Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 131 reacties

De Tweede Kamer staat achter een voorstel van de SP om een 'digitale brandweer' op te richten. Die moet 24 uur per dag klaarstaan om op ict-beveiligingsproblemen te reageren. Onder meer de DigiNotar-problemen vormen de aanleiding.

Tweede KamerDe SP wil een 'soort A-team, een crashteam met nerds' dat 24 uur per dag kan worden opgeroepen om ict-beveiligingsproblemen op te lossen, schrijft Webwereld. Een ruime meerderheid van de Tweede Kamer staat achter het voorstel, waaronder coalitiepartij CDA.

Het is echter nog onduidelijk hoe de 'ict-brandweer' die door de SP wordt voorgesteld, moet worden vormgegeven en of deze bijvoorbeeld zonder toestemming moet kunnen ingrijpen bij ict-problemen. Ook is onduidelijk of de 'brandweer' alleen in actie moet komen als overheidsorganisaties met een beveiligingsincident kampen, of dat ook bedrijven en andere instellingen moeten worden geholpen.

De Tweede Kamer is ontevreden over het overheidstoezicht op ict-beveiliging, onder meer naar aanleiding van de problemen bij de Beverwijkse certificaat-autoriteit DigiNotar, die na een hack honderden valse ssl-certificaten uitgaf. Volgens SP-Kamerlid Sharon Gesthuizen dreigt een 'digitaal doemscenario' als er niets verandert.

Er bestaan op dit moment echter al verschillende overheidsorganisaties die zich bezighouden met ict-beveiliging. Het Team High Tech Crime van de KLPD doet onderzoek naar misdaden waarbij ict een rol speelt, en Govcert ondersteunt overheidsinstanties bij beveiligingsincidenten. Per 1 januari 2012 wordt Govcert opgenomen in het nieuwe Nationaal Cyber Security Centrum. Wat VVD-Kamerlid Jeanine Hennis-Plasschaert betreft, komen de taken van een 'ict-brandweer' bij dat centrum terecht. Hennis-Plasschaert benadrukt dat er vooral ook aandacht moet zijn voor het voorkomen van ict-incidenten.

Een Kamermeerderheid staat achter het voorstel van Hennis-Plasschaert om organisaties te verplichten beveiligingsincidenten te melden. Daarnaast komt er een onderzoek naar de beveiligingsproblemen rond DigiNotar, zo belooft minister Piet Hein Donner van Binnenlandse Zaken volgens de Volkskrant. Het onderzoek wordt door de Onderzoeksraad voor de Veiligheid uitgevoerd.

De Tweede Kamer debatteerde donderdagavond over de ict-beveiligingsproblemen bij de overheid. Eerder op donderdag zei minister Donner dat de overheid strikter toezicht op ict zou houden. Het Ministerie van Veiligheid en Justitie gaf in september aan volgend jaar meer werk te willen maken van ict-beveiliging; bij de politie komt meer aandacht voor cybercrime en de politie moet meer ict-experts aantrekken.

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (131)

1 2 3 ... 7
Dit is nog niet zo makkelijk als het lijkt.

Op de eerste plaats, de naam geeft het al aan: de ict-brandweer. Zij treden dus pas op als het kwaad al is geschied? Of gaan zij ook "brandpreventie" leveren aan derden?

Op de tweede plaats: hoe kan je ingrijpen, en kan dat Łberhaupt bij derden in de private sector? Je moet om maar een voorbeeld te noemen rekening houden met behoud van vrij internet verkeer. Voor iedere "brand" ligt de situatie weer anders, moet je naar binnen gaan om het vuur te blussen, of kan je beter het pand laten afbranden om de schade aan omringende panden te beperken?

Natuurlijk een goed teken dat de politiek zich wat bewuster is van de essentie van een degelijk ict systeem bij de overheid!
Een beetje IT bedrijf heeft standaard mensen on-call staan.
Het gaat hier om een land en hier staan geen mensen on-call ? Wat is dit voor een organisatie ?

Het geeft al aan hoe professioneel al deze systemen in+aan elkaar zitten als je er niet eens 24/7 support voor hebt.

"ach, we zien het maandag wel weer".


*edit*
Ik vind het echt onbegrijpelijk dat ze hier eerst kamervragen voor moeten stellen en er dan eerst ook nog met z'n allen mee eens moeten zijn.

