Amerikaans zijn. Dat is mogelijk niet helemaal waar.

RogerWilco2
@3raser • 2 november 2020 15:05

Skype was Europees, WhatsApp niet geloof ik.

Maar alles wordt opgegeten door Microsoft, Google, Facebook, Apple en SoftBank.

Want in Noord Amerika kan je veel harder groeien, omdat 400 millioen mensen dezelfde taal spreken en (bijna) dezelfde wetgeving gebruiken.
De EU single market is nog lang niet goed genoeg voor software, mede omdat we allemaal verschillende talen spreken.

[Reactie gewijzigd door RogerWilco2 op 2 november 2020 15:07]

debom
@YopY • 2 november 2020 11:24

Een bijkomend voordeel is dat de politie gelijk met je meeluistert

Bongoarnhem
@YopY • 2 november 2020 13:05

Gaia-x moet het alternatief worden geloof ik.

Killjoy
@Eonfge • 2 november 2020 11:12

Sterker nog: dit is sinds 16 juli dit jaar al een probleem, gelet op de uitspraak van het Europees Hof over privacy shield. Zie ook https://www.ictrecht.nl/b...-schrems-ii-hoe-nu-verder

sOid
@Killjoy • 2 november 2020 13:13

Wij zijn op 't werk inderdaad ook bezig om over te stappen op (Europese) alternatieven naar aanleiding van deze uitspraak. Punt is dat het vanuit de beleidshoek behoorlijk stil blijft. Er is veel onduidelijk. Onze Privacy Officer en Functionaris Gegevensbescherming (en ook de CISO's) weten ook niet wat nou precies de implicaties zijn. We gaan iig geen nieuwe contracten aan en verlengen van contracten wordt ook afgeraden.

Gelukkig valt het bij ons nog mee. Als Microsoft niet wordt meegerekend is de meeste software Europees of Nederlands (voor zover ik hier oog op heb). Maar we hebben wel een paar applicaties die we hebben aangeschaft op basis van de Privacy Shield-overeenkomst (en verwerkersovereenkomst).

Helaas is het voor sommige producten heel lastig om een goed Europees alternatief te vinden

Eonfge
@Killjoy • 2 november 2020 11:16

Dan heb je het alleen nog maar over juridische complience.

De echte klap komt natuurlijk wanneer de president van de VS roept dat Europa moet betalen voor Corona. Dan kom je er opeens achter dat Stallman altijd gelijk heeft gehad, en dat gesloten software een form van onrechtmatige macht is. Dan is het echter te laat, en dan moeten we snel veel geld naar de VS over maken omdat anders onze complete staat tot stilstand komt.

En hier opper ik alleen nog maar de 'vredige' vormen van misbruik waartoe de VS in staat is.

Edit. Onee, een -1

Duidelijk dat enkelen het wel een goed idee vinden om de digitale soevereiniteit van ons land in handen van de VS te leggen.

[Reactie gewijzigd door Eonfge op 2 november 2020 11:27]

Cergorach

Beveiliging en antivirus

@Eonfge • 2 november 2020 11:27

Je bekijkt het nu heel erg vanuit je eigen straatje, natuurlijk kan de VS iets dergelijks roepen, maar in theorie zou de EU dan ook gewoon de Europese delen van de Amerikaanse bedrijven gewoon kunnen toeëigenen. Dergelijke acties zie ik niet snel gebeuren, maar ik zie ook niet gebeuren dat de EU de VS dat gaat betalen.

Dit is een beetje paniek zaaien!

Eonfge
@Cergorach • 2 november 2020 11:35

We zouden ook stappen kunnen ondernemen om het nooit zo ver te laten komen. Ik schilder inderdaad een redelijk extreem beeld, maar in de praktijk gaat het natuurlijk veel geleidelijker en subtieler. Nu ook al.

Het probleem is natuurlijk breder want die macht wordt niet ongedaan gemaakt. Als grote Amerikaanse bedrijven zich eenmaal in onze economie hebben verankerd, dan kan onze economie niet meer fungeren zonder die elementen. Dat is uiteindelijk de strop. Wij kunnen volgend jaar wel een economische krimp van 1% verwachten, maar reken er maar op dat alle Amerikaanse partijen de facturen met 10% opschroeven.

Rob Coops

Overheid
Politiek en recht

@Eonfge • 2 november 2020 13:51

Hier is het grote probleem.

De EU en dus ook Nederland slaan op software gebied nog geen deuk ineen pakje boter. Natuurlijk zijn er uitzonderingen maar er is niet een enkel product zo als Dropbox of Drive, er is geen Zoom of WebEx er zijn geen chat oplossingen zo als Whatsapp. Er zijn heus wel alternatieven maar dat zijn allemaal marginale producten die niet of nauwelijks een install base hebben en het zich dus ook niet kunnen veroorloven de ontwikkelingen van de reuzen waar mee ze soort van concurreren bij te houden. Als ze de gehele overheid zeker het gehele EU ambtelijk apparaat als klant krijgen dan storten ze in. Ze kunnen die schaal grote niet aan.

Heel veel mensen denken dat gewoon meer doosjes met meer fans, disks en cpu cycles genoeg is om te groeien maar helaas is het zo makkelijk niet. Als je van tienduizend berichten per uur naar tien miljoen berichten per uur wil groeien dan heb je meer nodig dan alleen wat extra hardware. Als je naar een miljoen berichten per minuut wil groeien is ook de oplossing die je tot de tien miljoen per uur bracht al snel niet meer genoeg.

De bedrijven waar je mee wil concurreren komen daar zelf ook met enige regelmaat achter. Facebook, Google en Amazon ontwerpen eigen hardware omdat de gewone hardware te veel energie vreet en niet efficient genoeg in racks geschoven kan worden. Amazon, Microsoft en Google werken dagelijks aan nieuwe manieren om hun systemen nog efficiënter te beheren want als je de miljoenen systemen voorbij bent dan zijn de huidige standaarden simpel weg niet goed genoeg meer.
Zelfs als er reden was om te denken dat de overheid een ICT project zou kunnen runnen, dan nog is erg gewoon een gebrek aan kennis als het op dit soort schaal grote aankomt. Het is natuurlijk niet onmogelijk om op een zelfde hoogte te komen maar daar heb je toch echt een commercieel bedrijf voor nodig dat jaren lang verliezen zal moeten draaien (en dus staats steun zal moeten ontvangen) om dit voor elkaar te krijgen. En laat de EU nu met uitstek niet de juiste plaats zijn om een groot ICT bedrijf op te bouwen.

Je kunt heel moeilijk even een vervanging neer zetten die ook gebruikt zal worden door de ambtenaren. Al is het maar omdat de alternatieven zo bekend zijn iedere dag gebruikt worden en dus heel veel "makkelijker" zijn om mee te werken.
Als je een Europees project op zou willen zetten om bijvoorbeeld een alternatieve dropbox of webex oplossing te bouwen dan zal je eerst jaren moeten overleggen waar het hoofdkantoor gaat komen dan een decennia nodig hebben om te besluiten waar de verschillende data centra gebouwd moeten worden en vervolgens heb je dan een product dat van compromissen en politieke redeneringen aan elkaar hangt, dat nauwelijks bruikbaar is en dat dus door de meeste ambtenaren alleen als lastig vervelend of onbruikbaar wordt gezien.

Als de EU echt zou willen concurreren met de VS op software gebied dan zou men eens moeten beginnen met het aantrekkelijk te maken voor commerciele partijen om zich in de EU te vestigen in plaats van in de VS. Dan zou men eens moeten werken aan een oplossing. Men zou moeten stoppen met het constant uitdijen van de regelgeving als het op dit soort bedrijven aankomt want ook dat levert geen fijn vestigingsklimaat op in Europa.
Als je dan ook de regelgeving voor aanbesteding van dit soort producten aan zou pakken en bijvoorbeeld zou eisen dat als er een Europees alternatief is dit gekozen moet worden en waar nodig de werkwijze aangepast moet worden in plaats van vol te blijven houden dat alleen de Amerikaanse software de huidige werkwijze in staand kan houden waardoor het dus altijd de enige optie zal blijven want patenten, copyrights en ga zo maar door.

Helaas gaan dit soort dingen in de EU niet gebeuren omdat men nog steeds heel erg blij is met de VS zich niet kan voorstellen dat de VS misschien wel eens voor de VS zou kunnen kiezen en niet voor de EU als het er op aankomt en dus alles wat de VS doet gewoon 100% te vertrouwen is.

STV
@Rob Coops • 2 november 2020 14:40

"Als de EU echt zou willen concurreren met de VS op software gebied dan zou men eens moeten beginnen met het aantrekkelijk te maken voor commerciele partijen om zich in de EU te vestigen in plaats van in de VS. Dan zou men eens moeten werken aan een oplossing. Men zou moeten stoppen met het constant uitdijen van de regelgeving als het op dit soort bedrijven aankomt want ook dat levert geen fijn vestigingsklimaat op in Europa."

Op zich eens met wat je zeg, maar met de kanttekening dat als wij de EU net zo aantrekkelijk maken voor bedrijven als de VS momenteel is, het natuurlijk ook alle nadelen meebrengt. Oftewel lagere belastingen, verminderde privacy-bescherming, minder milieu-/ARBO-bescherming etc.

Dit zijn zaken die in de EU veelal scherper zijn in de VS en ja, dat heeft ook nadelen. Ik vrees dat de opties zijn om ons bedrijfsleven te modelleren naar de VS of accepteren dat zij competitiever zijn dan de EU. Of iemand moet een wijze bedenken om alle voordelen en geen van de nadelen te hebben.

YangWenli

@STV • 2 november 2020 16:35

De EU veranderen in een tweede VS is geen overwinning inderdaad. Dat is een race to the bottom.

Superstoned

@Rob Coops • 2 november 2020 23:12

Als wij volgende week een verzoek van de EU IT organizatie krijgen hebben we ze binnen een maand online. Minder, als het moet. Met een volledig O365 alternatief, 100% open source.

Serieus, mogelijkheden of capaciteit zijn het probleem niet. De grootste Nextcloud installatie heeft zo'n 10 miljoen gebruikers, die paar honderd duizend ambtenaren zijn het probleem echt niet.

En met werelds' 3e grootste hosting provider, IONOS, kunnen we snel en makkelijk leveren op elke benodigde schaal.

Nogmaals, het probleem is dat de overheid niet wil, niet dat het niet kan. Miljarden elk jaar naar de VS zenden is veel makkelijker.

Lucb1e

@Killjoy • 2 november 2020 20:21

Vandaag nog komt de baas aan met een nieuwe tool waarbij betaalgegevens van mijn bedrijfsuitgaven (die op mijn naam staan, niet alleen de bedrijfsnaam) doorgestuurd worden naar de USA onder privacy shield. En het kan voor marketingdoeleinden want dat is een "legetiem belang" van het bedrijf en dus hebben ze mijn toestemming niet nodig. Maar, geen zorgen, het is anoniem, al kunnen ze het wel gebruiken om dingen aan jou aan te smeren.

Echt weer top dit, maar wat doe ik ertegen? Ik lees tenminste die voorwaarden nog en klaag er halfhartig in de bedrijfschat over (waar de baas het dus ook ziet), maar een alternatieve oplossing heb ik niet dus we blijven het gewoon doen. En het is ook niet alsof de verantwoordelijke toezichthouder er wat aan gaat doen...

vlaaing peerd
@Eonfge • 2 november 2020 14:50

Er staat toch ook Signal in het schema, dat is open source.

Overigens een beetje onhandig geknipt die screenshot, er lijkt nog wat informatie onder te zitten maar is niet weergegeven.

Eonfge
@vlaaing peerd • 2 november 2020 15:18

Die had ik inderdaad over het hoofd gezien. De screenshot maakt het ook niet zo eenvoudig om uit te lezen. Heb het verslag erbij gehaald voor een betere screenshot.

batjes

Politiek en recht

@Eonfge • 2 november 2020 14:10

Dit is de reden dat Teams nu moeilijk uitgerold wordt bij de overheid, niet elke rijksdienst rolt Teams lukraak maar uit zonder gedegen IB onderzoek. Je kan Amsterdam wel kiezen als datacenter, maar dan gaat er nog steeds data naar de VS en dat mag niet.

Skype voor Bedrijven is Amerikaans, maar zelf in beheer te nemen (m.u.v. inloggen op S4B van buiten je netwerk, dat gaat wel via MS). Eigenlijk is dit de enige applicatie in deze lijst die de overheid zou mogen gebruiken. Maar nope, de Belastingdienst regelt wel even Webex voor iedereen.

Bij de overige applicaties, gaat er gewoon data via de VS. Het is van der zotte dat ambtenaren zo massaal aan Zoom, Whatsapp en andere meuk zitten. Elke ambtenaar heeft toegang tot Webex en het is nauwelijks populairder dan Zoom.

Maar er staan ook geen consequenties op aan het schijt hebben aan je bevolking.

JackBol
@batjes • 2 november 2020 15:27

Alle WebEx communicatie is E2E versleuteld en met "Hybrid Data Security" kan de key management server (KMS) in je eigen DC gezet worden. In de Cisco-cloud staat dan niets meer dan een verzameling random bits.

[Reactie gewijzigd door JackBol op 2 november 2020 15:27]

batjes

Politiek en recht

@JackBol • 2 november 2020 16:09

Dat is met Whatsapp niet anders.

Cisco blijft het begin en het eindpunt van zo'n gesprek, E2E is dus een wassen neus. Als Cisco het er tussenuit sloopt of de data gewoon dubbel verstuurd bij verzenden of aankomst buiten het E2E stukje, merkt een gebruiker daar helemaal niets van.

JackBol
@batjes • 2 november 2020 16:10

Met die instelling kan je alleen open source clients waarvan je zelf de source code compileert vertrouwen. Ook geen on-prem S4B (wat overigens end of life gaat).

[Reactie gewijzigd door JackBol op 2 november 2020 16:11]

batjes

Politiek en recht

@JackBol • 2 november 2020 16:20

Bij S4B beheer je zelf de servers en het verkeer. Bij closed source loop je het risico dat Microsoft verborgen functionaliteit in de server of client stopt en dit van afstand aan/uit kan zetten (zoals Google met Chrome kan en gedaan heeft).

Je kan dus vrij makkelijk in de gaten houden wat voor een data van/naar gebruikers gestuurd wordt en wat voor een data er naar buiten/richting MS gestuurd wordt. Dan heb je nog een klein beetje het vertrouwen dat Microsoft het zakelijk wel kan schudden als ze dit flikken.

Deze controle ontbreekt als beheerder compleet bij Webex en Whatsapp. Want beide endpoints liggen bij de eindgebruikers, niet in het netwerk of onder beheer van de organisatie.

Bij een aantal partijen ontbreekt het vertrouwen, als ik zie waar een Facebook of Google sociaal gezien mee weg biljven komen....

JackBol
@batjes • 2 november 2020 16:32

Je kan dus vrij makkelijk in de gaten houden wat voor een data van/naar gebruikers gestuurd wordt en wat voor een data er naar buiten/richting MS gestuurd wordt. Dan heb je nog een klein beetje het vertrouwen dat Microsoft het zakelijk wel kan schudden als ze dit flikken.

Ben toch benieuwd hoe je het verkeer van een BOYD telefoon of iPad of een Laptop bij iemand thuis in de gaten gaat houden. Of ga je alles naar je eigen DC terugtrekken over RA VPN?

Lucb1e

@JackBol • 2 november 2020 20:28

Met die instelling kan je alleen open source clients waarvan je zelf de source code compileert vertrouwen.

Bijna waar: je hoeft het niet zelf te compilen als een instantie die jij vertrouwt de binary bouwt. Zie bijvoorbeeld F-Droid: als je hun servers vertrouwt hoef je niet de integriteit alle build servers van individuele devs als risico te beschouwen.

Maar in principe klopt het wel ja. Is dat een probleem? Riot/Element is open source maar ik zie weinig partijen de code stelen en voor geld verkopen of zonder credits onder eigen naam uitgeven. In plaats daarvan worden bijdragen aan de functionaliteit en veiligheid centraal verzameld. Ik zie niet waarom een open client model niet commerciëel kan werken.

En bij ons gebruiken we voor klantgegevens inderdaad, zoals je zegt, alleen dergelijk versleutelde software waarvan de code bekend is en we ook een goed gevoel hebben bij de kwaliteit van die code. Als het daaraan niet voldoet, dan is het misschien nog wel te gebruiken op localhost in een VM, maar met gevoelige gegevens nemen we verder geen risico. Nou zijn wij als beveiligingsbedrijf natuurlijk in de uitzonderlijke situatie dat we zowel de zwaktes goed in het oog hebben én zeer gevoelige data van klanten hebben (beveiligingsbedrijven weten waar de rijksoverheid kwetsbaarheden heeft dagen tot weken voordat die verholpen worden). Dat laatste, zeer gevoelige gegevens of communicatie, lijkt me echter in het onderwerp van dit artikel, overheden, ook wel het geval. Jammer dat ze zelf geen ICT-experts zijn, maar daarvoor is de potentiële schade echt niet minder.

[Reactie gewijzigd door Lucb1e op 2 november 2020 20:31]

AudiSub
@batjes • 2 november 2020 21:27

Je reactie is nogal ongenuanceerd. Wij gebruiken Signal, geen Whatsapp, geen Zoom maar Skype, Teams of Webex.

Probleem is wel dat via Citrix de meeste applicaties slecht werken.

[Reactie gewijzigd door AudiSub op 2 november 2020 21:28]

Creesch
2 november 2020 11:13

Hoewel het artikel gaat over de overheid zou dit volgens mij net zo goed kunnen gaan over een groot gedeelte van het bedrijfsleven. Natuurlijk met de kanttekening dat het in het geval van ambtenaren wellicht nog belangrijker is dat ze van veilige communicatie middelen gebruik maken waarbij het bij sommige bedrijven om minder kritische informatie gaat.

Ik zie het namelijk in meer organisaties gebeuren dat medewerkers de beschikbare middelen niet weten te vinden of als hinderlijk ervaren en er dus omheen gaan werken.

Ironisch genoeg is hoe meer zaken dichtgetimmerd worden vanuit een beveiligingsoogpunt hoe meer er gebruik gemaakt wordt van tools buiten de organisatie om.

[Reactie gewijzigd door Creesch op 2 november 2020 11:14]

Morrar
@Creesch • 2 november 2020 11:30

Tja bij ons was Webex lange tijd niet beschikbaar op de laptop die door de organisatie werd verspreid en in de Citrix omgeving was het ook niet / slecht te gebruiken vanwege verbindingsproblemen. Toen werd actief aangeraden om Webex maar op een eigen device te gaan gebruiken. De Corona crisis heeft vrij pijnlijk duidelijk gemaakt dat de overheid toch (nog) niet zo goed voorbereid was op het werken op afstand...

Daarbij zie je binnen overheden vaak dat er gewoon een lijstje requirements komt vanuit alle hoeken, maar dat de eindgebruiker (aka de ambtenaar die er mee moet werken) amper daarbij betrokken wordt. De IT afdeling mag er een zegje over doen, de security officer wil natuurlijk alles dicht, enzovoorts. Uiteindelijk komt er dan een moloch uit die (zo goed mogelijk) aan al die requirements voldoet, maar praktisch nauwelijks (efficient) te gebruiken is.

Dat de eindgebruiker toch gewoon zijn werk wil / moet doen en op zoek gaat naar geitepaadjes om dat voor elkaar te krijgen (die soms nog riskanter zijn), daar is men dan achteraf heel verbaasd over... Had die eindgebruiker nou gewoon meteen meegenomen en weeg efficient gebruik ook mee in de beoordeling van de tool. Niet alleen het dichttimmeren van ieder minimiem (en soms behoorlijk onrealistisch) risico is van belang; het voorkomen dat de eindgebruiker zijn eigen weg gaat zoeken is minstens net zo belangrijk.

Tot slot is security toch vaak voor een groot deel ook de mindset van de eindgebruiker; je kunt alles proberen dicht te timmeren, maar het risico naar nul brengen is gewoon een utopie. Een eindgebruiker die meewerkt aan de beveiliging is beter dan een die gefrustreerd om jouw beveiliging heen aan het werken is. Dus licht de gebruiker ook vooral voor over goede en slechte praktijken...

GeroldM
@Morrar • 2 november 2020 17:13

Schaduw-IT is de term voor wat je uitlegt. Een vloek voor elke organisatie.

Zoals je al aangeeft, vertrouwen moet ergens beginnen. Helaas is het in veel gevallen zo dat de eindgebruiker de partij is die je niet kunt vertrouwen. Onkunde of onwil, al dan niet moedwillig, daar zakt de moed van in de schoenen.

Gelukkig is ego bij zulke eindgebruikers ruimschoots aanwezig en zit je al gauw met een nog grotere draak van een systeem.

Aan de andere kant, sommigen gaan ook wel erg ver voor een ISO-certificaat. Of een verzameling daarvan, omdat dit zogenaamd veilig zou moeten zijn.

Wat anderen al eerder aangaven, beter goed nadenken over wat je wil als bedrijf en alle betrokken partijen goed informeren, zodat het geheel zonder schaduw-IT wel werkt en dus vanzelf een stuk veiliger wordt.

Te utopisch gedacht waarschijnlijk, maar je mag er toch op hopen.

blissard
@GeroldM • 2 november 2020 22:16

Ik ben het met je eens dat vaak de eindgebruiker de “fouten” maakt. Die doet dat vaak niet met als doel de zaak te verstieren, maar omdat de “goede” manier niet lekker werkt.
Dat is volgens mij alleen oplosbaar als de IT service provider en de gebruiker samenwerken. Wat echter realiteit is, is dat IT is geoutsourced of op een andere manier op afstand een systeem draaiend moeten houden dat ze niet zelf hebben ontworpen, met gebruikers die ze alleen spreken als ze hun wachtwoord zijn vergeten. Echte gesprekken over de verbetering van de systemen op gebruikersniveau gebeurt volgens mij veel te weinig.
Dus niet alleen 1-richting informeren. Dat is geen communicatie.

[Reactie gewijzigd door blissard op 2 november 2020 22:17]

loekf2

@Creesch • 2 november 2020 11:20

Ik snap er geen bal van als ik dit lees. Wat is zo moeilijk aan goeie IT bij de overheid ?

- Geen local admin op laptops, tenzij "business critical"
- Niet schrijven op USB sticks
- Vergaderen met Teams, geen Zoom of Google
- Dropbox, Google Drive, Box, iCloud blokkeren op DNS level

Vooral bij de rijksoverheid moet het toch niet zo moeilijk zijn om EEN lijn te trekken.

Sissors
@loekf2 • 2 november 2020 11:32

Dit is nu een goed voorbeeld hoe je kan zorgen dat het mis gaat. Door alles te proberen dicht te timmeren. Als je dit bericht leest zie je ook dat het probleem niet is dat mensen onveilige methoden kunnen gebruiken, het probleem is dat de veilige methodes niet fatsoenlijk werken en niet gebruiksvriendelijk zijn. De logische optie is te zorgen dat die wel gebruiksvriendelijk worden, ipv te proberen de alternatieven onmogelijk te maken.

Een tijd(je) geleden was op GoT een systeembeheerder die vertelde over zijn bezigheden. Na al een hele hoop geblokkeerd te hebben, was zijn volgende actie om screenshots onmogelijk te maken in een applicatie. En natuurlijk, wordt met de beste bedoelingen gedaan, zodat een medewerker geen screenshots met klantgegevens zomaar kan delen. En wat is het praktische resultaat van die actie? Dat alle medewerkers wel een foto maken en via Whatsapp het delen.

Zo ook jouw voorbeelden: Geen Zoom gebruiken. Bij mijn werkgever heeft IT dat maar opgegeven, want het is leuk hoor, behalve als je klanten/leveranciers het gebruiken. Zelfde verhaal met bijvoorbeeld Google Drive blokkeren, dan krijg je dus dat een leverancier iets in Google Drive host, dus een medewerker stuurt de link door naar zijn privé e-mail adres, opent hem op zijn mobieltje, en stuurt dat weer door naar zijn werkadres. Of hij neemt niet de moeite en gebruikt direct maar zijn privé e-mail om te reageren dat er nog wat ontbreekt op de offerte.

En dat is dus wat er gebeurd bij ambtenaren: Je kan alles proberen dicht te gooien, maar als het resultaat is dat ambtenaren dan maar privé middelen gaan gebruiken, dan is het duidelijk niet succesvol.

Blokker_1999

Politiek en recht
Overheid
Nederland
Beveiliging en antivirus

@Sissors • 2 november 2020 14:19

Aan de andere kant moet je je ook bewust zijn van de risicos als je alles te veel open laat. Recent nog een voorbeeldje gezien bij ons. 1 van onze managers wil in zijn team met een bepaalde applicatie werken omdat hij vind dat de huidige tools (we gebruiken nog altijd Skype for Business, alternatieven zitten in evaluatie) niet goed genoeg is. Hij vraagt daarvoor toestemming en terwijl HQ en de nodige diensten het bekijken merkt hij dat hij het zelf kan installeren (installer werkt zonder admin rechten nodig te hebben) en geeft hij zijn team instructie om het dan maar te installeren. Niets aantrekkend van de gevolgen mbt tot veiligheid of zelfs maar de licentie kant van de zaak.

Hier werd op een gegeven moment nagedacht om USB mass storage devices niet langer toe te staan. Werd een test mee gedaan. Heel snel terug ingetrokken. Het idee was goed, maar er wordt vandaag zoveel data over en weer gestuurd op USB drives dat het gewoon niet te doen is.

Wat betreft applicaties zoals Zoom hebbe we nu een heel eenvoudig beleid uitgewerkt: je mag het gebruiken om deel te nemen, maar vanuit IT bieden we officieel geen ondersteuning. Wil je zelf hosten, dan helpen we je enkel als je onze goedgekeurde tools gebruikt.

Je moet inderdaad niet te veel proberen te blokkeren, maar je moet wel ergens een grens trekken. Zorgen dat je de juiste verwachtingen schept. En je personeel duidelijk maken wat wel en wat niet kan.

Superstoned

@Blokker_1999 • 2 november 2020 23:16

Maar ja dan moet je dus ook gewoon als IT afdeling goede oplossingen aanbieden. En laten we eerlijk zijn, SharePoint, Citrix etc zijn gewoon onbruikbaar voor een normaal mens die gewend is aan Whatsapp enzo.

Host zelf een oplossing die EN makkelijk is EN alle functionaliteit bied, en het gedoe is over. Is ook een stuk beter voor de samenwerking daar niet heel de tijd alle bestanden over 10 verschillende tools verspreid zijn...

CSB
@Sissors • 2 november 2020 14:28

Dit. Het zijn in mijn optiek twee dingen:
1. Het is niet gebruiksvriendelijk genoeg. Men is gewend om met Apple / Google / Microsoft producten te werken in de privé sfeer. Dit willen ze op hun "werk" apparaat ook kunnen omdat dat voor hen nou eenmaal beter werkt. Zorg dan als IT afdeling voor "werk" Apple/Google/Microsoft accounts, waarmee je bepaalde zaken kunt blokkeren / afdwingen / reguleren. Het gaat om de data die je veilig wilt stellen en niet het apparaat.

2. Juist OMDAT men persé op hun eigen manier wil kunnen werken en het (oogluikend) wordt toegestaan gebeuren dingen als het doorsturen van gevoelig materiaal via WhatsApp bijv. Zorg voor goede communicatie waarom je als bedrijf dat niet wilt en spreek helder af wat men dan WEL mag gebruiken.

Superstoned

@CSB • 2 november 2020 23:17

Zie ook wat ik boven zeg - IT moet gewoon een gebruikersvriendelijk alternatief bieden. Die bestaan zat, maar je moet dan niet dom bij je IT leveranciers boeren want die bieden je software aan die alle features heeft en verder totaal onbruikbaar is... Die kijken alleen naar de marge die ze krijgen. Er zijn oplossingen die WEL net zo makkelijk zijn als Whatsapp enzo, en die moet je dus hebben ;-)

Jan-Will3m
@loekf2 • 2 november 2020 11:31

Wat niet in het artikel staat is het volgende.

De ambtenaren gebruiken privé hardware omdat de door de werkgever te leveren hardware nog in back order staat. Mijn directe collega's krijgen vanaf de 2e week november de telefoons waar Webex op geïnstalleerd kan worden. Ik zelf heb 9 maanden moeten wachten. Dan krijg je inderdaad onveilige dingen.
Je moet toch wat als je sinds maart niet naar kantoor mag komen.

Blokker_1999

Politiek en recht
Overheid
Nederland
Beveiliging en antivirus

@Jan-Will3m • 2 november 2020 14:13

Webex kan je toch overal op installeren. Het is een communicatietool terwijl de accounts bij Webex zelf staan danwel met behulp van ADFS of Azure aan je AD infra gelinked worden.

En ik mag toch hopen dat men een veilige werkomgeving kan opzetten op private computers, zoals met bijvoorbeeld Citrix.

Jan-Will3m
@Blokker_1999 • 2 november 2020 15:08

Ik ben van mening dat dit soort dingen moet gebeuren op de spullen die je werkgever ter beschikking stelt.
Niet op je privé eigendom. Ik snap ook wel dat in maart iedereen werd overvallen door Covid 19, en dat dingen op korte termijn gewoon niet konden. Maar nu zijn we 8 maanden verder.
We hebben zelfs een verbod gekregen om Webex op de infrastructuur van de werkgever te gebruiken (VPN), dit moet op je eigen thuisnetwerk, dit i.v.m. beperkte bandbreedte.
En vervolgens komt bovenstaande rapport. En dan denk ik tja. Wat wil je nu als overheid?

GeroldM
@Jan-Will3m • 2 november 2020 17:23

Meeste VPN software is zo ingesteld dat ineens al je thuis traffic door het netwerk van de wergver word geleid. Zorgt voor een enorme toename van traffic aan hun kant. Je kan een VPN ook wat minder streng/minder veilig instellen, zodat alleen traffic van en naar je werkgever door de VPN word gesluisd, en dat de rest door je thuisnetwerk word afgehandeld.

Maar vanwege extra risico's en extra kosten voor de werkgever, krijg je dus die dubbele tong uitspraken. Ja je moet VPN gebruiken want veilig, maar niet op willen draaien voor de extra traffic kosten (of extra hardware (en administratie) om de extra traffic in goede banen te leiden).

In mijn optiek is dit een werkgever probleem.

Keltie
@Jan-Will3m • 2 november 2020 12:24

Maar zou de keuze dan niet moeten zijn dat je bepaalde zaken niet doet ipv dan maar de onveilige route kiezen? Snap wel dat dit ook vergaande gevolgen kan hebben maar dan hou je ook de druk op het moeten regelen van fatsoenlijke gereedschappen.

boto
@loekf2 • 2 november 2020 11:24

en jij denkt dat mensen hun telefoon dan niet gaan gebruiken? Dan gaan ze wel whatsapp video callen.

ocf81
@boto • 2 november 2020 11:34

Gewoon de installatie van WA blokkeren, moet niet zo moeilijk zijn toch?

Metalfreak
@ocf81 • 2 november 2020 11:43

En omdat die geblokkeerd is op de werktelefoon, gebruiken ze de privételefoon wel. Gaat dezelfde informatie overheen, dus welk probleem probeer je precies op te lossen? Blokkeren is altijd de ICT-ers oplossing die ervoor zorgt dat mensen alleen maar harder om die oplossing heen gaan werken.

Awareness is veel en veel belangrijker in deze.

ocf81
@Metalfreak • 2 november 2020 11:46

Gebruik van privé-middelen is reden voor ontslag op staande voet lijkt me? Dat zou misschien eens wat vaker moeten gebeuren om een punt te maken.
Bewustzijn is inderdaad het belangrijkst, zo blijkt ook uit onderzoek. Maar niet het kan en mag niet het enige middel zijn waar je op kan vertrouwen.

PhilipsFan
@ocf81 • 2 november 2020 12:20

Whahahaha, wat een opmerking. Ontslag op staande voet.

Weet je, zelfs binnen de overheid zijn er mensen die nog wel eens hun werk gedaan willen hebben. Daarbij worden ze gruwelijk gehinderd door alle protocollen en (vooral) blokkades die handige (maar niet zo communicatief vaardige of inlevende) ICT-ers instellen. Dus ja, als ik morgen een offerte naar een klant wil sturen en ik moet 5 of 6 hobbels nemen om dat via de beveiligde kanelen te doen (wat me een week kost om alle autorisaties netjes aan te vragen en te krijgen) dan heb ik de keuze:

1. Ik gebruik m'n prive-emailadres en heb mijn werk op tijd af (krijg ik kudo's van m'n manager)
2. Ik volg de officiele protocollen en heb 'n werk NIET op tijd af (krijg ik GEEN kudo's van m'n manager)

Dus, zeg het maar, welke optie zou jij kiezen?
Uiteraard hou ik bij optie 1 wel rekening met gevoelige informatie. Als er gegevens van klanten of andere gevoelige informatie betrokken is, dan zal ik uiteraard niet zo snel voor die optie kiezen. En m'n manager informeren dat het niet op tijd af is omdat er teveel hobbels zijn. Maar veel managers interesseert dat helemaal niks, die willen gewoon dat het af komt.

Blokker_1999

Politiek en recht
Overheid
Nederland
Beveiliging en antivirus

@PhilipsFan • 2 november 2020 14:22

Ik kies optie 2 en stuur een bericht naar mijn manager met dat ik mijn werk niet gedaan krijg door het protocol dat hij heeft ingesteld.

PhilipsFan
@Blokker_1999 • 2 november 2020 17:38

Dat kun je inderdaad 1 of 2 keer doen en daar zal vast begrip voor zijn, maar op een gegeven moment is je manager klaar met excuses. Dan zegt ie "Je weet dat je die hobbels moet nemen, begin er maar eerder aan".

Ik heb een opdracht gedaan voor een ministerie, we schreven een applicatie. Al het ontwikkelwerk kon op onze eigen laptops, dat was prima in orde. Maar de e-mail van de opdrachtgever kon je alleen bekijken via Outlook op een virtuele Citrix desktop. Dat betekende dus dat we speciaal voor de e-mail moesten inloggen op Citrix en de beheerders hadden het zo ingesteld dat een Citrix-sessie na 20 minuten verliep. Kon je weer die codegenerator erbij pakken en inloggen, alleen om erachter te komen dat je geen nieuwe mail had. En dat terwijl de applicatie die we ontwikkelden helemaal niks deed met gevoelige gegevens en er ook geen andere zaken geheim moesten blijven.

Dus, wat denk je, dat softwareontwikkelaars die druk bezig zijn met het maken van een applicatie, om de 20 minuten even hun muis bewegen op een andere laptop, of om de haverklap opnieuw gaan inloggen, alleen om hun e-mail te lezen? Natuurlijk niet. Alle betrokkenen kwamen er al snel achter dat we onze e-mail maar 1x per dag (of minder) lazen, dus belangrijke berichten gingen via Whatsapp of sms. Opdrachtgevers en ICT-beheerders begrijpen daar niks van, maar wij wilden graag de applicatie opleveren en niet de hele dag bezig zijn met allemaal randzaken...

Pyronick
@ocf81 • 2 november 2020 13:53

Jazeker hebben ambtenaren klanten. Ik kan uiteraard niet spreken voor andere (Rijks)ambtenaren en heb het liever niet over mijn tak van sport, maar allen die zich in ons wettelijk kader onder vlagbeginsel of territorialiteitsbeginsel of lagere overheden, zijn onze klanten en onze dienst-/steunverlening is onze output.

Als wij niet de gewenste output/KPIs kunnen leveren, dan is het tegenwoordig vrij eenvoudig mits er genoeg dossiervorming is om x ambtenaar rechtspositioneel uit zijn ambt te halen. Anecdotisch bewijs, dat zeker, en gelukkig zelf niet meegemaakt, maar wel genoeg waargenomen in de directe werkomgeving.

[Reactie gewijzigd door Pyronick op 2 november 2020 13:59]

Tha_Butcha
@Pyronick • 2 november 2020 15:08

Ben ik toch nieuwsgierig naar jouw tak van sport.Wat ik standaard hoor, is dat ze mensen er of niet uit kunnen gooien, ofwel juridisch niet ofwel het kost te veel geld. Mijn ervaring betreft dan wel voornamelijk gemeentelijke ambtenarij, moet ik er bij vermelden. En dan heb je nog het Pikmeer-arrest.

PCG2020
@ocf81 • 2 november 2020 13:59

In zekere zin wel. Ik werk als rijksambtenaar bij een uitvoeringsdienst voor de ministeries van EZ en LNV. Onze cliënten zijn ondernemers in binnen- en buitenland, maar ook de al genoemde ministeries. Het zijn dus geen "klanten" in de klassieke zin, doordat ze iets bij ons kopen, maar we zijn wel verantwoordelijk voor een goede dienstverlening.

Heb jij Studiefinanciering ontvangen? Dan ben jij een cliënt van de Dienst Uitvoering Onderwijs. Betaal je belasting en/of ontvang je toeslagen? Dan ben jij een cliënt van de Belastingdienst. En net zoals bij een winkel wil jij goed geholpen worden wanneer dat nodig is, dus een "positieve klantervaring" is ook bij de overheid belangrijk.

Dat die klantervaring nog lang niet altijd positief is, is een heel ander verhaal natuurlijk (maar gelukkig werk ik niet bij DUO of de Belastingdienst)

Tha_Butcha
@PCG2020 • 2 november 2020 15:10

Dan wordt het dus semantiek. In mijn optiek kan een klant weglopen bij slechte, niet geleverde service (of erger) en in het ergste geval jurdische stappen ondernemen.

PCG2020
@Tha_Butcha • 2 november 2020 15:43

Dat klopt en dat is bij de overheid inderdaad lastiger, omdat "wij" de enige verstrekker van veel diensten zijn.

Ik heb zelf ook negatieve ervaringen met de Belastingdienst. Dat maakt echter wel dat ik in mijn eigen werk wil zorgen dat cliënten zo goed mogelijk worden geholpen, binnen de mogelijkheden die ik daar voor heb. Ik heb het idee dat ik daar bij mijn werkgever ook zeker niet de enige in ben.

Metalfreak
@ocf81 • 2 november 2020 11:48

Dan houd je dus geen werknemers meer over. En overheden sturen zelf steeds meer op een BYOD beleid, dan kun je dit al helemaal niet meer maken. Of ben jij zo eentje die maar vindt dat iedereen om het minste of geringste ontslagen moet worden? Gelukkig zijn rechters het daar niet mee eens.

Het is ook vaak gewoon onwetendheid, geen slechte bedoelingen.

ocf81
@Metalfreak • 2 november 2020 11:50

Als je het van te voren duidelijk communiceert is er geen reden waardoor dat een rechter dat gaat verbieden. Dan ben je dus laakbaar bezig en dat is reden voor ontslag.

BYOD is toch op zijn retour? Althans, dat zou ik vanuit security oogpunt sterk afraden.

[Reactie gewijzigd door ocf81 op 2 november 2020 11:51]

STV
@ocf81 • 2 november 2020 15:17

Wat ze bij ons uitdelen zijn Google Cloudbooks die alleen stabiel werken als je met een Google account inlogt. Via dat account moet je dan op Citrix. Op de Cloudbook zelf mag je installeren wat je wilt.

Kun je net zo goed zelf een apparaat meenemen.

AudiSub
@ocf81 • 2 november 2020 21:31

Als die ICT-ers dan zorgen voor fatsoenlijke hardware en goedwerkende software. Maar dat is niet het geval, gebruiksmogelijkheden van Teams zijn erg beperkt en Citrix zorgt voor veel problemen.

Cairo555
@AudiSub • 3 november 2020 10:15

Je weet zelf ook, dat een 'ICT-er' eigenlijk alleen uitvoerend is?
Vaak zit het issue bij directie van een organisatie of bij het management daaronder.

Wat zou je in teams willen doen, wat nu niet kan?
Citrix, zorgt voor veel problemen? Dan doen 'jullie' iets niet goed.
Ik bouw sinds 2001 Citrix omgevingen en voor de organisaties en haar medewerkers waar ik dit heb opgezet, heeft het juist alleen maar problemen opgelost en zaken eenvoudiger gemaakt.
Stel je voor dat je nu tijdens deze crisis geen Citrix had gehad, dan hadden een hoop bedrijven toch wel een groot probleem gehad.

Inmiddels kan Teams met videobellen ook goed werken in Citrix. Zitten wel een paar vereisten aan.

AudiSub
@Cairo555 • 5 november 2020 16:20

In Teams is het nog niet mogelijk om groepen te creëren zodat bijv. breakout-sessies mogelijk zijn. Skype en andere applicaties werken niet stabiel via Citrix, en in algemene zin is de performance in Citrix niet optimaal, zeker niet op dins- en donderdagen.

Ik werk daarom zoveel mogelijk op mijn eigen device om Citrix te vermijden. Bovendien is de beschikbaar gestelde laptop voorzien van relatief oude hardware.

[Reactie gewijzigd door AudiSub op 5 november 2020 16:22]

Titusvh
@ocf81 • 3 november 2020 12:30

Gebruik van privé-middelen is reden voor ontslag op staande voet lijkt me?

Als je werkgever geen apparatuur verstrekt die je mag gebruiken voor bv videoconferencing en expliciet stelt dat je dat maar op privé apparatuur moet doen, dan lijkt me het eerder andersom...

walteij

@boto • 2 november 2020 11:36

Ook op telefoons werkt Teams prima. En ook op telefoons die door de overheid verstrekt worden kan MDM software worden geïnstalleerd, zodat je kunt voorkomen dat dingen als DropBox, GDrive, iCloud en dergelijke gebruikt worden.

Belangrijkst is nog steeds dat de medewerker op een eenvoudige manier gebruik kan maken van de tools die je als werkgever beschikbaar stelt.
Of dit nu Teams (via Office365) is, Citrix (inclusief WebEx), Cisco, Jabber, de Google suite of wat dan ook. Je moet als bedrijf duidelijkheid scheppen en het moet voor de medewerker snel en eenvoudig te gebruiken zijn.

Rob Coops

Overheid
Politiek en recht

@walteij • 2 november 2020 14:09

Ja alles blokkeren en dan wil een leverancier graag een meeting opzetten en gebruiken zij alleen zoom. Oops, nou ja voor deze persoon is het dan dus wel nodig dus dan moet een systeem beheerder toch maar zoom toelaten voor deze persoon.
Dan is er een probleem met webex (gebeurt bijna nooit) en is er toch een belangrijke vergadering dus dan maar op zoom... oh nee wacht en moet jij eens kijken hoelang het duurt voor de escalaties die arme systeembeheerders om de oren vliegen en zij toch echt gewoon zoom als alternatief moeten toelaten voor als WebEx niet werkt.

Een andere leverancier en teams is de oplossing ook dan moeten er weer uitzonderingen komen en al snel worden ze allemaal weer gebruikt.

Ook moet je de managers niet vergeten dit zijn de mensen dit te belangrijk zijn om een standaard laptop te hebben zij hebben een laptop met een speciale hulp lijn waar 24/7 mensen beschikbaar zijn om ze te helpen waar altijd iemand in welke locatie dan ook meteen een probleem kan komen verhelpen en waar een reserve laptop voor klaar ligt zodat als het langer dan een paar minuten duurt om een probleem te verhelpen de VIP automatisch een nieuwe schone laptop krijgt zodat hij/zij meteen door kan gaan waar ze gebleven waren.
Deze mensen vragen niet om bepaalde software die melden simpel weg dat het altijd allemaal moet werken en dus ook hier zul je gewoon uitzonderingen moeten maken en ze alles maar dan ook echt alles moeten toestaan tenzij er echt een heel erg goede reden is dat niet te doen en zelfs dan kunnen zij dat vaak als nog met een telefoontje ongedaan maken.

Nee alles maar af schermen is geen goede oplossing. Het werkt eerder tegen dan mee als je begrip wil kweken voor je IT beleid.

Blokker_1999

Politiek en recht
Overheid
Nederland
Beveiliging en antivirus

@walteij • 2 november 2020 14:21

Als een firma wil dat ik mijn mails lees op mijn mobiel heb ik daar geen probleem mee. Als ze MDM willen toepassen evenwel, dan mogen ze mij een toestel met abbonement geven. Mijn toestel, mijn regels. En zo denken er enorm veel mensen over.

Cairo555
@walteij • 3 november 2020 10:19

Denk dat vooral dat "snel" en "eenvoudig" key is.
Voor een hoop mensen werken applicaties welke ze al kennen het snelst. Dat zijn meestal niet de corporate apps.

Daarbij is veiligheid iets waar de gemiddelde gebruiker zich helemaal niet mee bezig houdt. Omdat deze zich niet altijd realiseert, wat de impact is of kan zijn als er hackers e.d. binnendringen in de organisatie.

Ik snap dat mensen Whatsapp gebruiken voor zakelijk verkeer, maar begrijpen doe ik het niet.
Al je Whatsapp data naar Facebook, lijkt mij niet verstandig voor zakelijk verkeer.

Mastofun
@loekf2 • 2 november 2020 11:32

dus jitsi is wel toegelaten ?

Bij onderbemande ICT overheidsdiensten snap ik wel wat het probleem is. Niet genoeg slagkracht om te zeggen "nee zoom mag niet". als je deze vraag genoeg krijgt ben je meer bezig met nee te zeggen dan je effectief werk aan het doen bent.

het is simpel "alles veilig toelaten en de rest blokkeren", zo kan ik het ook makkelijk uitleggen

[Reactie gewijzigd door Mastofun op 2 november 2020 11:33]

Jonathan-458
@loekf2 • 2 november 2020 12:15

Het probleem is voornamelijk het ontbreken van Managed devices om policies te enforcen en in sommige gevallen ook de ingewikkelde en altijd veranderende configuratie.

bed76
@loekf2 • 2 november 2020 13:49

Dan gebruiken ze hun privé telefoon met hun eigen mail om dat te regelen etc. Als het op je werktelefoon en laptop allemaal niet mag van ICT en je krijgt van een leverancier een uitnodiging voor een Zoom meeting of een gedeeld Google drive document... Dat is precies het verschil tussen theorie en praktijk. Mensen willen gewoon hun werk doen, en als je het niet faciliteert, dan regelen ze het zelf met hun eigen middelen.

Eigenlijk stemt me dit ook nog deels wel gerust; namelijk dat niet alle ambtenaren met hun armen over elkaar gaan zitten en wachten tot ze gefaciliteerd worden (beeld van vroeger), maar gewoon aan het werk gaan.

Zie trouwens ook de reactie van Scissors

Een lijn trekken is niet moeilijk, maar zorgen dat iedereen aan de goede kant van de lijn blijft wel.

Maurits van Baerle
@Creesch • 2 november 2020 12:22

Klopt, dit is zeker niet alleen een probleem voor ambtenaren. Ik weet dat veel banken hier in Londen heel veel problemen hadden met thuiswerken. Op veel trading desks moet je aan het begin van je shift je privételefoon(s) inleveren. Alle communicatie dient met goedgekeurde middelen te gebeuren die allemaal gelogd worden en eeuwig bewaard worden. Allemaal om handel met voorkennis te voorkomen.

Dat is met thuiswerken dus ineens heel complex geworden. Daarom hebben sommige banken kleine externe kantoortjes gehuurd waar maar een klein groepje mensen werkt. Als je zo je trading desk met honderd man/vrouw opsplitst over tien lokaties dan heb je nog steeds controle over de IT terwijl het risico dat één besmet persoon de hele afdeling aansteekt is weggenomen.

[Reactie gewijzigd door Maurits van Baerle op 2 november 2020 12:37]

Anoniem: 455617
@Creesch • 3 november 2020 04:28

Ironisch genoeg is hoe meer zaken dichtgetimmerd worden vanuit een beveiligingsoogpunt hoe meer er gebruik gemaakt wordt van tools buiten de organisatie om.

Dat klopt en het is tegelijkertijd een grotendeels voorkoombaar probleem. Je geeft de oplossing impliciet al aan; maak het niet ingewikkelder dan noodzakelijk. En dat kan relatief eenvoudig door iedereen die thuiswerkt van een laptop en smartphone te voorzien die encrypted zijn. Zorg er vervolgens voor dat alleen die apparaten via een VPN met je netwerk verbinding kunnen maken en dat de gebruikers dan automatisch dezelfde mogelijkheden hebben alsof ze op kantoor zijn. Zo heb je als IT controle over de toegang en als gebruiker heb je een echt virtuele werkplek waarbij alles hetzelfde functioneert als op kantoor en je alleen bij het inloggen één extra stap nodig hebt. Op deze manier zorg je dat werken op afstand geen extra risicos oplevert vergeleken met werken op locatie.

Cairo555
@Anoniem: 455617 • 3 november 2020 10:27

Een hoop bedrijven werken inmiddels met bestanden van enkele GB per stuk. Deze moeten dan over VPN verbindingen worden gesynchroniseerd. Als je met dergelijke grote bestanden werkt is dat geen optie.

Je kan dan beter kiezen voor b.v. Citrix Virtual Apps of Citrix Virtual Desktop.
Je hebt dan je werkplek ergens in een datacenter staan en je maakt met welk device dan ook, verbinding met die omgeving. Precies zoals op kantoor. Je hoeft dan geen bestanden te synchroniseren en geen lokale laptops/pc's e.d. te onderhouden.

iMars
2 november 2020 11:27

De ambtenaren gebruiken daarom apps als Zoom en WhatsApp, op gewone tablets en smartphones.

Ik vind dit heel frappant om te lezen. Ik werk ook voor de overheid, en we gebruiken absoluut géén Zoom, maar Cisco Teams. Daarnaast gebruiken we alleen WhatsApp (helaas) voor snelle communicatie, maar vermelden daarin geen accounts, wachtwoorden, ip-adressen of device-namen. Account gegevens staan sowieso in een password-manager op beheersrevers, deze informatie hoeven we (en mogen we) nooit te versturen.

Nu zijn er veel verschillende ministeries en kan ik niet voor elke ministerie spreken, maar die aantal waar ik beheer uitvoer maken zeer zeker daar geen gebruik van.

Killjoy
@iMars • 2 november 2020 11:50

De CIO Rijk heeft in juli (net voor uitspraak Schrems II) aangegeven dat departementen zelf mogen besluiten. Het ministerie van Buitenlandse Zaken gebruikt Zoom in ieder geval.

PCG2020
@iMars • 2 november 2020 15:01

Ik werk ook voor de Rijksoverheid en voor mij geldt hetzelfde. Wij communiceren voor meetings via WebEx of StarLeaf (beide goedgekeurd door de ICT-afdeling) en verder verloopt alle formele communicatie via werk-e-mail. Verder gebruiken ook wij passwordmanagers en thuiswerken gaat, ook op privé-apparatuur, via Citrix Workspace mét 2FA. Eind dit jaar gaan we over op bedrijfslaptops, dus dan verandert er ook daar nog het één en ander aan.

We gebruiken wel WhatsApp voor informele communicatie binnen het team en de afdeling, dus voor verjaardagswensen en dergelijke, maar ik heb nog niet meegemaakt dat er in die appgroepen, of tussen mij en collega's onderling, werkgerelateerde zaken werden besproken. Dat gaat ook veel makkelijker via de telefoon of de applicaties voor webmeetings.

Maar ook ik kan niet voor andere overheidsdiensten spreken, dus het zal goed kunnen dat de bevindingen van de Rekenkamer kloppen.

innerchild
@iMars • 2 november 2020 21:58

Zo eh wat geven jullie veel informatie prijs over waar jullie vooral gebruik van maken in het bedrijf. Nu geven jullie aan wat jullie zoal wel of niet gebruiken. Goed om te weten als je als hacker ergens wilt binnen dringen. Klinkt heel overdreven maar dit zou je gewoon niet moeten posten over hoe en via wat je wel communiceerd. Zeker als je werkt bij de overheid...

iMars
@innerchild • 2 november 2020 23:31

Nou succes, het enige wat je nu weet is dat enkele ministeries Cisco producten gebruikt. Je weet niet welke ministeries en je weet verder helemaal niks. Ik weet donders goed wat ik wel en niet kan/mag zeggen

walteij

2 november 2020 11:08

Van het gehele artikel vind ik dit toch wel het meest kwalijke:

De Rekenkamer merkt daarbij ook op dat bewindspersonen zoals ministers en staatssecretarissen moeilijk kunnen worden aangesproken op het gedrag. "Ze zijn formeel geen ambtenaar en vallen niet onder de verantwoordelijkheid van de secretaris-generaal of de chief information security officer", staat in het rapport.

Dus een minister of staatssecretaris kan gewoon schijt hebben aan alle security protocollen en kan daar vervolgens door de CISO van zijn eigen ministerie niet op aangesproken worden, want formeel geen ambtenaar.

En dan vinden we het maar gek dat er dingen mis gaan.
Natuurlijk valt of staat de implementatie van een nieuwe tool bij gebruikersvriendelijkheid, maar ook een stukje handhaving.

BramV
@walteij • 2 november 2020 11:09

Minister Grapperhaus (Justitie en Veiligheid) en burgemeester Femke Halsema hebben op de avond van de demonstratie op de Dam hoog oplopende ruzie gehad via Whatsapp.

De nationale veiligheid wordt dus ook via WhatsAppjes (Facebook) geregeld. Dat geeft wel aan wat voor prioriteit wordt gegeven aan veiligheid en privacy.

Chris7

@BramV • 2 november 2020 11:26

WhatsApp heeft dan nog end-to-end encryptie (met hetzelfde protocol als Signal), waar veel van de andere genoemde tools dat niet hebben (Zoom biedt het nu sinds kort aan). Uiteraard moet je er nog wel op vertrouwen dat in zo'n closed source app geen achterdeurtje zit, maar ik vind WhatsApp dan nog wat veiliger dan bijvoorbeeld Telegram, die standaard geen end-to-end encryptie heeft en waar je dus sowieso weet dat Telegram altijd mee kan lezen. Overigens is Facebook nu wel aan die encryptie aan het knagen met het voornemen op zijn berichten apps samen te voegen, dus het is nog de vraag hoe lang WhatsApp helemaal versleuteld blijft (en natuurlijk, Facebook kan wel zien met wie je wanneer berichten uitwisseld, dus je geeft sowieso een stukje privacy op).

Anoniem: 42901
@Chris7 • 2 november 2020 12:02

WhatsApp heeft dan nog end-to-end encryptie (met hetzelfde protocol als Signal)

Nee, WhatsApp _beweert_ end-to-end encryptie te hebben, maar niemand kan dat bevestigen. Alles wijst er zelfs op dat de claim van "end-to-end encryptie" een wassen neus is.
Niemand van ons kan de broncode bevestigen. De code van Open Whisper Systems is dan wel open source, maar wij kunnen niet verifiëren dat WhatsApp die ook gebruikt zonder modificaties die een security-impact hebben.
WhatsApp heeft/had voorheen unencrypted backups in de cloud. Met andere woorden: ook al is een gesprek end-to-end encrypted, men kan nog steeds het gesprek vanaf de client naar een andere server sturen.
Verder heeft WhatsApp de volledige controle over het aanmaken van de private keys:

‘Despite the current commercial propaganda, your public and private key are being generated using WhatsApp’s algorithm. Which means that Whatsapp is still in control of the security of your messages, they can get your private keys, moreover they can provide backdoors for governments and affiliates to spy on you.’

Veranderingen in bijvoorbeeld een group chat gaan blijkbaar (https://medium.com/@hania...d-encryption-ab0e522fa8d9) niet over end-to-end encryption. Het lijkt er dus op dat WhatsApp gewoon mensen aan een gesprek kan toevoegen:

The researchers thus state that anyone with access to the server such as staff or government officials can add new members to a private group without permission of its admin members.
Upon addition, a secret spy added from the server end, gets access to the keys shared by the phone of every member on the group and can now read all the decrypted messages.

Bronnen:
- https://www.eff.org/deepl...biggest-security-concerns
- https://www.privacytools..../real-time-communication/ (men raadt hier af om WA te gebruiken)
- https://www.reddit.com/r/...ly_end_to_end_encryption/
- https://www.information-a...ty-says-hacker-123461217/
- https://www.thenewsminute...ne-and-her-manager-133783

Lucb1e

@Anoniem: 42901 • 2 november 2020 20:58

‘Despite the current commercial propaganda, your public and private key are being generated using WhatsApp’s algorithm. Which means that Whatsapp is still in control of the security of your messages, they can get your private keys

Bron van de bron die je daar citeert: https://www.ultgate.com/5034/whatsapp-end-end-encryption
Daar wordt gesteld dat omdat WhatsApp software jouw sleutels genereert, WhatsApp ze moet kunen gebruiken om jouw berichten te ontsleutelen. Er zit een kern van waarheid in, maar even praktisch: hoe ga je deze voorgestelde kwetsbaarheid in de sleutelgenerator bij precies de gebuikers krijgen die je wilt hebben maar niet bij de beveiligingsonderzoekers die updates naspeuren op gedichte lekken om vervolgens mensen zonder die update te kunnen pakken? Dit wordt vroeg of laat wereldkundig. Je kan of een goede sleutel naar jezelf (via een omweg) doorsturen of een sleutel maken op een door jou voorspelbare manier, maar welke methode je ook gebruikt, hoe ga je dat praktisch aanpakken?

Om die vraag dan gelijk maar te beantwoorden: de beste manier is een "bugdoor": onschuldige fout introduceren die de gewenste aanval inderdaad mogelijk maakt maar een derde moet 'm eerst maar eens vinden. Vinden gebeurt vroeg of laat wel, maar dan is je merknaam in ieder geval niet kapot door een "onschuldig foutje", zeker niet als je het zelf "opmerkt" en verhelpt twee weken later.

Het is dus niet onmogelijk, maar wel lastig. Veel handiger is om Google om te kopen (ofja, een mooie brief met stempel te sturen) en naar gerichte Google accounts een kwaadaardige update te sturen. Hoe gaat een willekeurige ambtenaar dat nou merken?

Wat ik eigenlijk wil zeggen is dit: enkel omdat software X jouw sleutel genereert, betekent echt niet zomaar dat software X jouw sleutel dan ook heeft. Dan zouden GnuPG, Wire, Matrix en dergelijke ook niet te vertrouwen zijn. Ik vind WhatsApp nog altijd geen betrouwbare manier om gevoelige gegevens te versturen (dat is weer een andere verhaal, heel kort: de belangrijkste reden hierachter is het belangenconflict tussen verschillende landen) en ik verdedig Facebook's WhatsApp echt niet graag, maar laten we het wel voor de juiste redenen haten, anders komt straks iemand het punt rechtzetten en vinden we WhatsApp prima omdat onze reden om het te haten weg is en er "altijd wel wat is".

Die bron van jouw bron even verder lezend, ze insinueren dat omdat Skype claimde versleuteld te zijn maar dat niet bleek te zijn na Snowden lekken, WhatsApp dus ook jouw keys wel moet kunnen hebben. De daarbij genoemde bron is Wikipedia's end to end encryption artikel, waar Skype en Snowden inderdaad in verband genoemd worden. Dat heeft twee bronnen: één daarvan noemt Skype überhaupt niet en de andere geeft noch aan wat Skype's security claim precies was, noch hoe die achterdeur werkte. Zonder die details is zo'n vergelijking niet te maken. Dit artikel (de bron van jouw bron bedoel ik dus specifiek) is vooral hype en gemaakt voor kliks, niet technische accuraatheid. Zie ook de op de alinea volgende grote kop: "WhatsApp end-to-end encryption as fake as Kim Kardashian’s booty".

[Reactie gewijzigd door Lucb1e op 2 november 2020 21:00]

CivLord

Nederland
Politiek en recht

@Lucb1e • 3 november 2020 07:31

Ja, er wordt veel geïnsinueerd, maar weinig bewezen.

Je moet ook goed kijken wat bedrijven als Facebook, Microsoft en Google nou precies zeggen. Ze zullen vrijwel nooit op een directe leugen te betrappen zijn.
Ze zullen veel suggereren en de indruk wekken dat iets op een bepaalde manier is, maar dan zo dat ze er mee weg kunnen komen wanneer blijkt dat het toch iets anders is. Daar zijn ze meester in. Waar ze ook mee weg kunnen komen is wanneer de financiële topman heel stellig iets zegt op technisch gebied, wat niet (helemaal) waar blijkt te zijn. Dan heeft hij door gebrek aan specifieke kennis bepaalde zaken verkeerd geïnterpreteerd en gezegd. (Uiteraard komt die correctie niet onmiddellijk na de uitspraak, maar pas wanneer anderen er achter komen dat het niet klopt.)
Wanneer iets veelvuldig, van meerdere kanten heel stellig wordt gezegd en steeds wordt bevestigd, kan je er meestal wel van uit gaan dat het klopt. Als beursgenoteerd bedrijf kan je jet het in de VS niet veroorloven om betrapt te worden op een keiharde leugen, die keer op keer keihard herhaald wordt. Wanneer het de koers kan beïnvloeden, kan je zelfs de SEC achter je aan krijgen en dat wil je als bedrijf en bestuurder niet (vraag maar aan Elon Musk).
Dus ja, ik vertrouw die grote tech-bedrijven niet verder dan ik ze gooien kan, en Facebook nog een heel stuk minder, maar door de manier waarop ze bij hoog en bij laag, van links naar rechts en van voor naar achter volhouden dat er e2e wordt toegepast die door WhatsApp/ Facebook zelf niet te ontsleutelen is, ben ik geneigd om ze op dát punt te geloven.

Anoniem: 42901
@CivLord • 3 november 2020 10:26

Precies! De meeste risico's zitten (volgens mij) ook niet in de E2E encrpytie zelf, maar in aanvallen vanuit een andere hoek:
- het aanmaken van de private keys
- het maken van unencrypted backups in de cloud (al dan niet stiekem)
- het stilzwijgend/stiekem toevoegen van een derde partij in een bestaand gesprek.
- etc.

Je kan dan technisch gezien wel een E2E encryptie implementeren, maar door de context kan dat een wassen neus zijn.

Anoniem: 42901
@Lucb1e • 3 november 2020 10:22

Wat ik eigenlijk wil zeggen is dit: enkel omdat software X jouw sleutel genereert, betekent echt niet zomaar dat software X jouw sleutel dan ook heeft.

Dat klopt! Er is echter een groot verschil tussen een closed source applicatie met een betwijfelenswaardige reputatie, versus een open source applicatie, die je zelf kan compileren en starten (bvb Signal).

Ik denk dat je ook wel kan stellen dat als je de sleutel zelf aanmaakt en opslaat, en deze nooit in handen van een derde partij kan komen, dit een veiligere situatie is.

Ik weet niet hoe ik zelf sleutels zou uitwisselen tussen verschillende apparaten op een eenvoudige manier dat voor de gemiddelde consument goed werkt, maar dat lijkt me niet zo relevant voor de discussie.
Het feit dat alternatieven bijvoorbeeld minder gebruiksvriendelijk zijn, neemt niks weg van het feit dat de huidige situatie risicovol is.

Daarnaast heeft WhatsApp en Facebook een slechte reputatie met betrekking tot consumentenbescherming (of uberhaupt de waarheidsgetrouw zijn), dus je kan hier stellen dat het gebruik van die software een veel hoger risico vormt dan vele alternatieven.

Over de bronnen / nauwkeurigheid:

Ik besef dat mijn argument en bronnen geen direct bewijs bevatten. Het mooie is dat dit ook niet hoeft: het is namelijk aan WhatsApp om te bewijzen dat hun E2E encryptie effectief is, en dat bewijs is er niet. Integendeel: vele zaken (mijn bronnen) wijzen er op dat dit niet effectief of betrouwbaar is.

Cairo555
@Chris7 • 3 november 2020 10:38

End-to-end encryptie.

Als jij mijn berichtendienst gebruik en ik zeg end-to-end encryptie.
Dan kan ik er voor zorgen dat verkeer, wat jij naar je collega stuurt. Eerst bij mij op de server decrypted wordt, om zo b.v. beter kunnen loadbalancen, cachen, comprimeren, e.d. en dan encrypt ik het weer naar de eindbestemming.

Dan is het vanuit de eindgebruikers ervaring nog steeds end-to-end encrypted..

Oh, ondertussen maak ik natuurlijk wel even een snapshot van je berichtje, voor de nationale veiligheid en om te kijken waar je interesses liggen e.d.

demonite
@BramV • 2 november 2020 11:19

"hoog oplopende ruzie", "nationale veiligheid"... overdrijven is ook een kunst. Maar verder heb je gelijk, Waarom er uberhaupt gecommuniceerd wordt via WhatsApp (en dus Facebook) is mij ook een raadsel.

FreezeXJ
@demonite • 2 november 2020 12:17

Omdat beide dat hebben, snappen, en weten dat de andere partij dat ook heeft.
Ik ben inmiddels helemaal het overzicht aan communicatietools (zowel publiek als zakelijk) kwijt, en heb geen idee meer of Piet van Externa nu via Jitsi, Zoom of toch Teams bereikbaar is, dus app ik hem gewoon, want Whatsapp hebben de meeste mensen, en heb je alleen een telefoonnummer voor nodig.
Daarnaast ligt Whatsapp er een stuk minder vaak uit dan Teams, en beide zijn gewoon in handen van Amerikaanse bedrijven, dus daarom hoef je het ook niet te laten.

demonite
@FreezeXJ • 2 november 2020 12:42

Uhuh, maar ik zou verwachten dat (en van) de mensen die ons land besturen over veilige (evt interne) communicatie middelen beschikken. Een simpele tekst en plaatjes uitwisseling dienst zoals Whatsapp is toch zo gemaakt?

FreezeXJ
@demonite • 2 november 2020 12:45

Uiteraard hebben ze hele veilige middelen, alleen heeft Grappie andere dan Femke, en die kunnen onderling dus niet via hun normale geheime apps communiceren. Daarvoor zouden ze dan een derde moeten inschakelen, of.. ze vergeten de hele boel, en pakken een minder veilige, omdat het hun werk is om leiding te geven, niet om alles veilig te doen.

En ja, een simpele app is zo gemaakt, maar is niet zo veilig gemaakt. Die fout maken de meeste app-bakkers de eerste keer, en daarna hebben ze jaren werk om hun speeltje alsnog dicht te timmeren, met behoud van alle functies die ze zo mooi bedacht hadden.

demonite
@FreezeXJ • 2 november 2020 15:30

et voila, dezelfde dag nog dit in het nieuws:
https://nos.nl/artikel/23...ambtenaren-den-bosch.html

Killjoy
@BramV • 2 november 2020 11:27

Veel kwalijker is het nog, dat van dergelijke besluitvorming een gestructureerd dossier moet worden bijgehouden. Immers is dergelijke informatie gewoon opvraagbaar via een wob-verzoek. Dergelijke besluitvorming moet ook nog eens voor lange tijd bewaard worden. Probeer dat maar eens te regelen via een persoonsgebonden (nummergebonden) commerciële 'gratis' chat-app.

downtime
@BramV • 2 november 2020 16:02

Sinds wanneer heeft een demonstratie iets met nationale veiligheid te maken?

chaogai
@downtime • 2 november 2020 16:59

sinds er kamervragen over komen en gezondheid in het geding is

MSalters

Politiek en recht

@walteij • 2 november 2020 11:13

Dat is niet zo gek. De Tweede Kamer heeft het exclusieve toezicht op het kabinet; dat is fundamenteel aan democratie.

walteij

@MSalters • 2 november 2020 11:20

Daar heb je natuurlijk een punt, maar dat wil niet zeggen dat de minister dan maar lak moet hebben aan de basisset security principes die zijn ministerie heeft opgesteld.

Dan zie ik wel een oplossing: een minister is gewoon iemand die vanuit het kabinet is gedetacheerd bij een ministerie.
Het kabinet is en blijft werkgever van de minister of staatssecretaris (en dus toezichthouder) en het ministerie waar ze voor werken de opdrachtgever.
Op die manier blijft de toezicht functie bij het kabinet en kan het ministerie als opdrachtgever foutief gedrag toch enigszins aansturen. Blijft de minister of staatssecretaris dit weigeren, dan maar een klachtenbrief naar de werkgever (kabinet) om de persoon de wacht aan te zeggen.

djiwie
@MSalters • 2 november 2020 11:14

Kamer kan natuurlijk wel een motie aannemen dat kabinetsleden zich aan de ambtelijke beveiligsmaatregelen moeten houden. Maar ik denk dat in de kamer dit topic net zo min leeft als in het kabinet.

Cergorach

Beveiliging en antivirus

@djiwie • 2 november 2020 11:24

Of gewoon binnen de Tweede Kamer eigen veiligheidsregels hanteren, die minstens net zo goed zijn als die van hun ambtelijke broeders en zusters...

Maar zelfs als men zich moet houden aan bepaalde security regels gebeurt dat nog steeds niet. Want je heb geen controle over prive telefoons en computers. het enige wat een organisatie kan doen is er voor zorgen dat informatie niet hun omgeving verlaat (zonder keiharde regels).

MSalters

Politiek en recht

@M3m30 • 2 november 2020 11:46

Een motie heeft ook niet de kracht van wet. Een wet moet door beide kamers, maar een motie kan door één Kamer aangenomen worden zonder overleg met de andere Kamer. Een motie is simpelweg een mening; een wet is bindend.

MSalters

Politiek en recht

@M3m30 • 2 november 2020 14:58

Een kabinet is niet democratisch als ze een motie van wantrouwen negeren. Dat is hoe de Tweede Kamer aangeeft dat ze het menen.

Maar zoeits als de recente motie tot een salarisverhoging voor de zorg? Die motie is in strijd met de begroting, en de begroting heeft wél de kracht van wet. En om een wet ongedaan te maken heb je een een wetswijziging nodig. Dat kán de Tweede Kamer voorstellen, maar deden ze niet. Als je de begroting wijzigt, dan moet je het eens zijn over hoeveel verhoging, en waar je het van betaalt. Dan is het dus niet meer goedkoop scoren voor de oppositie.

Kortom, het kabinet is gewoon slecht in de communicatie, maar dat wisten we al. Ze hadden de motie terug moeten sturen naar de Kamer met een eis voor een financiële onderbouwing. Want de FvD wil het geld best bij ontwikkelingsssamenwerking weghalen, en de SP bij het bedrijfsleven , maar de enige salarisverhoging voor de zorg die een meerderheid heeft is de verhoging uit het regeerakkoord.

downtime
@M3m30 • 2 november 2020 17:26

Waarom denk je dat er voor een motie is gekozen? Omdat men helemaal niet de moeite wilde doen om iets te bereiken wat kracht van wet had. Denk je dat ze daar niet over nadenken?

Blokker_1999

Politiek en recht
Overheid
Nederland
Beveiliging en antivirus

@walteij • 2 november 2020 11:21

Is dat dan zo opmerkelijk? Als minister moet je net onafhankelijk je ding kunnen doen, zonder dat iemand je tot iets kan verplichten. Dat betekend dus ook dat niemand die voor hen werkt hen kan verplichten om best practices toe te passen of om hen op het matje te roepen. Net zoals bijvoorbeeld Donald Trump netjes zijn Galaxy S4 bleef gebruiken nadat hij president was geworden ondanks de bezwaren van zijn eigen geheime diensten.

walteij

@Blokker_1999 • 2 november 2020 11:31

Ik snap de regelgeving en de onafhankelijkheid van een minister.
Maar wat ik niet snap is dat er geen regelgeving is die er voor zorgt dat een minister wel gewoon op een veilige manier (en volgens de richtlijnen van zijn/haar ministerie) communiceert.

Een 'normale'ambtenaar kan er zonder pardon uitgesmeten worden als deze serieus de regels overtreedt, maar een minister kan tijdens een debat zichzelf verdedigen en kan daarbij ook rekenen op de steun van zijn eigen politieke partij (en de coalitiepartners), waardoor de kans op direct ontslag een stuk kleiner is.

(voorbeelden genoeg, meest recent nog Grapperhaus die zelf lak heeft aan zijn afstand-houden, beperkte gasten regels voor Corona)

Jazco2nd
2 november 2020 11:09

Het gaat dus om:
- chatten/samenwerken
- files sturen
- videobellen

Lijkt me toch niet moeilijk voor een overheid die honderden miljoenen per jaar verspilt aan mislukte ICT projecten, om de IT afdeling dit zelf te beheren middels eigen filehost (de simpele versie van NextCloud: FileRun) en chat (Let's Chat, Riot.im).

MSalters

Politiek en recht

@Jazco2nd • 2 november 2020 11:17

Jouw suggestie is dus precies waarom we dit probleem hebben. Whatsapp, Zoom en dergelijke zijn makkelijk in gebruik omdat het de winnaars zijn in een super-competieve open markt. De onbruikbare tools van de overheid zelf zijn wat je krijgt als je die afwijst, en zelf iets gaat speccen. Dan krijg je een eigen aanbesteding, en dan mag één of andere outsourcer iets voor de laagste prijs in India laten bouwen.

Jazco2nd
@MSalters • 2 november 2020 11:49

Je redenatie waarom Whatsapp bijvoorbeeld de "winnaar" is, is natuurlijk slechts een aanname. Genoeg complete continenten waar dit niet de winnaar is. Er zijn dan ook verschillende redenen waarom Whatsapp in ons land de "winnaar" is.

Maar je algemene punt snap ik wel en je hebt zeker gelijk. Ik ben echter van mening dat het vooral mislukt omdat dit soort projecten helemaal niet de eindgebruiker centraal stellen. En de doelen vaak compleet anders zijn dan je zou verwachten.
Als je Accenture je project laat managen en Capgemini het laat uitvoeren, zit je met 2 organisaties die een volstrekt ander doel hebben: uren schrijven. Verdienen aan overhead etc. Fyi niks beledigends naar mensen die daar werken hoor..

Het is in elk geval niet zo dat er geen gebruiksvriendelijke, laagdrempelige en zelfs prettiger werkende alternatieven zijn. Sinds ik bijvoorbeeld Ubuntu Budgie heb ontdekt, vind ik Windows 10 helemaal niet gebruiksvriendelijk. Ouders zijn dan ook heel snel overgestapt en blij.
Ook vind ik FileRun zelfs prettiger werken dan Google Drive. En Signal doet niet onder voor Whatsapp. Matrix/Riot heb ik persoonlijk geen ervaring mee.

[Reactie gewijzigd door Jazco2nd op 2 november 2020 11:52]

Maurits van Baerle
@MSalters • 2 november 2020 12:32

Dat is inderdaad gewoon een economisch principe. Consumententools ontwikkeld op de open markt hoeven zich meestal aan veel minder eisen (waar onder privacy en veiligheid) te houden en kunnen dus sneller ontwikkelen.

Het doet me een beetje denken aan hoe Skype destijds de VOIP wedstrijd won. Terwijl alle partijen nog druk bezig waren om het algemene SIP protocol te ontwikkelen (waar uiteindelijk volgens mij vier verschillende SIP varianten uitkwamen) hoefde Skype zich alleen maar bezig te houden met een zelf ontwikkeld proprietair protocol. Zo waren ze first to markt en hadden ze best een tijd het rijk alleen.

Er zijn overigens ook wel middenwegen. Ik doe op dit moment veel videocalls en webinars met ministeries en twee ambassades en daar komt geen Zoom aan te pas. Dat mogen ze simpelweg niet gebruiken dus is het allemaal self-hosted Webex. Het wordt weliswaar geleverd door Cisco, een Amerikaans bedrijf, maar het draait op je eigen servers dus heb je meer controle over wat er met de data gebeurt.

sebati
@Jazco2nd • 2 november 2020 11:29

Zeker, onder andere de Franse overheid maakt om veiligheidsredenen gebruik van Matrix (Element (was: Riot)) en het Duitse leger is ook met zo'n implementatie bezig.

https://matrix.org/blog/2...ure-instant-messenger-app

Cergorach

Beveiliging en antivirus

@Jazco2nd • 2 november 2020 11:30

Het issue is niet dat de overheid geen goede tools beschikbaar stelt, het issue is dat ze niet gebruikt worden omdat het 'lastig' is. Hetzelfde issue waarmee elke organisatie kampt. Het grote verschil hier is dat het onderdeel wat het meldt, de personen die zich hier niets van aantrekken niet op het matje kan roepen. Wat bij de meeste organisaties wel het geval is wanneer iets dergelijks bovenwater komt...

Tha_Butcha
2 november 2020 11:07

Dan ben ik vooral benieuwd naar hoe dat dan in de profit sector gaat en wat de rekenkamer bijvoorbeeld veilig acht naast Citrix.

djiwie
@Tha_Butcha • 2 november 2020 11:13

En of daar ook niet-Amerikaanse producten bij zitten. Begrijp me niet verkeerd, komt veel prima software vandaan, maar juist de overheid zou er wel goed aan doen om niet van Amerikaanse software afhankelijk te zijn. Er zijn in het verleden genoeg aanleidingen geweest om te twijfelen aan de integriteit van Amerikaanse software.

dnrb
@djiwie • 2 november 2020 11:19

Signal is open source meen ik (staat in de grafiekjes erbij)

Freekers
2 november 2020 11:29

WhatsApp wordt vaak in de comments geroemd voor z'n geweldige E2E encryptie. Wat is dan precies het probleem als ambtenaren hier gebruik van maken?

jaenster
@Freekers • 2 november 2020 12:24

Uiteindelijk moet het ergens op een scherm getoont worden, want wij mensen kunnen geen encrypted berichten lezen.

Ik ben hardstikke blij met het feit dat Whatsapp E2EE heeft, maar de client (de app op je foon) moet het uiteindelijk kunnen ontcijferen. Zolang facebook de app's updates pushed, kunnen ze na dat het ontcijferd is prima doorsluizen naar een andere partij.

Nou maak ik mij daar bij facebook niet zo druk om, die staan zo onder vuur dat hun updates compleet worden doorgespit door allerlei profs. Maar, een overheid kan apple wellicht wel verplichten om iemand een speciale versie van een app te pushen (die dingen doorsluist), of als (staats)hackers zich in een appstore weten te wringen, kunnen ze dat natuurlijk selectief naar bepaalde hoge amtenaren pushen.

K-aroq
@Freekers • 2 november 2020 14:52

Of nog een stapje verder: als een ambtenaar wel emails mag sturen, waarom dan geen whatsapp? Als de email de deur uit is heb je er ook geen controle meer over. Je kunt natuurlijk alles via de berichtenbox van de overheid gaan doen, maar dat is niet altijd even praktisch. Je hebt immers als ambtenaar ook andere soort externe communicatie.

0xygen500
2 november 2020 11:07

Hebben we geen behoefte aan....

Wat een arrogante reactie van die Kamerleden.

djiwie
@0xygen500 • 2 november 2020 11:12

Kabinetsleden, geen kamerleden.

kalikatief
@0xygen500 • 2 november 2020 11:14

Ik zou het niet direct arrogant noemen. Technisch niet onderlegd om de gevaren te herkennen, ja, maar arrogant?

Al die kamerleden en ministers worden voortdurend aangesproken op de kosten die ze de belastingbetaler opjagen met uitjes en andere declaraties. Als de vraag gewoon is 'heeft u dit nodig', dan zullen ze vast nee zeggen, want ze hebben een telefoon en email, en die enkele keer, ach, dan is er toch skype of zoom ofzo? Dat is gewoon op zijn Nederlands praktisch zijn.

Als ze specifiek zou worden gevraagd 'moeten er maatregelen worden getroffen om veiliger op afstand te communiceren tijdens de covid crisis', dan zou je vast veel meer 'ja' horen.

re-atari
@0xygen500 • 2 november 2020 11:16

Kamerleden? Het artikel geeft duidelijk aan, dat dit de reactie van het kabinet op het door CIO Rijk ontwikkelde systeem was. Dus niet van kamerleden...

MSalters

Politiek en recht

@0xygen500 • 2 november 2020 11:19

Kamerleden? Die verzin je zelf. Daarover staat niets in dit artikel.

pr0mo
2 november 2020 11:13

Een ander groot probleem is het feit wat een organisatie ziet als veilig communicatiemiddel.

Wij hebben bijvoorbeeld vastgelegd dat we alleen gebruik mogen maken van Teams terwijl klanten, opdrachtgevers en leveranciers bijvoorbeeld alleen via Zoom of WebEx willen overleggen.

Het gebruik van andere diensten dan Teams is bij ons "officieel" niet toegestaan maar omdat we toch met klanten moeten overleggen worden andere systemen wel gebruikt.

De diversiteit van applicaties per overheidsinstelling is een drama. Als de overheid stelt 1 of 2 systemen te gebruiken hoeven we ook niet alle andere systemen te toetsten alvorens ze toe te staan.

K-aroq
@pr0mo • 2 november 2020 14:50

Herkenbaar. De verantwoordelijke ICT mensen kijken vaak erg intern en kijken vaak niet naar wat er buiten het bedrijf gebeurt. Aan de ene kant logisch want hun budget is bedoeld voor de interne ICT, maar uiteindelijk wordt dat budget door externe klanten betaald. En het is vrij autistisch om externen maar de verplichting om jouw tools te gebruiken. Gelukkig zijn bij ons de systemen niet zo dichtgetimmerd zodat we in ieder geval Webex kunnen gebruiken.

Razorbite
2 november 2020 11:18

Ik ben belastingadviseur van beroep en kan uit ervaring spreken dat er in ieder geval bij belastinginspecteurs heel verschillend gehandeld wordt. Sommigen houden alle contact af (alleen via email, wat al gezien wordt als een vooruitgang) en hebben niet eens een zakelijk mobiel nummer, terwijl anderen prima via teams en Zoom bellen. Ik merk bij iedereen in ieder geval de onzekerheid die er heerst over het gebruik van dit soort communicatie. Het Rijk zou er goed aan doen 1 kanaal veilig open te stellen!

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Rekenkamer: thuiswerkende ambtenaren communiceren vaak via onveilige tools

Risico's voor de informatieveiligheid en privacy

Veel verschillende applicaties

Ontevredenheid over verplichtingen

Lees meer

Reacties (181)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden