image

SP wil 'crash team' voor acute ICT-problemen

vrijdag 7 oktober 2011, 12:31 door Redactie, 11 reacties

SP-Kamerlid Sharon Gesthuizen wil dat Nederland een ‘crash team’ van ICT-experts krijgt dat bij plotselinge veiligheidsproblemen snel kan ingrijpen. "Steeds vaker zien we dat de ICT van de overheid zo lek als een mandje is. Natuurlijk moeten we kijken hoe dat heeft kunnen gebeuren, maar de eerste prioriteit is dan het lek dichten. Als je huis in brand staat, bel je ook de brandweer en niet de wethouder", stelt de politica op de SP-site.

Het voorstel van minister Donner om met een apart centrum te komen voor digitale veiligheid, juicht Gesthuizen toe, maar dit gaat volgens haar niet ver genoeg. "Ik vind het goed om een centrum in te richten wat gaat nadenken over de lange termijn en een strategie bedenkt hoe de overheid beter en veiliger met ICT om kan gaan. Maar wat ik wil is een team dat bij wijze van spreke midden in de nacht uit bed gebeld kan worden om een hack te voorkomen of te herstellen."

Onderzoek
Daarnaast hoopt het Kamerlid van andere politieke partijen steun te krijgen om een parlementair onderzoek te doen naar hoe de problemen bij de overheid zo uit de hand hebben kunnen lopen.

"De voorbeelden zijn eindeloos. Ofwel een systeem werkt niet, of het is drie keer duurder dan begroot of de veiligheid is niet op orde. Het is de taak van de politiek om zowel terug- als vooruit te kijken, zodat dit soort blamages in de toekomst hopelijk niet meer voorkomt."

Reacties (11)
07-10-2011, 13:04 door Anoniem
Maar wat ik wil is een team dat bij wijze van spreke midden in de nacht uit bed gebeld kan worden om een hack te voorkomen of te herstellen."

Volgens mij heeft de overheid al een team dat 's nachts uit bed gebeld kan worden in geval van grote problemen. Ik heb tenminste een paar 24-uurs telefoonnummers van sommige van die personen.

Maar Sharon moet niet verwachten dat dit team het lek kan herstellen. Daarvoor is toch echt de betreffende systeem- en/of applicateibeheerder nodig. Als beheerder zou ik in ieder geval niet willen dat er een team is dat altijd alle rechten op alle systemen van de overheid heeft.

Er moeten goede afspraken gemaakt worden dat in noodgevallen de betreffende beheerders uit bed gebeld kunnen worden, nadat iemand uit het CERT team uit bed is gebeld. Die kan de ernst van de situatie beoordelen, overleggen met andere specialisten en dan, indien nodig, de juist beheerder uit bed bellen. Ik denk dat het grote probleem bij de overheid is om de telefoonnummers van al die beheerders te hebben.

Ik zit in een vergelijkbare situatie waarbij er een paar honder diverse beheerders zijn. En zelfs hier wijzigt de bezetting jaarlijks voldoende om plotseling tot de ontdekking te komen dat je iemand uit bed belt die al een paar maanden niet meer het beheer voert.

Dat uit bed bellen valt trouwens wel mee. In de ruim tien jaar dat ik dit nu doe, is er misschien 25 keer iemand van het team uit bed gebeld. En mijn ervaring is dat het meestal vals alarm is. Een Amerikaan snapt vaak niet dat wij nog slapen als hij aan het eind van zijn werkdag er aan denkt om nog even naar Nederland te bellen. Of men leest een mailheader fout en belt de beheerder van het verkeerde IP adres. Helemaal leuk is als ze dan gelijk hun woede botvieren op degene die de telefoon opneemt. Alsof die persoonlijk de spam heeft verstuurd. "I know where you life."

Peter
07-10-2011, 13:11 door Anoniem
Op security gebied behoort dit toch tot het takenpakket van GovCERT?
07-10-2011, 13:59 door Anoniem
Handig om iemand uit zijn bed te bellen als je een hack detecteert... alsof een hacker urenlang op een systeem blijft rondlopen... tegen de tijd dat je ter plaatse bent om de stekker eruit te trekken is de hacker al lang er vandoor. Daarnaast denkt mevrouw Gesthuizen dat een hacker daadwerkelijk "de voordeur in trapt" en deze voortaan open blijft staan. Wat ze niet doorheeft is dat de meeste hackers doormiddel van een handigheidje in het systeem glippen. Dat ze daarna iets slopen is niet de regel, maar is wel mogelijk. Dus een hack herstellen betekent gewoon dat er een patch moet komen, veel succes om dat midden in de nacht te doen...

met andere woorden:
Praat mensen naar de mond over dingen waar ze toch geen verstand van hebben, klinkt goed toch?
07-10-2011, 14:30 door Anoniem
Hey pssst, SP: Govcert!
Is 24 uur per dag, 7 dagen per week beschikbaar voor incident response bij ICT-veiligheidsincidenten binnen de Nederlandse overheid....
En ze volgens hun website ook aan preventief advies.

Zullen we eens gaan tellen bij hoeveel ICT-projecten waar het mis is gegaan vooraf wel aan Govcert om advies is gevraagd?
07-10-2011, 14:58 door Anoniem
"SP-Kamerlid Sharon Gesthuizen wil dat Nederland een ‘crash team’ van ICT-experts krijgt dat bij plotselinge veiligheidsproblemen snel kan ingrijpen."

Met andere woorden, Sharon wil zoiets als GovCERT, wat er natuurlijk al lang is ?
07-10-2011, 16:58 door [Account Verwijderd]
[Verwijderd]
07-10-2011, 17:03 door spatieman
`MINE !
07-10-2011, 20:32 door Anoniem
Door Anoniem: Handig om iemand uit zijn bed te bellen als je een hack detecteert... alsof een hacker urenlang op een systeem blijft rondlopen... tegen de tijd dat je ter plaatse bent om de stekker eruit te trekken is de hacker al lang er vandoor. Daarnaast denkt mevrouw Gesthuizen dat een hacker daadwerkelijk "de voordeur in trapt" en deze voortaan open blijft staan. Wat ze niet doorheeft is dat de meeste hackers doormiddel van een handigheidje in het systeem glippen. Dat ze daarna iets slopen is niet de regel, maar is wel mogelijk. Dus een hack herstellen betekent gewoon dat er een patch moet komen, veel succes om dat midden in de nacht te doen...

met andere woorden:
Praat mensen naar de mond over dingen waar ze toch geen verstand van hebben, klinkt goed toch?
En jij vind dat zij er geen verstand van hebben... Zou je echt niet willen ingrijpen bij een Ddos, bijv.? En zijn er geen andere IT-problemen die langer kunnen duren dan een uurtje o.i.d.? Vaak moet je echt iets doen om problemen op te lossen, En achteraf merk je pas of het een hacker was of niet.
07-10-2011, 21:43 door Anoniem
Daarnaast hoopt het Kamerlid van andere politieke partijen steun te krijgen om een parlementair onderzoek te doen naar hoe de problemen bij de overheid zo uit de hand hebben kunnen lopen.

Dat is niet echt moeilijk. De politici zelf zijn hier schuld aan.

- Ze stellen onmogelijke eisen, en luisteren niet naar techneuten die wel weten waar ze het over hebben.
- Minister Donner, toen de EPD er koste wat kost moest komen (ondanks de privacy risico's).
- Minister Schmidt die alle problemen mbt de OV-chipkaart afdeel als een storm in een glas water. (Het ontwerp van het systeem dat TLS gebruikt is al verkeerd en zowel privacy- als klantonvriendelijk)
- Politici die met uitzondering op uitzondering komen in de belastingwetgeving, die vervolgens in minder dan een of twee maand geprogrammeerd (en getest) moeten worden in een spagetti-systeem.
- De overheid die geen geld over heeft voor het in dienst houden van gekwalificeerd ICT personeel, omdat politici nog steeds het idee hebben dat uitbesteden tegen de laagste prijs, een kwalitatief goede dienstverlening oplevert. (externen die maken dat ze weg komen als de shit uitbreekt, waarna het interne personeel de rotzooi mag opruimen).

Als politici nu eens beginnen met een duidelijke en heldere project-opdracht (waar niets meer tussentijds aan gewijzigd wordt) en hierbij zowel een budget en de criteria vaststellen wanneer een project gefaald heeft (duur project, kwaliteit product, kosten project) en hier hun ministers- of Tweede kamer zetel aan zouden verbinden (of het teveel uitgegeven geld uit eigen zak terugbetalen?).
Dan krijg je politici die zich veel beter inlezen in de materie en geen overbodige risico's met gemeenschapsgeld nemen.
08-10-2011, 20:58 door Anoniem
Overheid halloooooo: if you pay peanuts you get monkeys!!!
10-10-2011, 10:13 door Anoniem
Door Anoniem: "SP-Kamerlid Sharon Gesthuizen wil dat Nederland een ‘crash team’ van ICT-experts krijgt dat bij plotselinge veiligheidsproblemen snel kan ingrijpen."

Met andere woorden, Sharon wil zoiets als GovCERT, wat er natuurlijk al lang is ?


Als.... GovCert effectief zou zijn, zou er niemand vragen om een nieuwe organisatie..

Helaas is GovCert ook gewoon een afdeling met Ambtenaren, die dus ook navenant ''presteren''.
Is het vanzelfsprekende gevolg van de inteelt selectie procedure voor medewerkers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.