Overheid gaat eigen ict-beveiliging verbeteren - update

De rijksoverheid heeft een taskforce ingesteld die de ict-beveiliging bij de overheid moet verbeteren. Niet alleen de rijksoverheid, zoals ministeries, wordt onder de loep genomen, ook de beveiliging van gemeenten, provincies en waterschappen moet worden verbeterd.

RijksoverheidDe taskforce zal in de komende twee jaar samenwerken met ministeries, provincies, gemeenten en waterschappen, zo maakte het Ministerie van Binnenlandse Zaken donderdag bekend. De tamelijk autonome provincies, gemeenten en waterschappen zijn daar eerder op woensdag vrijwillig mee akkoord gegaan, zegt woordvoerder Frank Wassenaar van het ministerie.

De ict-beveiliging moet met behulp van de taskforce op orde moet komen. Er moeten onder andere concrete afspraken over de beveiliging worden gemaakt en er moeten audits plaatsvinden. Ambtenaren moeten worden getraind op het gebied van ict-beveiliging. Daarnaast moeten overheden zich voldoende voorbereiden op 'het herstellen van informatiesystemen na verstoringen of schade'.

De taskforce is ingesteld na een onderzoeksrapport van de Onderzoeksraad voor Veiligheid naar de ict-beveiliging bij de overheid. Dat onderzoek werd ingesteld na het Diginotar-incident, waarbij die certificaatautoriteit was gehackt. Diginotar leverde veel certificaten aan de overheid. De Onderzoeksraad vond dat de ict-veiligheid bij de overheid sterk moest verbeteren. Woordvoerder Wassenaar erkent dat er verbeteringen nodig zijn. "Als alles in orde was, was deze taskforce niet nodig geweest."

Update, 21:11: Artikel aangevuld met de concrete doelen van de taskforce.

Door Joost Schellevis

Redacteur

Feedback • 13-02-2013 15:56 52

13-02-2013 • 15:56

52

Lees meer

'Softwarefouten kosten Nederlandse economie jaarlijks 1,6 miljard euro'
'Softwarefouten kosten Nederlandse economie jaarlijks 1,6 miljard euro' Nieuws van 25 oktober 2014
Google ontdekt valse ssl-certificaten voor Google-sites
Google ontdekt valse ssl-certificaten voor Google-sites Nieuws van 9 juli 2014
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren Nieuws van 12 november 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat Nieuws van 15 november 2011
Meer producten en artikelen
Politiek en recht

Reacties (52)

-Moderatie-faq
52
49
38
1
0
3
Wijzig sortering
Sh4wn 13 februari 2013 16:00
In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
tweaker2010 @Sh4wn13 februari 2013 16:16
In ieder geval goed dat ze iets doen, ben alleen benieuwd naar de kennis en kunde van deze groep. Iemand enig idee wie er allemaal in die taskforce zitten?
Goede vraag, daar ben ik ook wel benieuwd naar. Het zou me niets verbazen als deze taskforce ook uitbesteed wordt aan externe partijen omdat de overheid zelf onvoldoende kennis over beveiliging heeft.
_Dune_ Moderator OeB @tweaker201013 februari 2013 16:25
Er zal echt wel kennis aanwezig zijn, alleen komen dat soort mensen nu net niet in een dergelijke taskforce. Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg (van een afstandje meekijkend).

[Reactie gewijzigd door _Dune_ op 23 juli 2024 20:11]

Anoniem: 310408 @_Dune_13 februari 2013 17:59
Veelal zijn het politicie die in de taskforce zitten en de enkele specialist zit er voor de vorm bij, tenminste dat is het gevoel wat ik vaak krijg van een afstandje meekijkend).
Dat gevoel (een onderbuikgevoel?) is gewoon niet juist. Zoek maar eens wie er in dat soort groepen zitten, vrijwel altijd kundige mensen. Dat de resultaten niet altijd perfect zijn is vanzelfsprekend maar als je in het oog houd dat de overheid veruit de grootste werkgever en automatiseerder is valt het te verklaren dat er vaak slecht nieuws is.

Ik ben zelf in een vorig leven gedurende 10 jaar als ambtenaar betrokken geweest bij IT projecten en heb alle waar ik bij betrokken be geweest als geslaagd gezien. Van die projecten heb ne nog nooit gehoord.
_Dune_ Moderator OeB @Anoniem: 31040813 februari 2013 20:28
Ik weet goed dat ICT projecten ook goed gaan, alleen met een taskforce of denktank heb ik slechtere ervaringen dan puur projecten, ik quote mijzelf even uit een reactie onder in dit draadje:
Scheer niet alles over dezelfde kam, er is weldegelijk verschil. Zo sprak ik laatst iemand binnen de overheid en budgethouder van IT zaken, die zich er weldegelijk erg van bewust is dat hij met belastinggeld te maken heeft, geld van jou en mij (de burger in dit land). Deze persoon probeert weldeglijk goede afwegingen te maken.

Daarnaast heb ik vorige jaar in een overheidsproject meegedraaid, waar aan het einde van het project een groot bedrag uit wat begroot was terug is gegeven aan de organisatie, puur omdat het project echt super gelopen heeft en niet omdat er over gebudgetteerd was.
EQJim @tweaker201013 februari 2013 16:21
Volgens mij wordt Fox-IT meestal geraadpleegd voor dit soort vraagstukken. Die naam zie ik tenminste vaak terug in de media over dit onderwerp, oa na het dignotar-debacle.

Zie ook hier.

[Reactie gewijzigd door EQJim op 23 juli 2024 20:11]

Ventrigo @Sh4wn13 februari 2013 16:02
Denk dat ze wel genoeg kennis hebben, maar door de ambtenarij dat het allemaa lang kan duren voordat er beslissingen worden genomen.
jdh009
@Ventrigo13 februari 2013 16:07
Ze zouden deze groep dan iets meer zeggenschap moeten geven zodat het niet meteen door een raad of iets dergelijks moeten als ze een beslissing moeten nemen.

Nadeel is dat er bij twaalf provincies en 415 gemeenten altijd wel iemand op de ICT afdeling is die een vinger in de pap wilt houden. Iets uit handen geven kan voor sommige nog wel is lastig worden. Lijkt me dan ook lastig om dit echt goed te regelen, zullen onderling goede afspraken moeten gemaakt worden bij invoering van zaken.

[Reactie gewijzigd door jdh009 op 23 juli 2024 20:11]

FireDrunk @jdh00913 februari 2013 16:20
Beveiliging is niet iets wat je uit handen KUNT geven... Vooral bij applicatie design (zoals OOK veel gebeurt bij de overheid) moet er het een en ander ingeburgerd worden qua design principles. Maar ze zitten daar nogal met oude garde die niet snapt hoe je een systeem vanaf de grond veilig opbouwt.

Zo'n taskforce is leuk, maar zonder een organisatie in de meewerkstand en het geld om mensen te ontslaan/verplaatsen die tegenwerken komt zo'n taskforce niet verder dan zeggen:

"Foei..."
Felyrion @FireDrunk13 februari 2013 16:45
Daar heb je waarschijnlijk gelijk in inderdaad, maar er zijn wel manieren om verder te komen.

Zo zijn er voor de kwaliteit van gegevens in het gegevensmagazijn (gegevens over burgers, kadaster, etc.) richtlijnen in het leven geroepen waar gemeenten aan moeten voldoen.
Eens in de zoveel tijd worden dan in overheidsland "scorelijsten" uitgedeeld waarbij duidelijk te zien is (naming and shaming) wie zich wel en wie zich niet aan de regeltjes houdt.

Het is geen dwangmiddel, maar vaak zijn gemeenten (of het bestuur) er wel gevoelig voor niet te hoog op zo'n "zwarte" lijst te komen.

Er zou wat mij betreft wat meer afgedwongen mogen worden, maar dat is in de huidige situatie wel lastig te verkopen.
jdh009
@Felyrion13 februari 2013 17:10
Je kan in plaats van naming and shaming ook een soort competitieelement inbouwen. Juist degene belonen die het goed doen. Lijkt me iets effectiever in het begin ipv meteen met een nieuw systeem met de vinger gaan zwaaien/wijzen en de minderen 'zwart' maken.

Zo krijg je ook geen gekloot met dat mensen fouten in de doofpot stoppen. Van fouten kun je leren waardoor uiteindelijk de veiligheid verbeterd kan worden. je moet het toch samen doen en dat kun je alleen bereiken door het samen te doen, zeker met zo'n grote groep.

[Reactie gewijzigd door jdh009 op 23 juli 2024 20:11]

Venator @Felyrion13 februari 2013 19:19
Best OK, een top-down benadering, maar vergeet niet dat diezelfde management laag al 30 jaar mensen een hand boven het hoofd houdt omdat ontslag ook duur is en voor de huidige salarissen je bijna een idealist moet zijn om jezelf in dienst te stellen van de overheid. Dan kun je beter bij een commercieel bedrijf gaan werken en je opdrachten pakken of als ZZP'er jezelf (indirect) aan de overheid verhuren.

Denk dat je ook meer moet sturen op competenties, cultuur en bewustwording om een echte ommekeer te bewerkstelligen. Er zijn heus wel (semi-)overheden waar het goed of beter gaat, alleen deze resultaten worden soms genadeloos teniet gedaan door gemeentes met bovenstaande structuren en culturen.

Niet op een lijstje willen komen zou niet je reden moeten zijn, beschermen van (de gegevens van) je burgers is dat zeker wel.
Killer @FireDrunk14 februari 2013 00:15
Het gaat wel iets verder dan FOEI!. De TaskForce heeft 2 jaar om de doelstellingen te halen. Indien het dan nog niet voldoende geregeld is gaat de minister het bij wet vastleggen en dan moet iedereen wel.
Kars @Ventrigo13 februari 2013 16:06
En dus vraag ik me af of er in de loop van de tijd veel gaat veranderen.
Ik denk van niet, maar laat me graag verrassen.
Triblade_8472 13 februari 2013 16:08
Als men nou gewoon de zittende ITers goed opleid of vervangt door mensen met hedendaagse kennis dan moet het toch ook wel goed komen? Toch?
cyberstalker @Triblade_847213 februari 2013 16:19
Dat is nog niet zo makkelijk. De echt goede IT-ers kunnen in de private sector ontzettend veel geld verdienen. Dat zal de overheid niet betalen, waardoor je eigenlijk enkel de mensen krijgt die het in de private sector niet redden of die om één of andere reden graag voor de overheid willen werken.

Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeën eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).

Dit maakt de overheid een onaantrekkelijke werkgever.
_Dune_ Moderator OeB @cyberstalker13 februari 2013 16:28
Met name dit is vaak, maar niet altijd het probleem:
Daarnaast is er nog het probleem van bureaucratie. Het vereist een bepaald slag mensen die er tegen kunnen dat al hun goede ideeën eerst door de papiermolen heen moet om dan (zeer waarschijnlijk) keer op keer af te worden geschoten (door mensen die er helaas geen verstand van hebben).
en daar moet je inderdaad wel tegen kunnen.

[Reactie gewijzigd door _Dune_ op 23 juli 2024 20:11]

Kiswum @_Dune_13 februari 2013 17:00
Dat is in veel bedrijven en niet alleen bij overheden, of semi-overheidsinstanties zoals ziekenhuizen.

Bij Vodafone had de architect waarschijnlijk wel een uitwijklocatie bij de plannen ingetekend, maar vermoedelijk dacht de eind-beslisser dat de kans zeer klein was dat er een brandje zou ontstaan op de locatie waar alle verbindingen samen komen en dat daardoor Vodafone bellend Nederland 2-meerdere dagen plat lag. Hierdoor zijn deze plannen van tafel geschoven.
a fly @cyberstalker14 februari 2013 12:16
Er lopen bij ons enkele externen met een salaris wat niet mogelijk is als ambtenaar.
Het zijn er niet veel maar waar ze nodig zijn kan dat gewoon.
De paar waar ik nu aan denk doen overigens ook uitstekend werk en hebben ons security niveau flink omhoog geschopt.

Trouwens (Niet specifiek aan jou Cyber), bij de overheid werken zowel onbekwame en zeer bewame mensen. Mijn ervaring is dat de positieve uitzonderingen ruimschoots voor de negatieve compenseren.
Anoniem: 294759 @Triblade_847214 februari 2013 07:55
Binnenin de overheid zijn er diverse aandachtspunten waar borging van kennis maar slechts een onderdeel is van het geheel. Overigens wordt er wel aan kennis verbreding gedaan in vormen van cursussen en opleidingen. Maar dan wordt er direct gezegt dat je dus expert bent op het desbetreffende onderdeel zonder daar op een enige manier diepgaande kennis over te hebben en dat is juist het gevaarlijke aspect. Want dat betekend dat jij als ambtenaar best veel kan mee bepalen/sturen van besluiten zonder daadwerkelijk de wijsheid in pacht te hebben, zo ook dus over informatie beveiliging.

En omdat er binnen de overheid erg veel wordt afgekaderd en afgepraat want iedereen wil zijn invloed laten gelden, is het een klassieke nachtmerrie waar informatiebeveiliging niet de juiste aandacht zoals het moet krijgen.

Binnen de overheid wordt er wel geschreeuwd dat het veiliger moet maar aan de eindstreep zal alleen maar dat gene gedaan worden om ervoor te zorgen dat zij kunnen aantonen dat er wat aan gedaan wordt en in veel gevallen is dat naar 'best effort'.

Ik kan zeggen dat er binnen de overheid zelfs nog met NT4 en 2000 advanced server gedraait wordt gewoon omdat er vaag pakket op draait waar misschien 1/3 personen gebruik van maken.
Anoniem: 126717 13 februari 2013 16:16
Overheid en Rijksoverheid wordt in dit stuk door elkaar gebruikt alsof het een en dezelfde koek is. Ook in het gelinkte artikel.
Het zijn echter niet dezelfde dingen, Defensie valt niet onder Rijksoverheid, maar onder de sectie Defensie.
Wordt er ook bij Defensie geknutseld, of valt deze onder een ander regime?
PolarBear @Anoniem: 12671713 februari 2013 16:21
(Het Ministerie van) Defensie is wel degelijk onderdeel van de (Rijks)overheid. Misschien op de website niet, maar het is toch echt zo.
Anoniem: 126717 @PolarBear13 februari 2013 17:46
Niet echt. Je hebt de sector overheid, en de sector defensie. Ik ben geen rijksambtenaar, en val niet onder het BBRA. We hebben een eigen CAO en dergelijke.
Nu is dat op arbeidsvoorwaarden gebied, maar ook op ICT gebied is Defensie een buitenbeentje. Geen directe koppelingen met Rijksweb (veel te gevaarlijk!) en ga zo maar door.
Vandaar mijn vraag.
_Dune_ Moderator OeB @Anoniem: 12671713 februari 2013 16:33
Op de verschillend overheidsniveau's kan je inderdaad veel verschil tegen komen - Landelijk, Provinciaal of Gemeentelijk en op deze verhillende niveau's is er ook nog veel vrschil. De een erg vooruit strevend en de ander (te) behouden.

Een ieder probeert steeds zelf het wiel opnieuw uit te vinden en er lijkt practisch geen samenwerkingte zijn. Allen op kleinschalig niveau. Overigens insommige gevallen is et wel begrijpelijk.
Nilrem 13 februari 2013 21:19
Ik werk bij de Rijksoverheid en ik kan zeggen dat er aandacht is voor beveiliging en kwaliteit in het algemeen. Alleen wordt er bezuinigd en al jaren gereorganiseerd, waardoor het management het de werkvloer wel erg lastig maakt. Je weet wel: in BELEID zitten dezelfde letters als in DEBIEL. Er is te weinig kennis bij de mensen die de beslissing nemen, de politici en managers.

In tijden van bezuinigingen is het moeilijk geld te krijgen voor beveiliging. Elke bejaarde, huurder, autorijder, jonge werkloze etc wil zijn inkomen behouden. En als niemand kennis heeft (debiel) is het makkelijk om het te 'vergeten'. Vandaar dat ik blij verrast wordt door de aandacht die ict-beveilging krijgt. Er is nog hoop voor de Overheid...
gron74 @Nilrem14 februari 2013 01:02
Ik onderschrijf je verhaal. Ik heb zelf ook diverse reorganisaties meegemaakt. Wezenlijk verandert er weinig tot niets. Een belangrijk punt is het 'dubbeltje op eerste rang' beleid waardoor ik regelmatig externe mensen krijg die bijna niets weten. Kennis kost geld en dat vergeet het kabinet liever. De managers zijn soms schrikbarend incapabel, ze slaan regelmatig de adviezen van de echte ict kennishebbers in de wind. Helaas kent de overheid bijna geen sancties tegen dit soort mensen.
Anoniem: 425427 @gron7414 februari 2013 11:01
helemaal mee eens. ik heb een project bij een bibliotheek gedaan en daar werden helder en goed onderbouwde rapporten over IT-risico's binnen de organisatie gewoon genegeerd. Het management had geen flauw benul van de impact hiervan en stond niet open voor veranderingen.

Zelden zo'n vastgeroeste organisatie meegemaakt waar zoveel weerstand was tegen moderne IT of zelfs maar best practice. Zo was het invoeren van een password-policy al iets wat op enorm veel weerstand stuitte.
Kiswum 13 februari 2013 16:45
Men is al wel bezig met het werven van specialisten, maar het heeft tot op heden nog niet veel met security te maken:

http://tweakers.net/jobs/zoeken/?company=Rijksoverheid

Senior applicatiespecialist Digitale Werk Omgeving
Specialist applicatie virtualisatie
Technisch applicatiespecialist Middleware OSB, ministerie van Veiligheid en Justitie, GDI
Technisch applicatiespecialist Oracle ? EBS, ministerie van Veiligheid en Justitie, GDI
Applicatiespecialist Exchange
BoringDay @Kiswum13 februari 2013 22:35
Ik denk dan ook dat we eerst moeten gaan afvragen wat veiligheid is.
Maar daarnaast mag ook duidelijk de vraag gesteld worden wanneer weet een specialist werkelijk iets van veiligheid die dan ook van punt A t/m Z weet hoe het werkt.

En ik denk dat je daarvoor slimme programmeurs nodig hebt, niet zozeer voor programmeer werk maar die weten vaak wel bottlenecks die niet overal bekend zijn ook niet bij specialisten.

[Reactie gewijzigd door BoringDay op 23 juli 2024 20:11]

gron74 @BoringDay14 februari 2013 01:05
Een simpel testje kan de overheid doen: hoeveel mensen zijn gecertificeerd ethical hacker? Ik denk dat je die op 1 hand ( zonder vingers ) kunt tellen.
geertdo 13 februari 2013 16:58
Taskforce? wordt het niet eens tijd voor een 'Ministerie van Informatietechnologie' om het écht te wortelen in onze samenleving?
Joolee @geertdo13 februari 2013 17:51
Zolang dat ministerie met zijn eigen taskforces ook echt een vinger in de pap heeft bij de gehele overheid en de organisatie gevuld wordt met technische mensen en niet met ex ministers lijkt mij dat een uitstekend plan.
IndoBoy 13 februari 2013 23:07
Wij zijn ook ingehuurd om verschillende gemeentes beter te laten samenwerken. Het is allemaal nog teveel eilandautomatisering. Het is ook niet meer dan normaal dat hier wat moet gaan gebeuren. Stel je voor dat je binnen één bedrijf per afdeling allemaal hun ict-beleid gaan uitvoeren. Dat is dus wat er nu gaande is binnen de overheid.
gron74 @IndoBoy14 februari 2013 00:58
Ik snap je redenering niet. De overheid kent maar enkele grote ict diensten, het is dus niet zo dat afdelingen zelf hun ict beheren. Bij gemeenten ligt dit anders.
IndoBoy @gron7418 februari 2013 17:06
Wat ik bedoel is, ste'l één beleid op elk gebeid. Dus aanschaf van software, apparatuur, hantering van regels, maar dus ook qua ict-beveliging. Door één beleid te hanteren is dit ook beter uitvoerbaar. Eilandautomatisering is o.a. dat iedereen zijn eigen regels hanteerd.
Batiatus 13 februari 2013 18:50
Is deze taskforce een onderdeel van het Nationaal Cyber Security Centrum? Ik heb namelijk wel een presentatie van hun bijgewoond waarbij ze flink aan het uitbreiden waren, van 60 medewerkers naar 120 medewerkers. Het enige probleem was dat ze niet genoeg medewerkers konden vinden, te weinig deskundigen in Nederland.

OT:
In ieder geval goed dat ze er steeds meer aandacht aan besteden. Het is niet voor niets dat digitale dreigingen steeds groter worden. Een overzicht van 2012:

https://www.google.nl/url...0VA&bvm=bv.42261806,d.d2k
Anoniem: 114984 14 februari 2013 10:55
Nu nog meteen erachteraan een "Teeven Taskforce Herstel van normalisatie" en afschaffen van Copyright Auteursrechten ! Ze hebben het ingesteld dus kunnen ze het ook weer verwijderen!

Iedereen weet nu intussen wel hoe het internationaal misbruikt wordt, zelfs in Amerika zijn er intussen genoeg rapporten over verschenen. En het ergste is nog dat Advokaten en rechters het ook weten en beseffen, maar gewoon (nsb-gedrag) blijven meewerken.
De ontkenning fase gaat nog steeds in, en als je ze erop aanspreekt zijn ze zelfs beledigd en verontwaardigd, En sommigen propageren dat de rechter alleen naar de wet moet/mag kijken, dat was vroeger misschien wel zo, vandaar vrouwe Justitia met blinddoek, maar met de huidige computer-technieken zou dat HELEMAAL niet meer zo hoeven te zijn!

Of gaan we richting Finland, het komt steeds dichterbij, lees en dan mag jezelf even gaan nadenken en concluderen hoe ze dat gedaan hebben ? Ze moesten zich schamen! DE TOEKOMST?

http://computertaal.info/...pooh-laptop-van-9-jarige/
ViperXL 13 februari 2013 16:24
Het is toch niet te geloven, alsof nooit over beveiliging is nagedacht. Daar hoort toch standaard in de "planning en uitrol" ?? Nu snap ik dat bij de lagere lagen dit niet helemaal is meegenomen, uiteraaard stom genoeg al, maar nu nog beveiliging daar omheen bouwen?
Ik heb het gevoel dat dit niet gaat werken of het moet al een immens groot taskforce worden. Oftewel de beveiliging zal vast weer uitbesteed worden en daar gaat het vaak mis. Begin met de basics en niet iets om te toveren naar super goed beveiligd.
Killer @ViperXL14 februari 2013 00:26
Beveiliging wordt over het algemeen ook meegenomen en is vaak heel behoorlijk op orde.Alleen mag je als burger van een overheid verwachten dat het over het geheel op een acceptabel hoog niveau staat. Doordat overheid en semi-overheid zo gefragmenteerd zijn opgezet en bestuurd worden door evenveel afzonderlijke besturen is dat helaas niet altijd het geval. Kleine gemeentes hebben bijvoorbeel veel minder te besteden op dit gebied dan een hele grote gemeente (of beter gezegd arme en rijke gemeentes) en het belang van informatiebeveiliging wordt lang niet even goed onderkent door afzonderlijke besturen.
Daar gaat de TaskForce wat aan proberen te doen

[Reactie gewijzigd door Killer op 23 juli 2024 20:11]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq