Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Minister vindt afhankelijkheid van securitybedrijven onwenselijk

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen.

Opstelten schrijft dit als antwoord op kamervragen van VVD-kamerlid Jeanine Hennis-Plasschaert. Zij wilde weten wat de gevolgen voor de overheid waren van de afhankelijkheid van beveiligingsbedrijf Fox-IT. De minister schrijft: "Bij de bestrijding van high tech crime is soms behoefte aan een zeer specifiek specialisme waarvan het niet rendabel is dat deze binnen de opsporingsteams wordt onderhouden. In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kosteneffici├źnte oplossing."

Het aantal externe bedrijven dat over de juiste expertise beschikt, is volgens Opstelten beperkt. Hij noemt de afhankelijk van bedrijven als Fox-IT 'natuurlijk onwenselijk'. Hij vult echter aan: "De ingehuurde specialisten worden binnen opsporingsonderzoeken steeds actief begeleid door opsporingsambtenaren met kennis van zaken. Daarnaast worden de tactische beslissingen binnen een opsporingsonderzoek uitsluitend door de politie en het OM genomen."

De overheid vraagt Fox-IT regelmatig om hulp bij ict-problemen. Zo werd het bedrijf ingeschakeld tijdens het DigiNotar-debacle. Verder doet Fox-IT onderzoek naar gemeentesites nadat bleek dat tientallen daarvan kwetsbaarheden bevatten. Ook andere securitybedrijven verrichten audits voor de overheid. Een aantal daarvan zou echter niet voldoen aan de vereiste kennis, zeiden securitybedrijven zelf, waaronder Fox-IT, tegen Tweakers.net. De bedrijven zouden graag zien dat de overheid of het bedrijfsleven eisen zou gaan stellen, zodat bijvoorbeeld gemeenten te allen tijde de juiste adviezen krijgen.

Uit een rondgang van Tweakers.net langs verschillende politieke partijen, blijkt dat onder meer het CDA en de PvdA niets zien in het vooraf stellen van eisen aan securitybedrijven. "Gemeenten moeten zelf kijken met wie ze in zee gaan, omdat ze zelf verantwoordelijk zijn voor hun dienstverlening. Het is geen taak van de landelijke overheid om te controleren of de bedrijven over de juiste expertise beschikken. Gemeenten kunnen in geval van twijfel een second opinion aanvragen", aldus CDA-kamerlid Raymond Knops tegen Tweakers.net. Pierre Heijnen van de PvdA sluit zich daarbij aan. "Gemeenten moeten niet met jan en alleman in zee gaan."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Yoeri Nijs

Nieuwsposter

21-10-2011 • 13:25

29 Linkedin

Lees meer

Reacties (29)

Wijzig sortering
Bij de overheid lopen een aantal zeer uitmuntende security tweakers rond. Maar dat zijn het ook tweakers iaw. werkers, die niet altijd (h)erkend worden door hun leidinggevenden.

Inhuur is goed voor aanvullende expertise in specifieke gevallen., specialisten in eigen dienst verdienen meer, maar minder inhuur en/of minder puin op de werkvloer is evenduur of goedkoper. (Oh ja, goedkoper mag niet, dan wordt je gekort...uitgeven dat geld)
Dus het zal een combinatie van beide moeten blijven.

Het probleem zit bij het ambtenaren apparaat wat graag een leidinggevende functie bekleedt en het grootste deel van het budget weghapt..

Hier zitten genoeg storende factoren die het efficient en kundig opereren van een overheids ICT belemmeren door....gebrek aan kennis.
Tevens is elke overheids instantie zelf het wiel aan het uitvinden.

Het kundig stroomlijnen van de overheids ICT diensten met een centrale aansturing en een hoop 'loze' ambtenaren eruit en hiervoor (minder, maar duurdere) kundige specialisten en leidinggevenden in de plaats zou bij gelijkblijvend budget zeer goed mogelijk zijn.

Je mag hierop flamen als je wilt, maar dit is mijn ervaring met diverse overheden op alle niveaus. Zoals: 60 man vast/inhuur eruit en vervangen door 6 tweakers + 1 manager (+ randvoorwaarden als verplichte en vrijwillige cursussen). Er wordt nu meer werk uitgevoerd en meer budget voor andere IT aanbestedingen. (lees: bonus voor directeur, anders kan je echt geen ambtenaren ontslaan/re-alloceren)

[Reactie gewijzigd door kwakzalver op 21 oktober 2011 14:15]

[...]
Het probleem zit bij het ambtenaren apparaat wat graag een leidinggevende functie bekleedt en het grootste deel van het budget weghapt..
[...]
Zelf kom ik al de nodige jaren bij diverse bedrijven, resp. heb ik meerdere werkgevers gehad. Eigenlijk zie je dit overal, en niet alleen bij de overheid: managers worden "meer gewaardeerd" dan "techneuten" en de laatsten delven regelmatig het onderspit t.o.v. de managers. En dit geeft wel eens problemen.
En dan kun je de techneuten wel een soort "communicatie probleem" verwijten, maar het zit aan beide kanten: de techneut moet de boodschap willen overbrengen, en de "organisatie" moet er naar willen luisteren. Zonder dat laatste is het eerst zinloos.
Dat is wellicht wel de richting dat het in zou moeten gaan,
kwaliteit tegen kwantiteit, wellicht moeten mensen maar gaan accepteren dat sommige dingen wat langer duren, maar het uiteindelijke resultaat beter is (beide functioneel en veilig)
afhankelijkheid is niet wenselijk.
ZElf doen te duur.

Dus doen we het maar niet lijkt het wel.

De Overheid is voor alles afhankelijk van particuliere bedriujven. Kijk maar eens hoeveel consultants, waaronder ik af en toe O-), er rond lopen. Maar die toen tenminste wel wat er van ze wordt gevraagd.
De Overheid is voor alles afhankelijk van particuliere bedriujven. Kijk maar eens hoeveel consultants, waaronder ik af en toe O-), er rond lopen. Maar die toen tenminste wel wat er van ze wordt gevraagd.
Ik denk dat je bedoelt, en dat vind ik ook:
De kunst bij het uitbesteden, of verstrekken van een opdracht is niet:
Zo goedkoop mogelijk, en oh ja, het moet (eigenlijk) ook nog een beetje goed.
maar:
- Voldoen aan een bepaalde norm, waarvan vast is gesteld dat ie goed is, b.v. beveiliging, en dan eens kijken wie dat voor een redelijk bedrag kan, zodat het goed is en blijft.
En zolang het niet op zo'n soort manier gaat, blijft het mis gaan, denk ik.
De overheid kan al heel veel doen door zelf in ieder geval voldoende expertise in huis te hebben om de juiste eisen te stellen aan het beveiligingswerk van externe partijen. Je hoeft niet alles zelf te doen, maar je moet wel voldoende kennis in huis hebben om de werkzaamheden van een externe partij te kunnen beoordelen. Zelfs dat minimum expertise niveau bezit de overheid kennelijk niet meer.
En die normen heeft de overheid al vastgesteld, dat is het mooie. Vaak zijn reacties van sommige Tweakers mijns inziens wel wat kort door de bocht als er weer eens assumpties worden gedaan over hoe de overheid met IT omgaat.

Zo specificeert NORA 3.0 een (goede) normering voor informatie beveiliging.

Onder de NORA familie is er zelfs per verschillende bestuurslaag een referentie architectuur uitgewerkt.

Waarom gaat het dan toch vaak fout? Omdat de overheid erg groot is, en nog niet alle IT medewerkers 100% up to date zijn met wat in andere delen van de overheid wordt gedaan. Misschien is er nog wat winst te halen m.b.t. interne communcatie en opleidingen...

[Reactie gewijzigd door Frost_Azimov op 21 oktober 2011 17:07]

Echter roept het dan bij mij de vraag op of men daar wat mee opschiet. Doe je alleen wat je wordt gevraagd of wijk je ook af van de vragen en schiet men er ook iets mee op.
Anders ben je precies diezelfde overheid die alleen maar doet wat er gevraagd wordt en niets meer (en soms zelfs minder...)
Het is simpel de wereld draait om geld, als de persoon met jouw toekomstige geld je vraagt om iets op een minder goede manier te doen dan kun je heus wel aangeven dat het niet correct is en zelfs boos worden. Maar uiteindelijk is de keuze tussen wel of niet het geld ontvangen de enige echte keuze die je kunt maken. Je doet het werk zo als verzocht al dan niet correct en krijgt betaald zo als af gesproken of je doet het niet en krijgt dan ook niets of als je pech hebt een schade claim.

Ik werk voor een erg groot bedrijf en ik wordt gebruikt als technische vraagbaak voor allerlei projecten. Ik kan af en toe best boos worden omdat men iets op een manier op zet die simpel weg niet correct is. Ik doe dan netjes mijn plicht en leg zo duidelijk en correct mogelijk uit waarom ik vind dat het geen gedaan wordt niet correct is. Ik bied een alternatief aan en waar mogelijk reken ik zo wel de kosten voor het alternatief als de mogelijke schade door de foute manier van werken voor. Als men daarna mij vriendelijk bedankt voor de input en vervolgens besluit toch op de verkeerde manier te werken dan rest mij niets anders dan me daar bij neer te leggen.

Natuurlijk moet je dingen zo goed mogelijk doen en ik heb ook heus wel eens simpel weg geweigerd om een taak uit te voeren met als argument dat het geen mijn gevraagd werd te doen fout was. Mits je dat goed onderbouwt en uit kan leggen dan is het lang niet altijd een probleem.
Aan de andere kant als iemand me vraagt om bijvoorbeeld aan de interface tussen ons bedrijf en een kleine 150 vliegtuig maatschappijen te werken, of om mee te werken aan het vervangen van 50.000 desktops in +80 landen dan is het te begrijpen dat de mensen die hier over besluiten mijn stem amper horen tussen de tientallen andere belanghebbende. Op zo'n moment is het vaak veel meer een politiek spel dan een IT beslissing perse en dat is precies wat er binnen de overheid heel erg veel vaker gebeurt. En dit is waar veel al niet al te beste IT oplossingen geboren worden.

Natuurlijk is het makkelijk om te roepen dat moet anders en dat roep ik dan ook nog al eens met veel passie, maar realistisch gezien in een bedrijf met honderdduizenden medewerkers dat in alle landen van de wereld actief is daar zijn zo veel verschillende belangen en belanghebbende die over de jaren heen bepaalde macht hebben vergaard. Je kunt niet zo maar deze mensen hun macht af pakken en dat betekend dus dat je moeilijk nieuwe dingen kunt doen omdat de mensen met macht alleen macht hebben als andere die macht erkennen. En de enige manier waarop dat gebeurt is als ze laten zien dat ze macht hebben door bijvoorbeeld een bepaald besluit tegen te werken, of het nu verstandig is of niet maakt niet uit een bepaald percentage moet je tegen werken.

Zo als je ziet is het in het bedrijfsleven niet anders dan binnen de overheid, het grote verschil is dat de meeste bedrijven geld moeten verdienen en dus meer belang hebben bij de dingen zo goed mogelijk doen dan een overheid heeft. Ook maakt grote een groot verschil, in een bedrijf met ongeveer 250 tot 500 medewerkers kan een persoon nog erg veel verschil maken maar in een bedrijf waar een business unit al 500k mensen telt kan 1 persoon zelfs als ze binnen de absolute top werken maar weinig echt verschil maken en is het meer een kwestie van het enorme gevaarte een heel klein beetje in de juiste richting duwen op zijn best...
Ik begrijp niet dat de overheid dit niet onderbrengt bij IVENT (defensie) http://www.defensie.nl/cdc/ivent/

Het valt immers onder bescherming van de nederlandse overheids ICT. Ze zijn ook deelnemer van GOVCERT http://www.govcert.nl/community/Deelnemers

Weet de minister wel van het bestaan van deze interne diensten?
IVENT zou de kennis moeten beschikken, maar uit eigen ervaring kan ik vertellen dat ook daar de kennis en expertise schaars is.

waar het bij IVENT vooral aan schort is het gebrek aan praktijk ervaring/toepassing in de praktijk, veelal zie ik producten van IVENT de revue passeren die theoretisch voldoen aan wat er gevraagd word, echter in de praktijk niet toepasbaar zijn, danwel matig beveiligd zijn.

en wat nog verontrustender is, is dat IVENT producten produceert voor vergelijkbare prijs-maatstaaf als Fox-IT, maar veel minder presteert kwalitatief.

[Reactie gewijzigd door un1ty op 21 oktober 2011 16:17]

Dit kunnen ze ook niet zelf, want ze mogen maar tot een bepaald bedrag aan salaris gaan en daar komen dergelijke zwaargewichten niet voor werken omdat ze in het bedrijfsleven een betere beloning krijgen.
Dus ofwel mag de overheid eens in gaan zien dat de minister president niet de hoogste kwaliteiten heeft die je maar kunt hebben en dat salaris dus het plafond is dat ontvangen kan worden, maar dat er ook specialisten zijn die een hoger salaris dan de minister president verdienen.

Op dat moment kunnen ze zelf de expertise in huis hebben en ondanks dat het niet rendabel is ten opzichte van externe partijen, hebben ze het dan wel zelf in huis.
Het ligt er dus maar aan hoeveel je dat waard vind.
Volgens mij ben jij de werkelijkheid redelijk uit het oog verloren, in elk van je 3 alinea's
Ik vind het juist goed dat er zulke externe bedrijven zijn. Ik ken Fox-IT niet heel goed, heb alleen dingen van ze gezien. Maar ik zit zelf al jaren bij kleine professionele IT bedrijven en kom regelmatig voor projecten van een paar dagen tot hooguit een paar weken bij overheid, ziekenhuizen, scholen en bedrijven. Wat ik zie is dat kleine partijen die dingen op moeten leveren veel meer kennis in huis hebben dan een grote logge organisatie. Je verzand naar mijn mening anders teveel in operationele en politieke zaken en dan komt er niks meer terecht.
Het strafste vind ik toch wel het laatste, dat de overheid niet moet beslissen met wie de gemeentes mogen werken. Het is een teken dat ze het belang nog steed niet inzien, als je bedrijfsrevisor wil worden moet je je ook laten acrediteren. Ik vind dan dat bedrijven dit ICT securety audits doen dat dan best ook mogen hebben. Niet dat overheidsaccreditatie steeds werkt , kijk maar naar de energie certificaten voor vlaamse huizen. Maar meestal gaat het met vallen en opstan toch in de juiste richting.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True