Ik heb nieuws voor je: Dat is niet alleen bij de lagere overheden zo... Triest maar waar.

Mwhaaahaaa.. heb het zelf meegemaakt. Ze hebben vaak wel beleidsnota's... "Stuurgroepen" (alle gemeentebonzen van het ambtenarenapparaat bij elkaar) aan het stuur is vragen om problemen. Gemeenteraden krijgen alleen het mooie praatje te horen. Aan alle gemeenteraden in Nederland: hebben de ambtenaren een ICT-stuurgroep voor ICT-beveiliging samengesteld, ren dan heel hard weg! Alle projecten met stuurgroepen gaan de belastingbetaler heel veel geld kosten.

Maar denken jullie dat diegene met macht dit uit handen zullen geven aan technici?

Zie NS-ProRail. De onderaannemers moesten het doen maar hangen letterlijk ONDER aan de hiërarchie. Voor wat kruimels. Dat noemt men in Den Haag dan marktwerking.

Dus de definitie van marktwerking is "alles opdelen in onafhankelijke entiteiten die dan met elkaar de strijd aangaan voor de laagste prijs. De entiteiten kunnen wel een hiërarchische keten vormen waar we met "beleid" sturing aan geven. Voor dit beleid hebben we een leger managers nodig. Zodat er aan het eisenpakket wordt voldaan.". Gemeente Veere had zo te zien niet een een eisenpakket (wachtwoordbeleid) dus zelf overheidswerk doen ze slecht. En daar betalen wij dan belasting voor.

Niet alleen bij de overheid is het om te janken. Wordt KPN ook tot de overheid gerekend, oh nee.

Als het gebruik van voor-de-hand-liggende / simpele wachtwoorden het criterium is om te bepalen of iemand voldoende technisch onderlegd is om zijn werk te doen (zoals de sluisbeheerder in Veere), dan kan een heel groot deel van de Nederlanders weer terug naar school gestuurd of ontslagen worden.

En dan hebben we het nog niet eens over de management/directie/poltieke laag die er geen enkele interesse voor heeft.

Zou deze sluis soms ook aan een SCADA systeem met internetaansluiting hangen? http://www.rheden.nu/Article/View/580/sluis-apeldoorns-kanaal-blijkt-niet-vernield

Ja; zelfs ik kon een glimlach even niet onderdrukken toen ik het hem hoorde zeggen.

Belangrijk punt is geld.
De mensen die een Stux achtige kwaliteit misschien kunnen weghouden van die systemen, zijn erg duur.
En ik heb het gevoel dat lagere overheden dat geld gewoon niet hebben.

En de waarde van beveiliging ziet men als regel pas als de schade er is.

Dat betaalde externe beheerders er zo simpel mee omgaan zoals bij die uitzending van EenVandaag was te zien, (simpele wachtwoorden) riep zelfs bij mij een duidelijk gevoel van een "schitterende ergenis" op { ;- ))

idd geld is belangrijkste punt.
Zolang er niks gebeurt steken we er geen geld in.
Er zal intern vast wel eens iemand zijn geweest die deze problemen heeft aangekaart.

Ja leuk en wel maar dan moet je het niet zo in de media brengen zo maar je slapende honden wakker. Reken er maar op dat er de komen de maanden veel gaat gebeuren bij veel van dat soort bedrijven en instanties. Hadden ze beter direct kunnen melden. Maar dit is mooier zeker zo kom je in het nieuws zo word je bekend nou fijn hoor bedankt.

Goh wat een typische reactie`s allemaal.

.1 betreffende de reactie over de stuurgroepen, ja helemaal gelijk een stelletje zogenaamde mensen van verstand die de mensen met het echte verstand vertellen wat ze moeten doen gaat nooit werken.

.,2 Betreffende de reactie over de NS, Hun ICT netwerk is 1 van de mooiste die ik tot heden in bedrijven heb gezien.
dat ze andere technische problemen hebben betreffende het bevechte van de weerselementen is een ander verhaal.

.3 KPN heeft niet per see een slecht netwerk, `t vereist alleen wel veel werk om het bij te houden gezien constante veranderingen.
tevens hebben ze bij kpn dezelfde kuren als bij andere bedrijven teveel hbo`s die denken alles te weten en te weinig MBO`s met werkelijke technische kennis. en duur joh al die hbo`rs

ter aanvulling wachtwoord beheer laat niet alleen bij overheid maar ook bij veel bedrijven veel te wensen over.
maar ter uwe informatie als je een goed wachtwoord beleid wilt opstellen dan is het iedere 3 maanden verplicht uw wachtwoord wijzigen en een wachtwoord instellen met tenminste 12 tekens welke bestaat uit hoofdletters, kleine letters en cijfers "eventueel ook symbolen".

Waarom gaat het artikel over ICT beveiliging terwijl het over Informatiebeveiliging zou moeten gaan? Techniek is het probleem niet zo, een beetje sysadmin kan de boel best veilig maken maar veel beveiligingsmaatregelen struikelen juist op het organisatorische aspect. En daar gaan de techneuten niet over maar de business, die zo eigen belangen heeft. Zolang Informatiebeveiliging nog te vrijblijvend mag worden toegepast zal het een puinhoop blijven. Directeuren van diensten kunnen gewoon een advies naast zich neerleggen zonder dat er consequenties aan vast zitten. De meesten blijven maar een paar jaar op de functie dus de volgende mag het probleem oplossen. Pas als de overheid zijn hogere ambtenaren gaat afrekenen op zaken als een slechte Informatiebeveiliging en Informatiebeveiliging verplicht stelt dan zal er iets gaan veranderen. Nu ook dreigt de VNG met boetes of afsluiting van bronsystemen als gemeenten niet aan eisen voldoen. In de praktijk zal het nooit zo'n vaart lopen omdat de VNG en de overheid de dienstverlening naar de burger daarmee in de weg zit, en die is namelijk wel wettelijk geregeld.

Wat bedoel je met alpha's ?
http://en.wikipedia.org/wiki/Alphas

... even voor de beeldvorming: oud nieuws, maar waarschijnlijk ook niet veel veranderd in het MKB
http://www.computable.nl/artikel/nieuws/security/2346125/1276896/nederlands-mkb-is-slecht-beveiligd.html

Als je een doorsnee Nederlander vraagt over privacy, dan komt een antwoord van "ik heb niks te verbergen" en "wat moeten ze d'rmee?" Deze houding is in anders landen minder laks. (zie de voorbeelden in Duitsland met de processen tegen Google).

Als de algemene houding zo is "ik hoef niet uitgebreid te beveiligen, dan wordt mijn pc traag en waarom zouden ze bovendien mijn gegevens willen hebben?", dan werkt dat ook door naar de werkvloer.

ICTer moeten hun best doen om naast het "nieuwe werken" en de "ambtenaar 2.0" iedereen ervan overtuigen dat het inloggen op de gemeentelijke (mail)server met een wachtwoord van 5 tekens "intern" niet zo'n drama is, maar "van buitenaf" is dat ronduit onacceptabel. Wie ook thuis wil werken zou hogere eisen aan de manier van inloggen en beveiligen moeten accepteren, anders kom je maar gewoon naar kantoor.

Handig zo'n wachtwoordbeleid:
Als je dergelijke eisen stelt zul je overal post-its zien opduiken met wachtwoorden. Handiger is passphrases te gebruiken. Lange wachtwoorden die de gebruiker kan onthouden.

/SARCASME........
BREAKING NEWS..
Het internet is een grote poel des verderven.
als het aan de overheid ligt, wordt dat internet gewoon verboten.

"als het aan de overheid ligt, wordt dat internet gewoon verboten."

Bericht van de stuurgroep 'Internet veiligheid':

De stuurgroep is zojuist uit zijn vergadering gekomen en er waren een aantal leden die deze maatregel toch wat overtrokken vonden. Na twee uur hard doorvergaderen kwamen we tot een consensus: we sluiten het internet achter een wachtwoord op.

"als het aan de overheid ligt, wordt dat internet gewoon verboten."

Bericht van de stuurgroep 'Internet veiligheid'.

De stuurgroep is zojuist uit zijn vergadering gekomen en er waren een aantal leden die deze maatregel toch wat overtrokken vonden. Na twee uur hard doorvergaderen kwamen we tot een consensus: we sluiten het internet achter een wachtwoord op.

Dit artikel is een echte spuit 11...

snap al helemaal niet waarom die installaties aan het internet hangen dat is vroeg of laat vragen om problemen

ICT bungelt vaak nog in de categorie "facilitair beheer" bij gemeentes. De hele mindset loopt in zijn algeheel achter en/of er is weinig budget of dat wordt verkeerd ingezet. PC's in gemeenten zijn vaak oud en traag, en het volgende beveiligingsprobleem dient zich alweer aan: Windows XP moet echt vervangen gaan worden binnenkort. Maar ja, dan wordt het budget voor de bejaardenberg weer minder dus dat zal wel weer te ver vooruitgeschoven worden... Er zullen nog heel wat lektobers moeten volgen!

Ok, dus het volk zelf geeft weinig om privacy en beveiliging. Momenteel. Het volk kiest haar bestuurders. De bestuurders zijn een weerspiegeling van de samenleving. Dus, een gemeente kan nooit zo competent worden als de AIVD of politie. Die zijn er specifiek voor veiligheid, een gemeente voor een heel breed takenpakket (waar het volk voor kiest).

Trouwens, waarom mogen gemeente alles op ICT gebied zelf bepalen terwijl ze duidelijk er een potje van maken? De regering kan toch slimme jongens standaard infrastructuren laten bedenken, dat standaard beheerd wordt voor veiligheid en waar de gemeente de apps voor hun taken op kan laten draaien? Of is dit teveel een HSL of Betuwelijn financieel fiasco plan?

Toch denk ik dat een Deltaplannetje nodig is voor de cyberwar concreet effect krijgt voor de burger. Of zou het eerst echt goed mis moeten gaan? ING help even. Sluit internetbankieren eens 4 weken af.

Die installaties hangen aan internet, dat bleek het goedkoopst bij de aanbesteding. Ze waren alleen vergeten een deugdelijk authenticatieproces erbij af te nemen. Dat krijg je als onkundigen de dienst uitmaken.

Vraag aan een ICT'er : wat is een c99 shell? wedde dat ihet niet weet.
Het is triest dat veel landen al een cyber-leger hebben. en dat NL niets van beveiliging weet.
jammer.

Groet,
Jasper Koehorst

Niet alleen de beveiliging ben ik bang ;-)