Wat raaskal je allemaal? Er geen wet die het voor de overheid mogelijk maakt om iets te verbieden wat niet bij wet verboden is. Als er iets verboden moet worden dan zal de wetgever daar een wet voor moeten maken, niet een of andere overheidsinstelling.

Blijkbaar? Er blijkt niets uit je topic. Je doet een paar inhoudsloze beweringen en die gebruik je om te doen alsof je daardoor gelijk hebt.

Wat hier lijkt is dat je het blijkbaar ergens niet mee eens bent, maar waarom je gelijk of ongelijk hebt schrijf je niet.

Het enige basisprincipe dat daar tegen helpt is gewoon helemaal geen gebruik meer maken van it systemen.

Topic is ook redelijk FC knudde, met 2 rode kaarten.

Je roept namelijk iets, zonder enige onderbouwing, of een duidelijke conclusie. Je post alleen een paar regeltjes.

Wat volgens jouw fout op de "wettelijke voorschriften als AVG"? Want ik haal dat niet uit je topic?

Want momenteel lees alleen een rant van iemand die zicht zelf als kapitein neerzet, maar eigenlijk nog niet eens een rubberbootje duidelijk kan besturen.

Lol. Als iemand jou zou vragen dat te doen, dan is 100% zeker dat jij dit niet waar zou kunnen maken. Iemand met daadwerkelijk inhoudelijke kennis die schrijft niet dit soort warrige onzin.

Zo weer terug naar de klas, zodat de meester je wat nieuws kan leren ?

De TS is een eersteklas idioot (of eerder- scholier met veel lawaai) , en heeft ook geen idee wat de taak van NCSC is, maar op zich kan een instelling natuurlijk het gebruik van bepaalde software verbieden _binnen die instelling_ .

TS denkt om één of andere reden dat het NCSC het volledige ICT beleid van de overheid en overheids deelnemingen dwingend kan bepalen - Nope, dat is niet hun taak en niet hun bevoegdheid. Nog niet eens binnnen het ministerie waar ze onder vallen. Laat staan bij andere ministeries.
(Tennet is een zelfstandig bedrijf, met de overheid als aandeelhouder. Aandeelhouders zijn geen bestuurders )

Dit topic bevat weinig inhoud en veel frustratie.. mogelijk heeft OP een afwijzing gehad op een vacature gehad.
Ik zou me er ook niet veiliger op voelen als security medewerkers worden aangenomen die denken dat:

"Gewoon een paar basis principes Handhaven, zodat aanvallers gewoon helemaal geen "foothold" meer Kunnen krijgen, en ook data-lekken uitgesloten worden."

Ik ben nog niet lang bezig in de IT security, maar dit is in mijn beleving een werkveld waar nog veel werk te verrichten is op zowel technisch als organisatorisch gebied. Zeggen dat alles is opgelost als iedereen gewoon een paar basis principes handhaaft, komt op mij over als in een ziekhuis zeggen dat mensen gewoon gezonder moeten doen zodat niemand meer ziek word. Het is geen slecht uitgangspunt om goede basisprincipes toe te passen, maar wel erg kortzichtig. Ook is het definiëren van "goede" basisprincipes waarschijnlijk niet zo makkelijk als het lijkt. Ik zou geen volledige en altijd toepasselijke lijst weten. Het NCSC helpt daar wel bij door het uitbrengen van security whitepapers met adviezen.

according to RFC 2821 you’re not allowed to change the header information of e-mail messages.
What actually happens here is creating non RFC compliant messages.

Verdiep je eens in de vraag wat het NCSC is, wat ze doen, en wat hun bevoegdheden zijn. Voordat je jezelf hier voor lul zet. Bovenstaande valt niet binnen het takenpakket van het NCSC... Laat staan dat het hun primaire taak zou zijn.

Iets met klok & klepel ?

NCSC heeft hele goede intenties en hebben al heel veel goede dingen gedaan.

Ze voegen echt iets toe aan de Nationale veiligheid.

Beoordeel een complete organisatie niet op een paar kleine items.

Als je zelf met het NCSC samenwerkt dan weet je pas wat voor toegevoegde waarde hebben. Van mij mag er nog veel meer belastinggeld naar het NCSC.

Iedereen die dit leest en werkzaam is bij het NCSC: keep up the good work!

Een samenraapsel van beweringen zonder bewijsvoering.
Daar kan ik niets mee.

Typisch om te zien dat De 'security experts' lliever niet willen kijken naar wat er mis is, terwijl 't voor hun neus te vinden is.

Dan met tekst en uitleg, even iets verder kijken dan te korte neus boven de lange tenen ;-)

Zo te zien is de Externe partij voor die sollicitatie procedure een organisatie die niet volgens AVG werkt, en NCSC daarmee ook niet, en MinVenJ ook niet, enz.
Ze vragen onnodige info, ze delen data met beruchte google & co, ze hebben de servers zeer laks beveiligd, en slaan zeer gevoellige info op die gebruikt zou kunnen worden om NCSC medewerkers te S.E.'n.
Zo is het Engelse NCSC(GCHQ) een paar maanden geleden al tegrazen genomen, wat niet verbazend is, want ons hollansche NCSCtje heeft ze 'advies' gegeven => Mono-Cultuur.

Verder verstrekt 't NCSC een en ander aan leidraden enz, daar zou men toch in moeten willen zetten dat het gebruik van inherent kwetsbare systemen (zoals eigen MinVenJ Microsoft Exchange servers [ms16-108 .. CVE-2018-8154.. etc..etc..] ) zeer sterk moet worden afgeraden, (als is 't maar omdat die na meerdere meldingen de afgelopen 10 jaar, nog steeds interne data naar buiten lekken). En... in de BIR & BIG en dergelijke documenten ook voorschriften er over. (als men niet in bed zou wippen met mickeysoft)

---**********----
"Gewoon een paar basis principes Handhaven, zodat aanvallers gewoon helemaal geen "foothold" meer Kunnen krijgen, en ook data-lekken uitgesloten worden."

> Lol. Als iemand jou zou vragen dat te doen, dan is 100% zeker dat jij dit niet waar zou kunnen maken. Iemand met daadwerkelijk inhoudelijke kennis die schrijft niet dit soort warrige onzin.

---~~~~~~~--->>>>>

!!! En daar zit nu juist de crux.. ;-)
Men maakt als 'security services verkopers' graag anderen wijs dat het "niet mogelijk" zou zijn om een goed beveiligde omgeving in te richten.

= Maaar als je gewoon de (~500 B.C. al beschreven) veiligheid basis principes handhaaft is het niet moeilijk.
+ Beginnen met het K.I.S.S principe. Dus met een OS dat niet inherent eindeloos vol mogelijke wegen naar gaten zit door over-complexe wildgroei structuren.
+ Het KISS type OS dan niet open en bloot laten met de internet services software er in verweven, maaar die services in losse Thin-Jails stoppen waar geen andere functies/apps bij in zitten. Zodat die services (als er iemand nog toegang toe weet te krijgen) geen enkele toegang hebben tot al die handige tools en functies van het OS om verder te komen. En!.. zodat er direct gedetecteerd kan worden door een standaard sec monitoring daemon als een Service ook maar iets anders probeert te doen dan wat de bedoeling is. "Deep Hardening 101"
+ Daar basis principes beveiligde service software op, (dus Geen PHP, ASP of dot Net, Java, enz.. = DevOps nerds speelgoed), maar gewoon iets wat door een strikte compiler heen is gegaan en puur en alleen machine code is, Zonder al die extra framework functionality die de app niet Nodig heeft. Een beetje moderne C++ compiler kan er voor zorgen dat ook stack/buffer overflow en wat andere exploit technieken gewoon onmogelijk worden, en een code-check tool haalt er de meeste andere security fubar's er ook nog uit als de programmeur er geen rekening weet van heeft. ( en ook geen onnodige service vendor en version informatie naar buiten adverteren, en ook fingerprinting verhinderen [ook echt niet moeilijk])
+ ....enz.

& Voor desktops/laptops een soortgelijke aanpak met een iets andere insteek met de zelfde basis principes.

# Zo draait er een {Please Hack Me!} server sinds 2005, met web services, dns, email SMTP & IMAP services en remote admin service. Zonder patches of updates...
En elk jaar weer nieuwe uitnodigigen naar professionele security bedrijven, ethical hackers en blackhats. Uitgedaagd door eerst door hun 'beveiliging' heen te prikken om ze te motiveren ;-P en er ook een cash reward aan te hangen als symbolische maar zeer tastbare tegenprestatie.
Tot op heden nog niemand ook maar een "foot-hold" kunnen krijgen. Wat niet verbazend is, als die er gewoon niet zijn.
Want wat er niet is kan je ook niet misbruiken, de servers doen alleen wat die moet doen en niets anders.
{Enige wat een paar jaar geleden gelukt is, is dat een overheidsinstelling bij 't hosting datacentre op bezoek is gegaan om zo toegang te krijgen tot die ";-P" server. Maar niet ongedetecteerd }

Ook bij een overheidsinstelling in arm land waar men er in 2011 noodgedwongen voor gekozen heeft om al die wildgroei van inherent kwetsbare systemen toch maar niet meer te gebruiken, draaien nu zulke systemen. NL heeft er meer baat bij om de centen te laten rollen dan de zaakjes simpel te houden :(
[en zo zien we de belastingdienst en andere organisaties door de ICT bubble kapot gaan aan die belangenverstrengeling.]


En data lekken voorkomen is even eenvoudig, als een organisatie en klein beetje Moeite zou willen doen om de basis principes ook lezen en echt te handhaven.
Dus niet een Marketing/Sales afdeling vrij hun gang laten gaan met sites her en der outsourcen en vol gooien met data-sets. En niet zomaar intern gemaakte documenten en foto's op de publieke toegang sites gooien zoder meta-data stripper en flagged keywords detectie, enzo. En niet de inkomende email laten 'filteren' door externen zoals google,mickeysoft,ICT-toko uit de buurt,enz..
..En nog een paar van dat soort eerst denken dan doen keuzes.


******
Ja...
er is een pesthekel ontstaan tegen eigen zakken vulldende ivoren toren organisaties zoals 't NCSC, CSR, HSD = Fox/Secura/Outpost/enz..enz..enz.. Die de 'insecurity bubble' veroorzaken en in stand houden ten kosten van de veiligheid van ons allen, met hun kluitje->riet adviezen.
En daarom blijft het kinderspel om bij Critical Infra organisaties zoals KPN, Justnet/Gemnet, Tennet en RWS binnen te komen zonder dat ze er weken/maander iets van merken, blijkt telkens weer in de media.
Ondanks al die nu inmiddels Miljarden die in 'ciber security' gestoken zijn de afgelopen jaren.

Ergo: NCSC => mede oorzaak , ipv oplossing.

Al dat roeptoeteren hier heeft ook geen enkele zin.

Al die partijen die je benoemd hebben een Responsible Disclosure beleid, meld de bugs, kwetsbaarheden en beveiligingslekken via RD en stop met dit geblater.

Zelf ben je nog lager dan laag door het hier te posten terwijl ze allemaal een RD hebben. Pas als ze niet reageren op je RD melding (en je ook daadwerkelijk een lek heb aangetoond) heb je w.m.b. meer recht van spreken.

Dus ga je huiswerk doen, help mee aan een goede beveiliging(dit kan alleen door samen te werken met de community) of blijf vooral ver van je toetsenbord vandaan.

Inderdaad beste stuurlui staan aan wel. Dat laat je hier duidelijk zien, zoals SecGuru_OTX ook aangeeft.

Als je een ICT organisatie hebt die faalt in op tijd afleveren van wat de organisatie nodig heeft maar wel heel leuk bezig is met eigen speelgoed wat verwacht je dan. Die marketing afdeling brengt herkenbaar waarde voor de organisatie.
Gevolg zet de ICT buiten de deur en maak die marketing werkwijze en processen meer leidend.

Je zult als ICT organisatie je waarde moeten aantonen door wat je aflevert voordat je recht van spreken hebt.
Dat werkt volledig door naar de informatieveiligheid. Maak je het te complex en te duur dan gaat men het zelf wel doen.
Trouwens wat heb je aan een systeem dat ontzettend veilig is maar niet bruikbaar?

Ik heb een test uitgevoerd en deze servers krijgen een A+ qua beveiliging.
Dus ik krijg het idee dat u de plank volledig mis slaat hier.

Typisch dat een wartaal uitkramend figuur denkt dat het aan de omgeving ligt dat er niet serieus naar hem wordt geluisterd.

Je doet net alsof jou mening de waarheid is. Je doet harde beweringen om zogenaamd je gelijk te bewijzen. Je verwoord je meningen en beweringen als een kleuter die zijn zin niet krijgt en gaat dan nog harder schreeuwen als dat niet werkt. Je luistert niet naar de vraag om bewijs of je snapt niet wat bewijs is. En je mixt divers beweringen bij elkaar om te doen alsof het heel erg is en je oplossingen de oplossing zijn.

Samengevat: de klager doet alsof die de messias is die de boze wereld komt vertellen dat zijn waarheid over security de weg naar de bevrijding van de kwade organisaties van het bedrijfsleven en de overheid is. En wie die waarheid niet volgt, tegenspreekt of in twijfel trekt die is onderdeel van het probleem.

Het NCSC stelt niet zoveel voor.

Ik verstuurde ze een keer bestand met gevaarlijke broncode en vroegen ze mij letterlijk om het in een Word document te versturen!

Ik ben beschikbaar :) Ik heb de laatstse tijd heel wat virussen van mijn systeem verwijderd, die niet herkend worden door andere virusscanners.

Ik zie dat er nog veel computers ronddolen met de nodige bugs.

Mens en Informatie, daar moesten we vroeger om lachen. Dat was een IT traject voor softies. Maar ook voor ouderen die niet meer in alle talen code kunnen en willen kloppen maar ook iets met mensen willen doen.

Ik heb geen diplomas maar wel een ervaring waar veel anderen een puntje aan kunnen zuigen.

Ik heb eerder al gewaarschuwd voor tangram. Een gewaarschuwde instantie telt voor twee.

Ach er zitten een paar goede niet iedereen is goed, netals de halfweg security consultants en ethische hackers die je hebt. De meeste weten niet wat ze aan het doen zijn en voeren gewoon dingen uit die ze een keer ergens hebben gelezen of iemand ze heeft verteld wat ze moeten doen.

Mensen met enige (werk)ervaring snappen dat je experts NIET moet inzetten met het rechtstreeks beantwoorden van info@ mail of achter de eerstelijns telefoon/helpdesk plaatsen.

Dat is allersnelste manier om je expert weg te jagen.

Op mijn werk zit _ik_ achter zo'n filter, en dan is het niet onredelijk dat ik soms maar even moet zuchten en geduld hebben wanneer ik elders de vragende partij ben en eerst door het callscript met "zit de stekker erin" vragen heen moet gaan voordat het probleem op het buro komt van iemand die het echt snapt.

Wanneer je (over een jaar of tien ?) eens ergens stage gaat lopen wordt je hopelijk even op de helpdesk gezet , dan snap je meteen waarom je nooit direct een expert aan de telefoon krijgt via de buitenkant.
En dan leer je waarschijnlijk ook dat de public-facing kant van een bedrijf (algemene website, HR formulieren, secretariaatstelefoon) heel weinig te maken heeft met de kwaliteit (of geen kwaliteit) van de technische onderdelen .

Als je het over mij hebt, ik ben een software architect en heb het stagelopen allang achter mij gelaten ;)

Als je 07-10 13:00 bent..... Dan is leeftijd/gebrek aan werkervaring blijkbaar niet het excuus voor de misconceptie dat de eerstelijns mensen de maat zijn voor de expertise die in een organisatie aanwezig is.
Neem een leermomentje, blader eens door de gewone tickets (en antwoorden) van je IT organisatie, kijk eens als een hardcore techneut naar de publieke website van je werkgever , en bedenk dan of een oordeel over de kwaliteit van jouw werk op die basis enige grond heeft.

Van het NCSC weet ik dat er een aantal heel erg goede mensen werken - die echt geen code in Word nodig hebben (of willen). Maar het verbaast me niet dat ze eventueel een front office of secretariaat hebben die met niks anders over weg kan dan Word. (Wellicht zelfs dat zo'n front office niet dedicated NCSC is, maar een meer algemene afdeling van het ministerie).
Een andere mogelijkheid nog dat 'Word' de enige manier is om tekstuele informatie door alle mail/attachment filters heen gestuurd te krijgen voordat het op de werkplek aankomt van iemand die ermee om kan gaan.

er zijn verschillende politieke, commerciele, economische, techniek problemen die behoorlijk werking ncsc dusdanig verstoren die buiten macht ncsc liggen.

egoisme in de markt binnen groep die samenleving genoemd wordt omarmen als gezond is een van de grootste. nscs aankijken voor dat aan te kijken is onzinnig.

1+1=2

https://www.security.nl/posting/581283/Vacature

Wat een frustratie...

Veel met het NCSC te maken gehad en zij doen (binnen de huidige grenzen) prima werk en doen hun uiterste best om nog beter te worden - valt misschien niet altijd mee om hele goede mensen te krijgen / houden met de salarissen die zij kunnen bieden.

Of -stiekem toch wel slim- opzettelijke uitlokking van misdaad...

gut je hebt weer een master of doctoraal nodig.

Zouden de VS of de Russen ook zulke hoge eisen stellen?

Lol wanneer men dergelijke argumenten op tafel gooit moet je ECHT van goeie huize komen. Los van de onderbouwing. Ben je zelf security engineer bij dergelijke instanties? Zo nee, dan kan je niet zomaar iets van de toren blazen alleen maar om geluid te maken. Want als dit het geval is sluit je eigen digitale geschreeuw er aan bij de kop van je gestarte discussie! En ben je blijkbaar één de de stuurlui aan wal!

dat zeggen ze aan de buitenkant, mensen die verstand van it gekregen hebben lopen daar ook zonder zelfs basisschool diploma prima naar binnen. alleen nogmaals, als mensen niet eerst andere problematische oorzaken krijgen te behandelen, is het daar met of zonder bak papieren eenvoudig 'achter het net vissen'. één van de oorzaken waarom mensen die werkelijke verstand gekregen hebben van it security daar steeds minder zin in krijgen.

Universiteiten zijn (subtiel radicaal) linkse indoctrinatiekampen. Natuurlijk willen ze mensen van "ons soort mensen". Die werken de zogenaamde andersdenkenden weg onder het mom van terrorisme, oppositionele gedragsstoornis (was dat Kafka? ik ben niet zo belezen...) tot er vervolgens geen praktische mensen meer zijn behalve domme slaven EN DAN KOMT DE VIJAND EN DIE NEEMT ALLES OVER!!!

Men is nooit vriendlijk geweest voor orginele denkers, zeker wanneer die de belangen van een kleine groep in de weg lopen.
Denk bijvoorbeeld hoe men omging met N. Tesla.

Er is conform denken naast info, die niet met iedereen wordt gedeeld (denk bij voorbeeld aan nog niet bekende zero-days).
Er is altijd een officieel verhaal met gedeeltelijk weggelaten info of verdraaide info. Een goede zoeker is derhalve tot veel meer in staat dan een goede hacker.

Nog even en we kunnen naast r/tokkiefeesboek ook r/tokkiesecurity beginnen...wilt u nog wat alufolie voor dat hoedje?

Feit is en blijft dat politiek rechts nou niet bepaald met constructieve ideeën komt. Meneer Wilders z'n partijprogramma was 1 a4 met een servetje vol aan cijfertjes als zogenaamde berekening. Wat dat betreft hadden we beter dhr. Fortuyn kunnen hebben, daar kon je tenminste nog een normale discussie mee houden.

Als je een rechterkant hebt die alleen maar raaskalt en nergens mee komt...is het dan raar dat de mensen die wel nadenken op de lange termijn meer naar de linkerkant neigen?

Qua vacature...het is en blijft de overheid, het mag dus niet teveel kosten, maar security specialisten zijn duur door schaarste, dus moet je als overheid meer bieden. Dat mag daar vaak alleen als er een bepaalde papierwinkel tegenover staat. natuurlijk heeft men bij het NCSC mensen nodig uit alle lagen, van universitair geschoold tot netaan de basisschool afgemaakt en daarna in de praktijk leren. Maar probeer bij zo'n ministerie maar eens iemand aan te nemen met een MBO diploma op een hoge salarisschaal....ik denk dat de HR tak je vierkant uitlacht.

Een overheidsclub loopt altijd achter op de privesector, die hebben gewoon meer geld om ertegenaan te smijten en doen dat ook makkelijker. Als de overheid dat doet zitten we vervolgens op facebook allemaal te roeptoeteren dat het allemaal de schuld is van Mark Rutte en dat we het in de zorg veel zwaarder hebben.
Staan de beste stuurlui aan wal? Absoluut, maar waar het hier misgaat, is dat de OP niet ziet dat hij zelf op de kade staat ipv de boot.

Thanks ik ga eens informeren.

Ik wil een bijdrage leveren echter door die belachelijke eisen had ik het opgegeven. Terwijl ik een berg ervaring heb.

Je kan altijd een open sollicitatie proberen...

LOL. Begint TS over de ''primaire taak'' van het NCSC, en dan benoemt hij iets wat *niet* behoort tot de taken van het NCSC. De beste stuurlui staan aan inderdaad aan wal. Of schrijven stompzinnige zaken op dit forum.