image

PvdA wil weten hoeveel gemeenten gehackt zijn geweest

maandag 15 augustus 2016, 13:25 door Redactie, 17 reacties

De PvdA heeft naar aanleiding van de hack bij de gemeente Ede Kamervragen aan minister Plasterk van Binnenlandse Zaken gesteld en wil onder andere weten hoeveel Nederlandse gemeenten het afgelopen jaar gehackt zijn geweest.

Vorige week maakte de gemeente Ede bekend dat de website ede.nl gehackt is geweest en daardoor de gegevens van zo'n 3700 burgers mogelijk risico lopen. PvdA-Kamerlid Oosenbrug vraagt aan de minister of er door de gemeente aangifte bij de politie is gedaan en wat de stand van zaken daarvan is. Ook wil ze weten wat de Autoriteit Persoonsgegevens doet naast het in ontvangst nemen van meldingen van datalekken en wat de toezichthouder van dit specifieke datalek vindt.

Verder moet Plasterk duidelijk maken hoeveel Nederlandse gemeenten het afgelopen jaar het slachtoffer geworden zijn van een hack binnen hun digitale infrastructuur en of de minister bereid is om gemeenten bij het beveiligen van hun websites te helpen. "Bent u van mening dat de beveiliging van gemeentelijke websites niet alleen mag afhangen van de inspanningen de desbetreffende gemeente, maar dat dat ook een zaak is die het niveau van gemeenten overstijgt? Zo ja, waarom en welke rol speelt u of gaat u spelen om gemeenten te helpen bij het beveiligen van hun digitale infrastructuur? Zo nee, waarom niet?", vraagt Oosenbrug.

Als laatste vraagt ze wat Plasterk ervan vindt om de digitale communicatie tussen burgers en gemeenten via één generieke voorziening te laten verlopen en of dit naast een verbetering van het gebruiksgemak, ook beter te beveiligen zou zijn dan in het geval iedere gemeente zijn eigen portal behoudt. De minister heeft drie weken de tijd om de vragen (pdf) te beantwoorden.

Reacties (17)
15-08-2016, 13:46 door Anoniem
Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!


O nee! We hebben natuurlijk ook de hackende Henk Krol nog
15-08-2016, 16:35 door Ron625
Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.

Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.
15-08-2016, 16:40 door Anoniem
Door Anoniem: Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!
Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
15-08-2016, 16:49 door Anoniem
Door Ron625: Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.

Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.

Dan krijg je vervolgens Amsterdamse toestanden, omdat 400+ politieke instanties allemaal iets anders willen.
En die ene uitvoeringsorganisatie/hoster moet dat allemaal maar in de lucht houden tegen een zo laag mogelijke prijs. :-)

En in plaats dat je dan met 400 gemeenten kennissystemen/vakapplicaties afneemt, heb je nog maar 1 organisatie die dat doet. En dat betekent een monpolie. Want maar 1 leverancier zal nog een specifiek kennissysteem/vakapplicatie kunnen leveren voor meerdere jaren.
En kennissystemen zijn nu eenmaal een nis-markt. Met dank aan diezelfde politiek met hun complexe wetgeving waardoor de gemeenten die kennissystemen/vakapplicaties nodig heben.
De vendor-lockin eindigt dus niet, hij verandert alleen maar en wordt nog erger.
15-08-2016, 18:19 door Ron625
Door Anoniem:En in plaats dat je dan met 400 gemeenten kennissystemen/vakapplicaties afneemt, heb je nog maar 1 organisatie die dat doet. En dat betekent een monopolie. Want maar 1 leverancier zal nog een specifiek kennissysteem/vakapplicatie kunnen leveren voor meerdere jaren.
Dat hoeft helemaal niet.
Overheden zijn verplicht, om met goedgekeurde openstandaarden te werken, je kunt een hele ICT omgeving onderverdelen in taken en hoofdstukken en deze dus los van elkaar (laten) ontwikkelen.
De grote afnemer is dan het rijk, de gemeenten hoeven alleen maar te volgen.

Voor de websites is dit simpel te doen, voor de rest van de ICT infrastructuur zal dit een kwestie van nadenken worden.
15-08-2016, 19:51 door karma4
Door Ron625: Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Het rijk heeft besloten het werk uit te besteden. De achterliggende reden zal waarschijnlijk zijn zoals anoniem 16:49 aangeeft al die interne koninkrijkjes wat tot een chaos leidt. Enkel degenen voor het aanbestedingsproces mogen blijven.
De liberale gedachte is dat de vrije markt het allemaal veel beter en goedkoper kan.

Het resultaat is dat met de vele bijzondere toepassingen er maar een paar spelers overblijven die ieder voor zich een deelmonopolie krijgen. Het rare is dat de standaarden (open) door logius vastgelegd worden. Dat is een overheidsinstantie vallend onder BZK. Worden er regels/wetten aangepast dan moeten overheidsorganen dat volgen waarbij ze nieuwe versies bij de vendors moeten aanschaffen. Het lijkt wel een perpetum mobile voor de service providers.
https://www.logius.nl/fileadmin/logius/ns/diensten/mijnoverheid/koppelvlakspecificaties/160323_Koppelvlakspecificaties_Lopende_zaken_v1.4.pdf
Als je wat doorzoekt op stuf en gemeentelijke applicaties verbaas je dan over het beperkt aantal leveranciers en de complexiteit van de koppelvlakken. Geen wonder met minder mensen toch veel hogere kosten tegen een lager resultaat (lose-lose). En dat ondanks de gebruikte gratis licenties van OSS delen.
15-08-2016, 20:30 door Ron625
Door karma4:Het rijk heeft besloten het werk uit te besteden.
En daardoor ontbreekt de kennis en ervaring bij de overheden.
Één voorbeeld:
Er is een (overheids) instantie, die een website heeft gemaakt, zonder email, dus eigenlijk een statisch CMS systeem, dat dagelijks (kan) word(t)(en) aangevuld.
Hier heeft één ambtenaar een jaar werk in zitten, en er zijn 2 bedrijven bij ingehuurd.
Het CMS systeem is een opensource CMS, dat gratis was.
Totale kosten schat ik op ongeveer €100.000 aan salaris voor één man en de ingehuurde uren, alleen voor de website, hier komt dan nog de hosting en archivering bij.
Dit is toch compleet van de zotte?
15-08-2016, 22:09 door karma4
Door Ron625:
Dit is toch compleet van de zotte?
Ja Ron eens. Het had denk ik goedkoper en beter op een ander manier gekund. Maar hoe?
Shared service centers waren het ook niet center of excellence of competence center ook niet. De werkelijke oorzaak zit zoals anoniem al aangaf saarschijnlijker in al die interne machststrijden van bestuurders en managers die hun eigen visie op ict willen doordrukken. Helaas weinig echte ict inzichten en meer de egos strelen zoals sommige kunst verzamelaars dat doen.
15-08-2016, 22:17 door Anoniem
Goede vragen van Astrid.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.
15-08-2016, 23:01 door Anoniem
Door Anoniem: Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
Hm. Onze allerbeste security engineer heeft z'n MBO nooit afgemaakt. Was te saai, niet relevant. Inmiddels vele 0-days, hacks en Metasploit-modules op z'n naam. Gefeliciteerd met je ongetwijfeld indrukwekkende trits diploma's, knappe prestatie! Maar ga anderen er a.u.b. niet langs afmeten. Einstein is ooit ook gezakt voor z'n algemene toelatingsexamen. Keep it up Astrid!
15-08-2016, 23:49 door Anoniem
Door Anoniem:
Door Anoniem: Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!
Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.

Heel interessant deze opmerking, hoe kan deze mevrouw 5 jaar lang senior systeembeheerder bij 1 van onze 1e (en jog steeds beste) internetproviders geweest zijn zonder opleiding?? Zou het misschien kunnen zijn dat ze echt weet waar ze over praat? Maar dat kan toch niet mogelijk zijn in Den Haag?? Of toch een social engineer ;-)
16-08-2016, 09:22 door Anoniem
Door Ron625:
Door Anoniem:Voor de websites is dit simpel te doen, voor de rest van de ICT infrastructuur zal dit een kwestie van nadenken worden.

Werp jij je op om dit te regelen bij de overheid?
16-08-2016, 17:17 door karma4 - Bijgewerkt: 16-08-2016, 19:20
Nee dat zal Ron625 niet in zijn eentje kunnen. Maar ga eens door op zijn ideeën.
Het Datacenter anders oplossen kan ik zien als een ssc paas zoals private cloud (colocation). Het is de technische operatie.
De inhoud van een webportaal is de logische bedrijfsvoering.
Daartussen heb je functionele voorzieningen de Tools (cms) en de overkoepelende zaken als security met de validering ervan.

Het is een heel andere indeling dan wat nu gewoonlijk gebeurt. Je kan de validatie van security makkelijker als centrale overheidstaak plaatsen. Nu is het elke bestuurder voor zich.
16-08-2016, 18:28 door Ron625
Inderdaad kan ik dat niet in mijn eentje.
Hierover heb ik al een keer in Denhaag gesproken, en als antwoord kreeg ik te horen, dat ze het wel met mij eens zijn (in grote lijnen), maar dat ze (nog) niet kunnen dwingen.
Het is hetzelfde als de verplichting tot openstandaarden bij overheden, het is verplicht, maar wanneer een instantie niet wil, is er geen dwang/boete/maatregel/straf mogelijk.........
16-08-2016, 19:37 door karma4
Ron maar heb je er over gedacht niet IM centraal te stellen maar de bedrijfsvoering. het denkkader is moeilijk anders te krijgen maar een specifieke invulling lijkt me makkelijker. Zie het meer als een cylinder waarbij de business rechtstreeks met de ICT kan werken. Of stel de business centraal in de vlakken. Wat nu uit de plaatje komt is ICT wat er een beetje bij hangt met een zeer grote afstand tot de strategische bedrijfsvoering. Het is hoe het plaatje opgesteld is vanuit IM.
http://www.gemmaonline.nl/images/gemmaonline/5/51/Baseline_gemeenten_deel_2a_het_denkkader_v1_0.pdf
figuur 2 en 3 pag 15 en 17. Het hoofdstuk 2.7 gaat over het beveiligingsplan (volgt iso27k zo te zien).
18-08-2016, 13:17 door Anoniem
Door Anoniem:
Door Anoniem: Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
Hm. Onze allerbeste security engineer heeft z'n MBO nooit afgemaakt. Was te saai, niet relevant. Inmiddels vele 0-days, hacks en Metasploit-modules op z'n naam. Gefeliciteerd met je ongetwijfeld indrukwekkende trits diploma's, knappe prestatie! Maar ga anderen er a.u.b. niet langs afmeten. Einstein is ooit ook gezakt voor z'n algemene toelatingsexamen. Keep it up Astrid!

+1!!!

Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
#suggestief, Ik vraag me eerder af welke waarde jouw oordeel heeft... oja... je was toch een WO afgestudeerd maar had nog nooit enig onderzoek heeft gedaan en daar een mening op heeft gebaseerd? #koekjevaneigendeeg
06-09-2016, 10:24 door Anoniem
Door Anoniem: Goede vragen van Astrid.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.

Dat is geen generieke voorziening, er mist heel veel functionaliteit voor veel gemeenten en er zit slechts 1 leverancier achter. Zo kun je ieder CMS in de gemeentemarkt (Typo3, SIM etc.) wel generiek noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.