PvdA wil weten hoeveel gemeenten gehackt zijn geweest
De PvdA heeft naar aanleiding van de hack bij de gemeente Ede Kamervragen aan minister Plasterk van Binnenlandse Zaken gesteld en wil onder andere weten hoeveel Nederlandse gemeenten het afgelopen jaar gehackt zijn geweest.
Vorige week maakte de gemeente Ede bekend dat de website ede.nl gehackt is geweest en daardoor de gegevens van zo'n 3700 burgers mogelijk risico lopen. PvdA-Kamerlid Oosenbrug vraagt aan de minister of er door de gemeente aangifte bij de politie is gedaan en wat de stand van zaken daarvan is. Ook wil ze weten wat de Autoriteit Persoonsgegevens doet naast het in ontvangst nemen van meldingen van datalekken en wat de toezichthouder van dit specifieke datalek vindt.
Verder moet Plasterk duidelijk maken hoeveel Nederlandse gemeenten het afgelopen jaar het slachtoffer geworden zijn van een hack binnen hun digitale infrastructuur en of de minister bereid is om gemeenten bij het beveiligen van hun websites te helpen. "Bent u van mening dat de beveiliging van gemeentelijke websites niet alleen mag afhangen van de inspanningen de desbetreffende gemeente, maar dat dat ook een zaak is die het niveau van gemeenten overstijgt? Zo ja, waarom en welke rol speelt u of gaat u spelen om gemeenten te helpen bij het beveiligen van hun digitale infrastructuur? Zo nee, waarom niet?", vraagt Oosenbrug.
Als laatste vraagt ze wat Plasterk ervan vindt om de digitale communicatie tussen burgers en gemeenten via één generieke voorziening te laten verlopen en of dit naast een verbetering van het gebruiksgemak, ook beter te beveiligen zou zijn dan in het geval iedere gemeente zijn eigen portal behoudt. De minister heeft drie weken de tijd om de vragen (pdf) te beantwoorden.
Reacties (17)
Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!
O nee! We hebben natuurlijk ook de hackende Henk Krol nog
Goed werk weer Astrid!
O nee! We hebben natuurlijk ook de hackende Henk Krol nog
15-08-2016, 16:35 door
Ron625
Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.
Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.
Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.
Door Anoniem: Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!
Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.Goed werk weer Astrid!
Door Ron625: Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.
Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Je kunt dan makkelijk van de vendor-lock-in af en de beveiliging is centraal te regelen.
Dus niet alleen voor de website(s), maar voor heel de ICT infrastructuur.
Daarnaast is het daardoor ook makkelijker, om in drukke tijden personeel te lenen van een andere instantie.
Maak het rijk daarnaast ook nog hosting-provider en er kan veel bespaard worden, lijkt mij.
Dan krijg je vervolgens Amsterdamse toestanden, omdat 400+ politieke instanties allemaal iets anders willen.
En die ene uitvoeringsorganisatie/hoster moet dat allemaal maar in de lucht houden tegen een zo laag mogelijke prijs. :-)
En in plaats dat je dan met 400 gemeenten kennissystemen/vakapplicaties afneemt, heb je nog maar 1 organisatie die dat doet. En dat betekent een monpolie. Want maar 1 leverancier zal nog een specifiek kennissysteem/vakapplicatie kunnen leveren voor meerdere jaren.
En kennissystemen zijn nu eenmaal een nis-markt. Met dank aan diezelfde politiek met hun complexe wetgeving waardoor de gemeenten die kennissystemen/vakapplicaties nodig heben.
De vendor-lockin eindigt dus niet, hij verandert alleen maar en wordt nog erger.
15-08-2016, 18:19 door
Ron625
Door Anoniem:En in plaats dat je dan met 400 gemeenten kennissystemen/vakapplicaties afneemt, heb je nog maar 1 organisatie die dat doet. En dat betekent een monopolie. Want maar 1 leverancier zal nog een specifiek kennissysteem/vakapplicatie kunnen leveren voor meerdere jaren.
Dat hoeft helemaal niet.Overheden zijn verplicht, om met goedgekeurde openstandaarden te werken, je kunt een hele ICT omgeving onderverdelen in taken en hoofdstukken en deze dus los van elkaar (laten) ontwikkelen.
De grote afnemer is dan het rijk, de gemeenten hoeven alleen maar te volgen.
Voor de websites is dit simpel te doen, voor de rest van de ICT infrastructuur zal dit een kwestie van nadenken worden.
15-08-2016, 19:51 door
karma4
Door Ron625: Het verbaast mij al jaren, dat bijna iedere instantie steeds opnieuw het wiel gaat uitvinden.
Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
Het rijk heeft besloten het werk uit te besteden. De achterliggende reden zal waarschijnlijk zijn zoals anoniem 16:49 aangeeft al die interne koninkrijkjes wat tot een chaos leidt. Enkel degenen voor het aanbestedingsproces mogen blijven.Waarom niet voor alle gemeenten en andere overheidsinstellingen hetzelfde systeem gebruiken?
De liberale gedachte is dat de vrije markt het allemaal veel beter en goedkoper kan.
Het resultaat is dat met de vele bijzondere toepassingen er maar een paar spelers overblijven die ieder voor zich een deelmonopolie krijgen. Het rare is dat de standaarden (open) door logius vastgelegd worden. Dat is een overheidsinstantie vallend onder BZK. Worden er regels/wetten aangepast dan moeten overheidsorganen dat volgen waarbij ze nieuwe versies bij de vendors moeten aanschaffen. Het lijkt wel een perpetum mobile voor de service providers.
https://www.logius.nl/fileadmin/logius/ns/diensten/mijnoverheid/koppelvlakspecificaties/160323_Koppelvlakspecificaties_Lopende_zaken_v1.4.pdf
Als je wat doorzoekt op stuf en gemeentelijke applicaties verbaas je dan over het beperkt aantal leveranciers en de complexiteit van de koppelvlakken. Geen wonder met minder mensen toch veel hogere kosten tegen een lager resultaat (lose-lose). En dat ondanks de gebruikte gratis licenties van OSS delen.
15-08-2016, 20:30 door
Ron625
Door karma4:Het rijk heeft besloten het werk uit te besteden.
En daardoor ontbreekt de kennis en ervaring bij de overheden.Één voorbeeld:
Er is een (overheids) instantie, die een website heeft gemaakt, zonder email, dus eigenlijk een statisch CMS systeem, dat dagelijks (kan) word(t)(en) aangevuld.
Hier heeft één ambtenaar een jaar werk in zitten, en er zijn 2 bedrijven bij ingehuurd.
Het CMS systeem is een opensource CMS, dat gratis was.
Totale kosten schat ik op ongeveer €100.000 aan salaris voor één man en de ingehuurde uren, alleen voor de website, hier komt dan nog de hosting en archivering bij.
Dit is toch compleet van de zotte?
15-08-2016, 22:09 door
karma4
Door Ron625:
Dit is toch compleet van de zotte?
Ja Ron eens. Het had denk ik goedkoper en beter op een ander manier gekund. Maar hoe?Dit is toch compleet van de zotte?
Shared service centers waren het ook niet center of excellence of competence center ook niet. De werkelijke oorzaak zit zoals anoniem al aangaf saarschijnlijker in al die interne machststrijden van bestuurders en managers die hun eigen visie op ict willen doordrukken. Helaas weinig echte ict inzichten en meer de egos strelen zoals sommige kunst verzamelaars dat doen.
Goede vragen van Astrid.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.
Door Anoniem: Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
Hm. Onze allerbeste security engineer heeft z'n MBO nooit afgemaakt. Was te saai, niet relevant. Inmiddels vele 0-days, hacks en Metasploit-modules op z'n naam. Gefeliciteerd met je ongetwijfeld indrukwekkende trits diploma's, knappe prestatie! Maar ga anderen er a.u.b. niet langs afmeten. Einstein is ooit ook gezakt voor z'n algemene toelatingsexamen. Keep it up Astrid!Door Anoniem:
Door Anoniem: Af en toe lijkt het dat er in de kamer maar een persoon zit met verstand van en zorgen over de bevlieging van digitale gegevens.
Goed werk weer Astrid!
Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.Goed werk weer Astrid!
Heel interessant deze opmerking, hoe kan deze mevrouw 5 jaar lang senior systeembeheerder bij 1 van onze 1e (en jog steeds beste) internetproviders geweest zijn zonder opleiding?? Zou het misschien kunnen zijn dat ze echt weet waar ze over praat? Maar dat kan toch niet mogelijk zijn in Den Haag?? Of toch een social engineer ;-)
Door Ron625:
Werp jij je op om dit te regelen bij de overheid?
Door Anoniem:Voor de websites is dit simpel te doen, voor de rest van de ICT infrastructuur zal dit een kwestie van nadenken worden.
Werp jij je op om dit te regelen bij de overheid?
Nee dat zal Ron625 niet in zijn eentje kunnen. Maar ga eens door op zijn ideeën.
Het Datacenter anders oplossen kan ik zien als een ssc paas zoals private cloud (colocation). Het is de technische operatie.
De inhoud van een webportaal is de logische bedrijfsvoering.
Daartussen heb je functionele voorzieningen de Tools (cms) en de overkoepelende zaken als security met de validering ervan.
Het is een heel andere indeling dan wat nu gewoonlijk gebeurt. Je kan de validatie van security makkelijker als centrale overheidstaak plaatsen. Nu is het elke bestuurder voor zich.
Het Datacenter anders oplossen kan ik zien als een ssc paas zoals private cloud (colocation). Het is de technische operatie.
De inhoud van een webportaal is de logische bedrijfsvoering.
Daartussen heb je functionele voorzieningen de Tools (cms) en de overkoepelende zaken als security met de validering ervan.
Het is een heel andere indeling dan wat nu gewoonlijk gebeurt. Je kan de validatie van security makkelijker als centrale overheidstaak plaatsen. Nu is het elke bestuurder voor zich.
16-08-2016, 18:28 door
Ron625
Inderdaad kan ik dat niet in mijn eentje.
Hierover heb ik al een keer in Denhaag gesproken, en als antwoord kreeg ik te horen, dat ze het wel met mij eens zijn (in grote lijnen), maar dat ze (nog) niet kunnen dwingen.
Het is hetzelfde als de verplichting tot openstandaarden bij overheden, het is verplicht, maar wanneer een instantie niet wil, is er geen dwang/boete/maatregel/straf mogelijk.........
Hierover heb ik al een keer in Denhaag gesproken, en als antwoord kreeg ik te horen, dat ze het wel met mij eens zijn (in grote lijnen), maar dat ze (nog) niet kunnen dwingen.
Het is hetzelfde als de verplichting tot openstandaarden bij overheden, het is verplicht, maar wanneer een instantie niet wil, is er geen dwang/boete/maatregel/straf mogelijk.........
16-08-2016, 19:37 door
karma4
Ron maar heb je er over gedacht niet IM centraal te stellen maar de bedrijfsvoering. het denkkader is moeilijk anders te krijgen maar een specifieke invulling lijkt me makkelijker. Zie het meer als een cylinder waarbij de business rechtstreeks met de ICT kan werken. Of stel de business centraal in de vlakken. Wat nu uit de plaatje komt is ICT wat er een beetje bij hangt met een zeer grote afstand tot de strategische bedrijfsvoering. Het is hoe het plaatje opgesteld is vanuit IM.
http://www.gemmaonline.nl/images/gemmaonline/5/51/Baseline_gemeenten_deel_2a_het_denkkader_v1_0.pdf
figuur 2 en 3 pag 15 en 17. Het hoofdstuk 2.7 gaat over het beveiligingsplan (volgt iso27k zo te zien).
http://www.gemmaonline.nl/images/gemmaonline/5/51/Baseline_gemeenten_deel_2a_het_denkkader_v1_0.pdf
figuur 2 en 3 pag 15 en 17. Het hoofdstuk 2.7 gaat over het beveiligingsplan (volgt iso27k zo te zien).
Door Anoniem:
Door Anoniem: Heel interessant natuurlijk deze opmerking, maar de middelbare school heeft mevrouw nooit afgemaakt en ze kukelde wel later in systeembeheer (zonder opleiding, rara hoe kan dat). Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
Hm. Onze allerbeste security engineer heeft z'n MBO nooit afgemaakt. Was te saai, niet relevant. Inmiddels vele 0-days, hacks en Metasploit-modules op z'n naam. Gefeliciteerd met je ongetwijfeld indrukwekkende trits diploma's, knappe prestatie! Maar ga anderen er a.u.b. niet langs afmeten. Einstein is ooit ook gezakt voor z'n algemene toelatingsexamen. Keep it up Astrid!+1!!!
Ik vraag me daarom af wat de waarde is van haar uitspraken over deze zaak.
#suggestief, Ik vraag me eerder af welke waarde jouw oordeel heeft... oja... je was toch een WO afgestudeerd maar had nog nooit enig onderzoek heeft gedaan en daar een mening op heeft gebaseerd? #koekjevaneigendeegDoor Anoniem: Goede vragen van Astrid.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.
Een generieke voorziening bestaat al. Deze heet DVG (Drupal voor Gemeenten) en is vrij herbruikbaar.
Beveiliging is zoals bekend verder een proces dat door mensen moet worden geregeld.
Dat is geen generieke voorziening, er mist heel veel functionaliteit voor veel gemeenten en er zit slechts 1 leverancier achter. Zo kun je ieder CMS in de gemeentemarkt (Typo3, SIM etc.) wel generiek noemen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
