Hirsch Ballin gedaagd om virusscanner
Minister van Justitie Ernst Hirsch Ballin (CDA) is voor de rechter gedaagd omdat hij geen helderheid over de bescherming van gevoelige gegevens op het ministerie wil geven. Uit vrijgegeven bonnetjes bleek dat de minister zelf een virusscanner op zijn laptop had geïnstalleerd. "In goed beveiligde zakelijke omgevingen is het installeren van dergelijke software voorbehouden aan systeembeheerders. Daarom roept dit de vraag op hoe veilig de laptop is en of er ook kwaadaardige programmatuur aanwezig is", aldus onderzoeksjournalist Brenno de Winter.
De Winter verzocht met een beroep op de Wet openbaarheid van bestuur om documenten over basale beheersprocedures publiek te maken. “Een minister heeft altijd interessante informatie bij zich, waarbij in een aantal gevallen dit gevoelig zal zijn. Is het niet voor het departement dan is het wel gevoelig voor de burger”, stelt hij dan ook. “Deze zaak roept veel meer vragen op. Die hoor je te onderzoeken zeker als het een bewindvoerder betreft die jaarlijks het volk van het belang van informatiebeveiliging probeert te overtuigen via een campagne.”
Reactie
Toch kreeg De Winter geen reactie op zijn verzoek, waarop hij naar de rechter stapte. Die besloot de zaak versneld te behandelen. “De minister lapt de wet aan zijn laars, want na acht maanden is er niets gebeurd. Dat is een bestuurder onwaardig en zou je al helemaal niet van een justitieminister verwachten", merkt de journalist op.
Naast een dwangsom en het afdwingen van een beantwoording heeft de Winter de rechtbank ook gevraagd een beslissing op het informatieverzoek te nemen. “Zelf
blijken ze dat in acht maanden niet te kunnen en hopelijk herstelt de rechtbank de mogelijkheid voor een journalist om zijn taak naar behoren uit te voeren.” Waarschijnlijk is een uitspraak in de zaak te verwachten voor 21 juli dit jaar.
Reacties (25)
man man die foto is echt een oude lullerd met een IT IQ van een baviaan
Volgens mij...........heeft iemand het deksel van een beerput ontdekt.....ben benieuwd welke leugens er nu weer uitgesproeid gaan worden....uit dezelfde beerput waarschijnlijk.
Het kan ook zijn dat hij vanwege zijn functie deze belangrijke beveiligingsmaatregel volledig in eigen hand wilde houden om vreemde mogendheden (de chinese systeembeheerder) niet volledig te vertrouwen was....
Het Orakel.
Het kan ook zijn dat hij vanwege zijn functie deze belangrijke beveiligingsmaatregel volledig in eigen hand wilde houden om vreemde mogendheden (de chinese systeembeheerder) niet volledig te vertrouwen was....
Het Orakel.
Prachtig Brenno! Hulde!
Laat die Hirsch Ballin maar eens even met de billetjes bloot gaan!
Laat die Hirsch Ballin maar eens even met de billetjes bloot gaan!
Het is niet zozeer raar dat een minister software op z'n laptop kan zetten, het is echt raar dat een minister een laptop krijgt waar een virusscanner niet al standaard op zit, en die zo is ingesteld dat mail alleen via een server komt die virussen tegenhoudt.
08-06-2010, 13:43 door
[Account Verwijderd]
[Verwijderd]
08-06-2010, 13:50 door
[Account Verwijderd]
[Verwijderd]
08-06-2010, 14:22 door
Silver
Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger.
Daar wil ik overigens wel aan toevoegen dat onze overheid aan erg goede informatiebeveiliging dient te doen, omdat het doorgaans ONZE gegevens zijn die op hun systemen staan. Op zich ben ik dus niet tegen initiatieven die de beveiliging verbeteren.
Daar wil ik overigens wel aan toevoegen dat onze overheid aan erg goede informatiebeveiliging dient te doen, omdat het doorgaans ONZE gegevens zijn die op hun systemen staan. Op zich ben ik dus niet tegen initiatieven die de beveiliging verbeteren.
Ik gok op een gevalletje "kleine leugen geeft groter probleem".
Het lijkt me heel sterk dat op de normale kantoorlaptop geen standaard anti-virus staat, en nog gekker dat als de minister daar een persoonlijke wens voor zou hebben qua software, hij zelf dan de software koopt en declareert.
In een grootschalige IT organisatie gaat zo'n speciaal verzoek van een hoge baas gewoon naar de IT afdeling, en is die afdeling degene die (al dan niet met een creditcard van een teamleider+declaratie) zo'n enkele niet-standaard oplossing aanschaft en installeert bij de hoge baas.
(een lage baas krijgt natuurlijk gewoon "nee" te horen, maar de minister of CxO niet).
Wat ik denk is het volgende:
De minister heeft deze software gewoon voor een thuiscomputer aangeschaft. De declaratie van zo'n flutbedrag (het blijft een kleine kruidenier) zal hij voor zichzelf of voor het ministerie wel rechtvaardigen met de stelling dat hij ook werkt op die thuiscomputer. Misschien echt vertrouwelijk werk, misschien rechtspraak.nl af en toe bezoeken, of zelfs het lezen van geenstijl of telegraaf.nl als "werk gerelateerd" zien.
De voorlieger wilde die discussie "justitie werk op privecomputer" niet en heeft toen gedraaid naar "dienstlaptop" . En nu zitten ze al acht maanden klem en te wachten totdat die journalist het misschien vergeten is.
Geen grote beerput, gewoon een kruidenier die elke cent die maar enigszins "zakelijk" te draaien is wilde declareren en een leugentje om daar niet mee op straat te hoeven.
Het lijkt me heel sterk dat op de normale kantoorlaptop geen standaard anti-virus staat, en nog gekker dat als de minister daar een persoonlijke wens voor zou hebben qua software, hij zelf dan de software koopt en declareert.
In een grootschalige IT organisatie gaat zo'n speciaal verzoek van een hoge baas gewoon naar de IT afdeling, en is die afdeling degene die (al dan niet met een creditcard van een teamleider+declaratie) zo'n enkele niet-standaard oplossing aanschaft en installeert bij de hoge baas.
(een lage baas krijgt natuurlijk gewoon "nee" te horen, maar de minister of CxO niet).
Wat ik denk is het volgende:
De minister heeft deze software gewoon voor een thuiscomputer aangeschaft. De declaratie van zo'n flutbedrag (het blijft een kleine kruidenier) zal hij voor zichzelf of voor het ministerie wel rechtvaardigen met de stelling dat hij ook werkt op die thuiscomputer. Misschien echt vertrouwelijk werk, misschien rechtspraak.nl af en toe bezoeken, of zelfs het lezen van geenstijl of telegraaf.nl als "werk gerelateerd" zien.
De voorlieger wilde die discussie "justitie werk op privecomputer" niet en heeft toen gedraaid naar "dienstlaptop" . En nu zitten ze al acht maanden klem en te wachten totdat die journalist het misschien vergeten is.
Geen grote beerput, gewoon een kruidenier die elke cent die maar enigszins "zakelijk" te draaien is wilde declareren en een leugentje om daar niet mee op straat te hoeven.
"Prachtig Brenno! Hulde! Laat die Hirsch Ballin maar eens even met de billetjes bloot gaan!"
Op zich heeft Brenno wel gelijk, maar aan de andere kant lijkt het vrijgeven van details omtrent databeveiliging op ministeries mij op zich al een bedreiging. Dergelijke gegevens kunnen immers ook door kwaadwillenden misbruikt worden.
"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
100% mee eens. Indien de beveiliging doorgelicht moet worden (lijkt mij wel het geval), dan moet dat niet in het openbaar gedaan worden. Gegevens omtrent de databeveiliging moeten niet via een WOB aan willekeurige personen verstrekt worden.
Op zich heeft Brenno wel gelijk, maar aan de andere kant lijkt het vrijgeven van details omtrent databeveiliging op ministeries mij op zich al een bedreiging. Dergelijke gegevens kunnen immers ook door kwaadwillenden misbruikt worden.
"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
100% mee eens. Indien de beveiliging doorgelicht moet worden (lijkt mij wel het geval), dan moet dat niet in het openbaar gedaan worden. Gegevens omtrent de databeveiliging moeten niet via een WOB aan willekeurige personen verstrekt worden.
08-06-2010, 15:10 door
Rubbertje
Voor hetzelfde geld had hij XP Antivirus geinstalleerd (...). Het is een schande dat de minister geen ict'ers in dienst heeft die de beveiliging regelen...
08-06-2010, 15:51 door
SirDice
Uit het vorige artikel:
Ik heb ook een voorkeur voor bepaalde software maar ik ben evengoed nog steeds gebonden aan wat het bedrijf mij levert. Blijkbaar als minister zijnde hoef je je daar niet aan te houden.
Volgens een woordvoerder van het Ministerie van Justitie was de virusscanner bedoeld voor de dienstlaptop van de minister. "Deze is en was uiteraard voldoende beveiligd, maar de minister had een persoonlijke voorkeur voor de desbetreffende software."
Ik heb ook een voorkeur voor bepaalde software maar ik ben evengoed nog steeds gebonden aan wat het bedrijf mij levert. Blijkbaar als minister zijnde hoef je je daar niet aan te houden.
08-06-2010, 15:58 door
sjonniev
Tsjonge Ernst Hirsch Ballin heeft verstand van anti-malware software. En wat raadt hij dan aan?
En dan zal hij ook nog wel als administrator op zijn eigen pc werken want of hij echt voldoende kennis heeft om dat te managen?
08-06-2010, 16:33 door
[Account Verwijderd]
[Verwijderd]
Door sjonniev: Tsjonge Ernst Hirsch Ballin heeft verstand van anti-malware software. En wat raadt hij dan aan?
Volg de link en je ziet dat ie Norton wilde. Van Antivirus heeft hij dus ook geen verstand.
{quote][ii]"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
[/quote]
Oftewel, het feit dat minjust een slechte virusscanner heeft moet staatsgeheim blijven? Inderdaad conform de Haagse mores; vrijwel ieder staatsgeheim dient om falen te verbergen.
"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
Het gaat mij niet zozeer om het openbaren van keuzes, maar over beheerprocedures. Dat is vrij standaard materiaal. Of het wel of niet openbaar moet worden, is een discussie die pas speelt als er een beslissing op het Wob-verzoek ligt. Zover zijn we na acht maanden niet eens. Dus het welles/nietes-spelletje is nog niet eens begonnen. Overigens lijkt mij weigeren in het algemeen moeilijk, maar op detail kan dat wel. Daar had ik ook vrede mee gehad, daar kun je over onderhandelen en dat is soms in een interview ook te regelen. Maar ja. Dat is allemaal theoretisch geneuzel, want er ligt nog geen beslissing.
Nu hoop ik dat de rechter niet kiest voor het aanhalen duimschroeven, maar gewoon de zaak overneemt. Justitie kan dan de stukken aanleveren en vervolgens zou de rechter dan kunnen beslissen. Gezien de lange voorgeschiedenis wekt dat het meeste vertrouwen.
08-06-2010, 17:39 door
Bitwiper
Vaak ben ik het niet eens (geweest) met de heer Hirsch Ballin, maar ik wil wel een kanttekening plaatsen bij de bovenstaande -toch vaak wel erg goedkope- reacties.
Als je veel op reis bent, en afhankelijk bent van een notebook, is het onverstandig om, naast een standaard-user werk-account, geen admin beheeraccount te hebben. Bijvoorbeeld om "authplay.dll" van Acrobat Reader te kunnen hernoemen of de noodpatch van a.s. vrijdag te kunnen installeren. Of om andere noodmaatregele toe te passen als je een presentatie moet geven en dat ding vertikt het.
Een voorwaarde lijkt me dat de gebruiker voldoende in security awareness getrained is. Overigens hecht ik al zeer weinig waarde aan virusscanners, en voor gerichte aanvallen (waar je in het geval van de computer van een minister, zeker van justitie, van uit kunt gaan dat die er zijn of komen) heb je nulkommazeerweinig aan een virusscanner. En misschien heeft ie NAV wel parallel aan McAfee geinstalleerd of zo - met een van de twee disabled (bijv. in aparte hardware profiles) zodat hij, mocht een van de virusscanners weer eens foute definities verspreiden, toch AV kan draaien.
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...
Als je veel op reis bent, en afhankelijk bent van een notebook, is het onverstandig om, naast een standaard-user werk-account, geen admin beheeraccount te hebben. Bijvoorbeeld om "authplay.dll" van Acrobat Reader te kunnen hernoemen of de noodpatch van a.s. vrijdag te kunnen installeren. Of om andere noodmaatregele toe te passen als je een presentatie moet geven en dat ding vertikt het.
Een voorwaarde lijkt me dat de gebruiker voldoende in security awareness getrained is. Overigens hecht ik al zeer weinig waarde aan virusscanners, en voor gerichte aanvallen (waar je in het geval van de computer van een minister, zeker van justitie, van uit kunt gaan dat die er zijn of komen) heb je nulkommazeerweinig aan een virusscanner. En misschien heeft ie NAV wel parallel aan McAfee geinstalleerd of zo - met een van de twee disabled (bijv. in aparte hardware profiles) zodat hij, mocht een van de virusscanners weer eens foute definities verspreiden, toch AV kan draaien.
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...
Door Bitwiper:
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...[/quote]
Hear hear! "Goed voorbeeld doet volgen" is iets wat sommige systeembeheerders helaas niet willen begrijpen.
En erg offtopic: Zelf lekker Firefox draaien terwijl de rest van de organisatie nog is opgescheept met IE6. Gelijk heeft zo iemand natuurlijk maar je geeft wel een vreemd (en mij irriterend) signaal af......
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...[/quote]
Hear hear! "Goed voorbeeld doet volgen" is iets wat sommige systeembeheerders helaas niet willen begrijpen.
En erg offtopic: Zelf lekker Firefox draaien terwijl de rest van de organisatie nog is opgescheept met IE6. Gelijk heeft zo iemand natuurlijk maar je geeft wel een vreemd (en mij irriterend) signaal af......
08-06-2010, 20:00 door
[Account Verwijderd]
[Verwijderd]
Misschien is het opvragen van een onafhankelijke accountantsverklaring ook voldoende. Daarmee is in ieder geval geen probleem aanwezig dat de inrichting van beveiligingsmaatregelen op straat komt, en is toch aanoonbaar dat het ministerie "in control" is.
Zo werkt het immers ook met audits die de overheid en toezichthouders bij anderen doen, dus waarom niet bij de overheid zelf? Zij moet immers zelf ook voldoen aan de wetgeving.
Zo werkt het immers ook met audits die de overheid en toezichthouders bij anderen doen, dus waarom niet bij de overheid zelf? Zij moet immers zelf ook voldoen aan de wetgeving.
Ik vind het een onzinnig WOB-verzoek, alleen maar bedoeld om te kunnen schrijven dat de beveiliging van de computer van EHB slecht is. Zoals iedereen hier weet is beveiliging geen exacte wetenschap en valt er altijd iets op te merken.
Als je als journalist dan toch iets wilt doen, doe het dan voor het gehele ministerie en bekijk daarbij ook de eventuele status-aparte van de minister.
Als je als journalist dan toch iets wilt doen, doe het dan voor het gehele ministerie en bekijk daarbij ook de eventuele status-aparte van de minister.
Wat is die vent een arrogante, egocentrische, dominante, eigenwijze (domme?) mopperkont of wat dan meer.
Hirsch Ballin valt best mee. Justitie kent ergere types.Het probleem is dat de (directeuren van de) ICT beheerorganisaties hun rug onvoldoende rechthouden bij dit soort verzoeken. Als er vanuit deze hoge regionen verzoeken komen, voelen die directeuren zich allemaal het mannetje en willen scoren door die verzoeken in te willigen. Als de ICT beheerorganisaties hier niet snel iets aan gaan doen, dan gaan we vroeg of laat nog een serieus security lek krijgen.
08-06-2010, 22:49 door
Rene V
Ik hoop dat ze bij minister Centebakkie 'ns een keer kinderporno zullen vinden. Zijn we gelijk van die rasmongool af. Dwaas dat ie is.
"Oftewel, het feit dat minjust een slechte virusscanner heeft moet staatsgeheim blijven? Inderdaad conform de Haagse mores; vrijwel ieder staatsgeheim dient om falen te verbergen."
Grappige reactie. Het gaat hier over de beveiliging van een ministerie. Wanneer je een organisatie beveiligt, dan ga je niet vervolgens al je beveiligingsprocedures bekend maken aan de buitenwereld, omdat het bekend maken van dergelijke informatie het niveau van de beveiliging vermindert - immers kan dergelijke informatie ook weer gebruikt worden om beveiliging te doorbreken.
Dat het gaat om een ministerie staat daar geheel los van, een minister dient -natuurlijk- geen slechte virusscanner te gebruiken (en hij zou deze ook niet zelf moeten aanschaffen / installeren). Verder ben ik er geheel voor dat de beveiliging periodiek door onafhankelijke partijen wordt gescreened.
Dat wil echter niet zeggen dat je als overheidsoverheidsorganisatie alle informatie over de beveiliging via WOB verzoeken moet vrijgeven. Zou jij het een goed idee vinden indien hackers via een WOB alle beveiligingsprocedures kunnen inzien van de gemeentelijke basis administratie, om deze informatie vervolgens te gebruiken om het systeem te kraken, en jouw persoonsgegevens te stelen t.b.v. identiteitsfraude ?
Grappige reactie. Het gaat hier over de beveiliging van een ministerie. Wanneer je een organisatie beveiligt, dan ga je niet vervolgens al je beveiligingsprocedures bekend maken aan de buitenwereld, omdat het bekend maken van dergelijke informatie het niveau van de beveiliging vermindert - immers kan dergelijke informatie ook weer gebruikt worden om beveiliging te doorbreken.
Dat het gaat om een ministerie staat daar geheel los van, een minister dient -natuurlijk- geen slechte virusscanner te gebruiken (en hij zou deze ook niet zelf moeten aanschaffen / installeren). Verder ben ik er geheel voor dat de beveiliging periodiek door onafhankelijke partijen wordt gescreened.
Dat wil echter niet zeggen dat je als overheidsoverheidsorganisatie alle informatie over de beveiliging via WOB verzoeken moet vrijgeven. Zou jij het een goed idee vinden indien hackers via een WOB alle beveiligingsprocedures kunnen inzien van de gemeentelijke basis administratie, om deze informatie vervolgens te gebruiken om het systeem te kraken, en jouw persoonsgegevens te stelen t.b.v. identiteitsfraude ?
Nou ballin valt niet mee en zeker niet voor veel Kinderkontjes.
Die heb ik zelf samen met donner Kinder porno zien staan knipsen op een uni waar debatingwedstrijden werden gehouden.
Dat om Jong Talent en Polici te corrumperen bij voorbaat al te kunnen afpersen en chanteren.
Dus dat gehele minsterie is een boute crime org van een buitenlandse mogendheid en sterft van de Kiddyrapende mossadratten zo als pechthold en cohen en lubbers van agt rutte en verhagen etc etc etc bendeleden zijn.
Die heb ik zelf samen met donner Kinder porno zien staan knipsen op een uni waar debatingwedstrijden werden gehouden.
Dat om Jong Talent en Polici te corrumperen bij voorbaat al te kunnen afpersen en chanteren.
Dus dat gehele minsterie is een boute crime org van een buitenlandse mogendheid en sterft van de Kiddyrapende mossadratten zo als pechthold en cohen en lubbers van agt rutte en verhagen etc etc etc bendeleden zijn.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
