Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack

Een meerderheid van de Tweede Kamer wil een debat met minister Donner van Binnenlandse Zaken over de DigiNotar-hack. Het is volgens de Kamerleden niet voor het eerst dat een ict-project bij de overheid faalt. De regie zou zoek zijn.

De Kamerfractie van de SP laat weten ontevreden te zijn over de antwoorden die Donner dinsdag gaf tijdens het wekelijkse vragenuurtje in de Kamer. Volgens SP-Kamerlid Sharon Gesthuizen is er inmiddels 'kamerbrede steun voor een uitgebreid debat over het debacle bij DigiNotar'. Dit debat wordt waarschijnlijk volgende week gehouden.

Tijdens het vragenuurtje stelde de minister onder meer dat het internet nooit 100 procent veilig kan zijn en dat Nederland niet het enige land is met dit probleem. Volgens Gesthuizen bagatelliseert Donner het achterliggende probleem. "De overheid en ict zijn tot nog toe een ongelukkige combinatie", aldus de politica. "Dat de burgers en bedrijven van Nederland inmiddels wekenlang ten prooi hebben kunnen vallen van kwaadwillenden reken ik hem heel erg zwaar aan."

Gesthuizen stelt dat internetters ervan op aan moeten kunnen dat de overheid alles doet om de veiligheid op het internet te waarborgen. "De burgers van Nederland hebben recht op de allerhoogste garantie van veiligheid wanneer zij door de overheid verplicht een overheidswebsite gebruiken. Dat vertrouwen is beschadigd en de minister heeft dat nog niet hersteld."

De overheid besloot vrijdag de banden met DigiNotar door te snijden, omdat niet gegarandeerd kon worden dat de PKIoverheid-certificaten van DigiNotar nog veilig waren. Misbruik van de overheidscertificaten is niet aangetoond. Hetzelfde blijkt te gelden voor een aantal andere certificaat-autoriteiten, waaronder het Ministerie van Justitie, de Nederlandse Orde van Advocaten, TenneT, Renault-Nissan en de TU Delft; ook de veiligheid van certificaten van die autoriteiten kan niet worden gegarandeerd, omdat DigiNotar ze verzorgde.

Eerder al hadden ook de browsermakers aangegeven de DigiNotar-certificaten op de zwarte lijst te zetten. Zo blokkeerde Chrome 247 DigiNotar-certificaten en kondigden ook Mozilla en Microsoft aan de certificaten van DigiNotar niet langer te vertrouwen. Microsoft heeft op verzoek van de overheid besloten de update die de DigiNotar-certificaten in de ban moet doen, in Nederland nog niet automatisch uit te rollen.

Dit moet bedrijven en overheden wat tijd geven om de omstreden certificaten te vervangen, zo zei Donner eerder deze week tijdens een persconferentie. DigiNotar heeft in Nederland zo'n 58.000 ssl-certificaten uitgegeven en als deze van de ene op de andere dag ongeldig worden verklaard, leidt dit volgens de minister tot 'maatschappelijke schade'. "We denken dat de overheid nog drie tot vier dagen nodig heeft om de certificaten te vervangen", zei Donner maandag. "Voor de certificaten op machines voor contacten tussen machines onderling is langer nodig." Wanneer de hele overstap op nieuwe certificaten voor deze machine-to-machine-certificaten is afgerond, kon Donner niet precies aangeven.

Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Die druk is dinsdagavond iets opgevoerd, toen het softwarebedrijf de bewuste update vrijgaf. Internetters en systeembeheerders die niet willen wachten tot de automatische update uitkomt, kunnen deze nu al downloaden en installeren.

DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Hoewel DigiNotar de hack 19 juli ontdekte, trok het bedrijf niet aan de bel. Uit het onderzoek van Fox-IT blijkt dat het aan adequate beveiliging bij DigiNotar ontbrak en dat de eerste sporen van de aanvallers al dateren van 17 juni. De laatste valse certificaten werden aangemaakt op 22 juli, drie dagen na de ontdekking.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Wilbert de Vries

Feedback • 07-09-2011 08:2486

07-09-2011 • 08:24

86 Linkedin

Lees meer

Minister: computers van sluizen zitten niet aan internet en hack vereist inbraak Nieuws van 12 december 2017
Onderzoek: burgers willen niet altijd digitaal contact met overheid Nieuws van 6 januari 2015
'Een derde van grote ict-projecten overheid faalt zodat systeem wordt geschrapt' Nieuws van 25 april 2014
'Hacker kwam door verouderde cms-software Diginotar binnen' Nieuws van 18 november 2012
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren Nieuws van 12 november 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire Nieuws van 16 maart 2012
Fox-IT ontkent Wikileaks-beschuldiging van spyware-verkoop Nieuws van 1 december 2011
Tweede Kamer gaat onderzoek doen naar ict-problemen Nieuws van 28 november 2011
SP: regering moet Microsoft ter verantwoording roepen om lekken Nieuws van 5 november 2011
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Minister vindt afhankelijkheid van securitybedrijven onwenselijk Nieuws van 21 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
Diverse gaten ontdekt in website gemeente Amsterdam - update Nieuws van 20 september 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd Nieuws van 20 september 2011
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten Nieuws van 17 september 2011
Ministerie onderzoekt stelsel ssl-certificaten Nieuws van 13 september 2011
DigiNotar: Wat is er aan de hand? Video van 12 september 2011
Apple brengt DigiNotar-patch voor OS X uit Nieuws van 10 september 2011
DigiNotar-hacker daagt Fox-IT uit Nieuws van 9 september 2011
Mozilla eist maatregelen certificaatuitgevers na DigiNotar-debacle Nieuws van 9 september 2011
Getronics berekent extra geld voor SHA-1-certificaten Nieuws van 9 september 2011
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben Nieuws van 8 september 2011
OPTA neemt uitgifteproces Diginotar-certificaten onder de loep Nieuws van 7 september 2011
GlobalSign staakt uitgifte ssl-certificaten en huurt Fox-IT in - update Nieuws van 7 september 2011
Hacker Comodo claimt DigiNotar-inbraak Nieuws van 6 september 2011
Overheid dwingt vertraagde Windows Update af bij Microsoft Nieuws van 5 september 2011
Belastingdienst werkt toch nog met DigiNotar-certificaten - update Nieuws van 5 september 2011
DigiNotar-hackers blijken 531 certificaten te hebben vervalst Nieuws van 4 september 2011
Hackers maakten certificaten aan voor sites geheime diensten Nieuws van 4 september 2011
Overheid: mogelijk DigiD-inloggegevens gestolen door hack Nieuws van 3 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
Overheid zegt vertrouwen in gehackte ssl-autoriteit op Nieuws van 3 september 2011
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack Nieuws van 1 september 2011
Overheid vertrouwt blunderende ssl-autoriteit Nieuws van 31 augustus 2011
Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid - update Nieuws van 31 augustus 2011
Hackers genereerden zelf vervalst Google-certificaat - update Nieuws van 30 augustus 2011
Firefox vertrouwt certificaat DigiD niet meer Nieuws van 30 augustus 2011
Browsermakers geven nieuwe versies uit na DigiNotar-blunder Nieuws van 30 augustus 2011
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen' Nieuws van 29 augustus 2011
DigiNotar verkocht aan Vasco voor tien miljoen euro Nieuws van 10 januari 2011
Meer producten en artikelen
Netwerk en systeembeheer Beveiliging Nederland Overheid

Reacties (86)

-Moderatie-faq
-186085+149+27+30Ongemodereerd20
Wijzig sortering
+2Scorpinus
7 september 2011 08:34
Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.

Het zou beter zijn als ze het eens worden over het feit dat ICT niet goed is geregeld. En dat ze daar een goed ICT bedrijf iets aan laten doen. En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt.

Maar dat is waarschijnlijk te goedkoop. Laten we er eerst weer even 100+ miljoen tegenaan gooien voordat we logisch gaan worden...
+219339
@Scorpinus7 september 2011 08:51
Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.
Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.

Wat veel techneuten nog wel eens uit het oog verliezen, is dat er nog een wereld buiten de techniek is. Beveiliging van een ICT-omgeving is niet alleen maar certificaatjes regelen en een firewall neerzetten, maar vraagt om allerlei procedures en regels en policies, die vaak door non-techneuten bepaald worden aangezien het ook met de bedrijfsvoering te maken heeft, niet iets waarin ICT'ers uitblinken.
En dat ze daar een goed ICT bedrijf iets aan laten doen.
Het probleem is: hoe herken je een goed ICT bedrijf? DigiNotar leek in het begin ook wel te vertrouwen.
En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen.
Je kunt niet even een ICT-bedrijf opbellen en zeggen "doe mij even een volledig security-pakket voor de complete overheid". Een dergelijk traject betekent jarenlang consultants over de vloer, vergaderingen, audits, ontwerpcycli, peperdure hardware, etcetera. Nog los van het feit dat dit aanbesteed zal moeten worden. Heb je enig idee over de omvang van een dergelijk projekt? Dit zou het grootste IT-projekt in de Nederlandse geschiedenis worden.
En dat ze daar een goed ICT bedrijf iets aan laten doen.
Dus je wilt... de complete ICT-beveiliging... van de complete Nederlandse overheid... inclusief nooddiensten... in handen van 1 "goed ICT bedrijf" leggen?

Moet ik je het gevaar daarvan uitleggen?

Samengevat: wat er gebeurd is, is natuurlijk knullig en kan niet. Maar de zaak door alleen techneuten laten fixen, gaat ook niet werken.

[Reactie gewijzigd door 19339 op 7 september 2011 08:52]

+1Scorpinus
@193397 september 2011 09:06
Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.

Wat veel techneuten nog wel eens uit het oog verliezen, is dat er nog een wereld buiten de techniek is. Beveiliging van een ICT-omgeving is niet alleen maar certificaatjes regelen en een firewall neerzetten, maar vraagt om allerlei procedures en regels en policies, die vaak door non-techneuten bepaald worden aangezien het ook met de bedrijfsvoering te maken heeft, niet iets waarin ICT'ers uitblinken.
Een ICT-er hoeft niets van politiek te weten, net als dat de politiek niets van ICT hoeft te weten. Maar wanneer de politiek dat nu eens gaat begrijpen... En een goed ICT bedrijf heeft een hele lading architecten en consultants die ook rekening houden met de policies en regels etc. Het bedrijf waar ik werk in elk geval wel. Je beeld van de traditionele 'ICT Nerd' is niet echt meer van deze tijd.
Het probleem is: hoe herken je een goed ICT bedrijf? DigiNotar leek in het begin ook wel te vertrouwen.
Vind je antwoorden maar een beetje vaag en blijkbaar wil je gewoon graag negatief reageren... Natuurlijk is het lastig om te weten wat 'goede' bedrijven zijn. Maar er zijn genoeg grote ICT bedrijven in Nederland die dit soort trajecten in hun portfolio hebben staan. Niet zo heel moeilijk te vinden dus.
Je kunt niet even een ICT-bedrijf opbellen en zeggen "doe mij even een volledig security-pakket voor de complete overheid". Een dergelijk traject betekent jarenlang consultants over de vloer, vergaderingen, audits, ontwerpcycli, peperdure hardware, etcetera. Nog los van het feit dat dit aanbesteed zal moeten worden. Heb je enig idee over de omvang van een dergelijk projekt? Dit zou het grootste IT-projekt in de Nederlandse geschiedenis worden.
Wat is dit nu voor antwoord? Natuurlijk kun je niet even een ICT bedrijf bellen met zo'n bestelling... En ja, als je dit goed wilt doen zul je het geheel moeten doen. En ja dit houdt in dat je wel even bezig bent...
Dus je wilt... de complete ICT-beveiliging... van de complete Nederlandse overheid... inclusief nooddiensten... in handen van 1 "goed ICT bedrijf" leggen?

Moet ik je het gevaar daarvan uitleggen?
Lekker neerbuigend die antwoorden van je.
Samengevat: wat er gebeurd is, is natuurlijk knullig en kan niet. Maar de zaak door alleen techneuten laten fixen, gaat ook niet werken.
'Techneuten' is iets van vroeger. Tegenwoordig heb je consultants en architecten die het voorwerk doen. Alle regels, policies en het politieke gedeelte. Daarna heb je technisch specialisten die uiteindelijk het hele plan gaan uitvoeren.

Het klinkt inderdaad wat makkelijk, en we hebben het hier over de overheid dus het lijkt ook niet echt haalbaar. Maar wil je dat dit een goed geïntegreerd systeem wordt kan je het niet echt in stukken hakken en door verschillende partijen laten doen. Uit het verleden is gebleken dat je dan eilandjes in je systeem krijgt waar niemand wat aan heeft.
+1rodie83
@Scorpinus7 september 2011 09:28
Gossie, kreeg je weerwoord? Het enige wat je zelf hebt gepost is:

"En dan niet aan een afdeling, of alleen de politie systemen, nee alle systemen. Zodat het eindelijk eens 1 systeem wordt dat goed samenwerkt."

Slaat natuurlijk helemaal nergens op. Zo kan je alle problemen in de wereld wel oplossen met een utopie.

Heb je énig idee hoeveel systemen de overheid gebruikt en voor hoeveel verschillende doelen? Dus de rijksoverheid, provincies en gemeenten samen? Ik denk niet dat je het weet eigenlijk, dan had je zo'n post niet gemaakt.

Of ik het kan weten? Ik heb tijd doorgebracht bij het toenmalige ministerie van LNV, Justitie en BZK heb tientallen kritische systemen voorbij zien komen, de niks met elkaar te maken hebben en dus ook helemaal niet geïntegreerd zouden hoeven te worden.

[Reactie gewijzigd door rodie83 op 7 september 2011 09:32]

+1bonus
@193397 september 2011 09:07
Wat weet de gemiddelde ICT'er van politiek? Even weinig gok ik.

Ik denk dat de gemiddelde ICT-er meer van politiek weet dan omgekeerd. Het vervelende is dat de politiek denkt te weten wat ICT is en het dan ook zo toepast en dan gaat het fout. Ze denken dan aan hun pctje thuis en niet verder...
+1Helsie
@Scorpinus7 september 2011 08:39
Met 1 systeem neem ik aan dat je dat als 'logisch geheel' bedoelt en niet écht als '1 systeem'? ;-) Want zo'n alles-in-één-monstersysteem zou het ultieme falen van de overheid worden, inclusief de ultieme vendor lockin.

Lang leve open standaarden. :-)
+1Gert
@Scorpinus7 september 2011 08:40
Maar dat moet dan via een aanbesteding waar ze dan uiteraard de goedkoopste kiezen. Die blijkt het niet te kunnen doen voor het bedrag (want zo werkt dat met aanbestedingen, achteraf ga je eens echt uitrekenen wat het moet kosten) en dan komt er nog een miljard bij en dan gaan ze op zoek naar een andere partij die weer van voor af aan begint en zo gaan we rustig verder.

Als de overheid niet als enorme melkkoe werd gebruikt door IT bedrijven zouden er ook niet allemaal beklemmende regeltjes nodig zijn. Dat hebben ze wel een beetje over zich zelf afgeroepen door in het verleden idiote bedragen te vragen, omdat het kon omdat het de overheid was en zij er toch niks van wisten.
0airell
@Gert7 september 2011 08:44
Goedkoop, goedkoper, gehackt... misschien gaat men nu het belang van goede ICT boven goedkoop eens inzien. Het hoeft daarmee echt niet schreeuwend duur te worden.

uiteraard betekent niet goedkoop ook niet meteen veilig...

[Reactie gewijzigd door airell op 7 september 2011 08:55]

+1elmuerte
@Scorpinus7 september 2011 08:54
Het is in de aard van politici en management, ze denk alles te kunnen fixen door er over te blijven praten ook al hebben ze geen verstand van zaken.

Ik ben het niet eens dat z'n project door 1 bedrijf uitgevoerd moet worden. Het is beter dat verschillende bedrijven hier mee samenwerken. Ook ben ik van mening dat het systeem volledig open source moet worden. Dat krijg de overheid geen vendor lock-in, elk bedrijf/persoon kan dan een steentje bijdragen.
0sfc1971
@Scorpinus7 september 2011 09:00
Wat ik niet snap is het politieke debat dat ze willen houden...wat weet politiek nu van ict beveiliging? Daar komt dan vast weer een voorstel uit waar een ICT-er van gaat huilen.
Gezien het grote aantal blunders in de ICT, weten politici blijkbaar evenveel van ICT als de gemiddelde ICT'er die aan dit soort projecten weten.

Geen bal.

Doe nou niet of mensen die voor dit soort overheid ICT bedrijven werken zo goed zijn. Als ze hun vak verstonden zouden de projecten of niet falen of zouden ze ergens anders beter werk vinden.
0Amir0ff
@Scorpinus7 september 2011 14:47
Hier kun je iets mee. Maar in plaats van 1 ICT bedrijf kun je een alliancie makken van ICT bedrijven die een oplossingen moeten gaan verzinnen. AKA een denktank. Overheid moet actie ondernemen ze hebben duizenden oplossingen. De Nederlandse overheid is zo slecht nog niet. Ze beschikken over geld, denktanks, het hele land.

Maak er werk van. En je kunt altijd op tweakers.net de discussie volgen. ;)

[Reactie gewijzigd door Amir0ff op 7 september 2011 14:48]

0Amir0ff
@Scorpinus8 september 2011 14:29
Het grote probleem is juist dat er geen vertrouwen is in de politiek op het gebied van ICT.
Daar gaan ze over praten. Ik wil echt een oplossing. Na dit debakel moet er wel meer geluisterd worden naar ICT'ers. Een stuk hier boven is een vergelijking gemaakt tussen een bedrijf en overheid.

Bedrijven maken fouten, als het goedkoper was dan storte een heleboel bedrijven hun vuil gewoon in de natuur.
Dat kun je niet verwachten van een Overheid. Daarom ben ik van mening dat dit probleem ook niet hoort voor te komen. Ook al moeten we bezuinigen dit is iets waar we in moeten investeren
+1Woy
7 september 2011 09:00
Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Die druk is dinsdagavond iets opgevoerd, toen het softwarebedrijf de bewuste update vrijgaf. Internetters en systeembeheerders die niet willen wachten tot de automatische update uitkomt, kunnen deze nu al downloaden en installeren.
Ik snap alleen niet helemaal waarom de overheid MS gevraagd heeft om de update uit te stellen. Dat is immers alleen symbool bestreiding. Op het nieuws word ook elke keer verteld dat de burgers weer veilig gebruik van overheids sites kunnen maken als de certificaten vervangen zijn, maar nergens word verteld dat er dan wel gekeken moet worden of de Root CA correct is.

Het was IMHO beter geweest om MS ( en alle andere browser makers ) meteen de certificaten te laten intrekken, dan is het voor de burger tenminste duidelijk of hij "veilig" gebruik kan maken van een site.
+2aZuL2001
@Woy7 september 2011 09:10
Omdat het niet alleen om het bezoeken van websites gaat.
Want dat is vrij eenvoudig te veranderen.

Het probleem zit nu juist bij bijv aangiftesoftware bij accountantskantoren.
Dat werkt met BAPI certificaten. Die zullen ook vervangen moeten worden.
Door nu gelijk keihard de hele diginotar lijn te laten vallen kan het ook hierop impact hebben.
+2Woy
@aZuL20017 september 2011 09:21
Maar die certificaten zijn niet meer te vertrouwen, dus die problemen zouden er hoe dan ook al moeten zijn. Immers kunnen ze die certificaten niet meer vertrouwen. Het is voor een organisatie prima mogelijk om als nog een ingetrokken certificaat te gebruiken, maar handig is het natuurlijk niet.
+1ADQ
@aZuL20017 september 2011 09:18
Vergeet de computer - computer communicatie niet bij bijvoorbeeld gemeenten. Ik geloof dat er iets van 50.000 certificaten vernieuwd moeten worden.
0Woy
@ADQ7 september 2011 09:23
Ik snap best dat dat een tijd kan duren, maar tot die tijd kun je toch al niet meer op de veiligheid van de certificaten vertrouwen. En anders hadden de gemeentes altijd nog zelf kunnen kiezen om een bepaalde update niet uit te rollen. Maar tot de tijd dat de DigiNotar certificaten niet meer accepteert kun je dus eigenlijk geen enkel certificaat vertrouwen zonder dat je het root-certificaat controleert. Op dit moment is internetbankieren dus ook niet veilig als je het certificate path van het certificaat niet zelf controleert.

[Reactie gewijzigd door Woy op 7 september 2011 09:24]

0.oisyn

@Woy7 september 2011 11:20
Je hebt het steeds over "als je het controleert", maar ADQ heeft het over computer-computer communicatie. Daar is controle door een gebruiker helemaal niet aan de orde. Die processen falen gewoon keihard als een certificaat niet meer geldig is, en dan kun je ook niet even handmatig het ongeldige certificaat allowen.
0Woy
@.oisyn7 september 2011 12:58
Dat zou dus ook terecht zijn dat die falen, immers kan er niet meer gegarandeerd worden dat ze met de juiste partij aan het communiceren zijn, en dat is juist het hele idee van het gebruik van het certificaat.

Verder kan je nog perfect dat certificaat per PC alsnog allowen, of gewoon zorgen dat op die PC's niet de update geïnstalleerd word ( Al valt het nut van het Certificaat dan alsnog gedeeltelijk weg )

[Reactie gewijzigd door Woy op 7 september 2011 12:59]

0SirBlade
@Woy7 september 2011 15:10
Terecht dat die falen...totdat het om systemen gaat die verantwoordelijk zijn voor de uitbetaling van jouw salaris of uitkering. In sommige gevallen is onbetrouwbare communicatie te verkiezen boven geen communicatie.
0Woy
@SirBlade7 september 2011 16:25
Als dat te verkiezen is, zullen op die systemen de update van de CRL en Root Certificates niet doorgevoerd moeten worden. Maar dat is nog geen reden om dan de security van de rest van alle CA's teniet te doen.

Zolang dat een bekend gehackt CA certificaat niet is ingetrokken zijn feitelijk alle andere certificaten in de wereld ook "zinloos", zolang daar niet extra gecontroleerd word wat de uitgevende instantie is.
0tyrunar
7 september 2011 08:30
Dat de burgers en bedrijven van Nederland inmiddels wekenlang ten prooi hebben kunnen vallen van kwaadwillenden reken ik hem heel erg zwaar aan."
dat meer dan de helft van de Nederlandse huis-tuin-en-keuken computers onderdeel zijn van een botnet vergeet deze dame gemakshalve even?

ik snap deze storm in een glas water niet zo. Ja het is ernstig, maar zoals gezegd is internet nooit 100% veilig en de gemiddelde computergebruiker zonder verdere kennis is niet wekenlang, maar al jarenlang een prooi van kwaadwillenden.
+2EelcoG
@tyrunar7 september 2011 08:44
dat meer dan de helft van de Nederlandse huis-tuin-en-keuken computers onderdeel zijn van een botnet vergeet deze dame gemakshalve even?
Kun je hier even je bankgegevens posten en je inlogcodes? Immers, half Nederland draait toch een botnet. Dat is toch een absolute onzin redenering. Omdat er een hoop mensen hun computer niet beveiligen, moet ik maar accepteren dat de communicatie waarvan ik gedwongen wordt gebruik te maken onveilig is?

Waar het hier dan ook om draait is dat je als burger (of ander rechtspersoon) gedwongen wordt om gebruik te maken van bepaalde overheidsdiensten, en dat je wordt gedwongen om dat op een bepaalde manier te doen. Als je mensen daartoe dwingt is het minste wat je doet je uiterste best doen om dat veilig te laten gebeuren. Het is namelijk niet alsof je een alternatief hebt.

Het eerst totaal laten versloffen en daarna bagatelliseren van het probleem is natuurlijk belachelijk. Het vertrouwen in de overheid is al niet zo hoog (en terecht, zie recentelijk bijvoorbeeld de OV chipkaart en het EPD) en dat ga je op deze manier natuurlijk niet herstellen.

Ik denk dan ook dat het volkomen terecht is dat er nou eens fundamenteler gekeken gaat worden waarom de overheid het bijna structureel verprutst.

[Reactie gewijzigd door EelcoG op 7 september 2011 08:49]

+1_root
@EelcoG7 september 2011 09:15
Ik denk dat de overheid het niet structureel verprutst, maar als de overheid een project doet is het natuurlijk altijd in het groot.
Het is dus ook vaak wat anders dan ergens een mailservertje naar binnen rijden.
Maar gaat het dan mis, staat het natuurlijk wel op de voorpagina.


Vergeet ook niet dat dit soort projecten alleen geïnitieerd en betaald worden door de overheid, het ontwerp en uitvoering ligt meestal bij de door ons zo gerespecteerde bedrijven.
De overheid doet , naar mijn mening, te weinig tegen die bedrijven die een wanprestatie neerzetten.
Sleep er is eentje voor de rechter als waarschuwing

[Reactie gewijzigd door _root op 7 september 2011 09:22]

+1blouweKip
@_root7 september 2011 12:12
Vergeet ook niet dat dit soort projecten alleen geïnitieerd en betaald worden door de overheid, het ontwerp en uitvoering ligt meestal bij de door ons zo gerespecteerde bedrijven.
De overheid doet , naar mijn mening, te weinig tegen die bedrijven die een wanprestatie neerzetten.
De spijker op z'n kop.

Daarnaast: dit hele certifcaten debacle is veroorzaak door een commerciele partij, die ook nog eens fraude gepleegd heeft en gelogen: heeft niets met de overheid te maken, de enige die weer eens blundert is donner: maar dat is toch niets nieuws :p
+1wouter veltmaat
@_root7 september 2011 15:09
Zo simplistisch als jij het nu voorstelt is het niet. In deze zin heeft de overheid certificaten laten registeren bij een organisatie die er een zooitje van heeft gemaakt. Of die de overheid hier tijdig over heeft ingelicht is nog niet bekend zover ik weet. Dat de verschillende overheidsdelen hier snel genoeg op hebben gereageerd is ook verschil over maar dat is achteraf gepraat. Ook over het al dan niet genoeg toezicht houden op Diginotar is ook nog niet uitgekristalliseerd. Maar ook dat is achteraf gepraat. De gevolgen zijn nu al bekend.

Wat belangrijker is om te weten af het beleid van de overheid voldoende is ingericht om veiligheid als intrinsiek onderdeel te beschouwen en daarbij aansluitend risico's heeft vertaald naar een rampenplannen, eisen bij aanbestedingen en genoeg middelen heeft om sancties te heffen als er dingen niet zo gaan als ze horen. Gezien de vele problemen van de laatste jaren kun je zeker stellen dat daar nog veel ruimte voor verbetering is. Hieraan werken is lang niet zo simpel en het is dan ook meer een lange adem verhaal.

Wat uitbesteding betreft is het vaak ook niet zo makkelijk. Als de opdrachtgever een onduidelijk opdracht formuleert dan is de kans dat het fout wordt geïmplementeerd behoorlijk groot. Het is in de praktijk vaak de communicatie- en kenniskloof tussen de beide partijen die voor teveel blinde vlekken zorgt.
Wat dat betreft ben ik het wel met je eens dat de opdrachtgevers scherpere eisen stellen bij opdrachten en daar ook streng op toezien. Maar daar tegenover staat dan wel dat zij dan ook duidelijk aangeven wat ze willen. Dat moet ook wel want anders verzandt het in lang durende rechtszaken en de zoveelste ICT misser.
+1aZuL2001
@tyrunar7 september 2011 08:40
"Meer dan de helft ?" Weet je van cijfers die dat ondersteunen ?

Los daarvan, daar kan de overheid niet direct wat aan doen.
Dit geval heeft met bepaalde verplichte communicatie te maken, en dat valt wel direct onder de verantwoordelijkheid van de overheid. Terecht dat ze zo bezig zijn.

Brengt gelijk andere kwesties aan de orde zoals het ontbreken van een plan B, en het ontbreken van centrale aansturing binnen bijv de rechterlijke macht. Advocaten hebben van de Orde van Advocaten het advies gekregen om geen gebruik meer te maken van de op certificaten gebaseerde wijze van raadplegen van de rol (zeg maar de agenda van rechtszaken).
Los van dat dat erg lastig is, bleek daaruit ook dat het aan centrale aansturing ontbreekt.
Faxen draaien opeens weer overuren.
+1Amir0ff
@aZuL20017 september 2011 09:39
Daar kan de overheid niets aan doen?
Dit hoort het punt te zijn waar we over moeten praten.

Ik stel voor dat de overheid een organisatie op start net zoiets als de AIVD of NASA.
Eentje die als taak heeft de Nederlandse ICT platform te beschermen.

Ik zou ook zeggen dat de Nederlandse overheid niet de enige mag zijn die aandeelhouder is. De Nederlandse overheid is niet transpirant. Ik mag dit kabinet niet zo. Onze economische minister trekt andere economische ministers voor op de Nederlandse bevolking.

Gisteren is er een interview afgelegd door rtl 7. In plaats van ons te vertellen wat hij wilt houdt hij het geheim wat er besproken gaat worden. In plaats van ons te vertellen wat zijn plannen zijn maar duidelijk makend dat het hij een onderhandeling in gaat en dat dit het uiterste is wat hij wilt. Dan heeft hij de steun van het volk. Nu vindt ik onze economische minister zeer zwak. Mijn steun heeft hij in ieder geval niet.

Of dat er ruzie wordt gemaakt in de kamer over of Afganistan nu wel of niet een civile missie is.

Laten we maar niet beginnen over Wilders. Iemand zoals hem die zoveel macht krijgt. Kan heel makkelijk aangeven dat de AIVD dit systeem kan misbruiken. Van daar dat het heel noodzakelijk is dat er een aantal ondernemers aandelen krijgen zo dat als zoiets besproken wordt dan er veel meer mensen nodig zijn om zoiets te bereiken

De zwaktes die de overheid deze regeer periode heeft laten zien ik als de reden dat ik zeg geef de overheid niet de volledige aandelen. Ik zou een grote aandelen pakket bij de providers leggen.
+2TDeK

@Amir0ff7 september 2011 11:56
We hebben toch al GovCERT?
+2ppl

@TDeK7 september 2011 15:39
Ja en dat stelletje prutsers schreeuwde van de daken dat de DigiNotar root certificate van PKIoverheid hartstikke veilig was, er was niets aan de hand. Een uiterst merkwaardige uitspraak die ook het ministerie BZK deed. Beide instanties hebben in tegenstelling tot Fox-IT GEEN enkel stuk onderzoek gedaan. Men heeft domweg de paniekpraat van DigiNotar 1 op 1 overgenomen. Dat GovCERT heeft zich daardoor als compleet leeg omhulsel gepresenteerd. Als CERT is het je taak om uiterst kritisch naar de materie te kijken en eerst onderzoek te doen naar de materie. In de aanloopt daarnaartoe kun je een advies uitbrengen. In geval van security zaken geldt dan vaak het devies "bij twijfel niet doen".

Daar mogen ze het ook wel eens over gaan hebben bij dat debat. Het gaat hier wel om gemeenschapsgeld waarvan de PKIoverheid infra wordt bekostigd eveneens als overige ICT projecten die aan de lopende band keihard falen. En naar nu blijkt is het hebben van een GovCERT leuk en aardig maar dan moet het wel werken. Ook dit is sinds het DigiNotar debacle onderdeel van de enorme waslijst aan falende ICT zaken van de overheid. De NMa blijft ook stelselmatig weigeren om ICT op de agenda te zetten. ICT leeft gewoon totaal niet bij de overheid terwijl het wel een enorm belangrijk onderdeel is geworden. Zo belangrijk dat het een flinke impact op dingen als de economie en het dagelijks leven heeft. Het wordt dan ook hoogtijd dat men ICT eens echt serieus neemt en daar bijv. een aparte ministerpost met bijbehorend ministerie voor in het leven gaan roepen incl. een GovCERT organisatie die WEL weet wat ze moeten doen. Beetje zoals wat de EU nu doet met de post van Neelie Kroes.

Nederland moet zich echt heel erg diep schamen hoe men heeft gehandeld rondom dat DigiNotar verhaal. Slechter had men het niet kunnen doen volgens mij.
+1wizzkizz
@ppl7 september 2011 17:07
Je overdrijft wanneer je zegt dat PKI Overheid keihard gefaald heeft. Ja, één intermediate CA is gehacked, maar de andere vijf niet. Bij beslissingen die dermate vérstrekkende gevolgen hebben als het intrekken van een root-certificaat waardoor een enorme maatschappelijke schade zou ontstaan, past een zorgvuldig overwegen van alle beschikbare opties.

Gezien het geringe risico op misbruik (aan aanvaller moet DNS kunnen manipuleren/verkeer kunnen rerouten) en de grote impact van snel intrekken certificaat, hebben ze mijns inziens erg juist gehandeld door relatief snel via een beheerst scenario DigiNotar uit te keten te verwijderen. Dit is vele malen beter dan het alternatief, namelijk chaos.

En GovCert is júist de organisatie die het aangezwengeld heeft, dus ik snap je kritiek op GovCert ook niet helemaal. Je kunt toch niet verwachten dat ze direct een onderzoek gereed hebben? In die tussentijd moeten ze afgaan op de informatie die ze hebben, waarbij enige voorzichtigheid wel op z'n plaats is uiteraard. Verder is enige tijd geleden een publiek-private samenwerking opgestart om de Nederlandse digitale infrastructuur beter te beveiligen. Dus, hoewel niet voor zijn tijd, worden er wel degelijk goede stappen gezet.
+1madmaxnl
@TDeK7 september 2011 18:03
Die doet het dus niet, FF waarschuwt mij.
+1Patrick!
@Amir0ff7 september 2011 10:11
Ik zou een door de overheid gesponsorde controledienst op ICT helemaal niet vertrouwen. Ze hebben er totdusver altijd een potje van gemaakt. Als ze mijn vertrouwen willen hebben zullen ze eerst een paar projecten goed moeten doen, en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.

We hebben de regering waar we om gevraagd hebben als volk, dus als je hem niet vertrouwt, kijk eerst naar jouw eigen stemgedrag... niet gestemd? niet zeuren dan.


Ik ben het zelden eens met de SP, maar ik vind wel dat ze een beter idee mbt ICT hebben dan de andere partijen, en de vragen zijn terecht.


Edit typo's

[Reactie gewijzigd door Patrick! op 7 september 2011 10:13]

+1.oisyn

@Patrick!7 september 2011 11:04
en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.
Geld is echt het probleem niet. Het is niet dat die projecten falen omdat het altijd zo goedkoop mogelijk moet. Het probleem ligt net zo goed bij het bedrijfsleven, die zien de overheid als een grote cashcow en denken even snel te kunnen verdienen aan een leuk projectje wat altijd duurder uitvalt dan aanvankelijk afgesproken, dus je kunt je prijs bij de aanbesteding zo laag mogelijk inschatten.

[Reactie gewijzigd door .oisyn op 7 september 2011 11:11]

0i-chat
@Patrick!7 september 2011 13:08
[quote]en dit kan alleenmaar als men zich bij de overheid realiseert dat de echt goed ICT'ers duur zijn, maar het geld meer dan waard.[/qoute] dit kom ik dagelijks tegen en het is ABSOLUTE ONZIN, ik zie bedrijven bijna op dagelijkse schaal het zelfde product verkopen tegen een dubbele prijs, waar enkel het woordje primium op is geplakt, vaak via een constructie die ze goed indekt als het fout gaat... 'ja het ligt aan de leverancier'

een ECHT goede icter is efficient en daarmee dus juist goedkoper... - een beetje icter rekend dan mischien wel 200 euro per uur maar doet er naar verhouding ook 20x zo kort over... - en dan nog heb je bij een goede icter keiharde rock-solid garanties dat het werkt, en neemt hij gewoon z'n verlies als ie het verprutst...

ik durf te wedden dat diginotar ook zo'n bedrijfje was, 1 general manager en 3 mbo ict stagiers om de boel te draaien, en mischien opa die vroeger nog ponskaarten heeft geprogrammeerd maar sindsdien al met pensioen is....

maar een minister of staats secretaris van 'digitale veiligheid' met een redelijk budget lijkt me geen heel raar idee...

ik denk dan aan data centers met kmar bewaking,
regelmatige security audits (elke ronde van een ander beveiligings bedrijf).
en er zijn vast nog wel wat zaken te bedenken.. misschien een anti-hack team.. ??
0Amir0ff
@Patrick!7 september 2011 14:35
Sorry Patrick

Maar niet gestemd, niet zeuren is niet van toepassing. Ik heb zeer zeker gestemd alleen mijn stem is uiteindelijk terecht gekomen in de oppositie. Maar dit is iets te simplistisch om zo'n uitspraak te doen.

Je vult lucht met iets wat je eerder hebt gehoord. Het gaat er niet om of er gestemd is of niet. Maar de overheid als geheel binnen de fluctuatie van links midden en rechts vindt ik niet te vertrouwen en het gaat me vooral om extreem rechts en extreem links.

Extreem zegt het al. De samenleving is aan het destabiliseren. Economische, politiek maar voornamelijk op vertrouwen kwesties. De vorige kabinet probeerde daar veel meer in te investeren. Daarvan zou je kunnen zeggen dat die een stuk betrouwbaarder is. Maar door de schommelingen vindt ik dat het niet meer een taak kan zijn van puur de overheid.
+1cariolive23
@aZuL20017 september 2011 09:04
"Meer dan de helft ?" Weet je van cijfers die dat ondersteunen ?
Ga eens informeren bij FoxIT, zij monitoren het verkeer van een flink aantal botnets.

Het zal zeker niet de helft van de Nederlandse huis-tuin-en-keuken computers zijn, maar er zijn dagelijks wel tienduizenden pogingen om de bankrekeningen te plunderen. Vele gebruikers doen precies waar de botnets om vragen en voeren keurig PIN- en TAN-codes in of gaan met hun calculator (random reader, edentifier of wat dan ook) een code berekenen. 1x raden wat er dan gebeurt... 8)7

Maak je geen illusies over het niveau van de gemiddelde pc-gebruiker, het zijn zeker niet allemaal Tweakers.

Bij het OM werken overigens een groot deel van deze gemiddelde pc-gebruikers, daar hebben ze echt geen idee hoe ze dit soort criminaliteit moeten aanpakken. Aangiftes doen ze helaas niets mee.
+1arjankoole

@cariolive237 september 2011 09:08
Ga eens informeren bij FoxIT, zij monitoren het verkeer van een flink aantal botnets.
Doe nou niet alsof FoxIT zoveel is, ook die laten steken vallen. Ik ken wel een paar mooie verhalen.
+1cariolive23
@arjankoole7 september 2011 10:34
[...]


Doe nou niet alsof FoxIT zoveel is, ook die laten steken vallen. Ik ken wel een paar mooie verhalen.
;)

Punt is alleen dat in NL de lat zo laag ligt. En dan stelt FoxIT ineens wel heel wat voor. Of je daar nu zo veel aan hebt, dat is weer een ander verhaal.
0TDeK

@cariolive237 september 2011 10:34
Van de andere kant, zelfs een simpele eind-user zal zich zeker gaan verdiepen in de beveiliging van zijn machine als zijn rekening ineens is leeggeplunderd. De bank 'zuivert' dit wel aan (dat betalen WIJ btw!), maar dat kan weken duren. Je wilt niet weten hoeveel ellende je hebt als je ineens niet meer kan pinnen (daarom heb ik altijd een stash nood-cash, just in case). Dus de aanname die hier (en elders in de security-tak) vaak wordt gedaan geloof ik niet. Als mijn rekening twee keer wordt leeggetrokken en ik ben niet kundig genoeg om mezelf hiertegen te beveiligen, dan stop ik gewoon met internetbankieren. Een beetje gemak tegenover wekenlang pure ellende (boodschappen, tanken, je kunt echt niks meer) weegt daar niet tegenop in mijn ogen.

[Reactie gewijzigd door TDeK op 7 september 2011 10:34]

+1Sn0zz
@aZuL20017 september 2011 09:05
Begin dit jaar is geconstateerd dat "waarschijnlijk tussen de 450.000 en 900.000 en mogelijk meer computers in Nederland besmet en onderdeel van zogenaamde botnets" zijn.
Dit zou volgens datzelfde onderzoek neerkomen op een besmettingsgraad van 5 tot 10%.

[Reactie gewijzigd door Sn0zz op 7 september 2011 09:09]

+180466

@Sn0zz7 september 2011 10:30
Dat cijfer ging niet over een momentopname maar over een iets langere periode.
Uit hetzelfde rapport zie je dat bij een kortere periode van meten over 6 maanden de cijfers lager liggen:
Our estimate corresponds remarkably well with the figure presented in the 2010 Microsoft Security Intelligence Report (MSIR). The MSIR reported around 200 thousand bots in the Netherlands during the first six months of 2010.17 Our method yields 260,000 bots for the same period.
+1hieper
@tyrunar7 september 2011 08:40
Dat een deel van de bevolking bijzonder laks is met de beveiliging van hun pc is geen vrijwaar voor de overheid om dan ook maar laks te zijn.
Een tanend vertrouwen in ICT-beveiliging van overheidssystemen is een bedreiging voor de acceptatie van bestaande en nieuwe overheidssystemen (door de burger), met als gevolg dat de kosten van de overheidsadministratie hoger zullen worden dan strikt noodzakelijk.

[Reactie gewijzigd door hieper op 7 september 2011 08:41]

+1ACM
@tyrunar7 september 2011 08:41
Het gaat er in dit geval natuurlijk wel om dat juist een systeem dat op vertrouwen is gebaseerd niet te vertrouwen bleek... Enneuh, heb je cijfers voor die eerste uitspraak? Of is het gewoon uit de lucht gegrepen om een beetje aandacht te vragen hiervoor?
+1jaapio88
7 september 2011 08:57
Misschien is het wel niet zo dat alle overheids ict projecten falen. De gene die slagen hoor je niks van. Die zijn er gewoon. En dan vind iedereen normaal. Volgens mij moet elke systeembeheerder dat herkennen. Als er niks aan de had is kijken mensen je niet aan. En als er iets mis is staan ze rij-en dik aan de balie te klagen dat het ook altijd wat is.

Daarnaast denk ik dat de overheidsprojecten die falen eerder in het nieuws zullen komen dan een bedrijf wat over de kop gaat omdat ze hun zaakjes niet op orde hebben. Want wie intresseerd het nu dat de website van de garage op de hoek zo lek als een mandje is? De landelijke media in elk geval helemaal niets.

Derde puntje wat Delando ook al aan geeft. Er zitten daar te veel mensen met te veel geld die niet alles kunnen weten. En alleen opzoek zijn naar de goedkoopste bedrijven om projecten uit te voeren. En altijd de zelfde poel van bedrijven.
Ik zou er voor zijn als er een lijst wordt gemaakt van bedrijven die al eens gefaald hebben. En die dan voor de grote projecten uitsluiten. Dan voelen de bedrijven tenminste ook dat ze moeten presteren.
+1konin525
@jaapio887 september 2011 09:59
Je hebt te maken met europese aanbestedings regels (de overheid moet zich ook aan de wet houden). Daarnaast is er natuulijk niets mis mee dat de overheid een beetje zuinig met het geld doet.

Dat je alleen van de mislukte projecten hoort is natuurlijk helemaal waar. Dit "forse debat" past ook volledig in het plaatje van een partij die graag schreeuwt dat het allemaal niet goed is, maar zelf eigelijk ook niet weet waar het over gaat.

Persoonlijk zie ik in dit incident nu net geen overheids fail. Volgens mij lossen ze dit vrij goed op en je kunt toch moeilijk van de nederlandse overheid verwachten dat ze alle problemen van het wereldwijde internet oplossen.

En mensen gaan nu weer faxen... Wie zegt dat daar geen "man in the middle" is.

(zelfde discussie als over de ov-chipkaart: Die kan gekopieerd worden, maar dat kon met strippenkaarten toch ook)
0blouweKip
@jaapio887 september 2011 12:03
Het zijn vaak ook de uitvoerende externe partijen die daarin falen, mede vanwege het feit dat de ICT expertise bij de overheid voor het managen van dergelijke externe partijen is wegbezuinigd.
+1Evil_king
7 september 2011 09:06
Nou, beniewd of dit nu wat gaat worden. Tis natuulijk al eeuwen bekend dat de overheid wbt ICT echt vaak niet weet waar ze mee bezig zijn, en dat er bij dat soort projecten (no offense) fors wat afgebeund wordt.

Dat internet nooit 100% veilig is, is zeker waar. Maar met de huidige digitalisering van de wereld mag onderhand verwacht worden dat overheden hetzelfde level van veiligheid hebben als bijv. banken. En als je weet hoeveel moeite banken ervoor doen om dat steeds zo houden, dan hebben onze vrinden in Den Haag nog genoeg in te halen.

Daarom moet denk ik ook de hele keten verbeterd worden: beginnen bij het aanstellen van grote, gerenommeerde IT clubs ipv kleine bedrijfjes uit Beverwijk. Daarnaast gaat het ook over een hele grote cultuuromslag: op vele overheidsdepartementen en gemeenten is volgens mij de IT kennis uiterst beperkt, en de wil om dingen structureel professioneel aan te pakken soms ver te zoeken (Want dat verandert de fijne, bekende status quo).

En het moet eindigen helemaal boven in de boom: een minister van IT die ook echt ergens verstand van heeft. Want kom nou? Die Donner weet echt denk ik net waar de muis van zn computer zit en meer niet. Remember: dit is (als ik het goed heb) dezelfde man die geweldadige games wou verbieden maar niet films, omdat daar 'teveel weerstand tegen zou zijn'. En zie ook in dit geval: eerst alles ontkennen en pas op het einde toegeven dat er stront aan de knikker is.... |:( |:(
+1konin525
@Evil_king7 september 2011 10:08
De overheid heeft vooral grote bedrijven in dienst. De IT kennis is beperkt omdat ambtenaren salarissen niet passen op de ICT salarissen..

Kijk hier eens naar:
http://www.computable.nl/...sie-weer-duurder-uit.html

Gewoon bedrijven als Logica, Capgemini, IBM, Atos Origin

Die bedrijven zijn helemaal niet in Beverwijk gevestigd.
0Evil_king
@konin5257 september 2011 11:12
Da's ook waar idd. Ik schertste ook een beetje; alhoewel ik me afvraag of je nu een kleine partij moet kiezen boven grote clubs om de certificaten voor de hele overheid te laten regelen.....?

Uiteindelijk komt het zekers op geld neer: goede security en know-how, plus de kunde om dat op grote schaal te institutionaliseren, kost gewoon poen*. Daarom heeft de overheid ook eigenlijk 2 keuzes: ofwel zoals altijd voor een duppie op de eerste rang willen of toch goed investeren in goede IT. In dat eerste geval mogen ze dan ook echter niet klagen (en debatten gaan houden) als de boel in de soep loopt, want je krijgt waar je voor betaalt.


*Daarbij moet ik overigens zeggen dat men toch echt eens mag kijken hoe het toch steeds mogelijk is om 300 miljoen in een project te steken, wat vervolgens mislukt....
0Blue_Entharion
7 september 2011 08:33
Waarom moet er altijd een ramp gebeuren voordat die politici opletten?
Ik loop al jaren te zeggen dat de overheidssystemen zo lek en traag zijn, dat ze dat zelf niet doorhebben :\
+1blouweKip
@Blue_Entharion7 september 2011 12:24
Toch, de diginotar hack heeft NIETS met ict beleid of uitvoering van de overheid van doen, het is een commercieel bedrijf wat zwaar de fout ingaat en o.a de overheid heeft daar last van, de enige die je wat kunt aanrekenen is donner met z'n domme statements en de media met alle complete onzin die ze hierover naar buiten brengen.

Dus als je dat al niet doorhebt is het maar goed dat "die politici" niet naar jou luisteren toch?
+1Amir0ff
@blouweKip7 september 2011 14:43
Dat ben ik niet eens met je.
Domme statements in de media? Daar moet je dus niet naar luisteren?
Ik luister er wel naar en verwerk die informatie. Niet luisteren is al een fout.

Vroeger werkte de overheid met controleurs. Waar zijn die gebleven?
Since wanneer is het oke dat zoiets fout kan gaan.
Since wanneer is het oke dat de overheid niet volledige verantwoording krijgt. Zij hebben het contract getekend met het bedrijf. Als het bedrijf fout gaat is de gene die het contract binnen heeft gehaald verantwoordelijk namens de overheid.

We spreken hier niet van B2B we spreken hier van O2B, dat betekend dat de overheid een aantal voorwaarden kan opleggen. Een inspecteur moet komen controleren of alles klopt. Er moet geinvesteerd worden in protocols. Deze wetgeving moet opgesteld worden door de overheid. Op projecten waar de overheid verantwoordelijk voor is.
+1blouweKip
@Amir0ff7 september 2011 15:41
Ok, maar hier geef je aan dat je dus met 2 maten meet, ik vind persoonlijk een mogelijk MITM attack voor een bank of een willekeurig ander groot bedrijf met toegang tot veel persoonsdata/klanten net zo erg als wanneer er op die manier data van overheidsklanten kan worden afgetroggeld.

Persoonlijk zie ik hier 2 problemen, 2 waar de overheid formeel juist gehandeld heeft of niet kan handelen:

1. het vertrouwen in diginotar, waar men gewoon door een audit kwam
2. het certificaten systeem wat uitgaat van volledig vertrouwen in een commercieel bedrijf wat certificaten uitgeeft

In het eerste geval wordt gewoon de procedure van audits gevolgd en moet men vertrouwen dat een dergelijk audit ook klopt, overigens is onze hele economie gebaseerd op vertrouwen dus welke andere keus zou daar dan zijn geweest?
In het 2e geval kan de overheid daar helemaal niets aan doen, immers: het ssl certificaten gebeuren is iets internationaals waar de nederlandse regering maar marginaal invloed op kan uitoefenen.

Het enige wat ik betreur is de onjuiste en soms misleidende informatieverstrekking, zowel overheid als normale media gaan daar de fout in.

Vergeet ook niet dat in de honger om de overheid uit te kleden men de afgelopen jaren steeds minder mogelijkheden en expertise bij de overheid heeft om mbt ict zaken (en op veel andere gebieden) een goede inschatting te maken, bezuiningen staat mooi op de begroting maar het levert veel hidden costs op die we allemaal op de een of andere manier terug zien (bezuinigen zoals het nu gaat is dus eigenlijk duurkoop).
+1_root
@Blue_Entharion7 september 2011 08:44
Een ramp is er niet gebeurd.
Er is een inbraak geweest bij een bedrijf.
Toevallig werkt het bedrijf OOK voor de overheid.

Dus ik snap de opmerking niet dat de overheidssystemen lek zijn?

Misschien is dit een wake-up call om niet alles over te laten aan bedrijven, maar dat past niet in de huidige "minder ambtenaren" politiek
0_JGC_
@_root7 september 2011 10:59
Mja, misschien moet de overheid eens vragen gaan stellen bij de bedrijven die ze inhuren. Iets met boeteclausules ofzo.

Toen mijn werkgever een project voor een bank moest doen vond er een security audit plaats. Dit heeft geresulteerd in extra beveiliging nav de uitkomst van de security audit. Ik neem aan dat de overheid ook zulke procedures heeft?

Nu komt het mooie dus: DigiNotar werd gehackt, er werd vanalles en nog wat in de doofpot gestopt, vervolgens past het deksel er niet op, wordt dit bekend en wordt PWC ingehuurd om een audit te doen. Die vinden vervolgens niks bijzonders en alles is koek en ei.
Vervolgens blijkt het niet helemaal te kloppen en wordt Fox IT ingeschakeld, die komen vervolgens met een rapport waar je met verbazing van staat te kijken. Als dat rapport van Fox IT klopt vraag ik me af of er wel een security audit heeft plaatsgevonden destijds, en vraag ik me ook af waarom PWC zegt dat alles koek en ei is. Ik zou als overheid niet alleen het vertrouwen in DigiNotar opzeggen, maar ook in partijen als PWC.
0_root
@_JGC_7 september 2011 11:24
Maar leg je dan ook niet de vinger gelijk op zere plek?

Bedrijven weten dat de overheid niets doet aan boeteclausules, ook al staan ze zwart op wit in de contracten.
Voor de meeste bedrijven is pakken wat je pakken kan als ze de overheid als klant hebben.
In de meeste overheidsorganisaties zijn te weinig juristen, laat staan dat er een hele afdeling is.
Maar van dit soort problemen komen we vanzelf af, over een paar jaar wordt alles bij overheid door externe partijen gedaan. |:(
Ik zou graag zien dat certificaten uitgifte voor de overheid door een ministerie gedaan zou worden, Justitie, Defensie, een partij die nu ook met geheime informatie omgaat.
(gaat niet gebeuren, er moet steeds meer door het bedrijfsleven gedaan worden --> minder ambtenaren).

In het geval van PWC is het duidelijk, de ene hand wast de ander, ze zijn beide klant van elkaar.

[Reactie gewijzigd door _root op 7 september 2011 11:36]

+1sfc1971
@Blue_Entharion7 september 2011 08:58
Omdat de media er anders geen aandacht aan besteed of er alleen maar een artikeltje verschijnt op zeikers website powned met hoe het stellen van vragen wel niet belastings geld kost en dat kunnen we toch niet hebben in een democratie, de oppositie moet gewoon doen wat hun held Rutte zegt!

Politici leven bij de gratie van de pers want dat is bijna de enige manier waarop de gemiddelde kiezer ooit iets verneemt.

Zie tweakers zelf, deze problemen moeten bekend zijn geweest bij tweakers maar wordt er ooit aandacht aanbesteed VOOR het compleet fout loopt? Tuurlijk niet, dat verkoopt geen advertenties. Paniek berichten, DAT verkoopt advertenties.

En paniek voetbal in de regering verkoopt stemmen. Nou ja niet echt. Uiteindelijk stemt veel volk voor CDA/VVD om de hypotheek aftrek en veel mensen op linksere partijen omdat de hypotheek aftrek ze niets kan schelen.

De overheid is een reflectie van het volk en het volk, dat zijn wij... kijk maar eens goed in die spiegel. Geen flatterend beeld eh?
0Amir0ff
@Blue_Entharion7 september 2011 09:45
Sorry maar dit is een beetje te kortzichtig.

Je kunt heel veel doen om zoiets duidelijk te maken. Maar waarschijnlijk was jij zelf ook te laks. Je had een handtekening actie kunnen opzetten. Kijk maar er is laatst een vraag gedaan om een verbod op pedo clubs. Dat lijkt goed te ontvangen te worden door de overheid.

De overheid heeft een heleboel projecten. Daarbij heeft de overheid een goed cijfers over problemen bij hun projecten. Het gaat goed maar het mag altijd beter. We houden gewoon van perfectie :D.
+1stimmits
7 september 2011 08:41
En dit zijn de momenten waarop ik baal dat de Piraten Partij geen zetels heeft gekregen.
0.oisyn

@stimmits7 september 2011 11:17
Oh kom op, wat hadden dat stel kneuzen dan moeten doen? Sorry hoor, ik wil niemand beledigen, maar het is niet alsof de PP nou van die ervaren politici op de lijst hadden staan. Het waren jonge broekies die de nodige communicatieve vaardigheden misten om überhaupt een goede discussie aan te gaan. Denk je nou echt dat zij de rest wel eens even gingen laten zien hoe het wel moet?
+1Delano.
7 september 2011 08:47
Het grootte probleem is dat de overheid een bak met geld heeft welke niet leeg lijkt te kunnen en een aantal mensen die beslissingen nemen niet goed weten waarover ze beslissen en dat ook niet (willen) toegeven. Als een bedrijf zoals Tweakers.net zou blunderen zoals de overheid regelmatig doet dan gaan ze over de kop, zo vallen de zwakkere bedrijven af en blijven de gezonde bedrijven over. Echter bij de overheid kan deze selectie niet plaatsen vinden.
0Gropah
@Delano.7 september 2011 09:03
Inprincipe zijn daar verkiezingen voor. Probleem is alleen dat er nauwelijks ICT'ers in een politieke partij zitten op een verkiesbare plaats en het kennisniveau dus laag blijft :(
0blouweKip
@Gropah7 september 2011 12:06
ze zijn er wel, maar over het algemeen is er niet veel steun voor integere politici met kennis van zaken: uiteindelijk is de schuldige natuurlijk de "kiezer"
+1Yzord
7 september 2011 08:49
Een "fors debat". Ik zal hier wel voor weggemind worden, maar het spijt me heel erg. Maar waarom moet ik lachen bij de woorden "fors debat"?

Misschien omdat de regering al jaren roept dat alles veilig is en dat ze voldoende capaciteit hebben om onze waardevolle gegevens als vingerafdrukken, DNA etc. op te slaan. Ene meneer Donner die al vaker heeft laten zien dat hij cyberspace niet echt belangrijk vindt.

Ik word een beetje bang bij de combinatie: regering, veiligheid en schijnheiligheid.
+1Lohengrin
7 september 2011 09:07
Geen enkel systeem is fail-safe - wat je wel kan doen is risico's mitigeren. Helaas gaat dit vaak ook gepaard met meer handelingen en hoe meer handelingen je hebt, hoe lastiger het wordt ervaren.

Duidelijk is in ieder geval dat het huidige systeem met certificaten van een CA te veel leunt op vertrouwen in één authoriteit. Als deze wordt gecompromitteerd dan valt alles om. Stel dat je nou ipv 1 maar 3 certificaten nodig hebt van 3 verschillende CA's - dan blijft het huidige veiligheidsinfrastrucuur grotendeels intact maar je bouwt er extra checks and balances in.

Ik pleit dus voor een soort 'certification parity check' met een extra redundancy - waardoor je dan eigenlijk in 3 systemen zou moeten hacken ipv 1. Niet 100% safe maar wel een stuk veilier dan nu.
0Henk Poley
@Lohengrin7 september 2011 10:20
convergence.io lost het op door gespreid over het internet servers te hebben die je kan navragen of zij wel dezelfde certificaten zien. Wat daar gaat het uiteindelijk om, dat een aanvaller zich voor kan doen als een ander door certificaten te wisselen met zijn eigen.
1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True