Gemeenten gaan beveiligingsproblemen gezamenlijk te lijf - update

De Nederlandse gemeenten hebben op een vergadering van de Nederlandse Vereniging van Gemeenten besloten om een gezamenlijke dienst op te zetten die de ict-systemen van de afzonderlijke gemeenten moet helpen beschermen.

De gemeenten hebben vandaag een voorstel voor die dienst, de Informatiebeveiligingsdienst, goedgekeurd. De dienst moet gemeenten helpen met het oplossen van beveiligingsproblemen, bijvoorbeeld als een virus toeslaat of als gemeentesites lek blijken te zijn, blijkt uit een brief van VNG-voorzitter Annemarie Jorritsma. De dienst moet voor gemeenten de taken van het Nationaal Cyber Security Centrum overnemen.

De Informatiebeveiligingsdienst moet volgend jaar operationeel worden. Het opstarten van de dienst kost 2 miljoen euro en zal worden betaald uit het Gemeentefonds, een potje van de Rijksoverheid met geld voor de gemeenten. Als onderdeel van de plannen moeten alle gemeenten een eigen chief information security officer krijgen die verantwoordelijk wordt voor de ict-beveiliging.

Update, 19:04: In dit stuk stond aanvankelijk dat oprichting van de beveiligingsdienst 2 miljard euro zou kosten. Dat was incorrect: het gaat om 2 miljoen, en niet miljard, euro.

Door Joost Schellevis

Redacteur

Feedback • 12-10-2012 18:26 34

12-10-2012 • 18:26

34

Lees meer

Overheid zoekt Directeur Cyber Security
Overheid zoekt Directeur Cyber Security Nieuws van 5 november 2011
Kroes wil meldplicht en richtlijnen na DigiNotar-blunder
Kroes wil meldplicht en richtlijnen na DigiNotar-blunder Nieuws van 20 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
DigiD komt voorlopig niet beschikbaar voor gemeentesites
DigiD komt voorlopig niet beschikbaar voor gemeentesites Nieuws van 15 oktober 2011
Tweede Kamer wil 'ict-brandweer'
Tweede Kamer wil 'ict-brandweer' Nieuws van 14 oktober 2011
Meer producten en artikelen
Privacy Beveiliging Nederland

Reacties (34)

-Moderatie-faq
34
32
20
3
0
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 12 oktober 2012 23:38
Op zich lijkt het een goed idee - maar als je kijkt naar het aantal gemeenten in Nederland, loop je dan niet op het risico dat je een Poolse landdag krijgt? Dus veel rapporten, statistieken, dossiers maar geen uitvoering?

Als 'bedreiging' zie ik staan dat gemeenten het kunnen zien als uitbesteding van hun verantwoordelijkheid - is dat juist niet een kans? Met andere woorden - de gemeenten de standaard van beveiliging opleggen, met de mogelijkheid van sancties? Als je dit te vrijblijvend laat loop je volgens mij juist het risico dat een gemeente de aanbevelingen niet gaat uitvoeren. Dit omdat er geen gevolgen voor zijn voor die gemeente.

Ook lees ik dat er maar een beperkt aantal systemen meegenomen worden in de audit. Hoewel het er 74 zijn is het kennelijk toch maar een fractie van wat werkelijk gebruikt wordt. Een deel zal niet nodig zijn - maar dan lijkt het me toch logisch dat er meer 'drang en dwang' van boven komt. Uiteraard voorzien van de nodige ondersteuning om een gemeente te helpen met het beveiligen en controleren van hun systemen. En dat geldt niet alleen voor de ICT medewerkers, maar ook voor de gebruikers. Dit om het bewustzijn van veiligheid te vergroten!

Kortom - een goed idee, maar nu toch wel erg vrijblijvend..
Josaus 12 oktober 2012 18:32
Het voordeel van een gezamenlijke dienst is dat je samen problemen te lijf kan gaan, maar dat als er een gat in zit, hackers direct elk systeem kunnen hacken.. Vind het wel apart dat ze geen systeem kopen (van een commercieel bedrijf), maar er zelf mee aan de slag gaan! Dat gebeurt niet zo veel.
Craven @Josaus12 oktober 2012 18:39
Er is helemaal geen sprake van een gezamenlijk systeem. Er komt per gemeente een chief information security officer. Die vervolgens landelijk zullen samenwerken via een centraal bureau o.i.d. Met name vanwege kennisuitwisseling.

Je koopt ook geen beveiligingssysteem. Software en complete infrastructuren moeten beveiligd worden. Hierbij zul je naar elk onderdeel moeten kijken van de IT infrastructuur. En ook buiten de IT infrastructuur zul je naar basale zaken moeten kijken zoals security awareness en fysieke beveiliging van de systemen.
CH4OS @Craven12 oktober 2012 22:13
Er is helemaal geen sprake van een gezamenlijk systeem. Er komt per gemeente een chief information security officer.
Beveiliging heeft twee kanten natuurlijk; de technische beveiliging (maatregelen om dingen te voorkomen, denk aan een firewall of spamfilter) en de functionele beveiliging (mag persoon X vanuit zijn functie wel bij bepaalde gegevens?) Daar komt dan de privacy en afhandeling nog eens bij. (Denk dan bijvoorbeeld aan verzoeken van burgers voor identiteitsbewijzen of rijbewijzen.)

Het is dus niet zo dat alle CSO de koppen bij elkaar steekt en dan maar overleg pleegt etc. Beveiliging is méér dan je nu doet schetsen; daar is idd geen beveiligingssysteem voor, het is een constant veranderend aspect binnen de ICT. Wat helaas niet altijd door iedereen gezien of serieus genomen wordt, zowel binnen als buiten gemeenten.

[Reactie gewijzigd door CH4OS op 23 juli 2024 04:12]

n00bs @Josaus12 oktober 2012 18:38
Heb je wel eens gekeken hoe er uberhaupt al binnen 1 overheidsinstelling wordt gecommuniceerd en hoe log alles gaat. Allemaal oogkleppen en gesloten kamertjes. Hoe wil zoiets dan op een grotere schaal ooit slagen......

Ze moeten gewoon keihard bezuinigen bij de overheid, maar op zo een manier dat alle klaplopers gewoon een uitkering nemen of weet ik veel wat ze kunnen en vervolgens de goede personen die het kunnen en willen doen blijven. Dan zit je met al die problemen die er nu rond ICT (en andere zaken) in overheidsinstellingen nauwelijks meer terug.
CH4OS @n00bs12 oktober 2012 22:09
Heb je wel eens gekeken hoe er uberhaupt al binnen 1 overheidsinstelling wordt gecommuniceerd en hoe log alles gaat. Allemaal oogkleppen en gesloten kamertjes. Hoe wil zoiets dan op een grotere schaal ooit slagen......

Ze moeten gewoon keihard bezuinigen bij de overheid, maar op zo een manier dat alle klaplopers gewoon een uitkering nemen of weet ik veel wat ze kunnen en vervolgens de goede personen die het kunnen en willen doen blijven. Dan zit je met al die problemen die er nu rond ICT (en andere zaken) in overheidsinstellingen nauwelijks meer terug.
En dat is dan nog niet altijd de schuld van de ICT afdelingen binnen de gemeenten. Ik werk zelf voor een overheidsinstelling en zie het zelf ook gebeuren met dingen, dat het lang duurt door externe factoren waar elke keer weer op gewacht moet worden. En denk maar niet dat wij daar als ICT afdeling altijd blij mee zijn.

De kennis, ervaring en know-how is echt wel aanwezig, probleem is echter dat de aansturing van dit alles veelal buiten de ICT afdeling zelf ligt. En vaak weet men 'daar' gewoon niet wat men wil of wat iets doet. Komt daar nog eens budget bij, waar weer iemand anders over moet beslissen en dergelijken; men wil het liefste voor een duppie op de eerste rij, terwijl men aan de andere kant ook steeds weer méér verwacht van de ICT-afdelingen.

[Reactie gewijzigd door CH4OS op 23 juli 2024 04:12]

n00bs 12 oktober 2012 18:32
Hou op zeg... ik werk zelf voor een overheidsinstelling, maar als je kijkt hoe laks men vaak is.
Veel issues (security and patching, ontwerpfouten, communicatieproblemen, vastleggen informatie, etc etc) hangt allemaal af van de beheerders en rond dat niveau. Al die lui die het werkelijk voor het zeggen hebben (op wat uitzonderingen na) hebben allemaal een afwachtende houding en maken keer op keer dezelfde fouten, eindeloos vergaderen ipv serieus aan het werk gaan.

Dit plan hierboven dus... ik kan enkel hard lachen en huilen. :X
WeaZuL @n00bs12 oktober 2012 18:43
Agreed upon! Ik verbaas mij er nog steeds over dat alle gemeenten zulke losstaande entiteiten zijn die het allemaal zelf voor het zeggen hebben. Het is een goudmijn voor de menig consultancy bedrijf maar tjonge wat een geld daar verspild wordt. Heb helaas met eigen ogen mogen constateren bij diverse gemeenten dat een informatie beveiligingsbeleid niet bestaat. ;(
JAHRASTAFARI @n00bs12 oktober 2012 18:49
Het wordt gewoon niks bij de gemeenten, 95% van de leidinggevenden en bestuurders is gewoon totaal ongeschikt, ze doen maar wat.

Met de aanstelling van zo'n officer denkt de gemeente dat het probleem opgelost is en doet de rest van de organisatie niets meer. Beveiliging heeft gewoon absoluut niet de aandacht bij een dergelijke organisatie. De oplossing zoeken in een andere structuur werkt dan ook niet.
hav0c @n00bs12 oktober 2012 19:41
Helemaal waar. De kosten van het wiel iedere keer opnieuw uitvinden zijn echt bizar. 0 samenwerking per ministerie/gemeente.
Verwijderd 12 oktober 2012 18:44
Eindelijk gaan ze voor de organisatorische oplossingen, problemen aanpakken met meerdere zoals Brenno de Winter al heel lang geleden heeft aangegven.
Jirnsum 12 oktober 2012 18:45
Ik denk: waar halen ze 2 miljard vandaan en is dat niet wat veel? In de brief staat echter: 2 miljoen. Dat klinkt dan wel weer heel erg lean en mean....komt neer op op minder dan 5000 Euro per gemeente per jaar...
Zenomyscus 12 oktober 2012 19:02
Dat zijn flinke kosten! Ik ben zeer benieuwd naar de concrete plannen, want volgens mij hoeft dit niet zoveel geld te kosten.
De dienst moet gemeenten helpen met het oplossen van beveiligingsproblemen, bijvoorbeeld als een virus toeslaat of als gemeentesites lek blijken te zijn ..
Ik denk de overheid beter geld kan investeren in voldoende kennis om deze problemen te voorkomen. Het is leuk om een team klaar te hebben die achteraf hulp aanbiedt, maar ik denk dat hiermee het probleem niet wordt aangepakt.
Kalief 12 oktober 2012 20:51
De VNG is bizar bezig. Aan de ene kant dit bericht dat ze gezamenlijk hun ict-beveiliging willen gaan aanpakken, maar tegelijkertijd op Webwereld het bericht dat ze de stemcomputers terug willen. Vooral het laatste zinnetje is tekenend: Over de beveiliging hebben de gemeenten overigens niet gerept tijdens de behandeling van de motie.

Ik denk daarom dat de veiligheid van de ict-systemen de VNG helemaal niet zo bezighoudt maar dat ze afwillen van de negatieve publiciteit. Die chief information security officer zou daarom wel eens meer een pr-functie kunnen gaan krijgen dan een technische.
ViperXL 13 oktober 2012 10:38
Vindt het wel heel eng allemaal.

Er staat zelfs dat de Informatiebeveiligingsdienst (naam klopt ook niet naar mijn mening) problemen en lekken moet oplossen. Oftewel elke gemeente bouwt website etc en als daar geen kennis is over beveiliging (is er amper doorgaans op paar grote steden na) dus de boel is zo lek als een mandje dan komt de Informatiebeveiligingsdienst om de hoek kijken ?? The Clean-up Crew is betere titel denk ik :+
erikmeuk3 13 oktober 2012 16:49
Ooit een melding gedaan over een fout met DigiD op een site van de gemeente.
De gemeente ontkende en bij DigiD was de melding een paar dagen later spontaan verdwenen.

Het had te maken met de functie "eenmalig inloggen" die je DigiD open zet voor meerdere instanties tegelijk.

Of het probleem aangepakt is, weet ik niet.
Dakdoef 13 oktober 2012 19:57
Ach, zolang gemeenten intern nog inlogcodes en wachtwoorden met Dymotape op een laptop plakken, kun je nog zoveel beveiligen, als je kwaad wil, kun je overal bij.

Heb dit als externe zelf meegemaakt. Als ik had gewild had ik diverse (ook vertrouwelijke) documenten gewoon in kunnen zien of kunnen wissen. Werd ook heel luchtig over gedaan (Je moet ook zoveel wachtwoorden onthouden).

Ander voorbeeld is dat je als organisatie voor een bepaald systeem een "moeilijk" wachtwoord doorgeeft. Vervolgens gaat een systeembeheerder terplekke al deze "moeilijke" wachtwoorden veranderen in bv. "voornaam01" met de opmerking "anders is het voor de mensen zo moeilijk te onthouden...........

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq