Belastingdienst krijgt oplossing om gegevensgebruik te loggen
De Belastingdienst krijgt volgend jaar een oplossing om het gebruik van gegevens bij de afdeling Datafundamenten en Analytics (DF&A) te loggen, zo heeft staatssecretaris Snel van Financiën in een brief aan de Tweede Kamer laten weten. Snel reageerde op vragen over een artikel in Trouw, waarin werd gesteld dat de fiscus niet bijhoudt welke medewerkers gegevens uit de systemen opvragen, omdat dit technisch niet mogelijk zou zijn.
De staatssecretaris laat weten dat hij in een brief over verbetermaatregelen bij de afdeling DF&A heeft geschreven dat "vanuit de dataomgeving bij afdeling DF&A, waar wel een exportfunctie aanwezig is, technische logging niet mogelijk [is] noch het aanpassen van autorisaties." Op basis van deze zin wordt in het artikel van Trouw volgens Snel de indruk gewekt dat de gegevensbeveiliging bij de Belastingdienst in brede zin niet op orde is, maar dat is niet het geval laat hij weten.
"De situatie is dat het niet mogelijk is om ieder gebruik van gegevens te loggen als de te analyseren gegevens eenmaal uit de centrale dataomgeving zijn gehaald en in de digitale werkomgeving (pc of laptop) van de medewerker van DF&A zijn geplaatst. Dat komt omdat in de digitale werkomgeving van de medewerker ook standaardapplicaties worden gebruikt die geen logmogelijkheid kennen", schrijft Snel aan de Tweede Kamer. Om het risico op datalekken te verkleinen zijn er in het werkproces technische en organisatorische maatregelen genomen. Handelingen met gegevens in de centrale dataomgeving van DF&A worden wel gelogd en gemonitord.
Snel benadrukt in zijn brief dat het loggen op dit moment niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. De invoering van de Analytical Data Perimeter (ADP) moet dit echter gaan oplossen. Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds worden gelogd en gemonitord. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris.
Beveiligingsmaatregelen
De afgelopen twee jaar is de Belastingdienst meerdere keren wegens vragen over de dataveiligheid in het nieuws gekomen. Zo kwam Zembla begin 2017 met de onthulling dat gegevens onvoldoende bij de fiscus werden beveiligd. Dit leidde tot verschillende onderzoeken en ontdekking van meerdere datalekken. VVD-Kamerleden Lodders en Middendorp wilden van Snel weten wat er sinds de uitzending van Zembla is veranderd bij DF&A.
Daarop antwoordt de staatssecretaris dat gegevens gecompartimenteerd zijn, zodat medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun werk. Toegang tot de datacompartimenten is geregeld via autorisaties, die maandelijks op actualiteit en geldigheid worden beoordeeld. Iedere gegevensverwerking in de dataomgeving werd al gelogd en wordt nu actief gemonitord. Tevens wordt er gecontroleerd of er is voldaan aan vooraf gedefinieerde beveiligingsregels.
Medewerkers kunnen in hun beveiligde werkomgeving niet meer naar buiten mailen. Het versturen van bijlagen vanaf mobiele apparaten is nog wel mogelijk, maar in de trainingen en bewustwordingssessies van alle medewerkers wordt dit bestempeld als een bewuste en kwaadwillende actie, die kan leiden tot sancties. Verder kunnen medewerkers alleen nog goedgekeurde websites bezoeken. De export van gegevens naar het internet is daarnaast afgesloten.
Usb-ontheffing
Eind 2017 werd bekend dat de Belastingdienst alle usb-ontheffingen had ingetrokken. Via deze ontheffingen was het toegestaan om usb-sticks te gebruiken. Nu meldt Snel dat medewerkers die geautoriseerd zijn voor het werken met data niet over usb-ontheffingen beschikken en deze ook niet kunnen verkrijgen. Alleen beheerders kunnen een usb-ontheffing van enkele uren aanvragen. Iets dat het afgelopen jaar niet is gebeurd. Tevens zijn alle bevoegdheden voor het gebruik van FTP naar buiten ingetrokken.
Op de vraag wanneer Snel verwacht dat alle technische onmogelijkheden bij het beveiligen van persoonsgegevens zijn opgelost antwoordt hij het volgende: "Het in gebruik nemen van de ADP zal de technische onmogelijkheid van logging in de werkomgeving van de medewerkers van DF&A oplossen. Voor de andere onderdelen van de Belastingdienst geldt dat het nemen van informatiebeveiligingsmaatregelen, afgestemd op aard en omvang van de gegevensverwerkingen, een reguliere activiteit is. Specifieke stappen hoeven daarvoor niet te worden gezet."
Reacties (27)
Ik heb een paar bank filiaalmanagers gekend in het verleden. Toevallig allemaal van de Rabo, maar dat kan dus toeval zijn. Wat die niet op verjaardagsfeesten vooraan op het puntje van de stoel zaten om te vertellen wie er het beste salaris van het kantoor hadden. En hoe ze die arme vrouw die honger had en even honderd gulden rood wou staan de deur wezen. In haar eigen belang.
Privacy bescherming is van het grootste belang. Als je dingen weet, die je niet hoort te weten, probeer daar dan maar eens niemand wat over te zeggen. Dat is ook het grootste euvel van bij de AIVD werken bijvoorbeeld. Dingen weten die je eigenlijk niet hoort te weten. En dan kunnen zwijgen als het graf. Een van de belangrijkse dingen bij afschermen van privacy is mensen beschermen tegen zichzelf. Hte is onmenselijk voor belastingkantoormedewerkers zelf om overal maar toegang toe te hebben, en dan te verwachten dat ze op een verjaardag heel de middag enkel zitten te fluiten. Met een tompoes op schoot en een glaasje wijn in de hand.
Privacy bescherming is van het grootste belang. Als je dingen weet, die je niet hoort te weten, probeer daar dan maar eens niemand wat over te zeggen. Dat is ook het grootste euvel van bij de AIVD werken bijvoorbeeld. Dingen weten die je eigenlijk niet hoort te weten. En dan kunnen zwijgen als het graf. Een van de belangrijkse dingen bij afschermen van privacy is mensen beschermen tegen zichzelf. Hte is onmenselijk voor belastingkantoormedewerkers zelf om overal maar toegang toe te hebben, en dan te verwachten dat ze op een verjaardag heel de middag enkel zitten te fluiten. Met een tompoes op schoot en een glaasje wijn in de hand.
16-11-2018, 17:47 door
karma4
Ik dacht niet dat het de enige omgeving bij de BD was met massale dataverwerking. FIOD en anderen doen exact het zelfde. Dan neem je de documenten van het ICT gebeuren door en zie je LOA's ofwel de shadow ICT in de basis processen als onmisbare schakels zitten. Alle USB is over de hele BD niet een enkele afdeling. FTP naar buiten is niet iets wat DF&A gespeel kan hebben, de afnemers zitten intern.
"Specifieke stappen hoeven daarvoor niet te worden gezet." ... dat is buiten de werkelijkheid. Maar ja, het handmatig oplossen van falende ICT is iets wat je niet zo maar oplost.
"Specifieke stappen hoeven daarvoor niet te worden gezet." ... dat is buiten de werkelijkheid. Maar ja, het handmatig oplossen van falende ICT is iets wat je niet zo maar oplost.
De overheid heeft echt geen ICT kennis, ze kopen allemaal dingen.
Netals de AIVD die gaat hacktools kopen en daarmee hacken ze andere mensen.
IPV dat de overheid zelf ICT gaat ontwikkelen en doorverkopen...
Netals de AIVD die gaat hacktools kopen en daarmee hacken ze andere mensen.
IPV dat de overheid zelf ICT gaat ontwikkelen en doorverkopen...
Door karma4: Dan neem je de documenten van het ICT gebeuren door en zie je LOA's ofwel de shadow ICT in de basis processen als onmisbare schakels zitten.
Wat zijn LOA's? Wikipedia en zoekopdrachten leveren niets op waarvan ik denk dat je dat wel zal bedoelen. Is het een afkorting die de belastingdienst intern gebruikt ergens voor?Door Anoniem:
https://www.rijksoverheid.nl/documenten/kamerstukken/2018/04/26/rapport-continuiteitsproblemen-belastingdienst-2019-en-verderDoor karma4: Dan neem je de documenten van het ICT gebeuren door en zie je LOA's ofwel de shadow ICT in de basis processen als onmisbare schakels zitten.
Wat zijn LOA's? Wikipedia en zoekopdrachten leveren niets op waarvan ik denk dat je dat wel zal bedoelen. Is het een afkorting die de belastingdienst intern gebruikt ergens voor?"Te denken valt aan, waarbij is op te merken dat een aantal risico’s al langer
aanwezig zijn:
...
Lokaal Ontwikkelde Applicaties (LOA’s), het ondersteunen van de bedrijfsvoering met LOA’s wordt een hardnekkig knelpunt door het vertrek van medewerkers met LOA deskundigheid en
- onduidelijkheid over naleven van kwaliteitseisen domeinarchitecturen en onduidelijkheid over het kwaliteitsniveau van de door IV-accent opgeleverde producten. Hierdoor zijn ongewenste storingen en onvoorspelbaar gedrag mogelijk omdat niet alle applicaties zichtbaar voldoen aan de gestelde kwaliteitseisen
7.2 In de 4e kwartaal 2016 gesignaleerde continuïteitsrisico’s komen in het 1e kwartaal 2018 weer nadrukkelijk naar voren
"
https://www.rijksoverheid.nl/documenten/rapporten/2017/10/25/rapport-data-stream-investigation Kijk even bij sheet 19 dan krijg je een indruk hoe diep dat in het ongelooflijk aantal "applicaties" zit. Alleen voor belastingen en dan bij 518 applicaties 228 bekende loa's zien.
Er zijn meer docuemten te vinden met de architectuur en vernieuwing. Echter als je opvangt dat men het met handmatige processen gaat oplossen, dan zit al snel aan de desktop loa te denken. Je zou wat met office telemetry kunnen doen om het te volgen.
UIt het redactie-artikel:
Alleen beheerders kunnen een usb-ontheffing van enkele uren aanvragen. Iets dat het afgelopen jaar niet is gebeurd.
Als je scheidingen in compartimenten aanbrengt en daar een air-gap in wilt hebben dan is het toch vreemd dat er al die tijd niets gebeurd is. Er zijn nogal wat externe leveranciers die hun software daar hebben zitten (servers). Als die connectie van servers nu via een open verbinding naar internet hap-snap in productiesytemen uittgerold worden, dan zegt Snel eigenlijk iets dat op iets ergs duidt. Ongecontroleerde verbindingen naar buiten. Het zelfde kun je hebben bij de grote aantallen data-uitwisselingen tussen verschillende silo's. Dat is intern minder erg maar daar moet je ook vragen bij stellen.
Door karma4:
"Te denken valt aan, waarbij is op te merken dat een aantal risico’s al langer
aanwezig zijn:
...
Lokaal Ontwikkelde Applicaties (LOA’s), [...]
Dank. Je had trouwens kunnen volstaan met Lokaal Ontwikkelde Applicaties even voluit te schrijven, en je was meteen duidelijk geweest als je dat ook meteen had gedaan. De auteurs van de stukken die je linkt doen dat trouwens, die passen de goede gewoonte toe om gebruikte afkortingen minstens een keer voluit te schrijven.Door Anoniem: Wat zijn LOA's? Wikipedia en zoekopdrachten leveren niets op waarvan ik denk dat je dat wel zal bedoelen. Is het een afkorting die de belastingdienst intern gebruikt ergens voor?
https://www.rijksoverheid.nl/documenten/kamerstukken/2018/04/26/rapport-continuiteitsproblemen-belastingdienst-2019-en-verder"Te denken valt aan, waarbij is op te merken dat een aantal risico’s al langer
aanwezig zijn:
...
Lokaal Ontwikkelde Applicaties (LOA’s), [...]
Een zoekactie op "lokaal ontwikkelde applicatie"+LOA maakt duidelijk dat dit inderdaad een term is die intern bij de belastingdienst wordt gebruikt en niet algemeen gangbaar is. Dat is iets om bij stil te staan als je jargon en afkortingen gebruikt.
17-11-2018, 14:17 door
karma4
Door Anoniem:
Dank. Je had trouwens kunnen volstaan met Lokaal Ontwikkelde Applicaties even voluit te schrijven, en je was meteen duidelijk geweest als je dat ook meteen had gedaan. …
Ik had eerder achter loa "shadow ict" opgenomen de engelse term voor de toelichting. De omvang van het probleem loa kan moeilijk onderschat worden als je de inhoud van de documenten doorwerkt.Dank. Je had trouwens kunnen volstaan met Lokaal Ontwikkelde Applicaties even voluit te schrijven, en je was meteen duidelijk geweest als je dat ook meteen had gedaan. …
Door karma4: Ik had eerder achter loa "shadow ict" opgenomen de engelse term voor de toelichting.
Ik had het gezien, maar wist nog steeds niet waar de letters LOA dan voor staan. Je had ook alleen shadow ICT kunnen noemen als je niets anders bedoelde en het bedrijfsjargon van de belastingdienst achterwege kunnen laten. Juist omdat je zo'n afkorting toch vermeldt wek je de indruk dat je daar iets extra's mee wilt zeggen.En ik moet bekennen dat ik bij jou nogal onzeker ben over de betekenis van wat je schrijft. Dat komt omdat je taalgebruik vaak behoorlijk rammelt en regelmatig zelfs onbegrijpelijk is. Als je zo vaak slordig bent met taal dan weet ik niet of je in een specifieke uiting schrijft wat je bedoelt of iets anders suggereert dan je feitelijk bedoelt. Dus neem me niet kwalijk dat ik voor iets wat er dit keer wel stond toch behoefte aan verificatie had.
17-11-2018, 15:36 door
-karma4
Door karma4:
Door Anoniem:
Dank. Je had trouwens kunnen volstaan met Lokaal Ontwikkelde Applicaties even voluit te schrijven, en je was meteen duidelijk geweest als je dat ook meteen had gedaan. …
Ik had eerder achter loa "shadow ict" opgenomen de engelse term voor de toelichting. De omvang van het probleem loa kan moeilijk onderschat worden als je de inhoud van de documenten doorwerkt.Dank. Je had trouwens kunnen volstaan met Lokaal Ontwikkelde Applicaties even voluit te schrijven, en je was meteen duidelijk geweest als je dat ook meteen had gedaan. …
Daar gaat echter al snel korte metten mee gemaakt worden, met die shadow ict:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] echter gaan oplossen. Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds worden gelogd en gemonitord. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Wat logt en telemetriedt microsoft eigenlijk op de systemen van de belastingdienst?
Dat is standaard een veel groter risico.
Dat is standaard een veel groter risico.
17-11-2018, 17:45 door
karma4
Door Team FOSS:
Daar gaat echter al snel korte metten mee gemaakt worden, met die shadow ict:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] echter gaan oplossen. ..
De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Daar gaat echter al snel korte metten mee gemaakt worden, met die shadow ict:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] echter gaan oplossen. ..
De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Nope wat jij beschrijft is juist versterking van de shadow-ict. De ADP is iets wat voor DF&A bedacht is. Het is juist niet voor de hele belastingdienst bedoeld.
Die loa's shadow ict vinden overal bij de "gebruikers" door de hele belastingdienst plaats.
Heb je de data-stream investigation (link hierboven) doorgenomen, dan kun je dat herkennen.
Het ADR rapport (link hierboven) uit 2018 benoemd dat als terugkerend iets uit 2014.
Met erf en schenk https://zoek.officielebekendmakingen.nl/kst-31066-395.html
De schenk- en erfbelasting zijn lange tijd (grotendeels) papieren processen geweest met veel handmatig werk."
en "Als tegen de grenzen van de termijnen wordt aangelopen en geautomatiseerde afhandeling van de aangiften nog niet mogelijk zal zijn, zal in een uitzonderlijk geval op handmatige wijze een aanslag worden opgelegd.".
Denk nu eens verder. De investeringsagenda uit 2015 had als doel die loa's en shadow ict te gaan opschonen.
De "gebruikers" hebben het voor elkaar om die verandering te blokkeren. Het resultaat zal zijn een verdere verwerking op de oude manier met een veelheid en groei aan shadow-ict.
17-11-2018, 19:09 door
karma4
Door Anoniem: Wat logt en telemetriedt microsoft eigenlijk op de systemen van de belastingdienst?
Dat is standaard een veel groter risico.
Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt,Dat is standaard een veel groter risico.
De echte problemen zitten in de shadow ict … en sorry het ongecontroleerd gebruik van open source.
De volgende zijn de vendor lockin met dienstverlener en software leveranciers op servers.
Een behoorlijk security informatie beleid ontbrak en ontbreekt mogelijk nog steeds . Als je daar onderbouwing van wilt dan kom je bij de ADR uit. Hun aanbeveling is de rol van de CSO taak te gaan invullen als een echte functie.
Ik hoor graag een kwartje vallen van wat dat betekent.
https://www.security.nl/glitch/javascript
17-11-2018, 20:36 door
-karma4
@karma4 lees dit beter:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] echter gaan oplossen. Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds worden gelogd en gemonitord. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] echter gaan oplossen. Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds worden gelogd en gemonitord. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Door karma4:
kan je dat bewijzen?Door Anoniem: Wat logt en telemetriedt microsoft eigenlijk op de systemen van de belastingdienst?
Dat is standaard een veel groter risico.
Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt,Dat is standaard een veel groter risico.
of is dat een aanname?
18-11-2018, 07:38 door
karma4
Door Team FOSS: @karma4 lees dit beter:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] ..... De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Ik zou zeggen lees het nog eens goed. Het beschrijft iets voor een vrij beperkte groep waar her verval van innovatie e "De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] ..... De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
modernisering naar ouderwetse "opdracht klant bepaald" is ingezet. Het gaat om enkele tientallen van de 30.000 fte.
Neem het eerdere ADR rapport en de datastromem dan hen je het over het geheel. Dat gaat echt over de complete organisatie. Er zijn ook architectuur stukken op dat niveau die laten gewoon dat zelfde beeld van dat ADR en data stroom verhaal zien.
Dacht je nu echt dat de enkele tientallen op een enkele afdeling 500 aplicaties zouden beheren waarvan 250 Loa's.
Het ADR rapport stekt juist dat die Loa's bij de gebruikers vakkagdelingen overal verspreid zitten. Enige oorzaak mismatch ict en vakafdelingen.
Er is een groot verschil in een doosjes wereld en de hele achterliggende informatieverwerking met de machtsstrijd.
Daarmee zijn we weer terug dat doosjesnerds het gevaar zijn.
18-11-2018, 09:02 door
karma4
Door Anoniem:
kan je dat bewijzen?
of is dat een aanname?
Het is een aanname dat microsoft gegevens van de belastingdienst zou doorsturen naar zichzelf. zonder bewijs … fake.kan je dat bewijzen?
of is dat een aanname?
Ik heb een reactie gezien dat: "het zou kunnen zijn dat, want we kunnen het niet zien omdat het verkeer encrypted is.
Nou zorg dan dat er geen verkeer doorgaat (eenvoudig netwerkbeheer) en zoek door. Nog erger een onderzoek op een bepaald onderwerp waar vervolgens overgestapt wordt naar wat anders. Tip: Niet blijven hangen in de weet niet kunde.
Nog een toevoeging in dat kader lees het IV landschap verhaal eens door: De ronkende kreten loslaten.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/wob-verzoeken/2017/07/26/besluit-op-wob-verzoek-over-ict-systemen-van-de-belastingdienst/Bijlage%2B2%2Bdocs%2B1%2Bt.m.%2B32.pdf
Als je daar de tenderned informatie langs kunt leggen krijg je een meer compleet beeld van de afhankelijkheden en risico's.
Waarschijnlijk is dit weer een oplossing dat heel veel geld heeft gekost en door een externe partij is geimplementeerd
Door Anoniem: Wat logt en telemetriedt microsoft eigenlijk op de systemen van de belastingdienst?
Dat is standaard een veel groter risico.
Dat is standaard een veel groter risico.
Op basis waarvan doe jij deze constatering? Heb je ook feiten hoe dit precies samen hangt, van hoe de belastingdienst werkt en de telemetrie van Microsoft?
Iets roepen is gemakkelijk. Iets bewijzen een stuk lastiger.
18-11-2018, 14:28 door
-karma4
Door karma4:
modernisering naar ouderwetse "opdracht klant bepaald" is ingezet. Het gaat om enkele tientallen van de 30.000 fte.
Door Team FOSS: @karma4 lees dit beter:
"De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] ..... De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
Ik zou zeggen lees het nog eens goed. Het beschrijft iets voor een vrij beperkte groep waar her verval van innovatie e "De invoering van de Analytical Data Perimeter (ADP) moet dit [logging] ..... De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn, aldus de staatssecretaris."
modernisering naar ouderwetse "opdracht klant bepaald" is ingezet. Het gaat om enkele tientallen van de 30.000 fte.
Het gaat om iets wat nu voor een kleinere groep is ingezet maar wat in de toekomst (2019) voor de grotere groep gaat worden ingezet.
18-11-2018, 16:16 door
karma4
Door Anoniem:
Op basis waarvan doe jij deze constatering? Heb je ook feiten hoe dit precies samen hangt, van hoe de belastingdienst werkt en de telemetrie van Microsoft?
Iets roepen is gemakkelijk. Iets bewijzen een stuk lastiger.
1/ Iets roepen dat: "het zou kunnen dat …" en "als dat waar is dan …" is in het geheel geen basis en mist elke onderbouwing.Op basis waarvan doe jij deze constatering? Heb je ook feiten hoe dit precies samen hangt, van hoe de belastingdienst werkt en de telemetrie van Microsoft?
Iets roepen is gemakkelijk. Iets bewijzen een stuk lastiger.
2/ Netwerksegmentatie en filtering is nu net iets wat ze wel op orde zullen hebben. Niet het moeilijkste.
Alleen als de houding is "omdat de leverancier zegt dat het zo werkt, doen we het zo" dan hebben een veel grote probleem.
Maar om welke leveranciers zouden het dan gaan denk je. De leveranciers met veel inlvoed: IBM Oracle SAP en nog wat .
18-11-2018, 16:39 door
karma4
Door Team FOSS:
Ik zou zeggen lees het nog eens goed. Het beschrijft iets voor een vrij beperkte groep waar her verval van innovatie e
modernisering naar ouderwetse "opdracht klant bepaald" is ingezet. Het gaat om enkele tientallen van de 30.000 fte.
Ik zou zeggen lees het nog eens goed. Het beschrijft iets voor een vrij beperkte groep waar her verval van innovatie e
modernisering naar ouderwetse "opdracht klant bepaald" is ingezet. Het gaat om enkele tientallen van de 30.000 fte.
Het gaat om iets wat nu voor een kleinere groep is ingezet maar wat in de toekomst (2019) voor de grotere groep gaat worden ingezet.[/quote]
Het team foss zou er wat beter begrip van wat een team verband en team doelstelling is kunnen insteken.
Zou je denken dat CAP FIOD EH&I en wat nog meer zouden opgaan in dat DF&A? Data Fundamenten staat voor het bouwen van een DWH.
Zoek eens beter, soms krijg je leuke hits: "
[PDF] Stabiele Bedrijfsvoeringsondersteuning Belastingdienst - TenderNed
https://www.tenderned.nl/tenderned-web/aankondiging/detail/.../339177;..."
= Aanleiding voor de opdracht, bedrijfsdoelstellingen, relatie met Opdracht
De Belastingdienst ondersteunt de bedrijfsvoeringsprocessen op dit moment met een veelheid aan applicaties. Hoewel een groot deel daarvan afgedekt wordt door een ERP-systeem, zijn er in de loop der tijd ook veel applicaties aangeschaft of zelf ontwikkeld. Dit is mede het gevolg van een sterk gedecentraliseerde bedrijfsvoeringsfunctie en lokale autonomie. =
Met bijlage interne diensten:
= BI Het beschikbaar stellen van gegevens, functionaliteit, werkruimte, gebruikersondersteuning, metadata management, datakwaliteit en consultancy aan gebruikers met als doel om Business Analytics en rapportages uit te kunnen voeren.
Het betreft o.a. de mogelijkheid tot statistische analyses, datamining en profiling en het ter beschikking stellen van rapportages in een portaal.. =
Die grotere groep is dan het idee dat het als BI voor meer interne BD klanten ingezet zou kunnen worden.
Het blijft die beperkte insteek met de gedecentraliseerde machten en lokale autonomie. Wil je dat veranderen dan moet je reorganiseren.
@karma4, een quote uit de tekst van de staatssecretaris van Financiën (link staat in artikel redactie) dan maar:
"Wordt met ‘technisch onmogelijk’ bedoelt [sic!] de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?
Antwoord 3
Met technisch onmogelijk is inderdaad bedoeld dat dit niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. Dit zal worden opgelost met invoering van de zogenoemde Analytical Data Perimeter (ADP). Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn."
Richt verdere tegenwerpingen s.v.p. rechtstreeks aan de staatssecretaris van Financiën.
"Wordt met ‘technisch onmogelijk’ bedoelt [sic!] de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?
Antwoord 3
Met technisch onmogelijk is inderdaad bedoeld dat dit niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. Dit zal worden opgelost met invoering van de zogenoemde Analytical Data Perimeter (ADP). Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn."
Richt verdere tegenwerpingen s.v.p. rechtstreeks aan de staatssecretaris van Financiën.
Terug naar de originele vraag
Jij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
Door karma4:
Het is een aanname dat microsoft gegevens van de belastingdienst zou doorsturen naar zichzelf. Door Anoniem:
of is dat een aanname?
Door karma4:
kan je dat bewijzen?Door Anoniem: Wat logt en telemetriedt microsoft eigenlijk op de systemen van de belastingdienst?
Dat is standaard een veel groter risico.
Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt,Dat is standaard een veel groter risico.
of is dat een aanname?
Jij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
Door Team FOSS: Het gaat om iets wat nu voor een kleinere groep is ingezet maar wat in de toekomst (2019) voor de grotere groep gaat worden ingezet.
Volgens mij heeft deze keer karma4 gelijk. Snel stelt in zijn brief heel duidelijk dat de problemen bij de afdeling Datafundamenten en Analytics optreden. Dáár wordt de ADP voor gebouwd. Ik zie in de brief van Snel niet dat dat iets is voor de hele Belastingdienst, maar juist expliciet dat dit allemaal over die ene afdeling gaat.
19-11-2018, 10:50 door
-karma4
Door Anoniem:
Door Team FOSS: Het gaat om iets wat nu voor een kleinere groep is ingezet maar wat in de toekomst (2019) voor de grotere groep gaat worden ingezet.
Volgens mij heeft deze keer karma4 gelijk. Snel stelt in zijn brief heel duidelijk dat de problemen bij de afdeling Datafundamenten en Analytics optreden. Dáár wordt de ADP voor gebouwd. Ik zie in de brief van Snel niet dat dat iets is voor de hele Belastingdienst, maar juist expliciet dat dit allemaal over die ene afdeling gaat.Het lijkt erop dat je inderdaad gelijk hebt over die ene afdeling.
19-11-2018, 21:21 door
karma4
Door Anoniem:
Jij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
Laten we dan eens beginnen met https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2016/09/05/cybersecuritybeeld-nederland-csbn-2016/TK%2BBijlage%2BCybersecuritybeeld%2BNederland%2BCSBN%2B2016.pdfJij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
Ze beheren zelf datacenters in een afgesloten benadering. Nu is dit verhaal van de ncsc. Het geeft een beeld van wat er gebeurt.
"De Belastingdienst heeft een Security Operations Center (soc). Dit soc is verantwoordelijk voor het signaleren en opsporen van kwetsbaarheden in de operationele infrastructuur, het duiden van cyberdreigingen en het adviseren van tegenmaatregelen om bestaande risico’s op te heffen. Tijdens calamiteiten fungeert het
soc als het Computer Emergency Response Team van de Belastingdienst.308 In de rapportageperiode:
• zijn in de kantoor- en datacenteromgeving van de Belastingdienst (ruim 35.000 werkplekken en 5.600 servers)
diverse meldingen afgegeven vanuit het internet. Het gaat om circa 3.300 meldingen van virussen, veertig meldingen van en
hack- en cracktools en ruim 4700 meldingen van het tegenhouden van kwaadaardige software;
• heeft de eerstelijnsbescherming (firewalls) bijna drie miljard aanvallen en de tweedelijnsbescherming (intrusion preventionfaciliteit) ruim 2,2 miljoen aanvallen tegengehouden;
• is er een significante toename te zien ten aanzien van de hoeveelheid binnenkomende spam-e-mails tijdens het tweede
half jaar van 2015. Deze toename heeft zich doorgezet in de eerste helft van 2016;
• zijn een groot aantal DDoS-aanvallen waargenomen. Geen van deze aanvallen leidde tot onbeschikbaarheid van de informatiesystemen. De grootste aanval was 16 Gbit/s en vond plaats in april 2016. Er zijn 97 security-incidenten geregistreerd waarvan vier incidenten van de hoogste prioriteit. Het soc onderzocht al
deze security-incidenten en loste ze samen met de betreffende platformteams op;
• zijn 15 responsible-disclosuremeldingen gedaan, waarvan 12
terechte. Al deze meldingen zijn opgelost.309 In totaal reikte de Belastingdienst zes bokalen uit. Twee van deze security
incidenten of kwetsbaarheden leidden tot een mogelijke inbreuk op de integriteit en vertrouwelijkheid van de door de
Belastingdienst beheerde gegevens. Deze incidenten zijn gemeld conform de wet over de meldplicht voor datalekken;
• zijn ruim 7.100 meldingen ontvangen van valse Belastingdienste-mails. De Belastingdienst deed in deze rapportageperiode
meerdere aangiften tegen deze phishingcampagnes bij de politie;
• zijn er in samenwerking met het NCSC en de politie 32 phishingwebsites ontmanteld. Hiervan waren er vijftien valse
DigiD-websites."
Google eens wat beter en …
[PDF] Belastingdienst/Centrum voor facilitaire dienstverlening ... - TenderNed
https://www.tenderned.nl/tenderned-web/aankondiging/detail/.../56171;... 1 feb. 2017 - Inkoopuitvoeringscentrum Belastingdienst . ..... De X86 server Apparatuur omgeving wordt gemonitord met vROPS (VMware vRealize Operations) en VMware ... de hypervisor-laag, netwerken, storage en datacenterfaciliteiten ...
Met jouw bewering ga je er vanuit dat het een stelletje nitwits zijn die niets van ICT en netwerksecurity weten.
Gezien deze beschrijving van wat gedaan wordt kunnen we dat als een foute aanname afdoen.
Als je twijfelt dat deze specialisten niet met de bekende en gedragen aanpak voor dit onderwerp uit de voeten kunnen moet jij met het bewijs van hun falen komen. De bewijslast is niet andersom.
Een ander waar je je wel degelijk zorgen over moet maken is:
https://www.rijksoverheid.nl/binaries%252Frijksoverheid/documenten/rapporten/2017/10/02/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst/bijlage-3-eindrapport-onderzoek-handboek-beveiliging-belastingdienst.pdf Kijk naar paragraaf 3.2 er was geen CSO functie enkel een rol was benoemd. Het betekent gewoon dat er vanaf de top geen echte aandacht voor het security beleid was (is?).
Als de doosjes nerd dan denken dat voldoende is om de doosjes met de letters O T A P te voorzien (staat in de iso27002) dan heb je het echt mis. Daarvoor moeten we naar de dwh dmbok infromatiestromen en Crisp-dm met de hiaten.
Door karma4:
< ..knip.. geen antwoord en omzeilen van de vraag omdat je er naast zat..>
.........hiaten.
Door Anoniem:
Jij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
Laten we dan eens beginnen met ......Jij zegt : "Dat is iets waar ze nu best wel goed in zijn om uit te sluiten wat er gebeurt"
De vraag daarop was, weet je dat dat zo is of is dan een aanname die je niet hard kan maken.
De originele quote aanpassen en met een heel ander antwoord komen is niet erg netjes, dat is de boel voor de gek houden.
De vraagt blijft : "kan je dat bewijzen? of is dat een aanname?"
< ..knip.. geen antwoord en omzeilen van de vraag omdat je er naast zat..>
.........hiaten.
Geen aanname maar een reeel gevaar waarbij zij wel een bewijs leveren en jij je tegengas alleen baseert op merkprotectie gedreven aannames in plaats van de realiteit die iedereen ziet
https://www.security.nl/posting/587834/Duitse+overheid%3A+Windows+10-telemetrie+lastig+uit+te+schakelen
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