Het is van vitaal belang voor de integriteit van je bestuursorgaan, waarom is deze handel niet vanzelfsprekend ? Puur omdat men zich niet betrokken voelt, allemaal losse IT projectjes waar allerlei belangen + portemonnees mee gemoeid zijn.

[Reactie gewijzigd door bakman op 14 oktober 2011 00:53]

Zo'n instantie zou duidelijk vergaande bevoegdheden moeten hebben op het toezicht. Zoals een brandweer openbare panden regelmatig moeten controleren, en die panden ook aan de inspecties moeten voldoen, zo zou dat met de ict-equivalent ook moeten. Overheden en semi-overheden moeten voorschriften opgelegd krijgen, en gecontroleerd moeten worden op de vereisten. Als dat niet lukt, moet de dienst of site tijdelijk plat gehaald kunnen worden door deze dienst (ontruimen).

Ook zouden zij er op moeten toezien dat de vele fouten van het diginotar verhaal niet opnieuw kunnen voorkomen. Het feit dat duidelijk was dat de certificaten niet meer te vertrouwen waren, maar ze toch nog vele dagen, naar mijn gevoel zelfs weken in gebruikt bleven omdat alle diensten van elkaar afhankelijk zijn moet natuurlijk ook veranderen.

Daarnaast zullen zij dan ook scenario's moeten opstellen, en die oefenen. De persoonlijke gegevens van burgers moeten bij de overheid maximaal veilig zijn, en daar is meer voor nodig dan een minister die zegt dat we hem kunnen vertrouwen.

@Mont2uk: mij lijkt dat de prioriteit moet liggen bij de overheid en semi-overheden, en dat ondernemers private bedrijven moeten inschakelen voor hun beveiliging.
> Zo'n instantie zou duidelijk vergaande bevoegdheden moeten hebben op het toezicht.

Zo'n instantie bestaat al: Govcert. Maar die heeft bij Diginotar blijkbaar niet genoeg zijn tanden laten zien.
??

Zijn de boys van Fox-IT niet al de beste ingehuurde professionals samen met het Cybercrime / Team High Tech van de politie??
Deze mensen zijn toch al de ict-brandweer van de overheid??

Zie de PDF:
https://www.fox-it.com/nl...og-wordt-een-digitale/186

En:
http://www.nrc.nl/nieuws/...igste-nerd-van-nederland/
Eigenlijk moet de brandweer ook toestemming hebben om deuren open te breken, wachtwoorden te omzeilen en/of een hele serverzaal zonder stroom zetten. Dat soort rechten spreek je liever van te voren goed af zodat je onmiddelijk kan reageren als het nodig is.

Een commercieel bedrijf inhuren is dan toch wat lastiger. Verder denk ik dat de overheid het eigenlijk allemaal veel te duur vindt.
Elke keer dat er iets gebeurt moet er weer "1 of andere dienst komen" die in de toekomst dit soort akkefietjes zal moeten voorkomen (of in ieder geval proberen). Ik heb ook gewoon het gevoel dat die mensen uit het kabinet gewoon ook de ballen verstand hebben van ICT. Als we gewoon verstandiger met systemen omgaan, en ook even met ons gezonde verstand nadenken dan hoeft het kabinet zich ook niet druk te maken om dingen waar ze toch geen verstand van hebben. Als we in dit geval even naar Diginota kijken die nog niet de moeite had genomen een virusscanner te installeren dan moet je niet nog is een ander "dienstje" opzetten dat het probleem wel even zal verhelpen maar dan moet je een leger psychiaters (is dat goed gespeld?) inhuren om die ICTers daar te onderzoeken en zo nodig op te nemen.
Wat zou zo'n voor de overheid werkende ICT-brandweer nodig hebben om zijn werk te doen?

Om te beginnen vergaande kennis van de IT-systemen die bij de slachtoffers in gebruik zijn. En niet alleen welk merk en versie moet bekend zijn, ook de inrichting van die systemen moet bekend zijn. De enige manier om dat werkbaar te houden is door slechts een beperkt aantal merken en versies toe te staan en de inrichting hiervan te standariseren.

Als er een probleem is dan heeft de brandweer direct ongelimiteerde toegang nodig tot de systemen. Wachten op accounts is geen optie. De brandweer zal dus van te voren admin accounts moeten krijgen op alle systemen. Deze accounts zullen continue beschikbaar moeten zijn.

Ook zal een actuele kopie van de documentatie beschikbaar moeten zijn voor de brandweer. Die kan natuurlijk niet worden bewaard op de systemen van het slachtoffer want die zijn onbetrouwbaar. Alle documentatie zal dus moeten worden opgeslagen op een sharepoint systeem van de brandweer.

Om er voor te zorgen dat dit alles niet wordt gesaboteerd door de IT-afdelingen van de slachtoffers zal er iemand van de overheid zitting moeten krijgen in het CAB zodat de standarisatie geborgd kan worden.

De enige manier om onze veiligjheid te garanderen is door de overheid volledige toegang tot onze systemen te geven....zullen we die ICT brandweer maar meteen bij de AIVD onderbengen?
In mijn ogen is voorkomen beter dan genezen,

het constant dichten van lekken die ontstaan zijn omdat de overheid en ICT nu eenmaal geen geschikte combinatie blijkt te zijn is eigenlijk niet meer dan dweilen met de kraan open en als zoveel dingen in de Nederlandse politiek : Symptoombestrijding.

En wie moet dit 'crash team' aan gaan sturen ? Het stelletje lutsen dat aanvankelijk de rotzooi veroorzaakt heeft ?

Ik voorzie wederom een hoop niet-inhoudelijk gezever, torenhoge kosten door externe partijen die er bijna hun brood aan verdienen om de overheid een poot uit te draaien en daarna een snelle opheffing omdat de impact overschat of de scope niet goed in kaart gebracht was voor men begon.

I predict a failure
Als de partijen in de 2e kamer leden hadden met echte ict-kennis dan hadden ze gisteren de juiste vragen gesteld, waren ze niet met deze onzinnige voorstellen gekomen en hadden ze in het verleden hun controlefunctie adequater vervuld. Dus partijen voordat je jezelf voor aap zet bij eerst zorgen voor voldoende kennis. Bij alle grote ict debacles van de overheid faalde ook de 2e kamer.
Ik weet niet of hier (echte) brandweerlieden rondlopen; maar ik dacht dat de brandweer, naast het blussen van branden, ook heel veel bezig is met preventie. En wanneer er eenmaal een brandje is, verdere verspreiding te voorkomen (damage control). Dit is volgens mij de bedoeling van dit team, en niet de troep opruimen van anderen...

Het lijkt mij dat er een organisatie moet komen die bedrijven en (overheids)instellingen adviseert en helpt bij het opzetten van de datastructuur, en zich dan voornamelijk richt op veiligheid.

Dit advies moet dan worden gegeven aan de hand van een lijst met punten die (relatief) aangeeft wat veilig is en wat niet (SHA ipv MD5, 512bit encryptie ipc 128bit, etc). Dit advies hoeft natuurlijk niet opgevolgd te worden (kosten/baten verhaal), maar er wordt achteraf wel een rapport gegeven met de "veiligheidsscore". Publieke instellingen (gemeentes) moet een x aantal punten hebben, net als grote ondernemingen (providers e.d.). Alle andere ondernemingen kunnen/mogen uiteraard ook advies vragen (denk aan de lokale voetbalclub), maar zal geen minimum score moeten halen om te mogen draaien.

Mocht er blijken dat een instelling of bedrijf niet de juiste score (meer) haalt, dan kunnen hier acties tegen genomen worden. Denk aan afsluiten van 'DiGiD'-connector, geen subsidies, etc. Mochten er echt problemen komen (de brand), dan moet dit team in staat zijn om in ieder geval het systeem plat te leggen om verdere problemen te voorkomen.
Die "ICT Brandweer" hoeft er niet te komen, die staat al in de pen aldus Opstelten. Kennis en expertise wordt gebundeld in het NCSC (waar GovCERT vanaf 1 januari onderdeel van wordt) en in de komende maand worden de bijbehorende juridische kaders vastgesteld en wordt er een dreigingsanalyse verwacht.

Ja, ik heb het daadwerkelijke (en slaapverwekkende) debat in elk geval grotendeels gevolgd, in tegenstelling tot de meesten hier die alleen de headlines kunnen lezen.

Verder zijn en blijven de departementen, sectoren en organisaties zelf primair verantwoordelijk voor hun eigen beveiliging. Het NCSC wordt een kennis- en response centrum waar overheid, bedrijfsleven en wetenschap allemaal een rol in krijgen.

Het grootste probleem dat ik met het hele verhaal heb is dat er nog teveel wordt ingestoken op het "brandjes blussen" en niet zozeer in het afdwingen van (het op- en aanleveren) van "secure by design" systemen waar de rijksoverheid zwaar op leunt.
'ICT-brandweer', 'A-Team'...tja, ze proberen in ieder geval iets.. maar of het (ze) zal lukken? ;)
Zal ik maar als eerste "Dit wordt een ongelofelijke Fail" roepen?

Met zo'n instelling als 'soort A-team, een crashteam met nerds' instelling wordt het toch al niets. Kom op overheid, probeer eens professioneel te reageren...
Hier komen alleen maar van die plof managers op af. Je weet wel, die veel schreeuwen en niets doen. Ze snel mogelijk vetmesten en uiteindelijk verstrooien ze de verantwoordelijkheid weer en maken ze dat ze wegkomen. Gelukkig is daar voldoende ervaring in bij onze regering.

Er moeten meer ict-experts door de politie..... En hoeveel worden die betaald? Ik ga er niet zitten voor dat bedelaars loontje. Ik ken mensen die op de zeden afdeling werken en het is schandalig wat ze krijgen...
Ik was er ook graag de eerste mee geweest, maar antwoord evengoed:
Niet alleen de Instelling is verkeerd, maar ook het idee van even een groep ICT-ers er op af sturen die het wel binnen no-time weten op te lossen. Want ze weten zeker alle ins en outs al van al die netwerken... Dit gaat inderdaad verre van werken, beter zorgt ieder bedrijf, iedere instantie zelf dat zijn netwerk op orde is. Vanuit de staat gezien is het dan misschien wel verstandig als een minimaal aantal aan bedrijven ze daar in helpt om zo een beleid te krijgen wat vrijwel overal het zelfde is.

't wordt tijd dat er een ICT-er in de kamer komt, de ideeŽn worden met de keer gekker lijkt 't wel.
Het probleem is juist dat (semi-)publieke instellingen vaak hun netwerk niet op orde hebben, omdat ze geen concurrentie hebben op een markt. Vaak hebben ze een monopolie op een een of andere dienst.
De oplossing is niet het introduceren van meer marktwerking, dat gaat met sommige diensten of goederen gewoon niet.
De oplossing is veel makkelijker als de overheid een soort van ministerie van ICT heeft, dat alle netwerken en diensten op dit vlak die van belang zijn onder beheer heeft. Op deze manier zou er expertise opgebouwd/verkregen kunnen worden die duurzaam is. Allerlei beginnersfouten zouden dan minder optreden omdat zo'n ministerie veel kennis en ervaring met een voorgaand project heeft. Ook zal de prijs van ICT-projecten lager liggen omdat stomme fouten minder vaak worden gemaakt.
Het is niet gek om zoiets op poten te zetten, want kijk maar hoe een groot bedrijf de ICT regelt. Zo'n bedrijf zou niet tientallen partijen vragen om de ICT te verzorgen, meestal maar 1 partij, en soms regelen bedrijven het zelf.
In ieder geval is de strekking van mijn betoog: breng allerlei ICT werkzaamheden onder 1 dak, dat is veel efficiŽnter en effectiever.
Dat ljikt opzich een leuk idee maar in de praktijk pakt dat anders uit. Wat jij voorstelt gebeurt namelijk al in bijvoorbeeld Amsterdam of Rotterdam. In Amsterdam is het een behoorlijk zootje, ze hebben alle IT-diensten ondergebracht bij 1 dienst waar alle gemeentebedrijven gebruik van moeten maken. Het gevolg is verschrikkelijk trage dienstverlening en forse budgetoverschrijding. Zelfde voor Rotterdam, ik werk voor de gemeente en voorheen was de IT voor de dienst waar ik voor werk erg goed geregeld. Nu alles onder 1 overkoepelend geheel is geplaats voor alle Rotterdamse gemeentebedrijven hebben we het zelfde als Amsterdam. Allemaal eilandjes binnen de overkoepelende IT dienst waarin niet goed met elkaar word gecommuniceerd, trage dienstverlening en wederom budgetoverschrijding. En dat is nog maar het topje van de ijsberg.

Centralisatie word vaak gezien als een prachtoplossing, en ik denk dat het ook wel kan werken maar zoals in eerdergenoemd voorbeeld werkt het dus absoluut niet.
Er zijn diverse wat grotere beheerpartijen binnen overheidsland. Echter mijn ervaring is dat hier gewoon te weinig ervaring zit om correct te kunnen beheren.. en dat een dergelijke partij vaak erg vertragend werkt omdat *alles* via die partij moet lopen.

Het grootste probleem bij de overheid is imho expertise en het ontbreken daarvan bij een groot deel van de wel aanwezige werknemers. Je kan als externe nog zo slim zijn en nog zo veel weten, als je daarnaast 100 man zet die geen benul hebben van wat ze aan het doen zijn (even overdreven natuurlijk) dan schiet je nog niets op.

Enige oplossing is een complete sanering van alles wat maar met ICT te maken heeft maar dat is een utopie.
Dat was ook zo mijn eerste idee.

Wat als er op maat gemaakte software aan de pas komt of als er een update is die verkeerd gaat, want bugs in software kunnen nu ook eenmaal lekken veroorzaken.

Hoeveel mensen heb je nodig om alle kennis te hebben van: Drupal, webdev, Linux, Windows, Mac, security (incl. hacking, ...), netwerken, exchange, sharepoint, Active Directory, erp-pakketten (afh. of dit voorkomt of niet), maatwerkprogrammatie (iedere programmeertaal die voorkomt, ..), ...

Ook wat ga je doen met de locatieverschillen, moet er een ICT-hulpteam dag en nacht paraat staan voor geheel Nederland of hebben ze remote toegang?

Er zijn zoveel omstandigheden waarbij een ICT-brandweer gewoon niet aan te pas komt of onmogelijk alle kennis kan hebben en daarbij, sommige situaties liggen deels buiten je controle (bv. van SSL) of daar heb je geen vat op (zero day exploit bv.)

Niettemin goed bedoeld, is het duidelijk dat dit voornemen afkomt van iemand zonder ICT-kennis.

En als men zou willen dit project in orde te zetten, dan zou men alle instanties eerst en vooral in kaart moeten brengen, controleren wat men nodig heeft en alles standaardiseren en procedures opstellen.
Overal een homogene aanpak, zodanig dat er niet lang moet gezocht worden naar fouten en de "pakketten" wat beperkt worden in aantal.

Eigen programmatiesoftware omdat dit beter in de hand kan gehouden worden.

De vraag is, hoe is de kosten- batenverhouding via deze aanpak ...
Als die ICT brandweer inderdaad zou moeten gaan helpen door netwerken over te nemen zoals hier al druk gespeculeerd wordt dan wordt het een fail met hoofdletters. Maar dat hebben de leden van de Tweede Kamer waarschijnlijk al lang in de gaten en anders wordt het ze gelijk duidelijk zodra ze er ook maar ťťn IT'er over spreken.

Je kunt het ook anders organiseren. Wat er nu misgaat is dat er vanuit de overheid geen regie genomen wordt. De Diginotar affaire was daar een duidelijk voorbeeld van. De overheid rommelde weken aan en moest uiteindelijk Microsoft verzoeken om patch tuesday maar even uit te stellen omdat er zoveel gemeenten in de problemen zouden komen.

Een team van deskundigen kan niet naar een netwerk gaan en daar even snel de gaten dichten maar ze kunnen wel inventariseren welke maatregelen er genomen moeten worden. Een probleem met certificaten zou gelijk moeten leiden tot de vraag wie er afhankelijk van is. Die IT afdelingen van die instanties moeten vroegtijdig gewaarschuwd worden zodat zij zelf hun spullen in orde kunnen maken.

Eigenlijk hebben we geen ICT brandweer maar een ICT brandweercommandant nodig.
We gaan hem oprichten en hij heet: De ICT Partij :Y)

Maar goed, ik sluit me er wel bij aan. Ik kan me voorstellen dat de kamer iets dergelijks heeft bedacht maar het gaat niet werken. (voor de redenen zie hierboven _/-\o_ ).

edit:
typo

[Reactie gewijzigd door ThePope90 op 14 oktober 2011 07:27]

ICT partij? De SP partij kwam ermee. Zij nemen in ieder geval een initiatief richting een oplossing. Dat moet ik ze meegeven.

Problemen bij de wortel (root) aanpakken is blijkbaar een gepasseerd station. Al denk ik dat het voorkomen nog altijd beter is dan genezen.

In de IT noemen het blussen van brandjes geloof ik 'incident management', het is dus geen nieuwe uitvinding, hooguit een nieuwe naam.

"Een Kamermeerderheid staat achter het voorstel van Hennis-Plasschaert om organisaties te verplichten beveiligingsincidenten te melden. "

Hoe zal dat in de praktijk verlopen. Krijg je meteen een soort IT-ME op je dak als je een melding doet? Wat zijn de nadelige gevolgen van melding doen? Wat zijn in praktijk de sancties als er geen melding wordt gedaan?

[Reactie gewijzigd door E_E_F op 14 oktober 2011 09:13]

Dit hoort geen incident management te zijn, dit staat in problem management en die komen met de oplossing "Eureka! Laten we het oppakken door incident management..." .

Het is inderdaad 'aardig' dat er iemand van de SP een oplossing probeert voor te stellen, maar dit doet me eerder denken aan die VS acties van "Duck and cover", je verschuilen onder een bureautje zodra er een atoombom afgaat....

Beveiliging moet gewoon intern worden aangepakt, daar zit (hoort te zitten) namelijk de kennis van de systemen, processen en natuurlijk de mensen. Wellicht dat er een extrene overheids partij die zonder aankondiging de beveiliging van de systemen gaat testen (van de overheid).
Volgens mij zit het met incident management wel goed bij de overheid. Daar hebben ze geen brandweer voor nodig. Ze hebben immers ervaring genoeg.

Ze hebben een brandpreventieteam nodig bij de overheid.
Een instantie die alle overheids instanties advies geeft over de bestaande en nieuwe infrastructuur. Ziet waar brandgevaarlijke situaties zijn.

Er moet een norm komen waar systemen minimaal aan moeten voldoen en waarin geregeld wordt dat de systemen up-to-date worden gehouden om criminelen met nieuwe technieken buiten de deur te houden.

Maar wat je nu ziet is: We willen graag dat de burgers iets op internet kunnen afhandelen. Bedrijfsleven regel het maar, oh ja, de goedkoopste aanbesteder krijgt de opdracht dus als je zegt dat je het goed geregeld hebt is het goed. Mocht het fout gaan dan zien we wel weer verder. Zeker bij kleine overheden is het nogal versnippert volgens mij. Iedere gemeente wil hetzelfde. Maar ze vragen allemaal hun eigen offerte aan in plaats van gezamenlijk een goed systeem aan te schaffen.
Ik denk dat je hier de spijker op zijn kop slaat met je brandpreventieteam. Een ict groep die bij overheidsinstellingen langs gaat om de boel even goed door te lichten en dat rapporteren aan de instelling zodat zij actie kunnen ondernemen. Soort van smaakpolitie voor ict projecten van overheidsinstellingen.
Uiteraard dient elke organisatie en instantie zijn zaakjes zelf op orde te hebben.

Een extern team van 'nerds', ongeacht hoe slim deze ook mogen zijn, zullen nooit de contextspecifieke situatie in no-time doorgronden en daar acties op kunnen loslaten die het handeltje wel even fixen. Dat is een simplistische gedachte; het is geen CSI-achtig verhaal waar een nerd binnen een uurtje de FBI mainframe kan binnensluipen om de over-beveiligde documenten tevoorschijn te toveren.

Een vergelijking met een brandweer gaat volledig mank. Brandweermannen = nerds, water/schuim = code ofzo? Dus...

Wat ik me wel kan voorstellen is dat je mandaat geeft aan groep die van buitenaf in kan grijpen als iets gedetecteerd is en eigenlijk alleen met grof geschut schieten onder voorwaarden. Een Amber Alert; je weet wat je gaat doen als het echt uit de hand loopt en moet dat in korte tijd kunnen bepalen. Je gunt jezelf weinig tijd om iets te doorgronden en weet welk middel je gaat inzetten als het gebeurd.
In het geval van Diginotar kwamen er rustige reacties van de overheid terwijl hier op tweakers de meesten riepen "afsluiten die handel". Nou weet ik er het fijne niet van, maar mijn gedachte zijn in dit geval liever safe dan sorry.

Betwijfel zelfs of de meesten ook maar echt goed op de hoogte zijn van alle veiligheidsaspecten van hun systeem. In een gatenkaas zie je waar de gaten zitten, in een systeem moet je met een blinddoek op zoeken en op basis van ervaring weet je waar je meestal gaten kan vinden. Weinig bedrijven hebben doorgewinterde veiligsheidsexperts in dienst, ik ben ze zelfs nog niet eens tegengekomen -wat beangstigend is gezien de systemen waarmee ik werk. "Meer aandacht om IT problemen te voorkomen" -> Wie gaat dat betalen?

Omdat kwaliteit van IT systemen altijd onduidelijk zijn en ik nog nooit NASA-achtige standaarden heb zien worden losgelaten op veiligheidsaspecten, zit je met een typisch lemon law probleem; de goedkopere aanbieder wint. Is dat professioneel? Nee. Maar het is wel de realiteit. En inderdaad, de overheid is de enige die in zo'n markt de handel kan controleren.
ICT partij? De SP partij kwam ermee. Zij nemen in ieder geval een initiatief richting een oplossing. Dat moet ik ze meegeven.
Ja dat klopt, maar beseffen ze wel hoeveel dat gaat kosten om een team aan ICT-ers 24 uur per dag beschikbaar te hebben? Hoe wil de overheid dat trouwens gaan aanpakken? Gaan ze het outsourcen of nemen ze hiervoor zelf mensen aan?
Natuurlijk gaan ze dat outsourcen. Bij voorkeur via een tender procedure waarbij dezelfde partij die de onveilige netwerken heeft aangelegd (het moest immers voor weinig..) ook grote kans maakt om die opdracht te scoren (want het wordt weer voor weinig aangeboden).
Tjsa het is leuk een idee te hebben om een probleem op te lossen, maar als bij voorbaat zeker is dat het niet gaat werken dan krijg je er toch geen punten voor. Je kunt gewoon niet zomaar een paar experts ergens heen sturen en verwachten dat ze voorbereid en bekend zijn met elke obscuur informatica eco-systeem dat een bedrijf heeft. Zelfs de briljantste beveiligingsexpert zal voordat hij het systeem goed bekeken heeft (weken) pas iets zinnigers kunnen zeggen dan 'misschien was het sql injectie'.
De SP doet uitspraken over ICT die je van een 10-jarige mag verwachten. Als je eens goed oplet wat die partij in de laatste 6 maanden over IT heeft gezegd, dan zou je daar een komedie van kunnen maken .....

Ik denk dat de tweede kamer de problemen eens dichter bij huis moet zoeken, want als nu eens stoppen met mensen te laten beslissen over onderwerpen waar ze geen verstand van hebben dan zitten wij niet met de problemen en zijn al dit soort groepjes die brandjes blussen totaal niet nodig ......

Het probleem in de kamer ligt aan het feit dat er te weinig kennis aanwezig is en dat er te veel idiote ideeŽn ontstaan ....

[Reactie gewijzigd door herbalx op 14 oktober 2011 11:41]

en hoe veilig was dat tomaatnet weer?
De ICT onkunde van de 2de kamer is bij mij een reden geweest om op de piraten partij te stemmen. Net zoals met de partij van de dieren, hoeft er maar 1, technisch onderlegd, persoon in de kamer te zitten om dit soort zaken tegen te spreken.
Nee, de Tweakers partij :D! Elk Tweakers lid is automatisch lid van de partij. De lijst wordt bepaald door verkiezingen onder Tweakers leden, waar gekeken wordt naar expertise.
Vervolgens kunnen de Tweakers in de kamer daadwerkelijk meepraten (en bij zaken waar de partij geen verstand van heeft kan er representatief gestemd worden naar een poll)
Kan niet foutgaan ;)

[Reactie gewijzigd door silexh op 14 oktober 2011 12:25]

Misschien dan toch maar stemmen (binnenkort?) op een partij die wel verstand heeft van ICT?
Een partij die verstand heeft van ICT en toch niet eens een eigen site / domein? :/
Mee eens. Koe in z'n hol kijken, kwaad is meestal geschied.

Laat ze dan ook alles maar afscannen in de uurtjes dat ze niet actief ergens mee bezig zijn.

Al met al is het wat fevenhuis sarcastisch hieronder zegt.
"soort A-team, een crashteam met nerds"

echt ?

behoorlijk denigrerend en bewijs van totale onwetendheid van de mensen die in de ict zitten, het is net zoiets als de iedereen die een moslim is een terrorist noemen of iedereen die in Friesland woont een k*t buitenlander is omdat hun cultuur niet zo algemeen bekend is.

i.p.v. dat ze hun beveiliging op orde brengen door misstanden te voorkomen gaan ze nu na het feit proberen de schade te beperken. Als er zoiets komt dan wordt het een bureaucratisch gedoe dat bakken geld gaat kosten en helemaal niks gaat oplossen. 8)7
Nou, het is op zich niet zo erg om een team van experts op te richten dat meer als adviseurs dan als uitvoerende ICT'ers meepraat over grote ICT-projecten... De mensen die beslissingsbevoegd zijn hebben er duidelijk geen kaas van gegeten en drukken zich in de media vaak onhandig uit (waardoor het vertrouwen van de burger in overheids-ICT niet bepaald groeit).

Zoals het hier geformuleerd is, is het gedoemd te mislukken. Blijkbaar verwachten ze dat ze 8 "nerds" (je weet gewoon al dat ze aan puisterige bleekscheten in een keldertje denken) in een taxibusje kunnen drukken die het probleem even in 1 uurtje oplossen, waardoor de schade beperkt blijft.

Beter zouden ze betere controle uitoefenen op al die instanties die "iets" voor de overheid doen op ICT-gebied. Met geregelde controles, steekproefsgewijs, of het beveiligingsbeleid correct wordt uitgevoerd (beleid dat waarschijnlijk nog niet bestaat).
mwah zo neerbuigend vind ik het niet. De term nerd wordt door niet-nerds nogal erg vrij gebruikt, maar het is meer richting een eretitel dan beledigend.

In ieder geval lijkt dit me wel een goed idee. Bij grote problemen niet meer dat eindeloze wijzen naar elkaar wie schuldig is en wie verantwoordelijk is, maar een team van mister Wolfs die het probleem gewoon oplossen. Ik voorzie wel problemen door de gebrekkige documentatie die er vaak heerst bij de overheid mbt. projecten, wat altijd killing is als je snel moet ingrijpen.
Want nerd is een negatief woord?
Eigenlijk kan het op 2 manieren worden opgevat:
- een stereotype persoon met een te korte broek, te groot overhemd, bretels, grote bril... (de nerds die je tegenkomt op carnaval)
- een zeer intelligent persoon, meestal op het IT vlak

In dit geval hoop ik dat de SP het laatste bedoeld, anders krijgen ze een hope IT-ers over de vloer ;)
'ICT-brandweer', 'A-Team'...tja, ze proberen in ieder geval iets.. maar of het (ze) zal lukken? ;)
Tja, het is maar net hoe je het bekijkt. Ze moeten gewoon hackers inhuren voor de beveliging, gewoon 3x beter dan 'SecureNoobs' die alles uit het 'boekje' doen. Maar als het een "ICT-Brandweer" word, kan ik deze dan ook bellen via 112? Of moet ik deze bellen via 06-1337? :)
Helemaal mee eens alleen ik vind wel dat het team alsnog moet komen want een risico heb je altijd.
Waar lees jij dat? De kop begint n.l. met "Minister Opstelten: "Voorkomen is beter dan blussen""
'ICT-brandweer', 'A-Team'...tja, ze proberen in ieder geval iets.. maar of het (ze) zal lukken? ;)
ICT TaskForce, ICT Rescue, ICT Help, ICT Prevent o.i.d staat beter " ICT brandweer" :?
Dat de SP met termen kost als 'soort A-team, een crashteam met nerds', geeft eigenlijk al aan dat het (weer) een 'soort van' houtje-touwtje model wordt.

Dat ze professionele ICT'ers al meteen bestempelen met de titel 'nerds', geeft mij het gevoel dat ze ook niet op zoek zijn naar echte professionals...helaas weer een (toekomstige) #fail van onze regering.

*glazen bol modus* Daar zal vast en zeker voor 2015 al een paar miljoen in verloren gaan...

[Reactie gewijzigd door Cyber Shadow op 14 oktober 2011 11:18]

1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True