Ik denk dat we allemaal wel weten dat het eigenlijk geen zin heeft de bulk van het papierwerk niet "digitaal" te maken. Dus om daar moeite in te steken is logisch.

Tegelijkertijd denk ik dat er nog veel te leren is en dat de overheid er gewoon nog niet klaar voor is. Ze heeft de kennis niet in huis en weet niet de juiste vragen te stellen om ze te vergaren. Ook al denkt ze zelf ongetwijfeld van wel, en de consultants waar ze wel mee spreekt zullen dat natuurlijk beamen.

Een van de belangrijkste dingen die de overheid gewoon nog niet snapt, niet wil snappen, is dat je moet beginnen je eigen zaakjes op orde te krijgen en vervolgens anderen de mogelijkheid te bieden hierop mee te liften maar dat nooit te verplichten. Dat niet snappen zie je overal, en ik zie het hier niet anders.

Het gevolg is dat we steeds meer verplichtingen voor niet-ambtenaren in het systeem gaan inbouwen, en als je er niet compleet in meegaat en je dus in het stramien laat drukken, je buitengesloten wordt. Lijkt me dat dit nou niet een duidelijk staaltje van verbeteren en enablen en betere toegankelijkheid is.

Dus hier valt nog wel het een en ander te verbeteren.

En dan op SSL Labs een C score krijgen omdat je SSLv3 aan hebt staan en daardoor kwetsbaar bent voor Poodle. En dan heb ik 't nog niet over de foutmeldingen die je op die pagina krijgt als een pagina niet gevonden kan worden, kennelijk was een 4xx en 5xx error pagina afhandelen te veel gevraagd.

Vraag me af wie de crypto voor dit device getest heeft.

Euh, 1 april... ??

Goed om te weten dat dossiers straks "eenvoudig" op te vragen zijn bij elke advocaat met een phishing mailtje en de juiste exploit... Want tja, papieren in een fysieke kast dat is redelijk te beveiligen. Maar de PC's van advocaten hacken die denken dat security een kwestie is van AV draaien... Dat zal nog leuke gevolgen krijgen...

En dan aan de aanbod kant op de web server met kwetsbare instellingen draaien terwijl het NCSC toch hele duidelijke aanwijzingen hierover heeft gecommuniceerd naar de overheid getuigt inderdaad niet van vakmanschap... Maar het is vast goedgekeurd door een "echte en gecertificeerde" security expert... Altijd leuk die certificeringen zonder echte inhoudelijke technische en up-to-date kennis. Maar de ISC2, ISACA en andere varen er wel bij om al die helpdeskmedewerkers zonder ervaring en echte kennis te certificeren tot security guru... En daar vragen mensen mij waarom ik niet mee doe aan dat certificerings kwartetten... Maar we halen gerust weer een paar consultants binnen van de Big Four a 180 euro per uur. Want tja, die zijn CEH gecertificeerd en ... Oh ja, ze hebben een hack wedstrijdje gewonnen...

Beste overdomheid... Doe eens een penetatietest voordat je iets in productie pleurt... En doe dan ook echt iets met de bevindingen voordat je alles in productie zet... Want dit is weer een schoolvoorbeeld van de reden waarom niemand de overheid qua ICT nog serieus neemt.. Het kan echt beter... Bel Rop Gongrijp eens... Die weet vast wel een echte checklist te maken met echte security checks... Je kunt het trouwens ook vragen aan wat grote ISP's en Cloudproviders... Mar dan moet je de techneuten wel betalen voor hun kennis. En het moet in verhouding staan tot de tarieven van die eerder genoemde consultants. Dus betaal die techneuten maar 2000 euro per uur. Want dat zijn wel de verhoudingen qua kennis!

Iets roepen zonder bewijzen kunnen we allemaal. Onderbouw dit of houd je mond.

De beveiliging van PC's van advocaten is zaak van die advocaten. Je kunt de vooruitgang niet tegenhouden door roekeloos gedrag van een communicatiepartner.