Hugo de Jonge gebruikte privé-e-mail 'uit gemak' en stopte daar deze week mee

Minister Hugo de Jonge is deze week gestopt met het gebruik van zijn privé-e-mail voor zakelijke berichten. De minister voor Volkshuisvesting zegt dat het gebruik van het zakelijke systeem door de beveiliging gebruiksonvriendelijk was en het daarom praktischer was privé te mailen.

Dat zegt de minister tegen onder andere de NOS. Hugo de Jonge is de voormalig minister van Volksgezondheid en zit momenteel in het kabinet als minister voor Volkshuisvesting en Ruimtelijke Ordening. Eerder deze week bleek dat De Jonge tijdens de coronacrisis met regelmaat gebruikmaakte van zijn persoonlijke iCloud-e-mailadres voor zakelijke communicatie. Het was niet bekend hoe vaak dat gebeurde; er was in ieder geval sprake van één geval, in de zaak rondom de mondkapjesaffaire van Sywert van Lienden. Nu zegt De Jonge dat hij zijn privé-e-mailadres tot deze week gebruikte. "Ik ben er deze week op gewezen dat dat ernstig wordt ontraden. Daarom ben ik er nu mee gestopt."

De Jonge zegt dat op het ministerie van Volksgezondheid 'een nogal zwaarbeveiligd en daardoor nogal gebruiksonvriendelijk mailsysteem' werd gebruikt. Hij noemt als voorbeeld het probleem dat kabinetsstukken in het Rijksoverheidssysteem niet kunnen worden aangepast. "Maar dat kan wel heel makkelijk op mijn iPad", zegt hij. Bovendien verliep regelmatig het wachtwoord en had De Jonge dat niet voorhanden.

Het gebruik van privé-e-mailadressen door politici is niet expliciet verboden. Wel wordt het streng afgeraden, zowel vanwege de veiligheidsrisico's als vanwege de transparantie. Privéberichten zijn bijvoorbeeld moeilijker te achterhalen via de Wet openbaarheid van bestuur. Volgens De Jonge behandelde hij in zijn eigen inbox stukken die vanuit een VWS-account werden gestuurd. Daarmee vallen die wel onder de Wob. Daarnaast onderzoekt het ministerie van VWS momenteel het privéaccount van De Jonge om te zien welke zakelijke mails daarin staan.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-04-2022 09:45437

06-04-2022 • 09:45

437 Linkedin

Lees meer

OMT-voorzitter Jaap van Dissel gebruikte ook privé-e-mail voor werkcommunicatie Nieuws van 19 april 2022
Hugo de Jonge gebruikte als minister privé-e-mail voor zakelijke communicatie Nieuws van 5 april 2022
Privéaccount dat vicepresident VS gebruikte voor vertrouwelijke mail gehackt Nieuws van 3 maart 2017
Minister Kamp had voor andere landen interessante documenten in Gmail staan Nieuws van 17 november 2016
Veel Nederlandse bewindslieden gebruiken privémailaccount voor zakelijke e-mail Nieuws van 6 juli 2016
Meer producten en artikelen
Politiek en recht Privacy E-mail Nederland

Reacties (437)

-Moderatie-faq
437
406
235
34
1
101
Wijzig sortering
B-Bandit
6 april 2022 10:23
Ik hoop dat dit soort berichtgeving resulteert in een andere manier van beveiligen. Ik werk voor zowel Belastingdienst als Financiën en zit dus op 2 omgevingen. De Belastingdienst krijgt het voor elkaar om de iPad als device te managen en dus het hele apparaat inclusief de standaard e-mail applicatie te beveiligen. Het gebruiksgemak is hierdoor groot. De ministeries daarentegen werken met BlackBerry for Work. Een gedrocht van een app waar je documenten inderdaad niet fatsoenlijk kan bewerken, geen track changes kan bekijken en inderdaad geen copy paste vanuit andere applicaties (bijvoorbeeld de wet kopiëren vanuit wetten.overheid.nl).

Ik heb geregeld een email vanuit de BlackBerry app doorgestuurd naar mijn emailadres van de Belastingdienst (dat is toegestaan) zodat ik vervolgens op dezelfde device (!) de documenten die per mail verstuurd waren kan bewerken in de Word applicatie die het document wel goed kan weergeven. Als je enkel bent aangewezen op het gebruik van de BlackBerry app kan ik mij er iets bij voorstellen dat je af en toe een document wilt bewerken en deze daarom doorstuurt naar je privémail zodat je hem kan editen.

Het is allemaal geen excuus maar er is dus wel een groot probleem aanwezig. In zijn situatie had ik ervoor gezorgd dat ik permanent een laptop bij mij had. De iPad blijft echter makkelijk voor even snel wat wegtikken.
Andyk125
@B-Bandit6 april 2022 11:50
Afgezien van de verschillende systemen moeten er uiteindelijk keuzes gemaakt worden waar de prioriteiten liggen. Is veiligheid belangrijk of kiest men voor gebruiksvriendelijkheid. Deze twee dingen gaan over het algemeen niet samen, dat is overal hetzelfde of dat nu software of hardware gerelateerd is. Om optimale veiligheid te garanderen dienen er vaak nu eenmaal meerdere handelingen uitgevoerd te worden, dit is op de werkvloer niet anders voor bijvoorbeeld mensen die met bepaalde machines werken.

Dat bepaalde organisaties en instellingen hun eigen systemen gebruiken is niet vreemd. En hoewel dat natuurlijk niet praktisch is voor mensen die met meerdere systemen moeten werken is het aan de organisaties om ervoor te zorgen dat hun systemen goed afgestemd zijn. Dit is geen excuus voor medewerkers om de protocollen niet te volgen en privé-mail te gaan gebruiken.

Blijkbaar is productiviteit binnen de overheidsinstanties nu eenmaal geen belangrijk aspect. Geld verdienen hoeft men niet, maar ook kosten drukken is ook niet interessant, want daar wordt men ook niet op afgerekend. Een miljoentje meer of minder daar wordt niet gek van op gekeken. Het probleem binnen de overheid(instanties) is dat er geen duidelijke richtlijnen zijn al helemaal niet tussen de verschillende overheidsinstanties en een algemene visie ontbreekt. En laten we maar niet beginnen over al die mislukte IT projecten die ons al miljarden gekost hebben. Maar wat wil je uiteindelijk als mensen binnen de overheid beslissingen moeten maken terwijl ze er zelf totaal geen verstand van hebben en hun prioriteiten ook niet op orde hebben.
jcvw
@Andyk1256 april 2022 13:17
Gebruiksgemak en beveiliging hoeven elkaar niet uit te sluiten. Bijvoorbeeld: als je 2FA gebruikt en je hoeft maar af en toe je passwoord in te typen en alle andere keren alleen je yubikey aan te raken, is het gebruiksgemak hoog en de beveiliging veel beter dan steeds je wachtwoord in moeten typen. In dit geval kun je er zelf voor kiezen het wachtwoord zelden te laten expireren.

Een ander voorbeeld waar gebruiksgemak en veiligheid hand in hand gaan: telnet versus ssh.
sjaak80
@jcvw6 april 2022 13:34
Inderdaad, zonder beveilinging zijn dingen natuurlijk makkelijker, maar ik denk dat 'gemakt gaat niet samen met security' lijkt vaak een smoes om dingen niet bruikbaar te maken.

Maar mijn ervaring (zelf meegemaakt in het verleden, en bij diverse anderen regelmatig gezien) is dat het niet eens zozeer om gebruiksgemak gaat, maar om letterlijk je werk niet kunnen doen.

Je kunt documenten niet fatsoenlijk bewerken in de officiele omgeving, en daarbuiten kun je er niet bij. Je kunt alleen vanuit bepaalde omgevingen bij je mail, waardoor er soms grote dagdelen zijn waar je de facto onbereikbaar bent. Die omgevingen zijn vaak stuk, soms dagen lang, en regelmatig liggen ook de hele 2FA en SSO omgevingen plat, waardoor je letterlijk helemaal niks kan doen. Dat zijn de dingen waardoor mensen besluiten om maar onofficiele paden te gaan bewandelen; letterlijk omdat ze anders simpelweg hun fucking werk niet kunnen doen.

Wat jammer is in het verhaal van de Jonge is niet zozeer dat deze problemen hem ook raken, maar dat hij dezelfde omwegen gebruikt om zijn ding te kunnen doen, in plaats van zijn positie gebruikt om dat soort problemen nou eens echt aan te pakken.
Redneckerz
@sjaak806 april 2022 21:29
Je kunt documenten niet fatsoenlijk bewerken in de officiele omgeving, en daarbuiten kun je er niet bij.
Het moet gewoon goed werken in de officiele omgeving. In mijn ervaring willen mensen, ondanks dat het goed werkt, toch een omweg bewandelen, want ze willen ook kunnen bewerken als zij op wintersport zijn met manlief en 2 kids.

Is dat redelijkheid? Ik vind van niet.
Die omgevingen zijn vaak stuk, soms dagen lang, en regelmatig liggen ook de hele 2FA en SSO omgevingen plat, waardoor je letterlijk helemaal niks kan doen.
Dan dien je dat te melden. Uit het relaas van Hugo hoor ik nergens dat hij of zijn adjudanten dat eens ter sprake hebben gebracht.
Dat zijn de dingen waardoor mensen besluiten om maar onofficiele paden te gaan bewandelen; letterlijk omdat ze anders simpelweg hun fucking werk niet kunnen doen.
In mijn persoonlijke ervaring besluiten mensen om sowieso onofficiele paden te bewandelen, niet zozeer omdat ze anders hun werk niet kunnen doen, maar meer omdat men geen zin heeft dat zij een aanvraag voor toegang moeten indienen. Daar zitten een aantal regels aan vast die ingevuld moeten worden, dus is het dan niet veel makkelijker als we even de iPad aanpassen dat deze buiten de omgeving om alles kan (en mag)?

Net zoals de politiek niet mijn vakgebied is en ik derhalve daar geen duiding in kan brengen, zouden gebruikers dat ook niet moeten kunnen in IT. Wat zij nodig hebben is een IT die het voor hun kan vertalen op een non-binaire manier.

Dat is echter niet een gegeven.
Solinx
@sjaak806 april 2022 15:22
Wat jammer is in het verhaal van de Jonge is niet zozeer dat deze problemen hem ook raken, maar dat hij dezelfde omwegen gebruikt om zijn ding te kunnen doen, in plaats van zijn positie gebruikt om dat soort problemen nou eens echt aan te pakken.
Makkelijk gezegd. Het zou mij sterk verbazen als dit soort zaken makkelijk aan te pakken zijn. Daarbij had hij wel andere dingen aan zijn hoofd.
Andyk125
@jcvw6 april 2022 13:46
Dat zeg ik ook niet, ik zeg dat over het algemeen gaan deze twee zaken niet samen. Bij een strengere beveiliging zullen in principe meer handelingen uitgevoerd moeten worden. Dat deze handelingen uiteindelijk ook te automatiseren zijn heb ik het verder niet over. Maar dan moet je je toch weer afvragen of deze automatiseringen ook niet een bepaald veiligheidsrisico met zich meebrengen. Wat vaak ook het geval is.
borbit
@jcvw6 april 2022 17:07
Ik zit totaal niet in dat gebied maar zou denken dat gebruiksgemak een onderdeel is van de beveiliging. Als iedereen 10 verschillende moeilijk te onthouden wachtwoorden heeft (puur een voorbeeld) en er is geen wachtwoord manager. Krijg je vanzelf kladblok bestandjes op de desktop of post it's op de monitor. Niet de bedoeling maar ook niet helemaal de schuld van de eindgebruiker.
trab_78
@Andyk1256 april 2022 15:31
Afgezien van de verschillende systemen moeten er uiteindelijk keuzes gemaakt worden waar de prioriteiten liggen. Is veiligheid belangrijk of kiest men voor gebruiksvriendelijkheid.
Ik denk dat dit verhaal wel aantoont dat het zo dus niet werkt: de "keuze" voor veiligheid en (dus?) geen gebruiksvriendelijkheid leidt ertoe dat de beveiliging omzeild wordt, en dan heb je dus "worst of both worlds" én het is gebruiksonvriendelijk én je hebt niet het veiligheidsniveau dat je wilde.
mbbs1024
@Andyk1256 april 2022 13:38
Maar wat wil je uiteindelijk als mensen binnen de overheid beslissingen moeten maken terwijl ze er zelf totaal geen verstand van hebben en hun prioriteiten ook niet op orde hebben.
Dat is nu, samen met korte termijn denken, het nadeel aan een democratie.
Iedere aap die er wat goed uitziet, en mooie populistische praatjes uitkraamt, zonder gehinderd te zijn door enige kennis van zaken, kan in de politiek gaan.
Andyk125
@mbbs10246 april 2022 13:57
Er zit natuurlijk wel wat nuance in mijn verhaal ook op gebeid van software en IT, afgezien dat er veel bewindspersonen zijn die er totaal geen verstand van zaken hebben is het ander probleem natuurlijk ook de verkooppraatjes van de organisaties waar men mee in zee gaat. Men doet vaak van alles om zo'n opdracht binnen te harken, terwijl men (meestal) wel weet dat vele zaken helemaal niet mogelijk zijn en dat het allemaal specialistisch werk wordt.

In principe moet de overheid beter dit soort contracten uitwerken en er boeteclausules aanhangen, zodat het niet de overheid is die maar blijft betalen als het niet werkt en functioneert. Dat bedrijven daardoor kapot en failliet gaan is hun eigen probleem, dan moet men maar niet liegen en bedriegen om alleen maar zo'n opdracht binnen te halen.
PFY
@Andyk1256 april 2022 13:57
Vereisten qua beveiliging liggen vast in de BIO, Bedrijfskader Informatievoorziening Overheid. Dit is geen keuze, dit is een verplichting. De uitvoering van de BIO wordt getoetst (jaarlijks) aan de hand via ADR (Audit Dienst Rijk). De meeste ministers bewerken helemaal niks zelf, dat doen namelijk de ambtenaren die onder de minister werken. Een minister kan natuurlijk commentaar hebben, echter dat wordt verwerkt door een ander iemand. Dat gaat dan ook in een document control systeem zodat dit vastligd en er dus een audit trail is. Dat minister de Jonge dit omzeilt (onbewust of wel bewust) is kennelijk toegestaan, echter het wordt zwaar afgeraden dit zo te doen. Er zijn een aantal barrieres opgeworpen om dit soort gedrag te ontmoedigen. (bij sommige ministeries). Bijvoorbeeld door blokkades naar de webmail omgevingen van grote providers. Indien iemand in dienst komt of van functie wisselt van ministerie krijg je elke keer een netetiquette die je moet ondertekenen. Hierin staat wat wel is toegestaan en wat niet. Hetgeen de Jonge heeft gedaan is gewoon dit soort procedures compleet negeren.
xbeam
@PFY6 april 2022 17:37
Sorry, Dit gaat om de default iCloud mail omdat Hugo met zijn persoonlijk iCloud is ingelogd op zijn iPhone. Dit is gewoon een fout van IT in de MDM van Apple kan op zakelijk iPhone ook gewoon je zakelijke mail omgeving als iCloud account inrichten waar dit soort privé gebruik gewoon onmogelijk is vanaf je zakelijke hardware.

[Reactie gewijzigd door xbeam op 6 april 2022 18:08]

pmeter
@Andyk1256 april 2022 13:58
Ik zou veiligheid uit IT perspectief op zichzelf zeer belangrijk, maar niet absoluut willen maken. Wat heb je aan een minister die uit IT perspectief op veilige wijze slecht geïnformeerde beslissingen neemt, die kunnen leiden tot meer doden in een pandemie of een oorlog? Dat is ook onveilig, zij het op een andere manier. Inhoudelijk goede besluitvorming vereist effectieve, ook qua snelheid, communicatie via digitale kanalen. Als minister moet je namelijk heel veel bespreken en heel veel beslissingen nemen.

Veiligheid uit IT perspectief is belangrijk. Maar vanuit de dienstauto goed, handig en effectief kunnen communiceren met de ambtelijke ondersteuning en andere leden van het kabinet, zoals met track changes en opmerkingen bij Word documenten, lijkt mij minstens zo belangrijk.

Ik zou die eis geen gebruiksvriendelijkheid willen noemen. Dat is te zacht. Liever een hard minimumniveau van effectieve digitale communicatiemiddelen. En als dat niet geboden wordt, dan moet een minister wel een alternatief hebben.

Daarover gesproken, kan een minister niet een ander systeem gebruiken dan het ministerie aanbiedt, dat wel goed werkt en toch ook veilig en controleerbaar is?

[Reactie gewijzigd door pmeter op 6 april 2022 14:15]

Andyk125
@pmeter6 april 2022 15:22
Nu doe je net of er geen andere systemen zijn of dat die niet werken, die zijn er wel degelijk en deze zijn ook aangeboden. Heb je het bericht en de reactie van Hugo de Jonge wel gelezen?

De minister voor Volkshuisvesting zegt dat het gebruik van het zakelijke systeem door de beveiliging gebruiksonvriendelijk was en het daarom praktischer was privé te mailen.

De reden dat hij zijn privé-mail gebruikte was dus puur uit praktische redenen. Dat is dus een belachelijk excuus. Dit wil ook niet zeggen dat het andere systeem helemaal niet werkte.

[Reactie gewijzigd door Andyk125 op 6 april 2022 15:23]

pmeter
@Andyk1256 april 2022 22:00
Mijn punt is niet het goedpraten van het gebruik van privémail. Mijn punt is dat de ICT-ondersteuning iets moet regelen zodat onze ministers goed kunnen communiceren via digitale kanalen. Desnoods kiezen ze voor een geheel eigen serverpark met onder meer een aparte mailserver en mailclient alleen voor de ministers en een beperkt aantal hoge ambtenaren, met veilige en controleerbare software die wel kan wat de ambtenaren van het ministerie dan niet kunnen. Desnoods gebruiken ze open source software alternatieven als de mobiele apps van microsoft niet betrouwbaar zijn. Mag van mij best wat kosten.
Nu doe je net of er geen andere systemen zijn of dat die niet werken, die zijn er wel degelijk en deze zijn ook aangeboden.
Ik heb even met BlackBerry for Work moeten werken wat de ministeries lijken te gebruiken. Een verschrikking. Gelukkig schrijf jij hierboven dat er andere systemen (meervoud) zijn aangeboden. Welke systemen zijn dat?
Heb je het bericht en de reactie van Hugo de Jonge wel gelezen? De minister voor Volkshuisvesting zegt dat het gebruik van het zakelijke systeem door de beveiliging gebruiksonvriendelijk was en het daarom praktischer was privé te mailen. De reden dat hij zijn privé-mail gebruikte was dus puur uit praktische redenen. Dat is dus een belachelijk excuus.
Jazeker heb ik het bericht gelezen. Ik parafraseerde er ook uit. Je laat overigens het woordje 'nogal' weg van 'nogal gebruiksonvriendelijk'. Er zit voor mij een verschil tussen iets wat onhandig werkt (een paar extra kliks en handelingen) en iets dat voor bepaalde user cases vrijwel onwerkbaar is (stukken NIET kunnen aanpassen voordat je ze terugmailt). En er lijkt sprake van het laatste. Als je een mail krijgt en je de bijlage niet kunt aanpassen om terug te sturen, dan is niet niet iets minder handig, maar gewoon onwerkbaar.
Dit wil ook niet zeggen dat het andere systeem helemaal niet werkte.
En dat is de kern van mijn post. Van mij mogen politici de lat van wat zij aan IT-faciliteiten mogen verlangen hoger leggen dan dat je niet kan zeggen dat het helemaal niet werkt. Het moet gewoon goed werken. Bovendien: het systeem werkt voor een aantal user cases wel en voor een aantal andere user cases (stukken aanpassen voordat je ze terugmailt) compleet niet.

[Reactie gewijzigd door pmeter op 6 april 2022 22:14]

Bjorn89
@pmeter7 april 2022 06:37
Maar als alle documented op een llek staan in een geconcentreerde vorm, wordt dit niet juist een doelwit voor hackers?
amarissimo
@Andyk1256 april 2022 19:20
Dit heeft niet zozeer iets met overheid te maken, dit speelt in commerciële bedrijven net zo. De organisatie kan veiligheid of pruts-systemen boven productiviteit plaatsen, maar je baas (of aandeelhouder of kiezer.. )ziet dat meestal anders, dus los je hun problemen op hoe het wel kan (maar niet altijd mag)...ik ken eigenlijk niemand die dat anders doet.
GrooV
@B-Bandit6 april 2022 10:46
Kijk, dat plaatst het eea in perspectief. Niet dat je dit kan goedpraten want het is gewoon not done maar gebruiksvriendelijkheid is een van de grootste vijanden van security

Volgens mij kan je met de huidige Microsoft/Office apps het allemaal behoorlijk dichttimmeren zodat je binnen deze apps vrijheid hebt en gewoon fatsoenlijk kan werken. URL's in Outlook kan je alleen via Edge openen en binnen de Microsoft apps kan je kopiëren en plakken. Daar buiten is dit niet mogelijk.

Let wel op, je kan alles dicht zetten maar zolang de informatie digitaal beschikbaar is dan is het te kopiëren, desnoods met een foto toestel een foto maken van je scherm, dat lijkt soms vergeten te worden

[Reactie gewijzigd door GrooV op 6 april 2022 10:46]

dycell
@GrooV6 april 2022 11:52
Volgens mij kan je met de huidige Microsoft/Office apps het allemaal behoorlijk dichttimmeren zodat je binnen deze apps vrijheid hebt en gewoon fatsoenlijk kan werken. URL's in Outlook kan je alleen via Edge openen en binnen de Microsoft apps kan je kopiëren en plakken. Daar buiten is dit niet mogelijk.
Alle mobiele apps van Microsoft zijn te beveiligen via MAM (Mobile Application Management) om vrijwel hetzelfde te bewerkstelligen als via MDM (Mobile Device Management) te doen is. Maar dat kan ook prima met Blackberry MDM. Maar het probleem is hier zowel technisch als beleid.

In een moderne werkplek leg je de verantwoordelijkheid bij de eindgebruiker en ga je niet lopen micro-managen wie iets mag copy/pasten tussen apps. Dit soort 'open' beheer past niet bij de overheid (en vele organisaties) en zoals je ziet kan je een minister toch niet vertellen om aan beleid te voldoen. Resultaat is dat wat je ook bedenkt het toch zal falen.

Daarnaast zijn alle mobiele Microsoft apps en hun webapps in definitie niet compatible met wat de overheid wil. Alle Microsoft apps zijn namelijk gemaakt voor Office 365 en alle communicatie (zoals de spellingscontrole) verloopt via de cloud. Dat alle webapps in de cloud zitten lijkt mij geen uitleg nodig. De overheid wil dit niet en mag dit niet wat als resultaat geeft dat ze effectief alleen 'lokaal' gebruik mogen maken: nieuws: Rijksoverheid mag Windows 10 en Office blijven gebruiken na AVG-aanpa...

Microsoft software (dus lokaal Office, geen web of mobile apps) wordt steeds moeilijker te gebruiken binnen de overheid gezien 'lokale' software al bijna een decennia niet meer ontwikkeld wordt door Microsoft (alle aandacht gaat naar Azure en 365 producten). De overheid zit verder volledig vast aan Microsoft gezien al hun eigen software hier enkel en exclusief mee werkt.

Je kan begrijpen dat zonder 'cloud' er weinig overblijft van gebruikersgemak en gecombineerd met het feit dat veel overheidsfuncties toch geen verantwoording hoeven af te leggen is dit een onmogelijke opgave. Maak ze verantwoordelijk voor hun acties en alles is opgelost.
GekkePrutser
@dycell6 april 2022 13:10
Alle mobiele apps van Microsoft zijn te beveiligen via MAM (Mobile Application Management) om vrijwel hetzelfde te bewerkstelligen als via MDM (Mobile Device Management) te doen is. Maar dat kan ook prima met Blackberry MDM. Maar het probleem is hier zowel technisch als beleid.

In een moderne werkplek leg je de verantwoordelijkheid bij de eindgebruiker en ga je niet lopen micro-managen wie iets mag copy/pasten tussen apps. Dit soort 'open' beheer past niet bij de overheid (en vele organisaties) en zoals je ziet kan je een minister toch niet vertellen om aan beleid te voldoen. Resultaat is dat wat je ook bedenkt het toch zal falen.
Nou nee, dat soort fijninstellingen is juist MAM voor uitgevonden. Een van de functies is dat je daarmee precies kan aangeven welke apps wel toegang mogen hebben tot bedrijfsinformatie en welke niet. Dat laat je absoluut niet aan de eindgebruiker over. Wij gebruiken dan ook een combinatie van MDM en MAM.

Zie ook zaken als conditional access, er wordt steeds meer focus gelegd op de beveiliging van het apparaat op dat moment. Zit je op een onveilige wifi? Heeft je antivirus een probleem gedetecteerd? Dan kan je niet inloggen op O365 web tot het is opgelost (zoveel mogelijk automatisch natuurlijk).

Als voorbeeld, wij hebben een policy dat je wel prive mobiele apparaten mag gebruiken (Android en iOS) maar absoluut geen PC of Mac omdat deze de afbakening tussen persoonlijke en werkdata niet goed regelen.

Ondanks dat we dit in de policy duidelijk vermelden en het in de jaarlijkse verplichte security training zeer duidelijk voorkomt, hebben we nog steeds dagelijks te maken met mensen die dit toch lopen te doen. Vaak klagen ze dan zelfs bij de service desk over dingen die niet werken (logisch want het mag niet dus die worden geblokkeerd). Als je ze daarop aanspreekt dan waren ze het 'vergeten'. Gebruikers vertrouwen werkt gewoon niet want die kiezen altijd de makkelijkste weg.

Het probleem is dat het security landschap bijna met de dag verandert. Zeker in tijden van oorlog zoals nu waarbij er enorm wordt geklooid met 'cyber' tools door spelers als Rusland. Van het rondsturen van mailtjes met "Let op, er is een zwakheid ontdekt in app A" worden gebruikers ook moe. Het is al lastig genoeg om ze niet op phishing te laten klikken, en als we een interne test doen dan doet een zeer groot percentage het toch.

Dus dat scherm je af zodat het gewoon niet kan. Sowieso is bijvoorbeeld knippen en plakken van bedrijfsdata naar diensten waar je geen dataverwerkingscontract mee hebt (denk Whatsapp) streng verboden en kan tot enorme boetes leiden.

Ik ben het er absoluut mee eens dat gebruiksvriendelijkheid zeer zwaar moet wegen in de balans. Maar het aan de gebruiker overlaten gaat helaas niet meer met de huidige dreigingen en ook de juridische situatie. Vergeet niet dat je als groot bedrijf tegenwoordig ook een cyberverzekering nodig hebt die bepaalde maatregelen gewoon eist. Die willen gewoon garanties hebben, die bij de werknemer leggen werkt niet want je bent als bedrijf zelf aansprakelijk.
Daarnaast zijn alle mobiele Microsoft apps en hun webapps in definitie niet compatible met wat de overheid wil. Alle Microsoft apps zijn namelijk gemaakt voor Office 365 en alle communicatie (zoals de spellingscontrole) verloopt via de cloud. Dat alle webapps in de cloud zitten lijkt mij geen uitleg nodig. De overheid wil dit niet en mag dit niet wat als resultaat geeft dat ze effectief alleen 'lokaal' gebruik mogen maken
Dit is niet het probleem van de overheid. Het is meer het probleem dat wat de overheid, niet alleen de Nederlandse maar de hele EU juridisch moet hebben (en wat veel van ons ook zouden willen) niet geboden wordt door de Amerikaanse softwareindustrie. Persoonlijk wil ik ook absoluut geen OS dat gekoppeld zit aan een cloudaccount bijvoorbeeld en ik snap heel goed dat de overheid dat niet wil. Het is een nogal dieper probleem, en eentje waar we echt aan zullen moeten werken door ons minder afhankelijk te maken van Amerikaanse oplossingen. Of op zijn minst die partijen dwingen om wel weer lokale of cloud-agnostische (gecombineerd met een EU based cloud) oplossingen te bieden. De meeste cloud opslag diensten in Amerika bieden bijvoorbeeld geen end to end encryptie dus je moet ze enorm vertrouwen.

De drive naar cloud komt niet alleen vanuit gebruiksgemak maar ook vanuit de wens van de grote softwareboeren om zoveel mogelijk richting abonnementen te sturen. Cloud is een goede onderbouwing voor een abonnementsmodel want dat is per definitie een dienst. Abo's zijn fijn voor ze want het brengt met weinig moeite continu geld in het laadje en bovendien geeft het een extra niveau van lock-in omdat je niet meer zomaar bij je data kan.

Om gewoon tegen de overheid te zeggen dat ze dan maar niet moeten voldoen aan de wet is natuurlijk ook erg kort door de bocht.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 13:25]

dycell
@GekkePrutser6 april 2022 15:31
Nou nee, dat soort fijninstellingen is juist MAM voor uitgevonden. Een van de functies is dat je daarmee precies kan aangeven welke apps wel toegang mogen hebben tot bedrijfsinformatie en welke niet. Dat laat je absoluut niet aan de eindgebruiker over. Wij gebruiken dan ook een combinatie van MDM en MAM.
Ik snap dat MAM/MDM verschillend zijn maar je verhaal is juist een goed voorbeeld van het probleem dat zich hier voordoet. Veel techniek, MDM/MAM, conditional access, technische afbakening tussen persoonlijke en werkdata, afschermen zodat het gewoon niet kan.

Als voorbeeld, wij hebben een policy dat je wel prive mobiele apparaten mag gebruiken (Android en iOS) maar absoluut geen PC of Mac omdat deze de afbakening tussen persoonlijke en werkdata niet goed regelen.
Minister slaat bestand maar gewoon op in iCloud want hij kan niet op Mac verder kan werken :+

Ik wil je argumenten niet tegenspreken hoor, ik heb het geheel met je eens. Maar de aandacht gaat (vooral bij de overheid) allemaal naar die dure technische maatregelen en duizenden consultancy uren in plaats van een goede security training (zoals je aangeeft). Daarnaast heeft het allemaal helemaal geen nut omdat je uiteindelijk zonder verantwoordelijkheid (gevoel) je geen veilige werkplek kan bereiken.

Het is een nogal dieper probleem, en eentje waar we echt aan zullen moeten werken door ons minder afhankelijk te maken van Amerikaanse oplossingen.
Ook mee eens maar de (rijks) overheid zit zo diep in Microsoft dat het nog wel een decennia duurt voordat ze echt alternatieven kunnen bekijken. En dat is als ze vandaag zouden starten met een MS ontmoedigingsbeleid. En dat gaan ze niet doen omdat niemand zich daar verantwoordelijk voor voelt. En men kiest er dan nog liever voor om zichzelf in te dekken door er geld tegenaan te gooien (dure blackberry oplossing).

De drive naar cloud komt niet alleen vanuit gebruiksgemak maar ook vanuit de wens van de grote softwareboeren om zoveel mogelijk richting abonnementen te sturen.
Dat is inderdaad ook reden dat de overheid zo diep in de MS problemen zit. En ook promoot MS onder zijn 'partners' zoveel mogelijk cloud en Microsoft technology te gebruiken. De partners worden er ook beter op vanwege de kickback.

Maar goed, de mensen bij de overheid zijn ook niet gek. Zij willen dit allemaal ook niet maar niemand staat op om er iets tegen te doen. Een uitspraak die ik vaak heb gehoord is ook: een ambtenaar's mentaliteit heb je niet, die krijg je.
Je kunt nog zoveel je best doen om het dingen te verbeteren maar op een gegeven moment geef je het maar gewoon op. Dat probleem wat zich voordoet is niet jouw verantwoordelijkheid en je hebt het ook al 100x aangegeven. In grote organisaties zie je dit ook terug.
pmeter
@dycell6 april 2022 14:25
Ik ben zeer benieuwd naar een goede bron waarin staat dat de overheid niet met Cloudapplicaties zoals Onedrive en Office 365 mag werken, als afspraken zijn gemaakt over opslag binnen Europa. De bron die je aanhaalt gaat niet over cloudapplicaties maar om telemetrie en gaat over opslag buiten Europa.

Hint: ik werk zelf bij de overheid, zij het niet als IT'er, en volgens mij gebruiken we al Onedrive en Office 365.

[Reactie gewijzigd door pmeter op 6 april 2022 14:29]

dycell
@pmeter6 april 2022 20:19
https://www.privacycompan...privacyrisicos-korte-blog

Microsoft biedt sinds mei 2019 een groot aantal veelgebruikte Connected Experiences zoals de spellingchecker, de vertaalmodule en de Office helpfunctie aan als verwerker, en niet meer als verantwoordelijke. Er zijn 14 Connected Experiences waarvoor Microsoft verantwoordelijke blijft (de additional Connected Experiences), maar Microsoft stelt systeembeheerders van Office ProPlus in staat om het gebruik van deze Controller Connected Experiences centraal uit te zetten. Het centraal uitzetten van deze diensten voorkomt het risico dat Microsoft de werknemers om toestemming vraagt voor het verzamelen van gegevens over het gebruik van deze diensten, terwijl toestemming geen geldige grondslag is voor deze gegevensverwerking.

Geen verbeteringen voor Windows 10 Enterprise, Office Online en de mobiele apps

Microsoft heeft deze verbeteringen nog niet doorgevoerd in Office Online (de software die in je browser draait) en de mobiele Office apps (de apps die je op je smartphone of tablet kunt installeren). De nieuwe privacyvoorwaarden van het Rijk zijn ook (nog) niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Het is in Office Online niet mogelijk om het gegevensverkeer te minimaliseren. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Zonder enige informatie over de doelen van deze verwerking, en zonder mogelijkheid voor gebruikers of beheerders om deze verwerking te verhinderen.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, genaamd Security (Beveiliging). Als de systeembeheerders van de overheidsinstellingen ook de andere adviezen opvolgen uit de rapporten, zijn er voor de overheidsinstellingen geen bekende hoge privacyrisico’s meer.

Uiteindelijk is het simpel, Office 365 is een cloud dienst. Het hele ding van Office 365 zijn de online componenten. Wat de uitkomst van de DPIA is dat de rijksoverheid gebruik mag maken van Office 365 zolang je alle online componenten uitschakelt. Je kan dan wel nagaan wat er van overblijft: de lokaal geïnstalleerde Office 365 Proplus applicaties zonder ook maar een online spellingscontrole.
Je kunt immers moeilijk cloud functionaliteit uitschakelen in Word online als deze draait in de cloud. Een echte oplossing zou zijn wat men in de Duitsland heeft afgedwongen. Helaas is die ' oplossing' jaren geleden ook al weer 'discontinued'. Een overheidsmedewerker beland dus gewoon op dezelfde Word online server als een andere klant. En ik zie niet dat Microsoft daar ooit echt verandering in gaat maken, dat maakt financieel geen zin.

Hint: ik werk zelf bij de overheid, zij het niet als IT'er, en volgens mij gebruiken we al Onedrive en Office 365.
Ik werk zelf ook veel met de overheid en, niet bedoelt als belediging, vaak is de instelling: don't ask, don't care.
Het is echt niet zo dat Microsoft iets anders aanbied en of de overheid het echt interesseert. Dat klinkt cru maar wat moeten ze doen? Linux installeren? Daarnaast, als ik rondkijk dan is 80% (en meestal 100% inclusief ikzelf) van het IT personeel extern. Die zetten zich in voor hun eigen organisatie, niet de burger.

Let ook op dat de meeste onderzoeken en afspraken enkel gelden voor Rijks overheid. Lokale en lagere overheid hebben geen afspraken en moeten dus zelf onderhandelen via het samenwerkingsverband (VGN) om een vuist te maken tegen organisaties als Microsoft en Google. Maar uiteindelijk moeten ze het zelf maar oplossen en mogen ze doen wat ze willen.

Zie als voorbeeld: https://vng.nl/projecten/gt-microsoft
De VNG heeft een papieren overeenkomst gekregen met Microsoft van dezelfde afspraken mogen ' genieten' als de rijksoverheid. Een papieren tijger want alle telemetrie wordt nog steeds verzameld.

Het is weer typisch politiek. Onderzoek laat zien dat het niet in orde is maar niemand gaat het echt fixen. Dan krijg je van die papieren oplossingen zoals we ook zagen met 'Privacy Shield'. Mooi op papier maar uiteindelijk waardeloos.

TL;DR Niemand wil vragen stellen waarvan ze het antwoord misschien niet leuk vinden. Daarom gewoon niet vragen en gewoon doorgaan. Die Windows 7 machines zijn immers uit support en je moet wat.
kodak
@dycell6 april 2022 18:03
In een moderne werkplek leg je de verantwoordelijkheid bij de eindgebruiker
Waarop baseer je dat? Want menen dat er argumenten zijn om dat te doen is niet genoeg. Zeker niet als die argumenten selectief gekozen zijn, zoals net doen alsof het toch niet helpt en al de situaties waarbij het wel werkt gaat negeren.
dycell
@kodak6 april 2022 20:38
Waarop baseer je dat?
Het marketing materiaal van Microsoft ;)

https://www.microsoft.com...soft-365/modern-workplace
De werkplek van de toekomst, Werken waar je wilt, heruitgevonden, Werk in in teams, Wereldwijd personeel: de nieuwe werkcultuur

Iedere leverancier geeft het aan: een moderne werkplek is een werkplek is waar jij bepaald hoe je werkt. Deze 'nieuwe' werkplek is gemaakt voor 'het nieuwe werken'. Microsoft 365 werkt overal, op ieder besturingssysteem en altijd. Je werkt in teams en managers zijn verleden tijd. Je organisatie structuur is niet hiërarchisch maar plat. Het moderne werken! Ambtenaar 2.0, ga zo maar door.

Maar zonder gekheid, deze oplossing zijn gebouwd voor moderne manieren van bedrijfsvoering. Bij de 'nieuwe' manier van werken hoort een andere mindset. Die mindset heet Holocratie:
Holacratie is een besturingsmodel voor organisaties. Het model neemt afstand van traditioneel top-downmanagement en verdeelt autoriteit over alle medewerkers in de organisatie.[1] Uitgangspunt is dat een organisatie door de dynamische en transparante structuur in staat is voortdurend bij te sturen.

Holacratische organisaties werken met een organische, platte structuur van ‘cirkels’ (teams). Hierin vervult iedereen zijn eigen unieke ‘rollen’ met duidelijke gedefinieerde verantwoordelijkheden. Iedere medewerker is ‘manager’ van zijn eigen rollen en draagt de volledige verantwoordelijkheid voor het functioneren hiervan.

Geloof je me niet? Vergelijk het marketing materiaal van iedere leverancier met holacratie en oordeel zelf.
Zoals Wikipedia al aangeeft, in deze manier van werken heeft de eindgebruiker veel meer verantwoordelijkheid. Gedaan zijn de dagen dat 'wij' als systeembeheerders onze gebruikers maar moeten micromanagen. De gebruiker kan immers zelf zijn eigen computer kiezen (BYOD) en geniet van veel meer vrijheid (waar hij/zij al jaren om vraagt). En daarmee leg je de verantwoordelijkheid tegenwoordig ook grotendeels bij de eindgebruiker. Door deze onderdeel te maken van je beveiligingsbeleid, kunnen we hopelijk tegenwoordig ook eens vooruitgang maken.
kodak
@dycell6 april 2022 20:54
Je kan ook stellen dat een bedrijf de eigen producten wil verkopen een eigen belang heeft. Je geeft zelf al aan dat er meer bedrijven en producten zijn, dan is het niet redelijk om maar naar een soort product te kijken alsof dat wel telt en de rest niet. De markt bestaat niet alleen uit aanbod en dus is dat de vraag of de wens. Bedrijven proberen ook vraag te maken om eigen en andere belangen aan te prijzen.
dycell
@kodak6 april 2022 21:08
Je kan ook stellen dat een bedrijf de eigen producten wil verkopen een eigen belang heeft.
Uiteraard, maar Microsoft doet daar ook niet geheim over. Ze schrijven hele boekwerken over de 'digitale transformatie'. Die dus helemaal niet digitaal is maar heeft te maken met manieren van werken en mindset. Voor die mindset heeft Microsoft Office 365 ontworpen. Hun hoofdproduct heet niet voor niets Teams :D . En dat product verkopen ze nu weer aan hun klanten. Wil je daar niet in meegaan, dan is dat uiteraard helemaal prima. Maar dit wat ze aanbieden.

De markt bestaat niet alleen uit aanbod en dus is dat de vraag of de wens.
Dat klopt en dat zie je ook heel erg terug bij de overheid. De meesten houden met huid en haar vast aan de 'legacy' oplossingen zoals Server based Computing... Maar de nieuwe generatie medewerkers kijken verbaast als ze inloggen.. Hoezo kan ik zelf geen spotify installeren? Waarom is Youtube een slideshow? Ik moet op 'save' klikken om iets op te slaan? Dat heb ik nog nooit gedaan in Word online/ Google docs...

De vraag naar die traditionele oplossingen verdwijnt. Tot de angst van vele collega's want die willen dit ook niet. Maar verandering is continue, dus wie weet, misschien gaan we over 10 jaar wel weer naar Server based Computing.
kodak
@dycell6 april 2022 21:19
Je heb nu al een aantal keren kunnen lezen dat je niet zomaar kan stellen dat een kant van het verhaal niet zomaar de betekenis heeft dat die dus op gaat. Je levert daarmee helaas geen duidelijke onderbouwing bij je beweringen alsof een bepaalde manier van werken modern is of dat een bepaalde generatie iets zou willen.
dycell
@kodak7 april 2022 09:45
Je levert daarmee helaas geen duidelijke onderbouwing bij je beweringen alsof een bepaalde manier van werken modern is of dat een bepaalde generatie iets zou willen.
Ik verwijs je naar een heel boekwerk over de digitale transformatie die Microsoft door is gegaan (welke op de microsoft site zelf staat). We hebben letterlijk twee jaar thuis gezeten vanwege de Corona wat onder het 'moderne werken' valt. Als in, overal kunnen werken. De term 'digitale transformatie' staat op iedere reclame folder. Je kunt zelf in google intikken 'modern werken' maar je komt aanzetten dat ik jou moet overtuigen. :z

Ik ga je zeker niet overtuigen, ik raad je aan om je heen te kijken en om zelf na te denken. Of om je vraag eens in Google te tikken...
nst6ldr
@GrooV6 april 2022 11:16
Volgens mij kan je met de huidige Microsoft/Office apps het allemaal behoorlijk dichttimmeren zodat je binnen deze apps vrijheid hebt en gewoon fatsoenlijk kan werken. URL's in Outlook kan je alleen via Edge openen en binnen de Microsoft apps kan je kopiëren en plakken. Daar buiten is dit niet mogelijk.
Dan ben je er dus nog lang niet, dit is een (beheer)technische kijk op beveiliging. Even in jip-en-janneke taal:

Stap één; kies een normenstelsel.
Stap twee: identificeer je belangen.
Stap drie: rubriceer je belangen.
Stap vier: beveilig aan de hand van die rubriceringen.

Jouw voorstel dekt een sub-fase (functionele beveiliging) van een fase (applicatie beveiliging) van een klein aantal belangen (mail/kamerstukken) van stap vier.

Het lijkt een grote papieren tijger, onnodige bureaucratie als het op beveiligen aankomt, maar dit zal je moeten doen als je:

- alles gedekt wil hebben (zo vergat je zelf dus 99% omdat je met Office een grote winst dacht te behalen)
- alles inzichtelijk wil hebben voor je back-up en incident plannen (je wilt tenslotte een draaiboek voor alles klaar hebben liggen)
- de kosten beheersbaar wil houden
- je maatregelen wil kunnen verbeteren/vervangen of toetsen/auditen

Er komt dus best wel wat om de hoek kijken.
willieverhoef
@GrooV6 april 2022 13:03
"Gebruiksvriendelijkheid is een van de grootste vijanden van security"
kijk als je iets niet gebruikt, is er geen security issue, maar het is heel begrijpelijk dat we efficient willen werken en niet gestoord worden met 20x per dag een MFA en plaatjes die niet zijn te kopiëren i.p.v tekst welke we kunnen bewerken. Soms slaat security gewoon door en wordt het onwerkbaar. En dan gaan mensen een omweg verzinnen. Dit betekent gewoon dat de technische oplossing niet goed is. En de oplossing is niet het blokkeren van doorsturen van emails. Maar de problemen en gebruiksgemak mogelijk maken.
Kevinp
@GrooV6 april 2022 11:14
Deze regels hebben ze wel samen afgesproken. Hij is jaren onderdeel van een regeringspartij geweest.

Je moet dus wel daarbij zeggen dat hij (mede) verantwoordelijk hiervoor is.

Dat is ook omdat het blijkbaar zo is dat deze politici niet open en duidelijk communiceren. Dat een WOB wet nodig is is op zich al triest.
GrooV
@Kevinp6 april 2022 11:45
Lijkt eerder op een gare aanbesteding van het ministerie om te kiezen voor Blackberry for Work, zoals @B-Bandit ook aangeeft is er niet 1 manier van werken binnen de overheid
EldraziKlap
@Kevinp6 april 2022 11:42
Dit is letterlijk in wereldwijde politiek zo. Dat praat het niet goed, maar het is ook niet zo dat dit specifiek bij Nederlandse politici zo gaat.
Flappiewappie
@B-Bandit6 april 2022 10:43
Hoewel ik het zeer kwalijk vindt dat Hugo zich niet aan de protocollen houdt was ik al bang voor een reactie zoals deze hierboven. Een minister (of school docent of wie dan ook) kan dan gewoon niet zijn werk doen - moet je voorstellen dat er een land in de fik staat en jij moet continue 2fa codes gaan lopen invullen? Een Sywert die moord en brand schreeuwt richting het hele land in talk shows, en jij je eigen ambtenaren/afdeling/collega's niet eens op een fatsoenlijke manier kan bereiken?

Ik keur af wat Hugo heeft gedaan, maar bovenstaande is gewoon een noodkreet dat ze op de ministeries in IT op orde moeten krijgen. Ik lees hieronder dat het bij de Belastingdienst al beter gaat en dus kan... gratis tip voor de overheid stop die 718 miljoen niet in een nieuwe 2e kamer maar ga thuiswerken net als de rest van Nederland en krijg je IT op orde.

Overigens praat ik niks goed als Hugo niet gewoon fatsoenlijk kan voldoen aan het WOB verzoek, als dat hem niet lukt is het wat mij betreft wel om kwaadwillende redenen geweest dat hij prive mail adressen heeft gebruikt om naar buiten te pissen.
FreezeXJ
@Flappiewappie6 april 2022 13:10
Wie is er nou de baas van dat hele ministerie? Als de baas al niet voldoende kan sturen op een werkbare security (en dan als flagrante misser maar even z'n eigen email gebruikt), hoe moeten medewerkers er dan mee omgaan? Wat Hugo hier doet is de kop in het zand steken en kijken hoe lang hij wegkomt met het negeren van security, in plaats van het managen van security. Als hij niet kan werken dient ie maar een ticket in, dan kan hij merken hoe snel de IT reageert... Als dat hem niet zint, dan mag hij het IT-management eens uithoren over hoe dat verbeterd kan worden. Tip: dat kost geld. En vereist capabele mensen.
Flappiewappie
@FreezeXJ6 april 2022 13:58
Vanuit rationale ga ik met je mee. Goed inzicht dat hij inderdaad in de positie zit om dit aan de kaak te stellen. Echter;

Als hij mid-corona de interne IT kwesties prio had gegeven had heel NL er logischerwijs over gevallen waar hij zich wel niet druk over maakte. En ergens is dit natuurlijk ook een noodkreet om dit aan de kaak te stellen (en zichzelf onschuldig te pleiten…).

Daarnaast, en wellicht minder populaire mening onder Tweakers, is de perceptie dat IT de mens moet dienen ipv andersom (de altijd mooie uitdrukking “het moet gewoon werken”). Dat daar veel kennis en kunde voor nodig is lijkt onderhand overigens ook goed door te sijpelen op de ministeries.
jannick63
@FreezeXJ6 april 2022 14:54
Dit is toch precies waar het vaak fout gaat, gebruikers melden het niet of gaan via de verkeerde kanalen dingen melden. Uiteindelijk gebeurd er niks en gaan ze dingen ontwijken, terwijl als ze gewoon een duidelijk ticket maken met wat er misgaat, er altijd een oplossing komt. Hoe lang deze soms ook op zich laat wachten, dit is ook een gedeelte eigen verantwoordelijkheid zoals jij ook al aangeeft. Hugo in deze ontwijkt al dit soort protocollen en gaat maar zijn privé mail gebruiken. Dit lijkt mij volstrekt onacceptabel.
NielsFL
@Flappiewappie6 april 2022 11:43
Een Sywert die moord en brand schreeuwt richting het hele land in talk shows, en jij je eigen ambtenaren/afdeling/collega's niet eens op een fatsoenlijke manier kan bereiken?
Maar die ambtenaren kunnen elkaar wel allemaal goed bereiken. Dat zegt dat toch iets over jezelf en niet over het systeem?

Overigens begreep ik dat er ook vanuit de vraag kant helemaal geen interesse was in die kapjes. Dan kun je dat toch gewoon op TV zeggen? "Sywert kletst, we hebben er reeds voldoende."
Solinx
@NielsFL6 april 2022 15:54
Overigens begreep ik dat er ook vanuit de vraag kant helemaal geen interesse was in die kapjes. Dan kun je dat toch gewoon op TV zeggen? "Sywert kletst, we hebben er reeds voldoende."
En dan reageert Sywert met een verontwaardigde oproep om dat te bewijzen. Dat goed doen kost dan weer capaciteit die je als minister hard nodig hebt om dingen die op dat moment veel belangrijker zijn te regelen. En zodra je bewijs had geleverd had Sywert wel weer iets anders gevonden om verontwaardigd tegen te ageren.

In een crisis is tijd erg kostbaar. Ik waardeer het dus wel dat De Jonge dit al zag aankomen en hier een pragmatische keuze heeft gemaakt. In essentie kocht hij niet mondkapjes maar tijd. Hem verwijt ik dus niets.

Ik hoop vooral dat Sywert eindelijk eens goed afgestraft wordt voor zijn misselijkmakende gedrag. Het is volgens mij niet de eerste keer dat hij de publieke opinie bespeelt en deze zo voor zijn persoonlijke karretje spant.
itlee
@B-Bandit6 april 2022 10:55
Mooi om te zien, systeembeheerders lekker alles keihard beveiligen, gebruiker werkt er omheen,...conclusie al die miljoenen in beveiliging pompen is en verspilling en t werk (en ik zit al 25 jr in de IT) niet. (en anno 2022 nog steeds niet)

Les 2; als een gebruiker met wat voor functie dan ook data wil meenemen of wil verspreiden kan dat toch.
Les 3; Voed je medewerkers op,...
Les 4; Zorg voor een gezonde normaal denkende beveiliging.
Les 5; Voed je medewerkers op,...had ik dat al gezegd?

Beste systeembeheerder of geachte IT Manager, je gebruikers afknellen heeft geen zin, t werkt niet, 20 jr geleden al niet, nu niet en over de komende 20 jr ook niet.
GekkePrutser
@itlee6 april 2022 11:04
Dat opvoeden werkt maar deels. Dat zie je hier toch ook weer. Net zoals mijn collega's allemaal met hun werktelefoon los in hun zak lopen maar hun prive telefoon in een dik hoesje met screenprotector zit. Het is niet van henzelf dus ze geven er gewoon minder om. Met data zie je dat net zo.

Natuurlijk heb je werknemers die echt de boel belazeren ("insider threat" heet dat in security termen). Daar doe je inderdaad niet veel tegen behalve goede detectie. Dit soort maatregelen zijn meer tegen laksheid gericht, wat een veel grotere groep treft en dus een grotere aanvalsvector is. De moderne variant van de bekende "USB stick in de taxi".

Ik ben het ermee eens dat het aanvinken van zoveel mogelijk beperkingen in het verleden bijna een hobby was voor sommige sysadmins. Wat je alleen niet meeneemt is dat het securitylandschap totaal veranderd is in die afgelopen 20 jaar. Nu hebben we overheden met hele staatshackingorganisaties. Al onze apparaten zitten continu verbonden. We doen van alles in webbrowsers die een enorme aanvalsvector zijn geworden.

Bovendien wordt er in tegenstelling tot 20 jaar geleden veel meer over security nagedacht. Als er nu een beperking is dan is daar een risicoanalyse voor gedaan en besloten dat het tegen de nadelen opwoog. 20 jaar geleden was het vaak een vinkje dat iemand had gezet omdat het kon. In grote organisaties verschilden de security policies per land of soms zelfs per kantoor omdat de admins daar toevallig andere voorkeuren hadden. Dit is allang niet meer zo, security is een serieuze bedrijfsoverweging geworden. Enerzijds door fouten in het verleden (denk aan patching en wannacry). Anderszijds doordat het een serieus bedrijfsrisico is geworden waar men zich tegen verzekert en de verzekeraar hiervoor bepaalde processen en policies eist.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 11:07]

MenN
@GekkePrutser6 april 2022 12:08
Dat opvoeden werkt maar deels. Dat zie je hier toch ook weer. Net zoals mijn collega's allemaal met hun werktelefoon los in hun zak lopen maar hun prive telefoon in een dik hoesje met screenprotector zit. Het is niet van henzelf dus ze geven er gewoon minder om. Met data zie je dat net zo.
De werknemer in kwestie doet in dat geval niets verkeerd, want wordt een hoesje etc ook aangeleverd door hun werkgever? Vaak niet, en in dat geval gebruikt de werknemer gewoon de toegewezen apparatuur zoals bedoeld is.

Wat ik vaak zie is dat een IT afdeling op papier de security goed op orde heeft, maar in de parktijk alleen oplossingen gebruikt die handig voor hun zijn, maar hun gehele gebruikersgroep er amper mee kan werken. Met als gevolg dat er naast de IT oplossing tig 'workarounds' bedacht zijn door collega's om het werkbaar te houden. Gebruiksvriendelijkheid voor de eindgebruiker speelt amper mee in de aanbesteding en keuze van tools.

[Reactie gewijzigd door MenN op 6 april 2022 12:09]

NielsFL
@GekkePrutser6 april 2022 11:25
Opvoeden werkt als er sancties op staan. We doen nu alsof het om Hugo gaat, maar hoe legt systeembeheer straks aan random ministerie medewerkers uit dat de regels voor hen wel gelden? Dat terwijl hun e-mails in veel gevallen minder gevoelig zullen zijn dan die van Hugo? Als hij hier ongeschonden uit komt wens ik de systeembeheerders daar alvast veel succes.
EldraziKlap
@GekkePrutser6 april 2022 11:43
Net zoals mijn collega's allemaal met hun werktelefoon los in hun zak lopen maar hun prive telefoon in een dik hoesje met screenprotector zit. Het is niet van henzelf dus ze geven er gewoon minder om. Met data zie je dat net zo.
Dit is een heel goed voorbeeld ja. Stof tot nadenken..
Cameleon73
@itlee6 april 2022 11:45
Security werpt (noodgedwongen) barrières op. Als dat voor de gebruiker teveel problemen oplevert, gaan ze er vaak omheen werken. Een typisch voorbeeld hiervan zie je overal om je heen.
nnsa
@itlee6 april 2022 13:22
Helemaal mee eens. 👍
blissard
@itlee6 april 2022 14:59
En, als ik een les mag toevoegen, ga als IT-er eens langs bij je klanten om te vragen hoe het werkt. Ik heb dat nog nooit (in de 20+ jaren dat ik werk) meegemaakt. Zelfs niet na grote verander trajecten. Het is: implementeren, een cursus en geluk er mee. Tijdens het functionele leven wordt dan alleen gestuurd op klachten en dan heb je als IT-er nooit meer de mogelijkheid om werkelijk bij te sturen.
Zo heb ik ergens een paar jaar gewerkt met een soort terminal systeem waarbij iedere getypte letter pas secondes later op het beeldscherm verscheen. Was vanwege de veiligheid "noodzakelijk"en het systeem was zo ingericht dat je je documenten nooit lokaal kon krijgen.

[Reactie gewijzigd door blissard op 6 april 2022 15:01]

crackletinned
@B-Bandit6 april 2022 11:08
En wie heeft de verantwoordelijkheid/mogenlijkheid om dit soort problemen op te lossen?
FreezeXJ
@crackletinned6 april 2022 13:06
Mensen zonder de intentie om het op te lossen, want dat kost tijd en geld, en vereist kennis van zaken...
Consequenties zijn er toch niet.
altijdprijs
@B-Bandit6 april 2022 10:52
Verschrikkelijk programma inderdaad, heel frustrerend dat zoiets simpels als copy-paste gewoon niet werkt. Op het werk hadden (of hebben?) dit ook, maar heb het er heel snel afgegooid en overgeschakeld naar de webversie van de mailbox (dat kan gelukkig nog wel).
HuisRocker
@B-Bandit6 april 2022 11:10
Dit type 'excuus' (gebruiksgemak omdat de officiële weg teveel zit dichtgetimmerd [zeker niet helemaal mee eens overigens, er zijn namelijk ook zeker genoeg goede redenen waarom het zo dicht zit!]) is exact wat er verwacht werd.
Niet geheel toevallig dus, omdat de algemene verwachting is dat hij er op deze manier 'zonder teveel kleerscheuren uit gaat komen', of het nou wel of niet de waarheid is... Naar mijn mening moet dat laatste de belangrijkste reden zijn waarom je dit überhaupt niet meer moet willen.

Jammer dat iemand die hier zelf ook mee te maken heeft het enkel heeft over het 'ter goede trouw' uitgangspunt terwijl de mogelijkheid 'misbruik maken van' geen aandacht krijgt, ondanks dat niemand (of je nu in dezelfde situatie werkt of niet) nu al kan uitsluiten dat daar sprake van kan zijn. Zo lijkt het, voor mij althans, dan toch meer op het excuus steunen dan op goede algemene kritiek.

edit: taal/typ foutjes

[Reactie gewijzigd door HuisRocker op 6 april 2022 11:18]

TheMak
@HuisRocker6 april 2022 13:11
Ik vraag me af of er wel een goede reden is waarom alles zo dicht zit. In principe moet iedereen alles kunnen opvragen met een WOB-verzoek.
HuisRocker
@TheMak6 april 2022 20:18
Driekwart (of meer) van WOB-verzoeken die echt ergens over gaan is zwart gelakt. Dus opvragen kan je! Maar je krijgt weinig tot niks...
pepsiblik
@B-Bandit6 april 2022 12:11
Zoals een baas van mij ooit stelde nadat IT een stel compliance regels had ingevoerd: "waarom heb je dat zo gedaan dat de productiviteit van mijn teams nu geschaad wordt?" Vervolgens ontstond er een gesprek waarbij de implementatie volledig werd aangepast en toen was iedereen tevreden. Wanneer je beveiliging niet op de juiste manier invoert, loop je het gevaar dat iedereen het probeert te ontwijken.

[Reactie gewijzigd door pepsiblik op 6 april 2022 12:13]

Ethirty
@B-Bandit6 april 2022 10:52
Ik vrees dat dit pas na jarenlange veel te ondoorzichtige aanbestedingen en weggegooid geld wordt aangepast.
B-Bandit
@Ethirty6 april 2022 11:21
Ik verbaas me erover dat je naar beneden wordt gemod, want mijn ervaring is precies dit. Ik blijf echter vol goede moed.
Ethirty
@B-Bandit6 april 2022 12:10
Omdat er een grote groep mensen is die nog steeds op hun eigen mening moderaten.

Realiteit is gewoon dat er allemaal langlopende contracten voor ICT beheer zijn en aan zoiets fundamenteels als beveiliging gaat niet zomaar wat veranderen zonder nieuwe contracten - want heel veel uren om alles om te bouwen.
n4m3l355
@B-Bandit6 april 2022 13:22
Er is hier natuurlijk wel meer aan de hand dan enkel gebruikersgemak. De Jong ligt weer en langdurig onder vuur vanwege een uiterst twijfelachtige deal. En als dit nou recentelijk bekend werd dat men ging onderzoeken had ik misschien nog enigszins begrip dat dit puur vanuit gebruikersgemak gebeurde. Echter hier is sprake een minister die dus nu al maanden wordt onderzocht voor een schimmige deal en toch bleef hij zijn eigen email gebruiken.

Hier zijn dan toch enkel twee opties mogelijk, of de Jong deed inderdaad iets illegaal of hij is dom/naïef, hoe dan ook dient hij gewoon geen minister te zijn. Dit is toch een flater gestapeld op een gigantische flater.
SpiceWorm
@B-Bandit6 april 2022 14:59
Uit wob verzoeken blijkt dat Hugo in april 2020 er al op gewezen is dat bepaalde stukken niet naar zijn privé email mogen.

Dus:
"Ik ben er deze week op gewezen dat dat ernstig wordt ontraden. Daarom ben ik er nu mee gestopt."
Klopt dus niet.

Zo heeft hij ook gevraagd om stukken alleen nog maar op papier te ontvangen. Als reactie daarop hebben ambtenaren van ministerie vws voorgesteld om de stukken wel naar zijn overheids email te blijven sturen, met het oog op een toekomstig WOB verzoek.

https://www.blckbx.tv/cor...communicatie-buiten-zicht
ApexAlpha
6 april 2022 09:53
De minister voor Volkshuisvesting zegt dat het gebruik van het zakelijke systeem door de beveiliging gebruiksonvriendelijk was en het daarom praktischer was privé te mailen.
Als iemand die bij de CISO (interne cybersecurity) afdeling van een groot bedrijf werkt cringe ik echt hard om dit statement.

"Ik moet nog een 2FA code invullen, onwerkbaar!"
"Het apparaat waar ik mail op lees moet basisniveau security hebben, ik lees ze wel privé op iCloud"
"Audit? Ik rij BMW sorry."

- Minister de Jonge (blijkbaar).


Ik begin oprecht te twijfelen of deze man het allemaal met kwade bedoelingen doet of dat hij oprecht niet capabel is om op dit niveau te opereren als minister.
911GT2
@ApexAlpha6 april 2022 10:09
Als de bruikbaarheid zo slecht is dat mensen een onveilig alternatief geen gebruiken is je beveiliging dus zinloos.

Dan kun je de gebruiker de schuld geven, of nadenken of er wellicht echt iets aan de hand is.
batjes
@911GT26 april 2022 10:47
Mijn ervaring met werken bij de overheid is, dat de beveiliging prima is. Mail dat alleen op overheidsapparatuur gelezen kan worden maakt het al "onwerkbaar" voor sommigen, omdat ze dan hun werklaptop moeten starten of de werktelefoon moeten pakken, i.p.v. hun eigen telefoon. Terwijl ze beide mee naar huis hebben.

Dat de 'veilig mailen' oplossing "te veel gedoe is" (website openen, inloggen (op werkapparaten meestal SSO), bestand uploaden, mail adres invoeren) en men dus WeTransfer gebruikt (website openen, bestand uploaden, link kopiëren, mail sturen).

Informatie bespreken via Teams of Skype is lastig, mailtje sturen is ook te veel gedoe. Dus bespreekt men van alles via Whatsapp.

Vergaderingen voeren via Zoom oid, want dat knopje "teams/skype vergadering" in Outlook was 'teveel moeite'.

Hordes ambtenaren gebruiken derden voor gevoelige onderwerpen, echt bizar dat er praktisch geen consequenties op staan. Ministers doen dit ook (eigen ervaring!?) en zo vreemd is het ook niet om gewoon een forward op je overheidsmail te hebben naar een gmail, outlook, icloud.

De NSA hoeft geen moeite te doen om onze overheid af te luisteren, onze ambtenaren geven ze vrijwillig alle informatie.

De overheidsafdelingen waar ik voor gewerkt heb, was het eigenlijk verboden om derden te gebruiken, maar stonden toch geen consequenties op.

Ik heb de meest vertrouwelijke informatie zien verdwijnen naar Facebook, Google en andere (vooral Amerikaanse) bedrijven. Dat het me eigenlijk verbaast dat er nu pas ophef over is. De beveiliging was niet eens zo heel strict, vrij logische standaard beveiliging. Net als dat het niet de bedoeling was dat je vertrouwelijke documenten mee naar huis nam in het het pre-digitalisatie tijdperk. Men is gewoon te beroerd zich aan richtlijnen te houden. De IB/SEC afdelingen kunnen roepen wat ze willen, als er vanaf daarboven in de ambtelijke keten niet actief op wordt gecontrolleerd of sancties voor uitgedeeld worden, dan blijft het gebeuren.

Hopelijk zorgt deze ophef voor een meer professionele aanpak van onze overheid!
pepsiblik
@batjes6 april 2022 13:03
Je snapt het niet. Het gaat er niet om of de beveiliging "prima" is, maar of de beveiliging prima EN werkbaar is. Te vaak wordt over dat laatste niet goed nagedacht en/of overlegd. Neem je gebruiker serieus. @B-Bandit haalt een mooi voorbeeld aan van hoe het wel en niet moet.
batjes
@pepsiblik6 april 2022 13:25
Mijn ervaring is vergelijkbaar met die van B-Bandit. Apparaten die volledig gemanaged worden en de mail lokaal beschikbaar hebben op dat device. Teams, Skype of whatever... Allemaal beschikbaar op iPhones, Samsungs, iPads, Windows, Macbooks en d.m.v. Citrix (met wat geklungel wegens de overheidscertificaten) zelfs op Linux. Bestanden en alles die via VPN of Onedrive/Sharepoint beschikbaar zijn.

Je kon zelfs privé apparaten laten managen en zo je spul op privé apparatuur beschikbaar krijgen (is niet aan te raden overigens).

Toch kwam ik regelmatig forwards tegen op mail adressen die alles doorstuurde naar een privé adres. Ondanks dat er meerdere manieren zijn om veilig bestanden uit te wisselen (Onedrive/Sharepoint linkjes of 'veilig mailen'), toch WeTransfer gebruiken.
Zowel Teams, Skype als Cisco Webex beschikbaar hebben om online te vergaderen, toch inplannen via Zoom.

Enige restrictie van vrijwel alles was, dat het via of vanaf een apparaat moet dat gemanaged wordt door de IT afdeling van het ministerie of overheidsinstelling. Dat is geen rare eis, je wilt ook niet dat alles op privé apparatuur in te zien is.

Mensen waren te beroerd om hun werk-telefoon of laptop te pakken en het liever met hun eigen apparaten doen.

Soms ontkom je er niet aan, partijen waar je mee samenwerkt die geen gebruik kunnen maken van Teams of Webex bv. Die alleen bereikbaar zijn via Whatsapp oid. Daar val ik niet over, maar het gebeurde voornamelijk voor afdelingsoverleggen of interne vergaderingen.

Persoonlijk sprak ik de mensen er op aan, dat het niet de bedoeling is. Je kwam de meest waardeloze excuses tegen. Gezien er geen consequenties vanaf hogeraf op stonden, deed ik ook niet meer dan aangeven dat het eigenlijk niet de bedoeling is.

De meest gevoelige informatie ben ik tegen gekomen die gewoon open en bloot, zonder wachtwoord op het document of zip-bestand, via de meest belachelijke derden werd gedeeld. Informatie die je niet in handen van andere mogendheden wilt hebben, gewoon op een gouden dienblad weggeven.

Wat dat betreft ben ik blij dat ik weer in het 'normale' bedrijfsleven zit. Ambtenaren zijn gevoelsmatig veel lakser met de verantwoordelijkheid van hun werk.
pepsiblik
@batjes6 april 2022 14:57
Dankjewel voor de verduidelijking. Hier ben ik het wel mee eens.
geert1
@911GT26 april 2022 10:36
Dat is een grote als. Wanneer is de bruikbaarheid "zo slecht"? Zou er echt niet te werken zijn met de officiële e-mail, of is Hugo hier gewoon niet bereid om enige veiligheid in acht te nemen? Gebruikers zeggen al snel dat iets onwerkbaar is zodra het enige moeite kost. Sommige gebruikers worden al ziedend als ze hun favoriete wachtwoord niet kunnen gebruiken...

Elke baan heeft dingen waar je om moet denken, die je zelf misschien liever niet, of anders, zou doen. Dan ligt het altijd op de loer om de weg van de minste weerstand te kiezen. Velen doen dat dan ook, wat dan ook meestal direct het grootste veiligheidsrisico is: de gebruiker. Maar als minister zou je moeten weten dat transparantie en controleerbaarheid van enorm belang zijn in een democratie. Dat maak je lastiger met niet-officiële kanalen, en ik kan me niet voorstellen dat De Jong dat niet wist. Zo'n positie in een regering is niet zomaar een baantje, en zelfs met de meeste andere banen had je ook bepaalde protocollen om rekening mee te houden. Dit moet haast gemakzucht zijn, of misschien een stukje moedwillig achterhouden van informatie waar dat handig uitkomt.
latka
@911GT26 april 2022 10:27
Er is echt iets aan de hand: er zijn dieven op pad die je data willen. Dus doe je de boel op slot. Ik hoor mensen ook niet klagen dat een deur zo in de weg zit bij je huis in lopen. En dan ook nog die stomme sleutel drie keer omdraaien. Waarom klagen mensen daar niet over? Omdat het evident is dat je voordeur open laten staan een stom idee is in een land waar niet achter iedere boom een agent staat. Dat besef lijken gebruikers te verliezen als het digitaal gaat. Kun je zeggen dat je beveiliging te strikt is en er echt iets aan de hand is, maar volgens mij begint het probleem toch echt tussen de oren van de gebruiker op dat moment. Dat 2-FA met bloedafname niet past als beveiliging op e-mail lijkt me dan logisch maar volgens mij was dat hier niet het probleem als ik de berichten zo lees.
84hannes
@latka6 april 2022 10:33
En dan ook nog die stomme sleutel drie keer omdraaien. Waarom klagen mensen daar niet over?
Omdat ze die sleutel elke week moeten afgeven bij een loket en dan weer een nieuw moeten terug krijgen, omdat de sloten op woensdag 9:00 uur vervangen worden. Dat loket is overigens pas vanaf 11:00 open, dus tussen 9:00 en 11:00 moet je of nog thuis zijn, of je kunt je eigen huis niet in. Je kunt ook je sleutel op vrijdag al omwisselen, maar dan kun je het hele weekend je huis niet in.

Het probleem is niet dat er beveiliging is, maar dat de beveiliging onwerkbaar is. Waarom moet een minister bijvoorbeeld regelmatig zijn wachtwoord veranderen, omdat het pas erg is als een derde meer dan een maand toegang heeft to vertrouwelijke documenten?
lilmonkey
@84hannes6 april 2022 11:12
Wachtwoord periodiek vervangen is sowieso slecht voor de veiligheid en wordt al lang niet meer aangeraden.
batjes
@lilmonkey6 april 2022 15:18
Toch blijven de IB/SEC afdelingen er op aandringen. Ook na protest van mij en collega's, onderbouwt met bronnen en onderzoeken.

Kansloos, wachtwoorden zijn daardoor ontzettend voorspelbaar.
mjtdevries
@batjes6 april 2022 16:08
Dat laatste lijkt me onwaarschijnlijk. Die IB/SEC afdeling heeft waarschijnlijk ook een tool draaien die bij jouw nieuwe wachtwoord controleert dat het niet onzettend voorspelbaar is.
batjes
@mjtdevries6 april 2022 16:15
Naar mijn ervaring, bij verschillende onderdelen bij de overheid, is dat niet het geval. Wat verwacht je als de informatie beveiliging afdeling toch niet kijkt naar best practices.
latka
@84hannes6 april 2022 10:38
De beveiliging is, als de CISO zijn werk goed doet, op het niveau van de data/spullen die beveiligd moeten worden. Voor een woonhuis is dat een sleutel met een vaste codering. Maar als het om nucleaire installaties gaat zijn het 2 sleutels op 1 moment en ik denk ook dat de goudvoorraad achter iets meer waarborgen zit. Als minister beschik je over informatie die een gewone burger niet heeft, dus iets meer beveiliging kan geen kwaad. Dat je het onwerkbaar vind kan ik me voorstellen, maar dan moet je dat werk niet doen OF een inhoudelijke discussie starten over het niveau van de beveiliging of de invulling daarvan.
Honytawk
@84hannes6 april 2022 10:39
Omdat ze die sleutel elke week moeten afgeven bij een loket en dan weer een nieuw moeten terug krijgen, omdat de sloten op woensdag 9:00 uur vervangen worden. Dat loket is overigens pas vanaf 11:00 open, dus tussen 9:00 en 11:00 moet je of nog thuis zijn, of je kunt je eigen huis niet in. Je kunt ook je sleutel op vrijdag al omwisselen, maar dan kun je het hele weekend je huis niet in.
Dan maar het huis van de buren gebruiken dat geen deur heeft?
Ook geen oplossing.
pepsiblik
@Honytawk6 april 2022 14:59
Niet voor de organisatie als geheel, wel voor die ene werknemer die afgerekend wordt op zijn/haar productiviteit.
NielsFL
@84hannes6 april 2022 11:49
Dat klinkt heel vervelend. Totdat je een leger assistenten en stagiaires om je heen verzamelt die hier bij kunnen helpen. Zo kun je er eentje in je huis achterlaten, deze kan dan altijd de deur open doen wanneer je thuis komt.
mjtdevries
@84hannes6 april 2022 16:12
Omdat ze die sleutel elke week moeten afgeven bij een loket en dan weer een nieuw moeten terug krijgen, omdat de sloten op woensdag 9:00 uur vervangen worden. Dat loket is overigens pas vanaf 11:00 open, dus tussen 9:00 en 11:00 moet je of nog thuis zijn, of je kunt je eigen huis niet in. Je kunt ook je sleutel op vrijdag al omwisselen, maar dan kun je het hele weekend je huis niet in.
De werkelijkheid is echter dat je helemaal niet de sleutel elke week bij een loket hoeft af te geven, maar dat er een knopje op zit dat je zelf wanneer het jou uit komt kunt indrukken en dan configureert die sleutel zichzelf naar een nieuwe variant. Dus je hebt helemaal geen last van openenings tijden van een loket.
En de sloten worden helemaal niet op woensdat 9:00 vervangen. Dat gaat 24/7 zonder enige downtime.
Waarom moet een minister bijvoorbeeld regelmatig zijn wachtwoord veranderen
Om dezelfde reden waarom heel Nederland regelmatig zijn/haar wachtwoord bij zijn/haar bedrijf/school moet veranderen.
Dit is nog steeds volstrekt normaal in vrijwel elk bedrijf/school. Doe een poll hier en 95% zal aangeven dat ze dat ook moeten doen.
Waarom is deze minister de enige persoon in Nederland die daar blijkbaar gigantisch veel moeite mee heeft?
84hannes
@mjtdevries6 april 2022 20:10
Waarom is deze minister de enige persoon in Nederland die daar blijkbaar gigantisch veel moeite mee heeft?
Niet mijn woorden.
911GT2
@latka6 april 2022 10:34
Euh dat is precies waarom er dingen bestaan zoals 'bold' die dus wel veilig zijn zonder 3 keer een sleutel om te draaien. Dus je metafoor werkt niet.
latka
@911GT26 april 2022 10:42
Hij werkt wel: je wil spullen beveiligen met een deur+slot. Dat je de invulling anders doet (digitale sleutel ipv. fysieke sleutel) maakt voor de metafoor niet zoveel uit: je zet nog steeds spullen achter een deur met een slot versus geen deur of slot. Vervolgens kun je de discussie over gebruiksvriendelijkheid starten (sleutel of smartphone), maar je kiest niet de door optie: voordeur+slot eruit. Dat is het punt.
Immanent Ike
@latka6 april 2022 11:03
maar je kiest niet de door optie: voordeur+slot eruit. Dat is het punt.
Daar koos Hugo toch ook niet voor? Hij gebruikte een andere device met minder beveiliging. De metafoor zou kloppen als je in plaats van de goed beveiligde voordeur de garagedeur gebruikt, terwijl je beveiligers hebben verteld dat je die niet moet gebruiken omdat die niet voldoende beveiligd is. Dat is dus geen oplossing.
mjtdevries
@Immanent Ike6 april 2022 16:16
Hij gebruikte een andere device met minder beveiliging.
Minder of geen?
Niet alleen gebruikte hij een iPad waar minder beveiliging op zit. Hij gebruikte prive email. SMTP heeft GEEN beveiliging.
Je mag HOPEN dat hij een prive email adres gebruikte dat standaard opportunistic TLS geactiveerd heeft staan.
En je moet HOPEN dat op de iPad nog wat beveiliging werd afgedwonen door de MDM oplossing van het ministerie. Maar die prive email kan ie van elk willekeurig device openen. Hoeveel mensen hebben geen enkele beveiliging op hun thuis PC? Je wilt ze de kost niet geven!
thomas84
@911GT26 april 2022 10:28
Is dat echt zo? Om de zoveel tijd een wachtwoord wijzigen maakt het onbruikbaar? Ik vind het vooral verontrustend dat ambtenaren de bevelen van de Jonge opvolgen en bewust buiten de protocollen vertrouwelijke informatie via zijn privemail op een amerikaanse server droppen. Uit WOB verzoeken blijkt dat ze weten dat het niet mag, en toch doen.

Ik kan me na de privé emailserver van Hilary Clinton niet meer voorstellen dat je zo incompetent kan handelen als de Jonge.
MikeyMan
@thomas846 april 2022 11:08
Nee, af en toe een wachtwoord wijzigen maakt het niet onbruikbaar.

De hoepels waar je doorheen moet springen om een ridicuul wachtwoord te verzinnen van 35 tekens, zonder herhaling van eerdere (delen van) wachtwoorden, blokkeren van opvolgende cijfers en letters en zelfs bij elkaar in de buurt liggende toetscombinaties maakt het dit wel.
Get!em
@MikeyMan6 april 2022 11:49
Ik moet ook altijd wel lachen (eigenlijk huilen) als webdiensten mijn wachtwoorden afkeuren als ik die laat genereren met mijn password manager. 64 tekens, alles toegestaan. Als die webdienst dan vrolijk meldt: uw wachtwoord is niet veilig genoeg.....
Regelmatig dat ik terug moet naar <10 tekens en een beperkte set aan symbolen. Gelukkig vaak dan wel voor minder gevoelige diensten, maar toch...

[Reactie gewijzigd door Get!em op 6 april 2022 11:49]

PrismSub7
@Get!em6 april 2022 13:16
Nog beter, een website die het wachtwoord afsneed bij 12 tekens zonder het te melden. :Y)
Wilfred86
@MikeyMan6 april 2022 13:25
Tegenwoordig is het toch in zwang om een passphrase te gebruiken in plaats van wachtwoord? Zoiets als: Tweakersismijnfavorietewebsite en dan alle e'tjes vervangen door 3'tjes.

[Reactie gewijzigd door Wilfred86 op 6 april 2022 20:54]

mjtdevries
@Wilfred866 april 2022 16:25
In theorie ja, maar in de praktijk accepteren juist de sites met gevoelige informatie geen lange wachtwoorden. Ik ben er al heel vaak tegenaan gelopen. Met name bij banken en credit card maatschappijen.
icecreamfarmer
@MikeyMan6 april 2022 14:49
Dit ja. Is hier pas geïmplementeerd zodat ik nu mijn wachtwoord heb moeten opschrijven.
Gropah
@911GT26 april 2022 10:26
Je hebt een punt, zeker. En in het geval van de Jonge is het probleem deels ook een overijverige IT dienst geweest, blijkt uit:
Hij noemt als voorbeeld het probleem dat kabinetsstukken in het Rijksoverheidssysteem niet kunnen worden aangepast. "Maar dat kan wel heel makkelijk op mijn iPad", zegt hij.
Maar aan de andere kant, dan had hij bij IT moeten aankloppen van "joh, hoe kan ik dit dan wel doen? En als dat niet kan, kun je het dan mogelijk maken?", in plaats van het maar naar zijn prive email te sturen.
BrennuS
@Gropah6 april 2022 10:49
hoezo "overijverig" of bedoel je dat ze alles juist mogelijk maken: hij beschikt over een telefoons, ipads en laptops (x2) en heeft VIP ondersteuning, dat betekend 24/7 ICT ondersteuning op standby.

en dan ... kabinetsstukken aanpassen op een ipad ...?!?!? volgens mij heb je daar juist de laptop voor gekregen.

Ik vind het nogal arrogant naar zijn ambtenaren en ondersteuning om op deze manier af te wijken van de regels. Dit is niet onbewust meer maar bewust. Gelijktijdig was hij vervanger van Rutte en dan gooi je het ook nog eens in de icloud.

Komende week komt bureau halt bij mijn zoontje in groep 8 op bezoek om uit te leggen wat je wel en niet moet doen op internet. Zal eens vragen of ze een plekje hebben.
bytemaster460
@Gropah6 april 2022 10:34
Maar als je daar aanklopt is er geen garantie dat de IT-afdeling dan zegt: OK, gaan we oplossen. Vaak is er voor een principe gekozen en blijft men daar bij.
Gropah
@bytemaster4606 april 2022 10:36
Zit zeker wat in. Ik denk dat als ik aanklop ik dan weg word gelachen. Maar voor de Jonge denk ik dat dat toch wat anders gaat :P
bytemaster460
@Gropah6 april 2022 19:11
De Jonge is minister, niet de directeur IT. De tijd dat een hooggeplaatst persoon gewoon bij een IT afdeling kan aankloppen en zeggen dat het anders moet is toch echt voorbij. De Jonge heeft geen enkele zeggenschap over de faciliteiten op zijn ministerie.
jannick63
@bytemaster4606 april 2022 15:00
Dat lijkt mij sterk, als de Jonge zich sterk maakt in zijn argument. Dan gaat een IT Manager echt wel intern overleggen hoe e.e.a. anders kan.

Ja in het begin worden zaken vaak op een bepaalde methode ingericht, echter is mijn ervaring dat als iemand fatsoenlijke argumenten heeft. Hier altijd een oplossing voor te bedenken is, uiteraard moet je hiervoor netjes een ticket maken en zorgen dat je leidinggevende ook snapt waarom e.e.a anders zou kunnen of moeten. Maar hier gaat het vaak al mis, iemand wil geen ticket maken of gaat bellen met een stagiair op de afdeling die ja en amen zegt. Dan krijg je inderdaad geen verandering.
nst6ldr
@911GT26 april 2022 10:32
Dat is te makkelijk gedacht: we accepteren namelijk een hoop als het bijvoorbeeld brandveiligheid aangaat, want dat is tastbaar. Je persoonlijke veiligheid is belangrijk. Bedrijfsgeheimen die uitlekken zijn pas tastbaar als het je persoonlijk wordt aangerekend en het je baan kost.

Er kan niet genoeg vereenvoudigd worden voor de doorsnee gebruiker om beveiliging acceptabel te vinden als het de werksfeer betrekt, puur omdat het niet in het directe belang van de medewerker is maar het bedrijf.

Niet dat ik dat goedkeur overigens, het is erg laconiek, maar zo herken ik het wel. @ApexAlpha vast ook.
911GT2
@nst6ldr6 april 2022 10:36
Welke concessies moet jij dan doen om je brandveiligheid te garanderen, vast niet iets waar je dagelijks meerdere keren per dag hinder van ondervind.
nst6ldr
@911GT26 april 2022 10:39
Ligt er maar net aan wat voor werk je doet natuurlijk, in fysieke beroepen moet je soms zelfs een warm en ongemakkelijk pak dragen, maar dat doe je nu eenmaal want je wil geen brandwonden. Brandwerende deuren e.d. hebben daarentegen minder aandacht, want als je de ruimte eenmaal uit bent boeit het niet echt dat er een paar miljoen aan apparatuur staat te smelten.
Arfman
@911GT26 april 2022 11:00
Of verwachten van een minister van de staat dat hij zich gewoon ana de regels houdt. Je hebt het wel over potentieel zeer gevoelige informatie (kijk alleen al naar de shitstorm na "functie elders", moet je je voorstellen wat er wa s gebeurd als er een echt gevoelig document op straat kwam te liggen), soms zelfs op staatsveiligheidsniveau. Dan is een beveiligd device met 2FA wel het minste wat ik verwacht.

Ik denk dat de Verenigde Staten wel blij was met het gebruik van iCloud.
911GT2
@Arfman6 april 2022 11:17
Het waren geen regels, het was een advies. Dat is nogal een verschil.
Arfman
@911GT26 april 2022 12:26
Klopt, wat op zichzelf natuurlijk ook al absurd is. Maar inderdaad, het was slechts een advies.
wberkel
@Arfman16 april 2022 08:03
Zoals hij zelf advies uitlegde tijdens corona persconferentie's: "die zijn er wel om op te volgen. Het is ook een advies om eerst naar links en rechts te kijken als je de straat over steekt."
NielsFL
@911GT26 april 2022 11:33
Het WOB verzoek laat zien dat Hugo de regels overtreed, maar laat ook zien dat vrijwel alle andere betrokkenen de regels netjes weten te volgen. Dat suggereert voor mij toch dat het hier meer een tekortkoming van Hugo is dan van het gebruikte systeem.
EldraziKlap
@NielsFL6 april 2022 12:00
Nee, dat laat het niet zien.

Er wordt Ministers 'sterk afgeraden' privémail te gebruiken, maar het is niet expliciet verboden .
Vizzie
@911GT26 april 2022 10:25
Dit dus.

Er moet altijd een balans zijn tussen veiligheid en bruikbaarheid, als die te ver naar de ene of de andere kant doorslaat heb je een probleem. Getuige deze toestand.

Ik durf er wel een fles wijn op te zetten dat De Jonge echt niet de enige bij VWS (en andere ministeries) was die dit deed.

Hij had in zijn positie misschien wel de mogelijkheid om er (onhandige systeem) iets aan te (laten) doen in plaats van zich er gemakkelijk vanaf te maken en gewoon z’n iPad te gebruiken.

Dat neem ik hem hierin nog het meeste kwalijk, maar goed hij had ook een hele hoop andere (belangrijkere) dingen op z’n bordje de afgelopen jaren dus dat het er niet van gekomen is dit op te lossen kan ik ook nog wel inkomen.
xxxneoxxx
@911GT26 april 2022 11:16
Ja, of de gebruiker snapt het niet. Of de gebruiker vind beveiliging maar 'lastig'.
Sircuri
@911GT26 april 2022 11:27
Precies.. hoeveel post-it notes zijn er geplakt op beeldschermen met wachtwoorden erop. Dat heeft een reden namelijk. Is geen onwil of onkunde, maar totaal gebrek aan gebruikersvriendelijkheid.

We zijn recent (3 maanden) overgestapt op een wachtwoord zin die ook niet meer verloopt. Je moet een wachtwoord pakken van minstens 20 karakters. Voorheen verliep het wachtwoord elke 60 dagen en werden mensen steeds minder creatief in het verzinnen van iets nieuws. Wachtwoord!03, Wachtwoord!04 want je er moest wel een vreemd teken in zitten. Later werd ook toegevoegd dat het wachtwoord niet te veel op de vorige mocht lijken. Toen ging iedereen helemaal door het dak.
HuisRocker
@911GT26 april 2022 12:15
Er zou in dit geval geen alternatief moeten zijn, dat wil zeggen:

Bij constatering privé mail (of iets vergelijkbaars) gebruikt voor overheidszaken = bye bye zwaaien naar je baan bij die overheid (en evt. er nooit meer welkom zijn zo je wil).

Daarna is het echt heel snel (bijna) afgelopen met 'je eigen pad kiezen'.
Waswat
@911GT26 april 2022 10:33
Ik durf te wedden dat het iets te maken heeft met bestanden versturen via mail. Dat ze bijv worden geblokkeerd in z'n zakelijke mail daarentegen wel doorkomen in z'n privé mail.

[Reactie gewijzigd door Waswat op 6 april 2022 10:34]

oZy
@ApexAlpha6 april 2022 10:49
Niet voor niets dat standaarden zoals ISO27001 hameren op "Leadership & Commitment". Zulk beleid succesvol implementeren in een organisatie werkt alleen als dat top down gebeurt. Dit soort simpele maatregelen stranden maar al te vaak bij het top management.

[Reactie gewijzigd door oZy op 6 april 2022 10:52]

Cergorach
@ApexAlpha6 april 2022 10:12
Een groot bedrijf waarbij al decennia lang keihard aan de teugels wordt getrokken qua security, is het vaak al bijna onmogelijk om wat te doen wat niet mag op werk systemen. Wat je daar vaak krijgt is een stukje schaduw IT, iets waar de CISO geen zicht op heeft en over het algemeen pas als laatste partij over wordt ingelicht dat het er is...

Dat je er van 'cringed' begrijp ik geheel! maar als je wat vaker bij verschillende bedrijven komt, zeker waar je juist dergelijke security features aan het implementeren bent, kom je dergelijke acties op alle lagen tegen en van alle competenties. Directie, management, kantoor personeel en imho het ergste, andere ITers...

Dat komt in mijn ervaring omdat de meeste mensen oogkleppen op hebben en eigenlijk alleen kijken naar hun eigen werk. Mensen die consequent buiten hun eigen gebied kijken zijn zeldzaam, zelfs binnen IT (waarbij je zou verwachten dat security deel is van je eigen gebied). Vergeet ook niet dat CISO je eigen gebied is... En dan zie je juist weer vaker dat CISO niet veel verder kijkt naar security en niet naar bv. gebruikersvriendelijkheid en beheerbaarheid... ;-)

Hugo de Jonge is opgeleid tot basisschool leraar, omdat hij minister is (een politieke aanstelling), geeft hem dat niet opeens een extra zet vaardigheden/inzichten. Volgens mij hebben we dit namelijk ook al gezien bij andere politici in de afgelopen decennia wat betreft tot IT en security. Dat hij daar nu toevallig publiekelijk op betrapt betekend niet dat de andere ministers, 1e/2e kamer, etc. dit niet ook gewoon regelmatig doen... Er zullen er zeker zijn die dat (bijna) nooit doen, maar ik denk dat het je tegen zal vallen hoe weinig dit er zijn...
EldraziKlap
@Cergorach6 april 2022 12:07
Ik ben het met je eens en vind je realistische kijk op zaken verfrissend. Ik denk dat menig IT'er die ervaring heeft met consultancy en veel verschillende bedrijven en bedrijfs- en competentieculturen meemaakt, jouw verhaal kan beamen.

Ik ken ontzettend competente mensen die gewoon net zo lomp omgaan met cybersecurity als de eerste de beste vakkenvuller.

Het is een issue die opgelost moet worden door het extreem gebruiksvriendelijk te maken, omdat mensen in hun gedrag simpelweg niet gaan veranderen, hoe hard je ook je best doet. Dat is niet eerlijk, maar als je echt de meest veilige route wil nemen dan zorg je dat je hetzelfde gebruiksgemak kan bieden.
joostiphone
@ApexAlpha6 april 2022 10:16
Ja je zal maar vanaf je werklaptop en werkmobiel moeten mailen in plaats vanaf je eigen iPad/telefoon.

Bij menig bedrijf krijg je een zware waarschuwing of zelfs direct ontslag. Ik begrijp niet dat bij dit soort kritische functies dat niet gedaan wordt. Over zijn Covid-keuzes valt te discussiëren, maar dit is gewoon echt niet normaal, dat iemand dit met een gezond verstand kan doen.

Ik word om de 2 maanden dood (een non-IT bedrijf/non-overheid) gegooid met Information Security courses, en als je het niet doet volgen er al consequenties. Wat krijgen die gasten in Den Haag dan voorgeschoteld?
EldraziKlap
@joostiphone6 april 2022 12:08
Bij menig bedrijf krijg je een zware waarschuwing of zelfs direct ontslag.
Niet als je (upper)management bent, hoor. Die slaan waarschuwingen van IT gewoon de wind in.
Frituurman
@ApexAlpha6 april 2022 11:33
Niet tech savvy zijn, zegt niets over iemands capaciteiten als minister, natuurlijk. Net zo min als een diploma je beter maakt in beroep X. Certificeringen zijn leuk, maar zeggen in feite alleen maar iets over in hoeverre je de theorie meester bent. Ik snap je wel hoor. Ik spreek collega's ook op gedrag aan (laptop niet vergrendelen als je er bij wegloopt, etc), maar sommige dingen zijn echt zó krom geregeld, dat het ontzettend lastig wordt gemaakt, zo niet onmogelijk, om behoorlijk je werk te kunnen doen op geboden bedrijfsmiddelen.
Jiskefet296
@ApexAlpha6 april 2022 12:37
Ik begin oprecht te twijfelen of deze man het allemaal met kwade bedoelingen doet of dat hij oprecht niet capabel is om op dit niveau te opereren als minister.

Tsja, dat is altijd het grote complotdilemma. Of je gelooft dat al die mensen heel slim zijn en dat zoiets kwade opzet is of je denkt dat ze niet slim zijn en ze van de ene blunder in de andere duikelen.

In het verleden waren deze discussies overbodig want toen stapte een minister al bij de geringste twijfel op. Slim of dom; het lijkt me een sierlijke oplossing als De Jonge per direct zelf opstapt. Privé mail is al een no-go en dan ook nog twijfelachtige deals.
Genosha
@ApexAlpha6 april 2022 09:59
Ik vind om 8 uur beginnen en om 6 uur mijn bed uitkomen ook gebruiksonvriendelijk. Maar als ik dat tegen de baas zeg zal mijn contract beëindigd worden.
bytemaster460
@Genosha6 april 2022 10:37
Wat een raar vergelijk. Als alles veilig moet moet je als IT dienst er alles aan doen om het zo gebruiksvriendelijk mogelijk te maken. Ik werk voor twee ziekenhuizen. Bij de ene is het een ramp en bij de andere werkt het gemakkelijk terwijl bij beiden de beveiliging op orde is.
3DDude
@ApexAlpha6 april 2022 11:00
Dan ga je samen met de IT in gesprek waarom het onwerkbaar is en fix je samen de problemen.
I.p.v. prive mail te gebruiken.

Maar hugo is ook geen zuivere man, heeft ook gesms/app't naar zijn ambtenaren maak die deal met sywert en op tv zei die ik weet van niks.
salutem
@ApexAlpha6 april 2022 22:05
Of gewoon beide.
LittleKiller
6 april 2022 09:47
Dit is dan wel komisch, blijkbaar is het systeem zo onhandelbaar dat er wordt teruggegrepen op persoonlijk email?

Dan is je gebruiksvriendelijkheid je grootste vijand voor je beveiliging.

Edit: dit zal niet de enige minister/ambtenaar zijn die dit doet. Naar mijn mening is het dan gewoon een falend systeem. Als je een werknemer een langzame computer geeft waardoor hij per uur 10 minuten bezig is met IT gezeik, is je werknemer maar 5/6 van de tijd productief. Lekker als van je wordt verwacht dat je 10 uur werkt per dag

[Reactie gewijzigd door LittleKiller op 6 april 2022 09:48]

Helium-3
@LittleKiller6 april 2022 10:00
Geloof me, ik ben ICTer en vind de beveiligingsmaatregelen van de overheidsinstelling (ZBO) waar ik werk heel goed maar ook verschrikkelijk. Ik werk uit principe op Linux - op mijn eigen hardware dus en minder graag werk ik op m'n werk-laptop van Windows. Maar Linux is natuurlijk niet te verifiëren of controleren door mijn werkgever, dus vanuit veiligheid is elke sessie, bijvoorbeeld voor inloggen op m'n mail, maar 30 minuten geldig. Na 30 minuten ververst het mail-tabblad zich en moet ik opnieuw inloggen, waarbij ik een 2FA code vanaf m'n telefoon moet overnemen. Om die 2FA code te zien moet ik de Microsoft Authenticator app openen, welke nog eens mijn vingerafdruk vraagt, naast dat ik die al nodig had om mijn telefoon te ontgrendelen.

Is dit beter op officiële werk-hardware? Nee, zeker niet, op de Windows laptop die door mijn werkgever beheerd wordt mag ik niet eens kopiëren en plakken van/naar Microsoft Edge (de enige toegestane browser). Even een tekstje van internet kopiëren is er dus niet bij. Dit geld ook wanneer ik de mail in m'n browser benader, even een tekstje van een lokaal bestand naar de mail kopiëren kan niet. En verder zitten ook bij het gebruik van deze laptops meerdere 2FA/MFA prompts per werkdag bij. Oh, en ik moet op m'n telefoon speciaal de app "Company Portal" van Microsoft installeren welke mijn telefoon zo instelt dat ik voor alle Microsoft apps (OneDrive, Outlook, etc) elke keer dat ik de app open opnieuw m'n vingerafdruk moet scannen en dat melding-inhoud niet langer in notificaties getoont mag worden - dit heeft dus ook impact op m'n eigen privémail en bestanden van Microsoft/outlook.

Ik doe alles netjes volgens de regeltjes, al werk ik op m'n eigen apparaten wel met Linux, maar nog altijd binnen de regels. Het zal ongetwijfeld heel goed zijn, maar verschrikkelijk is het voor mijn gebruikservaring.
GekkePrutser
@Helium-36 april 2022 10:15
Maar Linux is natuurlijk niet te verifiëren of controleren door mijn werkgever, dus vanuit veiligheid is elke sessie, bijvoorbeeld voor inloggen op m'n mail, maar 30 minuten geldig. Na 30 minuten ververst het mail-tabblad zich en moet ik opnieuw inloggen, waarbij ik een 2FA code vanaf m'n telefoon moet overnemen. Om die 2FA code te zien moet ik de Microsoft Authenticator app openen, welke nog eens mijn vingerafdruk vraagt, naast dat ik die al nodig had om mijn telefoon te ontgrendelen.
De optie om op prive hardware je mail te lezen zal net als bij ons bedoeld zijn voor incidenteel gebruik in noodgevallen (snel iets moeten regelen en werk laptop niet bij). Omdat er geen beperkingen aan zitten zodat je zelfs in bijv. een internet cafe in zal kunnen loggen, zit daar vaak een harde timeout aan ja. Wij doen dit bij ons precies zo. Als je het bij ons doet, kan je ook geen attachments downloaden. Je bent het jezelf hier gewoon lastig aan het maken.

We geven niet voor niets een werklaptop en een werktelefoon. Ik werk zelf ook liever met Linux maar het is zoals je zegt gewoon niet betrouwbaar te beheren. Tenzij je er enorm in investeert en je beperkt tot 1 distributie. Bij ons hebben we gewoon te weinig gebruikers die Linux zouden willen om dit rendabel te maken, bovendien de gebruikers die Linux nodig hebben voor hun werk (R&D) hebben meestal verschillende distro's door elkaar heen. Die kunnen we nooit allemaal ondersteunen dus die werken in afgeschermde lab omgevingen.

We hebben er wel mee getest maar als ik eerlijk ben: Een strak beheerde Linux is nog minder bruikbaar dan Windows, geloof me. De redenen dat je Linux prefereert zullen in elk geval allemaal niet meer opgaan. Want gewoon ff een paar appjes via apt binnen trekken of een repository toevoegen gaat hem niet meer worden. En zonder beheer kan je niet garanderen dat de gebruikers zich aan de security policy houden, wat gewoon een eis is vanuit de wet tegenwoordig met GDPR.
Is dit beter op officiële werk-hardware? Nee, zeker niet, op de Windows laptop die door mijn werkgever beheerd wordt mag ik niet eens kopiëren en plakken van/naar Microsoft Edge (de enige toegestane browser). Even een tekstje van internet kopiëren is er dus niet bij. Dit geld ook wanneer ik de mail in m'n browser benader, even een tekstje van een lokaal bestand naar de mail kopiëren kan niet.
Ik ben zelf jarenlang beheerder geweest van Intune / Microsoft Endpoint Manager (waar Company Portal het user-facing deel van is) en het probleem hier is niet alleen het beheer. Het is ook de technieken die je als beheerder ter beschikking hebt.

Op Windows kan je niet aangeven uit welke apps er geknipt en geplakt kan worden. Daardoor stel je je hele klembord open aan eventuele malware. Op mobiel kan dit wel. Vandaar dat vaak de enige mogelijkheid is om alle knippen en plakken naar de webbrowser te verbieden als de eis is vanuit security dat bijvoorbeeld geen data uit de werk databases op internet geplakt kan worden.

Op Android heb je bijvoorbeeld ook een zeer fijne "Work Profile" omgeving waarmee je privedata en bedrijfsdata strak gescheiden kan houden. Eigenlijk is het een soort "Werk VM" die je op je prive telefoon kan installeren. Hiermee kan je de "Prive kant" van de telefoon grotendeels vrij laten van beheerbeperkingen en dat is heel fijn. Dan kan je gewoon knippen en plakken tussen werk apps (maar niet tussen prive apps en werk uiteraard!!). Ook kan je je hele werkongeving met 1 druk op de knop uitschakelen, inclusief notificaties. Helaas hebben desktop OS'en niet zulke strikte scheidingen. Ook zie ik weinig ontwikkeling in die richting (waarschijnlijk omdat het legacy toepassingen stuk gaat maken).

Apple is overigens wel redelijk bezig in die richting, met popupjes als een app bijvoorbeeld toegang wil tot je scherm om screen sharing te doen, of in je documentenfolder wil kijken. Helaas valt het enterprise beheer hiervan nogal tegen (zoals heel veel op macOS). Het is vooral een privacyfunctie vanuit Apple gezien, niet echt een beheerfunctie.
dit heeft dus ook impact op m'n eigen privémail en bestanden van Microsoft/outlook.
Dat moet je ook eigenlijk op je eigen hardware doen.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 10:37]

joppe.s
@GekkePrutser6 april 2022 11:12
Ik werk niet als ICTer maar als gebruiker op dit soort beveiligde omgevingen en in gesprekken met allerlei soorten ICTers verbaas ik me altijd over de rechtlijnigheid aangaande de beveiliging.

Wat is het primaire doel van het bedrijf? Dat is een vorm van productie (dit geldt ook voor ook overheid en ziekenhuis). je zou kunnen zeggen dat de medewerkers van het bedrijf die de productie (whatever it is) creëren, het hart van het bestaansrecht van die instelling is. Nou wil ik helemaal niet het specifieke geval van de Jonge gebruiken, maar meer de bovenstaande gebruiker Helium-3. Als Helium-3 minder productie kan leveren door de beperkingen van de ICT, is dat dan nog goed? Hoeveel productievermindering door gebruiksonvriendelijke systemen ga je accepteren in een instelling? 5%? 10% >10%?

Dan heb ik niet over de tijdsinvestering van het opnieuw unlocken, maar ook de frustratie die erbij komt kijken. Als je niet makkelijk een stukje tekst kan overnemen van internet, niet gemakkelijk een document kan lezen of aanpassen, maar je moet dan door extra hoepels springen. Dit allemaal kost energie een aandacht en die kunnen we nou eenmaal maar 1 keer spenderen. Dus als ik 5% van mijn tijd bezig ben met niet-mijn-core-business, dan is dat -5% voor het bedrijf. Als ik normaal gesproken in mijn vrije tijd even snel een werk-document zou doornemen op mijn iPad, moet ik dat nu doen gedurende werktijd. En misschien heb ik er dan geen tijd voor vrij kunnen maken, wat dan? Of ik lees het document niet, met alle gevolgen van dien.

Al dit soort anekdotische voorbeelden om te laten zien, dat beveiliging tot op beperkte hoogte de werkbaarheid van de werknemers in de weg mag staan. En dat je als ICTer meer moet doen om iets een prettiger werkomgeving te maken dan alleen maar 'superveilig'.

Daarnaast weet ik uit ervaring dat zodra het te gebruiksonvriendelijk wordt, de medewerkers allerlei manieren gaan zoeken om het toch werkbaar te maken (zie de Jonge). 'Werkbaar' is verschillend voor iedereen, dus ook dat is een voortdurende balans tussen werknemers en ICT, maar die balans zou wel dus wel dynamisch twee kanten op moeten werken. Als de medewerkers in jouw instelling het onwerkbaar vinden, dan zou je je dat eigenlijk moeten aantrekken als ICTer en je stinkende best moeten doen om te luisteren naar de klachten en oplossingen te zoeken.
GekkePrutser
@joppe.s6 april 2022 11:18
Wat is het primaire doel van het bedrijf? Dat is een vorm van productie (dit geldt ook voor ook overheid en ziekenhuis). je zou kunnen zeggen dat de medewerkers van het bedrijf die de productie (whatever it is) creëren, het hart van het bestaansrecht van die instelling is. Nou wil ik helemaal niet het specifieke geval van de Jonge gebruiken, maar meer de bovenstaande gebruiker Helium-3. Als Helium-3 minder productie kan leveren door de beperkingen van de ICT, is dat dan nog goed? Hoeveel productievermindering door gebruiksonvriendelijke systemen ga je accepteren in een instelling? 5%? 10% >10%?
Dit is absoluut een overweging maar eentje die al is gemaakt voordat deze maatregel in de policy terecht komt. En niet door de ICT over het algemeen.
Al dit soort anekdotische voorbeelden om te laten zien, dat beveiliging tot op beperkte hoogte de werkbaarheid van de werknemers in de weg mag staan. En dat je als ICTer meer moet doen om iets een prettiger werkomgeving te maken dan alleen maar 'superveilig'.
Maar dat gebeurt ook. Toen ik zelf werkplek architect was, had ik mezelf enkele principes opgesteld. Bijvoorbeeld: "Nooit vragen laten verschijnen voor de gebruiker waar maar 1 juist antwoord op is". Als concreet voorbeeld, onze VPN vraagt standaard na het installeren naar wat instellingen zoals de server naam. Dit wrap ik dan in een nieuwe installer waardoor dat soort vragen niet meer verschijnen voor de gebruiker. Hiermee beperk ik de gebruikersinstructies (vroeger was dat een eindeloze lijst van instellingen die vaak niet gelezen werd). Ook ga ik voor zo min mogelijk beperkingen.

Gebruiksgemak zie ik als IT architect zeker als mijn primaire werk. Security echter is niet zozeer mijn beslissing maar een randvoorwaarde die door het bedrijf gesteld wordt. De security governance zit tegenwoordig gewoon aan tafel met de rest van de bedrijfsleiding en die maken dit soort beslissingen samen. Als ICT'er hebben we hier vooral een uitvoerende en adviserende rol, geen beslissende.

De tijd van een ICT'er die wat beperkingen aanvinkt in de group policy editor puur uit eigen inzicht is echt lang voorbij. Tegenwoordig is er een serieus beleid dat kijkt naar de meest waarschijnlijke gevaren, de technieken die deze groeperingen gebruiken en de manieren om dit te voorkomen. Zie bijvoorbeeld het MITRE Att&ck framework dat dit heel goed modelleert.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 11:20]

joppe.s
@GekkePrutser6 april 2022 17:21
Gebruiksgemak zie ik als IT architect zeker als mijn primaire werk.
Gaaf dat jij dit zo ziet, maar ik vrees dat een hoop collega's van jou deze instelling niet delen. Het is ook best begrijpelijk, want je wordt heel hard afgerekend op minder optimale veiligheid, terwijl je minder hard wordt afgerekend op onhandige werkomgeving voor de werknemers. Je krijgt wel een hoop gezeur van diezelfde eindgebruikers, maar niet van je eigen baas die ook weer wordt afgerekend op IT-veiligheid. Zie ook de reactie hieronder van mjtdevries. Het is geen verwijt, het is zelfs volstrekt logisch, maar het is wel jammer.
De tijd van een ICT'er die wat beperkingen aanvinkt in de group policy editor puur uit eigen inzicht is echt lang voorbij. Tegenwoordig is er een serieus beleid dat kijkt naar de meest waarschijnlijke gevaren, de technieken die deze groeperingen gebruiken en de manieren om dit te voorkomen.
Ik denk dat jij heel waardevol bent voor jouw organisatie, want mijn vermoeden is dat er nog steeds heel veel ICTers vanaf hun troon bureaustoel ;-), precies dit doen; eerst de hekken neerzetten en daarna kijken wat er nog mogelijk is.
Overigens heb ik zelf zelden slechte ervaringen met ICTers, maar vaak kan de individu niet zoveel meer eruit halen, dan de piketpaaltjes die voor die rol/functie zijn bepaald. En ook dat is logisch, want je kan niet iedereen root-access geven. Op een gegeven moment kost het leuren voor meer functionaliteit op zichzelf weer teveel tijd en ga je zelf maar iets creatiefs verzinnen. En zodra iemand dat doet, heb je heel snel een datalek en dan hebben we allemaal verloren.
mjtdevries
@joppe.s6 april 2022 13:05
Hoeveel productievermindering door gebruiksonvriendelijke systemen ga je accepteren in een instelling? 5%? 10% >10%?
Hoeveel AVG boetes van 10% van de bedrijfsomzet ga jij accepteren in een instelling?
Hoeveel omzet daling is acceptabel omdat klanten de security van jouw bedrijf niet voldoende vinden en naar een concurrent gaan?

Primaire doel van een bedrijf is nooit alleen maar productie. Het is altijd een combinatie van productie met een bepaalde minimale kwaliteit en security. (Anders krijg je situaties zoals in China waar ze gif in babymelk stopten)
joppe.s
@mjtdevries6 april 2022 17:25
Je hebt gelijk.

Mijn punt is dan ook niet dat je het heel onveilig moet maken. Mijn punt is dat je functionaliteit moet faciliteren om te voorkomen dat gebruikers omwegen verzinnen om jouw veilige omgeving heen. Dan heb jij persoonlijk als ICTer weliswaar alles goed gedaan qua veiligheid en valt jou niets te verwijten, maar zodra de omweg zorgt voor een datalek heb je als organisatie (in zijn geheel) iets niet goed gedaan. Functionaliteit faciliteren is tenslotte óók een kerntaak van de ICT afdeling.
laurens0619
@GekkePrutser6 april 2022 16:40
Ik denk dat die copy paste restrictie eerder een (hopeloze) poging is om dataloss tegen te gaan.
Als er malware op je pc actief is dat je klembord kan uitlezen dan is de kans groot dat de malware sowieso bij de data kan. Voor malwale lijtk het mij daarom eerder een theoretische control
GekkePrutser
@laurens06196 april 2022 16:43
Er zijn helaas verschillende browser exploits geweest die dit konden. Dan kon je zelfs vanuit javascript code in een reclame je clipboard lezen. Normaal komt er een melding die dit doet, maar die kon je dan omzeilen.

Maar inderdaad, dataloss is ook een punt. Wij staan op mobiel ook niet toe dat je bijvoorbeeld bedrijfsdata in whatsapp kan pasten.
laurens0619
@GekkePrutser6 april 2022 16:54
Als er een browser exploit is voor je klembord, dan moet je je browsers patchen :)
Ik snap je punt hoor maar tegelijk moet je erg opletten dat je niet teveel dichtzet.
Hoeveel risk reductie haal ik ermee, wat is de risk reward en wat is de usability impact.

Je kan een omgeving helemaal dichtzetten en bepaalde subproblemen oplossen.
De vraag is, los je hiermee het grotere probleem echt op?

Voor sommige mensen wel maar soms maak je het erger. Bv bij clipboard restrictie krijg je:
- Gefrustreerde mensen of nog erger, mensen die andere computers gaan gebruiken of dmv local admin rechten policies eruit slopen.
- ipv copy paste van een subtext een screenshot maken (kan ook dicht) en dus MEER informatie delen. Of een document anders classificeren zodat ze wel hun gang kunnen gaan. Of het document doormailen naar prive en dan copy pasten... etc etc

Ipv focus op blokkeren kun je beter een veilige en gebruiksvriendelijke omgeving creeren waar hun werk op een veilige en gebruiksvriendelijke manier kunnen en vooral willen doen.

En ja, dat is een makkelijker gezegd dan gedaan :)

[Reactie gewijzigd door laurens0619 op 6 april 2022 16:58]

ApexAlpha
@Helium-36 april 2022 10:10
Als jij gebruik kan maken van kopiëren/plakken dan kan malware en andere programma's dat ook (automatisch).

Verder gebruiken wij hier ook Company Portal en MS enrolled devices en niks van wat jij beschrijft merk ik hier. Ja, ik moet af en toe mijn vingerafdruk scannen maar verder werkt alles prima, ik moet eens in de maand een nieuwe MFA doen.

Dat jij je werk en prive telefoon op één toestel gebruikt is je eigen keuze, dan moet je inderdaad aan de beveiliging voldoen.

Je zegt: "Ik doe alles netjes volgens de regeltjes" terwijl je vervolgens zegt dat je 'uit principe' op een niet-supported OS werkt, terwijl je werk je notabene een beheerde laptop verschaft?
demonite
@ApexAlpha6 april 2022 10:35
Als jij gebruik kan maken van kopiëren/plakken dan kan malware en andere programma's dat ook (automatisch).
De kans is groter dat aanwezige malware wel die data kan benaderen aangezien die niet gehinderd zal worden door dat soort user policies.
GekkePrutser
@demonite6 april 2022 10:44
Dat is waar, maar browser-based malware natuurlijk niet. En dat is een behoorlijk grote categorie tegenwoordig.

Er zijn kwetsbaarheden gevonden in het verleden waarbij elke website via javascript zonder enige melding het klembord konden uitlezen. Deze policy zal daar waarschijnlijk een reactie op zijn geweest.

Wij doen dit zelf ook niet omdat het te lastig is (te veel web applicaties voor werkdoeleinden) en omdat we het risico op andere manieren inperken zoals een controlerende proxy. Maar het is wel iets om rekening mee te houden.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 10:49]

sambalbaj
@Helium-36 april 2022 10:18
Natuurlijk is privemail nooit de oplossing en nooit goed, maar het is wel heel herkenbaar.

Had gisteren nog een topambtenaar die onderweg was maar waarvan het wachtwoord van het documentensysteem ineens verlopen was. Vorige avond nog gebruikt, geen waarschuwing. Dat kan je op een iPad niet aanpassen maar alleen op de laptop die juist thuisgelaten was. Dan kan je een hele werkdag niet bij documenten, onwerkbaar. Hier werd de thuiswerkende partner ingeschakeld om op de werklaptop in loggen en het wachtwoord zo te wijzigen. Ook niet veilig met overdracht van wachtwoorden natuurlijk. Dat je dan anders krijgt van mail me dat en dat even, is het logische gevolg. Maar natuurlijk wel naar de werkmail.
GekkePrutser
@sambalbaj6 april 2022 10:34
Hebben jullie dan geen wachtwoord portal waar je vanaf bijv. je telefoon een nieuw wachtwoord in kan stellen? Of een service desk die dat voor je doet? Bij ons werkt dit zo..

Overigens als het wachtwoord verlopen is dan word je bij ons ook niet geblokkerd, je wordt alleen bij de volgende inlog gedwongen om het op dat moment te veranderen. Je krijgt ook vanaf 2 weken voor het verlopen dagelijks een emailtje ter herinnering :)

Inderdaad is het concept van continu wachtwoord veranderen nogal achterhaald. Maar het probleem is dat juist door het delen hiervan op onveilige manieren, je de risico's wat inperkt. Bij ons hebben we nu gekozen voor 180 dagen wachtwoord geldigheid. Maar persoonlijk zie ik passwordless als een veel betere optie. Veel veiliger en bovendien gemakkelijker in het gebruik. Ik probeer dit in onze organisatie dan ook te promoten.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 10:35]

wallum
@GekkePrutser6 april 2022 12:53
Weet je toevallig of dit mogelijk is met de Self Service Password Reset-functie van Microsoft365? Want het scheelt veel helpdesk-calls als je bij een verlopen wachtwoord niet geblokkeerd wordt, maar gedwongen wordt een nieuw wachtwoord in te stellen. Idem voor die dagelijkse reminders ipv 1x een email. Hangt waarschijnlijk ook van je licentie af, wij hebben Azure AD Premium P1 (zoals de meeste MKB-ers waarschijnlijk want onderdeel van de Business Premium licentie). Uiteraard wel in combinatie met MFA.
GekkePrutser
@wallum6 april 2022 12:58
Wij gebruiken niet ADFS voor de wachtwoorden maar een third-party IDP systeem. Daarom weet ik het niet. Maar ik denk dat dit met de standaard M365 tools ook wel kan ja.

Gek genoeg hebben wij geen Business of Enterprise Premium, we kopen de Windows licenties nog steeds met de laptops (we hebben er 120.000 dus dat tikt nogal aan)... Scheelt veel geld maar het is wel een stuk lastiger met de cloud licenties. Die moeten we dan los kopen. Maar ik heb begrepen dat het alsnog een hoop geld scheelt. MS probeert het steeds lastiger te maken door steeds meer functies achter de enterprise licensing te stoppen, maar het is nog steeds een flinke kostenpost om te verantwoorden.

[Reactie gewijzigd door GekkePrutser op 6 april 2022 13:02]

xxxneoxxx
@sambalbaj6 april 2022 11:46
Ik neem altijd mijn werkspullen als ik zakelijk weg ben. Misschien wat ouderwets, maar heeft iets met plannen te maken en zo.
TheVMaster
@Helium-36 april 2022 11:22
Voor wat betreft Edge (en het niet kunnen knippen-plakken), zou je een ander profiel kunnen aanmaken in Edge wat dit probleem zou ondervangen. Het lijkt er dus op dat (net zoals bij onze overheid) de ICT-ers die de boel moeten configureren niet precies weten wat ze aan het doen zijn.
primanocte
@LittleKiller6 april 2022 09:53
er werden op radio 1 andere ministers aan het woord gelaten en het gebeurt bij ongeveer iedereen.. Blijkbaar is het systeem zelfs zo streng dat ze zelf niet eens tekst kunnen kopieren uit mail om te quoten in een andere mail oid.. ze kunnen alleen kiezen voor het volledig doorsturen van een mail en dat lijkt me dan ook weer niet handig.. niet alles wat er in zo'n bericht staat is voor iedereen z'n ogen lijkt me..
gorgi_19
@primanocte6 april 2022 09:59
Ik kan me hier valide situaties bij voorstellen. Zo voorkom je dat teksten 'uitlekken' en krijg je een audit trail waar welke informatie heen is gegaan. Voor mail met een hoge beveiliging is dat prima voor te stellen.
aadje93
@gorgi_196 april 2022 11:04
En dan krijg je gewoon het geval, foto met de gsm maken en doormailen via een privé telefoon die de overheid niet eens herkent
icecreamfarmer
@aadje936 april 2022 14:19
Dit dus. Dat doe ik bij sommige bevieligde PDF's ook.
\En dan weer inlezen via OCR.
Rolfie
@gorgi_196 april 2022 10:13
En dat men om de beveiliging heen gaat werken.

Het is altijd een lastige balans.
Razwer
@primanocte6 april 2022 11:23
Blijkbaar is het systeem zelfs zo streng dat ze zelf niet eens tekst kunnen kopieren uit mail om te quoten in een andere mail oid
onzin, dat kan prima. Geen idee waar jij je info vandaan haalt.
ErikT738
@Razwer6 april 2022 13:33
De optie bestaat in ieder geval wel, gewoon binnen Microsoft. Enkele medewerkers binnen het bedrijf waar ik werk hadden dit kennelijk aan staan waardoor kopiëren en snipping tool het niet deden.
primanocte
@Razwer7 april 2022 09:10
staat erbij.. radio 1 :shrug:
_Dune_
@primanocte6 april 2022 11:26
Zovreemd is dit niet, anders is het mogelijk aan dezelfde tkest ene compleet andere context te geven. Het zal mij niets verbazen als hier geen DLP wordt toegepast. Zeker bij een overheid is hier niets vreemds aan. Als je dit niet gebruikers vriendelijk noemt, dan zit je niet op je plek en snap je niet waar je meebezig bent.
t14wo
@LittleKiller6 april 2022 09:52
Ik heb zo'n vermoeden dat dit een goed uitgezochte smoes van minister De Jonge is. Volgens mij werkt de overheid met 'gewoon' Exchange en Outlook en is er ook 'gewoon' MFA geactiveerd met de Authenticator app. Nou.. Veel gebruiksvriendelijker dan dat kun je goede beveiliging niet hebben.

Ik denk dat De Jonge dit als een uitweg zoekt voor communicatie die liever niet gevonden werd.
Cergorach
@t14wo6 april 2022 10:18
Het zou bv. zo kunnen zijn dat de overheid bv. MAM gebruikt (we can hope) en dat men bv. geen berichtjes kan kopiëren tussen Whatsapp en de Outlook client (en de rest van MAM). Elke gast in security zal zeggen, "This is a feature! Not a bug!", iedereen die dat wel gebruikte is hier absoluut niet happy mee. Hetzelfde met de favoriete browser van persoon xyz, als die niet binnen de MAM valt...
Skit3000
@t14wo6 april 2022 09:58
En daarom laat hij nu ook zijn privémail onderzoeken, omdat hij niet wil dat zijn geheimen worden ontdekt. /sarcasme
Daarnaast onderzoekt het ministerie van VWS momenteel het privéaccount van De Jonge om te zien welke zakelijke mails daarin staan.
Je ziet hetzelfde terug bij gemeenten. In veel van de systemen daar kunnen raadsleden wel documenten inzien, maar niet aanpassen en opslaan en met collega's delen dus dat gaat dan met geannoteerde screenshots via de mail. Als het zakelijke adres dan ook nog eens niet goed werkt omdat je Exchange account je er steeds uit gooit en je via 2FA opnieuw in moet loggen op een moment dat het niet uit komt, dan wordt gewoon een manier gebruikt die wel werkt.
Tintel
@Skit30006 april 2022 11:27
eh.... als de chirug het vervelend vind om telkens z'n handen te wassen is het dan ook okay als hij het niet doet? Want het is wel onhandig... (pun intended :9 )

Als iets niet naar behoren functioneert kun je niet eenzijdig besluiten het dan maar niet te doen. Notabene het hele concept van een democratie... iets waar hij meer mee in aanraking komt nog dan de gemiddelde burger toch?

Ik vind het ook onhandig om eerst een kaartje onder de ruit te leggen als ik moet parkeren. Dat mag ik dus achterwege laten?
jordy5
@Tintel6 april 2022 12:12
In je geval van de chirurg, weet de chirurg (opleiding/voorlichting) wat de risico's zijn om zonder handschoenen te werken en zitten daar mogelijke consequenties aan.

Zelfde met je verhaal rondom kaartje bij de voorruit. Ook daar staan consequenties op als je het niet doet en je bent voorgelicht waarom het wel moet en dus is het risico duidelijk. Dat je het niet doet, kan (op basis van risico) een boete opleveren. Anders deed niemand het ;)

Je moet je gebruikers voorlichten, duidelijk uitleggen wat de risico's zijn en daarbij "passende" maatregelen o.b.v. het risico nemen om te voorkomen dat het misbruikt kan worden. Maar het gevaar bij maatregelen is altijd dat er omheen gewerkt kan worden als ze zelf vinden dat het "risico" klein is. Het is en blijft een balans vinden en gebruikers opvoeden.

Hoewel een Minister toch... moeilijker op te voeden is verwacht ik ;) Als voor hem vooraf uitgelegd is, omzeilen van je mail app is per direct uit je post verwijderd worden (en aan publieke schandpaal), had hij mogelijk anders gehandeld.

[Reactie gewijzigd door jordy5 op 6 april 2022 12:14]

CivLord
@Tintel6 april 2022 14:30
De chirurg wil best zijn handen wassen. Hij vindt het alleen te omslachtig om eerst naar waskamer 10 op de zesde verdieping te moeten om daar de eerste keer zijn handen te wassen, daarna naar waskamer 6 op de 10e om daar voor de tweede keer zijn handen te moeten wassen en vervolgens naar de OK op 2e om te kunnen opereren. Daarom neemt hij zelf van huis een fles dettol en jodiumzeep mee en zet die op de wastafel bij de OK. Vrijwel net zo effectief, maar hij kan wel twee keer zoveel operaties doen.
Skit3000
@Tintel6 april 2022 11:56
Als iets niet naar behoren functioneert kun je niet eenzijdig besluiten het dan maar niet te doen. Notabene het hele concept van een democratie...
Privémail niet gebruiken is het hele concept van een democratie? Hij mocht het gewoon en zelfs als hij een fout had gemaakt was er nog niks aan de hand geweest; de kracht van een democratie is dan juist dat het zichzelf uiteindelijk hersteld (doordat een politici en zijn of haar partij niet wordt herkozen als hij/zij er een potje van heeft gemaakt).

Een parkeerkaartje heeft natuurlijk niks met democratie te maken.

Toevoeging: Veel mensen die hier reageren lijken een persoonlijke wens te hebben om Hugo de Jonge te val zien gaan en verwarren daarbij wens en realiteit.

[Reactie gewijzigd door Skit3000 op 6 april 2022 11:58]

Tintel
@Skit30006 april 2022 12:17
Je mist mijn punt ben ik bang. Het feit dat we betalen voor het parkeren is omdat dit democratisch is besloten.
Het feit dat een minister zag aan (strenge?) regels moet houden - ook al is dat 'slechts' een advies is ook democratisch besloten. En een minister dient het concept "besloten voor het algemeen belang" goed te begrijpen.

De kracht van de democratie is dat het zichzelf herstelt? Ja - dus moeten figuren die zich misdragen de politiek verlaten toch?
Skit3000
@Tintel6 april 2022 13:48
Een minister moet helemaal niks, behalve zich aan de wet houden. Dat heeft hij hier gedaan. Ook moeten figuren die zich misdragen de politiek niet verlaten, als die personen genoeg stemmen aan zich weten te binden dan mogen ze gewoon blijven. Het staat allemaal heel duidelijk in de wet.
Tintel
@Skit30006 april 2022 15:11
Nope. Want dat misdragen kan nu juist leiden tot meer kiezers. Er moet ook een exit-strategie zijn.

Wat jij voorstelt is een systeem waarbij een soort jury bepaalt wat goed en fout is. Dat hebben we hier niet.

Als aangetoond is dat een minister zich niet aan de gedragsregels heeft gehouden dan mag/moet deze gaan.
Skit3000
@Tintel6 april 2022 16:30
Wij zijn die jury. De enige andere personen die tussentijds een minister weg kunnen sturen zijn de minister zelf (met of zonder druk van haar achterban) of de Tweede Kamer in meerderheid het vertrouwen opzegt.

[Reactie gewijzigd door Skit3000 op 6 april 2022 16:41]

Tintel
@Skit30006 april 2022 16:37
Dan zijn wij toch niet de jury? :?
Skit3000
@Tintel6 april 2022 16:41
Oh jawel? Als niemand op het CDA had gestemd dan was De Jonge niet teruggekomen in het kabinet.
Tintel
@Skit30006 april 2022 16:52
Maar ik zeg nu juist dat het stemrecht niet bedoeld is om politici/ambtenaren wel of niet naar huis te sturen als deze zich niet aan de gestelde regels en procedures houden. Dan moet eerst weer een stemronde komen - dat kan bijna 4 jaar duren. En om dat te verkorten moet een compleet kabinet vallen.
Wat vervolgens dan weer leidt tot een spin aan het verhaal waardoor je niet van dit soort probleemfiguren afkomt.
Skit3000
@Tintel6 april 2022 19:31
Wat wil je dan, dat een rechtbank kan oordelen dat een minister moet aftreden? Dan kunnen rechters dus de facto bepalen wie er in een kabinet zit. Of moet het leger het doen? In de meeste landen wordt het er na een staatsgreep niet beter op.

Ik ben voor één keer in de vier (of twee of zeven of wat dan ook) jaar volksvertegenwoordigers kiezen en hen op die manier af te rekenen. Het risico dat er dan af en toe een rotte appel tussen zit die 4 jaar lang de kantjes er af loopt neem ik op de koop toe, want ik geloof dat het merendeel extreem haar best doet om op te komen voor de belangen van alle inwoners van Nederland.
Tintel
@Skit30007 april 2022 11:56
Waarom geen rechter dan? Als er regels worden gebroken dan is dat toch de normale gang van zaken?

Ze kunnen niet bepalen wie er in een kabinet zit. Ze kunnen onafhankelijk van wie het is, toetsen of de regels zijn opgevolgd. Ze kunnen niemand aandragen als vervanger - ze kunnen pas optreden nadat mogelijk een regel is overtreden.
Juist die onaantastbaarheid voor minstens 4 jaar is een probleem.

En m.b.t. laatste opmerking - ook al doet het meerendeel haar best op te komen voor de belangen van de Nederlandse burger (waar ik soms nog wel aan twijfel) - als een klein deel dat niet doet is dat ook niet in orde.
Vervolgens zien we te vaak dat juist puur op economische gronden wordt geregeerd. Dat gaat niet goed in deze kapitalistische maatschappij - want geld had al meer macht an sich.
Skit3000
@Tintel7 april 2022 15:07
Een rechter kan een politici niet wegsturen omdat we in Nederland een scheiding der machten kennen. Daarnaast zijn ministers ook niet persoonlijk verantwoordelijk voor fouten tijdens hun beleid, maar gaat die verantwoordelijkheid over naar de nieuwe minister. Ik denk niet dat het in Nederland eerder is voorgekomen (er zijn sowieso weinig politici die de gevangenis in gaan), maar als een minister een misdaad pleegt en de gevangenis in moet dan denk ik dat het uiteindelijk alsnog eerst aan de Tweede Kamer is om het vertrouwen in die minister op te zeggen voordat deze ook echt minister-af is.
mrmrmr
@Skit30006 april 2022 15:09
Privé email gebruiken is verboden door de geldende regels. De Jonge verdedigt zich met het wijzen naar het handboek voor bewindslieden. Maar er gelden andere richtlijnen voor De Jonge als medewerker van het ministerie. De regels die gelden, die SSC ICT heeft gepubliceerd, staat expliciet dat het niet mag. Als gebruiker heb je zelfs een gebruiksovereenkomst waarin de gebruiker nogmaals op de regels wordt gewezen.

[Reactie gewijzigd door mrmrmr op 7 april 2022 22:44]

GekkePrutser
@Skit30006 april 2022 10:08
En daarom laat hij nu ook zijn privémail onderzoeken, omdat hij niet wil dat zijn geheimen worden ontdekt. /sarcasme
Dat kan hij wel doen, maar op een Gmail accountje kan je dingen gewoon permanent verwijderen uit de prullenbak zonder dat hier een audit trail aan vast zit. Op een overheidsaccount zal daar altijd een log van zijn. Daar ga je dus al...
Skit3000
@GekkePrutser6 april 2022 10:40
Zijn telefoongesprekken worden ook niet opgenomen, dus men kan wel doen alsof de wereld vergaat omdat hij een privéaccount heeft gebruikt om geheime afspreken mee te maken maar het gaat er gewoon om dat men De Jonge gewoon niet mag en alles aan grijpt om hem in een kwaad daglicht te stellen.

Daarnaast, als hij via zijn privémail met Partij X heeft afgesproken ze 9 miljoen aan steekpenningen te betalen en daarna die verzonden mail heeft gewist, heeft Partij X niks in handen om te bewijzen dat ze ooit dat aanbod hebben gehad (want een email kan iedereen faken) en dat weet Partij X ook, dus er kunnen gewoon geen bindende geheime dealtjes op die manier zijn afgesloten.
HansvDr
@Skit30006 april 2022 11:24
Welkom bij de politiek. Die zitten er niet voor ons maar alleen om elkaar zwart te maken.
Pikkemans
@t14wo6 april 2022 10:01
Niet overal binnen de overheid word gebruik gemaakt van Exchange/Outlook. Binnen de Belastingdienst gebruikt men bijvoorbeeld HCL Notes. Ik kan je uit ervaring vertellen dat het een erg gebruiksonvriendelijk systeem is.

Daarmee praat ik het niet goed dat Meneer de Jonge zijn privé account gebruikt omdat het makkelijker is. Helaas is het zo dat dit soort bestuurders of vergelijkbare functies in het bedrijfsleven vaker dit soort keuzes maken. Werk je binnen een bedrijft met Gmail? Oh nee, de helft van de directie wil gebruik blijven maken van Outlook (met dus lokale mail opslag |:( ).

edit: post aangepast op basis van reacties hieronder.

[Reactie gewijzigd door Pikkemans op 6 april 2022 11:33]

Jan-Will3m
@Pikkemans6 april 2022 10:57
Er wordt inmiddels HCL Notes gebruikt binnen de overheid.
Ik ben het met je eens dat het niet het meest gebruiksvriendelijke groupware programma is.
Maar meneer De Jonge praat over het E-mail gedeelte. En volgens mij is Notes gelijkwaardig aan Outlook op dit punt. Ik denk daarom dat meneer De Jonge een klein beetje jokt.
Razwer
@Jan-Will3m6 april 2022 11:19
Geen idee waar jullie het idee vandaan hebben dat "de overheid" notes gebruikt. Alles onder SSC-ICT gebruikt "gewoon" Microsoft Exchange.
Het issue is vooral de configuratie van de tools die ze gebruiken voor remote werken. Ik ben zeer bekend met deze producten en hun configuratie hier van en kan je vertellen dat dit veel gebruiksvriendelijker ingericht kan worden.
_Dune_
@Razwer6 april 2022 11:22
Ik dacht al is men ineens overgestapt naar Notes in plaats van Exchange/ Outlook. Niet alleen de overheidsonderdelen die beheerd worden door SSC-ICT gebruiken Exchange er zijn er wel meer. :)
Razwer
@_Dune_6 april 2022 11:25
Dat er meer zijn zou best kunnen, daar heb ik geen zicht op. Wat SSC-ICT doet heb ik wel enigszins zicht op.
demonite
@Razwer6 april 2022 11:51
enne, mag je die informatie dan ook op een openbaar forum/website delen?
Razwer
@demonite6 april 2022 12:40
Nee, het stukje Exchange eigenlijk al niet, maar dat is informatie die je als prive persoon wel kan achterhalen door email headers te ontleden van correspondentie met de betreffende overheidsorganen dus grijs gebied om dat te delen. Verder is alles onder NDA.

edit: om dit te staven, ik heb privé email verkeer gehad met bzk (buiten mijn zakelijke rol) en heb zo deze informatie prive kunnen ontleden. Ik schaadt dus niet de NDA.

[Reactie gewijzigd door Razwer op 6 april 2022 12:49]

Razwer
@Pikkemans6 april 2022 11:20
Binnen de overheid gebruikt men IBM Lotus Notes
Pertinent onwaar!
Zowel SSC-ICT and SSC-I gebruiken "gewoon" MS Exchange met MS Outlook op de desktops.
Pikkemans
@Razwer6 april 2022 11:35
Mijn reactie was wat algemeen inderdaad, ik heb het aangepast.
Razwer
@Pikkemans6 april 2022 12:37
toppie
Rolfie
@t14wo6 april 2022 10:11
Men heeft thuis alleen geen outlook terbeschikkings. Waarschijnlijk is het een afgeschermde mail app op zijn telefoon, waarin heel veel limitaties zitten.
aadje93
@Rolfie6 april 2022 11:03
Euhm, de uitvinding van de draagbare computer, beter bekend als laptop _/-\o_
Rolfie
@aadje936 april 2022 11:23
Is minder draagbaar dan een telefoon en dan moest hij die wel (bij zich) hebben.
Telefoon pakje even snel, laptop is toch net iets zwaarder om overal mee te nemen.

Maar dat is/was een alternatief geweest.
PolarBear
@Rolfie6 april 2022 11:59
Ministers hebben een eigen auto met chauffeur (en koffers met stukken). Dan kan een laptopje echt wel erbij.
Rolfie
@PolarBear6 april 2022 12:07
Die koffers/tassen zitten meestal al heel erg vol en draagt toch ook wat lastig in je pak als je loopt ergens naar toe.

Maar het is zeker een verbetering.
mjtdevries
@Rolfie6 april 2022 12:53
Als je ergens naar toe loopt, dan hoef je geen documenten te bewerken zoals zijn smoesje was.
De ervaring leert dat mensen het even opstarten van een laptop teveel moeite vinden en dat dan voldoende reden vinden om beveiliging te omzeilen.
Rolfie
@mjtdevries6 april 2022 13:42
Je leest een document en wilt een paar aanpassingen maken? O wacht even, ik mag niet knippen en plakken om de aanpassing door te sturen.

O wacht even, nu moet ik mijn laptop eerst hebben. Waar is die precies ook al weer? Boven ergens....
Opstart, nu eerst even alle mail binnen laten komen.... Iets wat op de telefoon 20 second had geduurd kost nu een paar minuten.

Laptops zijn niet de magische oplossing, maar helpen zeker wel.
mjtdevries
@Rolfie6 april 2022 13:47
Een zeer kleine moeite om gewoon veilig te werken.
Je kunt tot in het oneindige smoesjes blijven verzinnen van incidentele situaties waarin je 20 seconden kon besparen. Maar dat staat gewoon niet in verhouding tot het compleet omzeilen van alle beveiligingsmaatregelen.

Op mijn werk telefoon gelden dezelfde restricties. Als onze 300.000 werknemers prima met die restricties kunnen werken, dan kan deze minister dat ook.
Rolfie
@mjtdevries6 april 2022 14:07
Ik denk dat je hier mooi laat zien hoe IT denkt en gebruikers. IT noemt het een smoesje, maar voor de gebruikers is dit realiteit.

Ik heb ook eisen gewerkt dat grote bestanden via de eigen systeem verstuurd moeten worden en dat externe oplossing niet toegestaan zijn. Heel logisch en een goede beveiligingsmaatregel, geen discussie over mogelijk.
Totdat ik een ISO moet sturen, en ISO files niet toegestaan waren. Ik moest maar zippen.
Prima gedaan. O wacht even, max file 1GB en max 5 files in 1 upload. Zucht....
En uiteindelijk had de andere kant een corrupte ISO om een vage redenen.

Een publiekstransfer dienst deed het direct zonder enige problemen met de 9GB ISO (was ook geen gevoelige informatie). :X

png file uploaden via het zelfde systeem, niet toegestaan, gebruik maar jpg was het advies. Prima, hebben jullie conversie software beschikbaar? Nee, maar maar een print screen optie in Windows van het plaatje |:( .
Visio nieuwe formaat file, niet toegestaan, gebruik maar eerst zip.

MDM Applicatie, contacten mogen alleen in de afgeschermde container beschikbaar zijn. Prima hoe moet ik ze dan alleen snel wil bellen of nummer herkenning? Via de speciale dailer app in de container. Zucht... Lekker gemakkelijk als je in de auto zit en er eerst om een PIN/MFA Authenticatie gevraagd wordt.
Alternatief van de ServiceDesk: Export je bedrijfs contacts, mail ze naar je privé adres, en importeer daar in je telefoon 8)7 .

Tja.. Bedankt IT....

Het is allemaal configuratie, maar IT (of eigen beleid, want IT voert eigenlijk alleen maar uit) maakt het zo lasten, dat mensen er omheen gaan werken.

[Reactie gewijzigd door Rolfie op 6 april 2022 14:09]

TheBoneJarmer
@Rolfie6 april 2022 14:33
Ik denk dat je hier mooi laat zien hoe IT denkt en gebruikers. IT noemt het een smoesje, maar voor de gebruikers is dit realiteit.

Ik heb ook eisen gewerkt dat grote bestanden via de eigen systeem verstuurd moeten worden en dat externe oplossing niet toegestaan zijn. Heel logisch en een goede beveiligingsmaatregel, geen discussie over mogelijk.
Totdat ik een ISO moet sturen, en ISO files niet toegestaan waren. Ik moest maar zippen.
Prima gedaan. O wacht even, max file 1GB en max 5 files in 1 upload. Zucht....
En uiteindelijk had de andere kant een corrupte ISO om een vage redenen.

Een publiekstransfer dienst deed het direct zonder enige problemen met de 9GB ISO (was ook geen gevoelige informatie). :X
En heb je IT gecontacteerd met de vraag hoe je dit kan oplossen of ben je lekker eigenwijs geweest zoals de doorsnee gebruiker? Want hoe lastig het ook mag zijn, zelf dan maar een creatieve oplossing zoeken omdat je het beu bent is ook geen oplossing. Het werkt dan misschien voor jou maar introduceert wel potentiële gevaren waar jij je al dan wel niet als gebruiker bewust van bent.
Rolfie
@TheBoneJarmer6 april 2022 15:56
De oplossing van IT was, zippen en over meerdere transfers versturen.
Waarop mijn antwoord was, lekker gebruikers vriendelijk en dit is niet meer van deze tijd.

Na de corrupte file, had ik het maar opgegeven. Ik was ondertussen al uren verder, want de performance was ook onder de maat van de upload snelheid.

Momenteel is het wel verbeterd, 10GB per file en 15 files per upload. En ik zie al meer extensies toegevoerd zijn. Al mis ik bijvoorbeeld csv er nog steeds tussen. En heeft men ISO er uitgehaald.... Zucht....
Dus ik mag weer een grote ISO file downloaden, zippen en daarna doorsturen via deze tool.
Zal morgen weer eens de IT bellen, antwoord zal wel weer zijn, "this is not an allowed extension. You can try to zip it first". We hebben wel eens 30GB ISO moeten versturen, staat je machine toch echt even te stampen, nog afgezien de ontvanger dit ook moet doen en minimale wist en zeker 60GB vrij harddisk ruimte.

Maar ja..... IT zal er vast over nagedacht hebben, toch?
mjtdevries
@Rolfie6 april 2022 15:51
Ik denk dat je hier mooi laat zien hoe IT denkt en gebruikers. IT noemt het een smoesje, maar voor de gebruikers is dit realiteit.
Dit laat mooi zien hoe mensen denken die data vertrouwelijk behandelen en mensen die daar lak aan hebben. Dat heeft niets met IT te maken.

Er zijn genoeg beroepen waar niet-IT mensen continu met zeer gevoelige informatie werken en snappen dat je die vertrouwelijk moet behandelen. Ook als IT maatregelen niet mogelijk zijn:
Zo ga je gevoelige informatie niet met collega's bespreken in openbare gelegenheden.
En dus ook niet in de trein omdat je dan je reistijd nuttiger kunt gebruiken.
Dat zijn geen dingen waar IT iets aan kan doen, maar ze hebben net zo hard impact op de "gebruiksvriendelijkheid"

Data vertrouwelijk behandelen betekent altijd dat je bepaalde concessies moet doen. En altijd zijn er mensen die daar geen zin in hebben.

En zoals je zelf al zei: IT voert uit.
Dat beleid word gevraagd en bekrachtigd door de top van de organisatie. Het is niet IT die dat bepaalt. Zij hebben hierin een adviserende rol.
Dus volgende keer niet klagen bij de IT afdeling, maar klagen bij het bestuur van je organisatie.
Rolfie
@mjtdevries6 april 2022 16:27
Klopt zeker. Ik zit regelmatig bij dit soort discussies of om in oplossingen mee te denken of om de technische implementatie te bedenken.
Maar "beleid" zit ook vaak vast in de oude security modellen, of zich focust op punten die veel minder belangrijk zijn, maar grote gaten negeren.
Je kunt ook denken aan bepaalde maatregel voor bepaalde groep met gebruikers (moet natuurlijk wel allemaal passen en mogelijk zijn).

Laatst ook een keer meegemaakt, iedere 30 dagen het wachtwoord veranderen en/of beleid van 12 tekens voor je wachtwoord. Je kunt je dan afvragen of het echt veiliger is geworden met dit soort beleid.
PIN Code, dat is niet veilig om in te loggen. Tegenvraag: En je bankpas dan?
MFA implementaties die handmatig aangemaakte accounts negeert, want die bestaan niet.

En het is eigenlijk niet de top die het bepaald, het is de business die het bepaald, die weten waar het beleid aan moet voldoen. Het moet een samen werking zijn en de juiste kennis moet aanwezig zijn hoe de functionele eisen naar werkbare technische oplossing bedacht kunnen worden.
Het is een samen werking, binnen de kaders natuurlijk wat mogelijk is en moet zijn.
Renoir
@LittleKiller6 april 2022 09:51
Het probleem is dat we gewend zijn prive alles te kunnen. Geen 2fa, toegang vanaf alle devices, copy pasta, alles doorsturen, alles kan.

En nee bij de overheid mag dat niet. Moet je even inloggen wil je een document bewerken. Ja dat is verschrikkelijk en ongebruiksvriendelijk maar jammer dan, dat heb je maar te accepteren.
[Roland]
@Renoir6 april 2022 10:26
Hier zo niet mee eens.

Beveiliging is ook gebruiksvriendelijkheid. Als die niet goed is wordt terug gegrepen op privé mail en ben je dus veel verder van huis. Maar moeten accepteren dat je via allemaal omwegen een document moet aanpassen vind ik ook echt onzin. Er zijn echt oplossingen die wel veilig en gebruiksvriendelijk zien. ICT (zal kwestie van geld zijn) van de overheid moet iets beter zijn best doen.

Ik snap Hugo, als je zaken moet regelen onder grote druk dan vermijdt je obstakels. Hoe belangrijk die obstakels ook zijn.

Goede les voor ons ict-ers. Zorg voor gebruiksvriendelijkheis. Stap 1. Stop met verplichten wachtwoord aanpassen elke 3 maanden.
xxxneoxxx
@[Roland]6 april 2022 11:49
Stap 3: kom er achter dat mensen altijd alles lastig vinden en blijf versoepel en faciliteren. Stap 4: kom er achter dat al je gevoelige data op straat ligt. Zoiets?
geishin
@[Roland]6 april 2022 14:28
Stap 1 is inderdaad stoppen met het aanpassen van het wachtwoord. Weet je wat je daarmee in de hand werkt? Dat iedereen werkt met wachtwoorden als "welkom@20221, Welkom@20222, Welkom@20223" etc. etc etc.

BIj mijn oude werk moest je iedere 6 of 8 weken zelfs aanpassen, krankzinnig
mjtdevries
@[Roland]6 april 2022 11:45
Dus jij hebt je voordeur thuis altijd op een kier staan en nooit op slot?
Want het is gebruiksonvriendelijk als je een sleutel uit je zak moet halen.

Gebruiksvriendelijkheid word altijd als rot smoesje gebruikt en dat smoesje moeten we niet accepteren. Maar deze problemen veroorzaakt de politiek zelf door prive mailboxen alleen maar "sterk af te raden".
Dat slaat natuurlijk al helemaal nergens op.

Je kunt mij niet wijs maken dat hij geen laptop van het ministerie heeft en dat hij op die laptop een document niet makkelijk kan editen.

Maar als je dat perse op je prive ipad wil doen ipv je laptop, dan is het lastiger ja. En dan stuurt ie het maar naar zijn prive mailbox om het op zijn prive ipad te doen.
Een prive ipad is per definitie minder veilig en dan is het nogal wiedes dat je daarop niet zomaar documenten mag bewerken.

De les voor ict-ers is dat er altijd mensen zijn die zich nergens wat van aantrekken en de kleinste moeite al te veel vinden en dan de regels maar overtreden.
CivLord
@mjtdevries6 april 2022 14:20
Dus jij hebt je voordeur thuis altijd op een kier staan en nooit op slot?
Want het is gebruiksonvriendelijk als je een sleutel uit je zak moet halen.

Gebruiksvriendelijkheid word altijd als rot smoesje gebruikt en dat smoesje moeten we niet accepteren. Maar deze problemen veroorzaakt de politiek zelf door prive mailboxen alleen maar "sterk af te raden".
Dat slaat natuurlijk al helemaal nergens op.
Nee. Eén goed slot (met dezelfde sleutel als op mijn schuur). De Jonge zal op zijn iPad ook toegangsbeveiliging hebben.

Maar heb jij twee sloten op je voordeur? Eén met een sleutel en één via een app op je telefoon? En heb je vervolgens ook op elke deur naar elke kamer/ toilet/ badkamer/ etc. één of twee sloten en een deurdrammer die de deur automatisch elke keer achter je in het slot laat vallen? Nee? Dat is namelijk wel de situatie die op veel werk PC's gebruikelik is. Een verschrikkelijk omslachtige en gebruikersonvriendelijke situatie de schreeuwt om creatieve oplossingen om de productiviteit veilig te stellen.
Er is een wereld van verschil tussen alles open zetten en alles driedubbel op slot te zetten.

Jouw argument is een rot smoesje van een ICT-er die te lui is om na te enken over gebruiksvriendelijke vormen van beveiliging.
Krystalize
@CivLord7 april 2022 14:29
*rotsmoesje van security ontwikkelaars

Waar ik er eentje van ben. Als je aan ons vraagt, wat moet ik doen om het veilig te maken, dan krijg je antwoord op je vraag. Niet antwoord op wat je eigenlijk nodig hebt.

Wat beveiliging moet doen is het beveiligen vanzelfsprekend en simpel maken. Het kan met een VPN en een secure HTTP website, waarom dan niet met toegang.
Mike2k
@mjtdevries6 april 2022 12:24
Hoe lang heb jij al dezelfde cylinders in je voordeur zitten ? Of wissel jij ook elke 3 maanden van sloten?

Sterker nog: heb jij een cijferslot en wissel je elke 3 maanden de code van elke deur op je huis ? En ja, elke deur moet eigenlijk een eigen code hebben...dat is veiliger...

Ik ben het er overgens wel mee eens dat dit een makkelijk smoesje is...Maarja, zo'n de Jonge kun je beter inside pissing out hebben ;)

[Reactie gewijzigd door Mike2k op 6 april 2022 12:25]

Razwer
@[Roland]6 april 2022 11:13
Het is vooral configuratie wat het issue is. Ik weet welke producten de overheid gebruikt en de producten an sich zijn niet zo onvriendelijk, maar de gekozen configuratie is dat wel.
Laurens-R
@[Roland]6 april 2022 15:28
Tuurlijk…. Ik ga er van uit dat de rest van zijn ministerie wel weet hoe ze 2FA etc moeten gebruiken. Bij banken en enterprises van enige omvang zijn ze ook niet anders gewend. Maw: de Jonge is IT technisch een luie donder zonder besef van het risico dat hij creeert en geeft een slecht voorbeeld voor zijn medewerkers.
HansvDr
@Renoir6 april 2022 11:21
Het wordt onraden. Het mag dus wel.
gorgi_19
@LittleKiller6 april 2022 09:55
Rutte geeft aan altijd zijn werkemail te gebruiken, dus dat is de andere kant van het verhaal.

Over de 'onvriendelijkheid':
Ook had hij regelmatig geen wachtwoord voorhanden, omdat het verlopen was.
Ze hadden dus een heel actief wachtwoord verlopen beleid. Pas in de afgelopen jaren is er meer en meer kritiek op dit model gekomen (maar het kan dan ook even duren voordat deze zaken zijn ingevoerd)

Verder was het systeem van de overheid wat rigide. De achterliggende reden kan alleen naar gegokt worden.
"Je kunt bijvoorbeeld geen stukken aanpassen in dat systeem van de Rijksoverheid, maar dat kan wel heel makkelijk op mijn iPad."
Edit: dit zal niet de enige minister/ambtenaar zijn die dit doet. Naar mijn mening is het dan gewoon een falend systeem. Als je een werknemer een langzame computer geeft waardoor hij per uur 10 minuten bezig is met IT gezeik, is je werknemer maar 5/6 van de tijd productief. Lekker als van je wordt verwacht dat je 10 uur werkt per dag
Hetzelfde geldt als je vanwege allerlei audits / procedures / rapportages ook 'tijd verliest'. En een nieuw, veilig mailsysteem invoeren doe je niet zomaar. Je kan de volgende kamervragen al verwachten: "Waarom moet VWS een eigen mailsysteem hebben? Falende ICT-systemen? Waarom zo veel geld naar ICT, terwijl de zorg het nodig heeft?"

[Reactie gewijzigd door gorgi_19 op 6 april 2022 09:57]

Hans1990
@LittleKiller6 april 2022 10:01
Ongetwijfeld, maar er zullen ook mensen zijn die de muurtjes graag gebruiken om minder werk gedaan te krijgen. 10 jaar terug als stagiaire ooit op een oude bedrijfslaptop gewerkt met falende harde schijf. Ik gaf dat aan en zei dat een SSD wel een mooie vervanging is als dat toch moet. Respons van collega: pas op, straks ga je nog te hard werken. O-)

Ligt denk ik beetje aan de persoon en zijn verantwoordelijkheidsgevoel. In dat opzicht kan je dus lof geven dat iemand graag goed/snel bereikbaar wil blijven. Maar natuurlijk ook niet op deze manier, want de bedrijfemail en telefoons zijn er niets voor niets.. (net zoals USB sticks met encryptie)
GekkePrutser
@LittleKiller6 april 2022 10:07
Gebruiksvriendelijkheid en security zijn vaak twee tegenpolen. Alhoewel het soms wel hand in hand kan gaan. Ik vind bijvoorbeeld passwordless iets dat in die richting komt.

Maar het punt is dat hier een uitgebreide analyse voor zal zijn gedaan. En door die zomaar buitenspel te zetten als zeer hoge functionaris, stel je het hele land bloot aan risico's.
gaskabouter
@LittleKiller6 april 2022 10:16
Tsja, ik werk in de zorg en daar staat veiligheid altijd op gespannen voet met gebruiksvriendelijkheid, moeizame balans maar in mijn optiek geen excuus.....
spokje
@LittleKiller6 april 2022 14:18
Of de Jonge is gewoon een prutser die niet zogoed met computers om kan gaan ;)
Kevinns
6 april 2022 09:55
Het gebruik van privé-e-mailadressen door politici is niet expliciet verboden. Wel wordt het streng afgeraden, zowel vanwege de veiligheidsrisico's als vanwege de transparantie.
Waarom niet eigenlijk? Bij elke enigszins degelijke werkgever staat gewoon in je contract dat het gebruik van eigen mail, cloud diensten en vaak ook eigen apparaten ten strengste verboden is. Dit kan je op een officiële berisping komen te staan, of erger, afhankelijk van de situatie.
De Jonge zegt dat op het ministerie van Volksgezondheid 'een nogal zwaarbeveiligd en daardoor nogal gebruiksonvriendelijk mailsysteem' werd gebruikt. Hij noemt als voorbeeld het probleem dat kabinetsstukken in het Rijksoverheidssysteem niet kunnen worden aangepast. "Maar dat kan wel heel makkelijk op mijn iPad", zegt hij. Bovendien verliep regelmatig het wachtwoord en had De Jonge dat niet voorhanden.
Nogmaals, waarom zulke beveiliging invoeren en dan het gebruik van privé-diensten toestaan? Daarnaast is dit een mooi voorbeeld waarom te strikte beveiliging in de praktijk kan leiden tot míndere beveiliging. Juist doordat alles zo potdicht zit gaan je eigen mensen ze proberen te omzeilen. Maar 'leading by example' is niet echt aan de orde hier...
Tintel
@Kevinns6 april 2022 11:08
De denkfout de je hier maakt is dat het 'naleven van regels' vaak omgekeerd evenredig is met de salaris schaal cq. 'belangrijkheid' van de functie....
een officiële berisping
? Ha - dat is iets wat bij dergelijke functies niet gebeurd.
Kevinns
@Tintel6 april 2022 12:29
? Ha - dat is iets wat bij dergelijke functies niet gebeurd.
Dat het niet gebeurt is duidelijk, maar is dat ook redelijk en wenselijk? Ik denk het niet.

Naar mijn idee moeten privé diensten verboden worden. Als dan wordt ontdekt dat je je niet aan de regels hebt gehouden, dan mag afhankelijk van de ernst de tweede kamer of de rechtbank daar wat van vinden. Dat maakt het ten minste wat minder makkelijk voor vriendjes om elkaar de hand boven het hoofd te houden en het is een stuk duidelijker dan 'strikt afraden', want dat betekent gewoon dat het mag.
Beun de Haas
6 april 2022 09:56
Dit is wel een deja vu van jaren geleden, toen met grofweg dezelfde excuses:
nieuws: Minister Kamp kreeg mail van ambtenaren op privé-Gmail-account - update
twkr18526
@Beun de Haas6 april 2022 10:25
Je zou denken dat ministers hiervan op de hoogte zijn. Ook internationaal is er veel ophef geweest in andere landen zoals Hilary Clinton met haar prive mails die tijdens de verkiezingen opdoken.

Zou Hugo de Jonge misschien juist wel weten dat dit blijkbaar niet verboden is, hooguit ten strengste afgeraden. Als er niets naar boven kan komen na een WoB, kom je makkelijker weg met iets ontkennen of er geen (actieve) herinnering meer aan te hebben.

Fijn dat VWS nu toegang heeft tot zijn icloud mails, maar misschien zijn er al relevante mails gewist afgelopen maanden (zo lang loopt bijv de Sywert van Lienden, Camille van Gestel en Bernd Damme discussie bijvoorbeeld al)
beantherio
@twkr185266 april 2022 13:03
Je zou denken dat ministers hiervan op de hoogte zijn. Ook internationaal is er veel ophef geweest in andere landen zoals Hilary Clinton met haar prive mails die tijdens de verkiezingen opdoken.
Je bedoeld "in de VS is er veel ophef geweest". En dat "veel" mag dan eigenlijk ook wel tussen aanhalingstekens: e.a. had een heel nadrukkelijk politiek geurtje waarbij het vooral van haar politieke tegenhangers kwam. Los daarvan lijkt de VS me sowieso geen goed voorbeeld om te volgen bij dit soort situaties.
dimdek
@Beun de Haas7 april 2022 09:34
Ik vind het schrijnend dat dit soort figuren kunnen aanblijven in hun functie fo gewoon weer en nieuwe 'top'-functie aangeboden krijgen. Het geeft duidelijk blijk van onvermogen wanneer je niet op de hoogte bent van de werkwijzen die je dient te gebruiken en die is uitgestippeld door mensen die daar verstand van hebben. In het geval van de Jonge is er zelfs al een eigenwijs hem voorgegaan en ook dat had de Jonge moeten weten. Het probleem is dat deze mensen er mee weg blijven komen en dat hun excuses dat de officiële werkwijze lastig is gewoon wordt geaccepteerd. Soms is een eenrichtingsweg ook lastig, maar dat betekent niet dat iedereen daar tegen het verkeer in in moet rijden. Belasting betalen is ook lastig, maar dat moeten we toch allemaal doen. Anders kan de Jonge zijn beleid niet eens uitvoeren. Wat mij betreft mag hij dus direct worden vervangen door iemand die wel capabel is.
vrow
6 april 2022 10:09
Ik ken niet de details hiervan, maar kan uit eigen ervaring wel melden dat er bij meer overheden rare dingen gebeuren.
Ik ben zelf raadslid geweest tot voorkort in een grote gemeente.

De problemen met de mail aldaar:
In de basis kreeg je geen login, maar moest je je privé-mailadres doorgeven. Alle mail die mensen dan stuurden naar je werk-adres, werden doorgestuurd naar je prive.
Antwoordde je dan, dan kreeg men altijd je privé-adres en ging het gesprek daar verder.

Ik wilde dat niet en heb aangedrongen op een eigen login en die ook gekregen.
Toen het volgende: het spam-filter was daar ongelooflijk streng. Ook mensen die jij net had gemaild en antwoordden, die mails belandden prompt in de spam.
Dat lijkt tot daar aantoe, maar er werd slechts twee keer per dag, om 7 uur en 12 uur, een mail gestuurd met daarin de inhoud van de spam-box en een linkje om mails vrij te geven. Dit ook allleen door-de-weeks.
Dus stuurde ik een mail op vrijdag en antwoordde de andere kant om 13 uur, dan was er grote kans dat het in de spam kwam. Dat wist ik dan pas maandag om 7 uur!

Volgende: na drie maanden worden alle bijlages uit de mails gehaald en opgeslagen in een archiefsysteem. Een systeem waartoe wij geen toegang hadden en er dus effectief voor zorgde dat ik na drie maanden bijlages kwijt was. Dus dat vereiste dat ik alle bijlages lokaal opsloeg. Dat is ontzettend onhandig natuurlijk.

Dan nog de verlopende wachtwoorden: je wachtwoord verliep en eenmaal verlopen, kun je dat niet zelf aanpassen. Niet zonder naar het gemeentehuis te gaan en daar lokaal in te loggen. Maar raadsleden werken niet op het gemeentehuis, hebben daar ook geen werkplek.

Op de schermen die overal in vergaderruimtes hingen, stond Netop Presenter. Daarmee kun je je iPad-scherm niet delen, enkel de bijbehorende app gebruiken die dan een ingebouwde browser heeft die je kunt presenteren. Ontzettend onhandig natuurlijk want daarin zitten je documenten niet.

Zomaar een paar dingetjes die het je echt niet makkelijk maken om het systeem te gebruiken zoals bedoeld.

Dus geen idee hoe het bij ministeries is, maar als het hier wat op lijkt…
YopY
6 april 2022 10:55
FYI: het advies om je wachtwoord regelmatig te vervangen is niet meer geldig; het NIST, die veel van dit soort instanties volgen op het gebied van wachtwoord-veiligheid, in deze paragraaaf, zegt:
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
Dwz: Dwing mensen niet om regelmatig een nieuw wachtwoord in te stellen, dan krijg je "geheim1", "geheim2", "geheim3" etc. Maar zorg wel dat ze een nieuw wachtwoord instellen als je bewijs hebt dat je password database op straat ligt oid.
Wouterie
6 april 2022 09:51
Oke, dus omdat het niet verboden is kun je er vanuit gaan dat niemand zich eraan houdt. Tijd om dat dus even recht te zetten. En dat is dezelfde meneer die liep te verkondigen dat we ons streng aan de maatregels en richtlijnen vanuit de overheid hebben te houden.
mrmrmr
@Wouterie6 april 2022 15:30
Het mag echt niet bij ministeries die gebruik maken van de SSC ICT omgevingen.

[Reactie gewijzigd door mrmrmr op 7 april 2022 22:44]

Wouterie
@mrmrmr6 april 2022 16:03
Gezien het taalgebruik zou het zomaar een 'dringend advies' kunnen zijn en geen contractuele verplichting.
mrmrmr
@Wouterie6 april 2022 16:10
In dit geval is dat de uitvoerder SSC ICT. Een minister is gewoon een eindgebruiker. De minister dient zich te houden aan de geldende gebruikersregels en die zeggen dat prive mail gebruiken niet mag.

[Reactie gewijzigd door mrmrmr op 7 april 2022 22:45]

lithiumangel
@Wouterie6 april 2022 09:57
Inderdaad, dit miste ik bij alle berichtgevingen hierover in het nieuws. Er staat overal vermeld dat het officieel gezien niet verboden is. Maar na dit incident (en ook nog een voorgaand incident met een defensie minister enkele jaren geleden) zou je toch moeten zeggen dat het orgaan binnen de overheid dat over ICT/cyberdefense gaat gewoon gaat zeggen " Ja jongens nu is het welletjes, het is vanaf nu verplicht om alle werkgerelateerde dingen op werkgerelateerde machines en/of middelen te doen"

Ik hoop dat op de achtergrond men daarmee bezig is, maar goed. Onze regering kennende, w.s. niet.
mjtdevries
@lithiumangel6 april 2022 13:26
Waarschijnlijk zijn het juist de ministers die er voor zorgen dat het niet verboden is maar alleen "sterk afgeraden"
Uiteindelijk zijn die het hoogste orgaan
Nyarlathotep
6 april 2022 09:48
Als ik 'uit gemak' werkgerelateerde gegevens ga versturen via mijn privé mailadres, dan word ik ontslagen.
soulcrusher
@Nyarlathotep6 april 2022 10:01
Dit is inderdaad zo schrijnend. Als een gewone burger, die met bijvoorbeeld patiëntengegevens of andere vertrouwelijke/gevoelige informatie werkt, zijn privé mail gebruikt voor werk dan krijgt die geheid een enorm probleem. In bredere zin is het sowieso vrijwel nooit toegestaan om actief beveiligingsmaatregelen te omzeilen maar voor ministers is dit dus blijkbaar toegestaan, al wordt het wel streng afgeraden. Meneer De Jonge realiseert zich blijkbaar niet waarom deze beveiligingsmaatregelen er zijn en denkt vooral aan zijn eigen gemak. Dit is zo absurd, ik heb er geen woorden voor.
Anoniem: 486069
@Nyarlathotep6 april 2022 09:50
En deze beste meneer krijgt dan weer een ander top baantje toebedeeld, verschil moet er wezen toch
HansvDr
@Nyarlathotep6 april 2022 13:33
Dan zal het bij jullie wel niet mogen. Bij de overheid wordt het enkel ontraden. Dus geen verbod.
The_Woesh
6 april 2022 09:52
Ik kan het niet goedkeuren maar wel heel goed begrijpen. Gebruiksonvriendelijke systemen jagen mensen weg en ik snap niet helemaal met welk doel je geen documenten kan editen of waarom het wachtwoord verloopt. Een goede 2 factor acces met een fysieke key zou toch veilig moeten zijn.

Wisselende wachtwoorden nodigen uit tot het kiezen van zwakke opeenvolgende wachtwoorden.

[Reactie gewijzigd door The_Woesh op 6 april 2022 09:53]

BarôZZa
@The_Woesh6 april 2022 10:07
Techneuten houden vaak geen rekening mee met dat iets gebruiksonvriendelijk maken ook een risico is. Die denken nogal eens overal een extra laag omslachtigheid op te moeten gooien om het veiliger te maken en denken dat alle gebruikers dat probleemloos gaan doen. Heb het zelf ook meegemaakt met een overijverige security officer. Die wilde persé 2FA inlog met sessies die na een paar minuten verliepen. Eindstand was dat gebruikers het vertrouwen in het systeem verloren omdat ze data kwijt raakten omdat ze ineens uitgelogd werden. Dus zorgden ze ervoor dat ze van te voren de data eerst ergens anders opsloegen, daarna inloggen en copy pasten. Als je dan roept dat het aan alle gebruikers ligt, dan snap je niet veel van security.

Neemt niet weg dat De Jonge dit natuurlijk prima uitkomt als smoes. Daar geloof ik weer een stuk minder van.

[Reactie gewijzigd door BarôZZa op 6 april 2022 10:30]

The_Woesh
@BarôZZa6 april 2022 10:30
Ik heb ook hetzelfde gezien. We hadden een wachtwoord manager Lastpass waar je een wachtwoord kon opslaan en veilig delen met een collega.
Nu werd lastpass vervangen door Okta en werd de deel mogelijkheid afgesloten;.
Nu moet IT een account aanmaken en het wachtwoord in Okta delen. Gevolg is dat mensen wachtwoorden weer lokaal opslaan en via de mail chat zijn gaan delen.
lithiumangel
@The_Woesh6 april 2022 10:01
Ik kan het zelf niet begrijpen. Het gaat om een minister functie in de overheid. Dat is gewoon gevoelige informatie. Dat moet hij natuurlijk drommesgoed zelf weten. Dat is gewoon niet goed te praten dat hij zijn privetelefoon er voor gebruikt. Dan moet hij maar klagen intern dat hun systeem brak is, als dat echt zo is.

Daarintegen vind ik dat het orgaan binnen de overheid dat ICT/cyber-security doet gewoon deze loophole dicht had moeten knallen door keihard te zeggen dat er geen werk gerelateerde spul via prive-middelen gaan. Klaar. Helemaal in deze tijd van cyberthreats enzo.
SaraNostra
@The_Woesh6 april 2022 14:23
Ik kan het niet begrijpen. Wat een flutredenering: "wachtwoorden waren te moeilijk".

Als ik dat bij mijn werkgever zeg, dan word ik de laan uit gestuurd. Kom op, niemand is onschendbaar en niemand moet boven de wet staan. Basta.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee