Totdat de ondertekenaars slachtoffer worden, en zich realiseren dat ze geen keuze hebben.

Mooi initiatief om er gezamelijk tegen op te treden. Maarrrr...... dan moet er toch geld in worden gestoken en eigenlijk kun je stellen dat iedere gemeente daar zijn eigen beleid heeft. IT is voor veel gemeenten (en bedrijven) nog steeds een handig maar bijhangend iets. Pas belangrijk als de boel een keer plat gaat (en de centjes niet meer binnenkomen).

Klopt en binnen dat er bijhangend iets dat vooral goedkoop moet zijn is de beveiliging geen prioriteit, kostenpost.

Is altijd een kostenpost, los van de vraag of het de juiste prioriteit krijgt. IT beveiliging is zelden een activiteit die geldt opbrengt (buiten schade welke wordt voorkomen).

Het is leuk om principes te hebben maar hoe gaan ze dan om met een besmetting als er geen backup & recovery mogelijkheid is? Zal de burger duurder uit zijn of langer moeten wachten? The devil is in the details....

Alles is een kostenpost binnen het bedrijf. En nog meer binnen een organisatie die geen geld opbrengt, zoals een overheid. Je kan alleen aan de buitenkant zien of het geheel meer opbrengt dan het kost. En bij een overheid zelfs dan vaak nog niet eens, dan moet je naar de hele gemeenschap kijken.

Want denk maar na: Als het alleen om "geld opbrengen" zou gaan, wat is dan het belangrijkste in het bedrijf? Afdeling verkoop of afdeling financieele administratie? Bij gemeentes de afdeling... belasting innen en boetes uitschrijven? Volgens de "is een kostenpost"-logica kun je al het andere dus veilig afschaffen. Kost toch alleen maar geld.

Die logica werkt dus niet. Wat wel zou werken is eerlijk zijn. Als je echt gelooft dat IT geld kost en niets oplevert, doe het dan zonder computers. Als je als organisatie met hetzelfde (totaal) aantal mensen of iig hetzelfde totale budget, dezelfde job net zo goed kan doen zonder computers, ben je beter af zonder want geen kans op ransomware. Dat "mag" tegenwoordig niet meer want geen computers gebruiken "is achterhaald", maar dat denk ik niet. Het gaat om de job die je doet, niet of je ondertussen aan computertjes zit te frunniken.

De gevolgen van het financieren van internet criminaliteit heeft men eerder gezien bij de banken. Schade van hacks, internetbankieren etc. werd tot 2011 nog vergoed aan klanten, waardoor er geen (financiele) druk ligt om de beveiliging op orde te hebben. Het gevolg was dat de cybercriminaliteit zich heeft ontwikkeld en georganiseerd. De schade ging exponentieel omhoog.
Het betalen van cyber criminelen zal hun verder ontwikkelen, waardoor de aanvallen steeds moeilijker zijn af te wenden. Dus ook al is de schade groot is het verstandig om niet te betalen. Ik sta er dus achter om het verboden te maken om cyber criminelen te betalen.

Dat is een beetje als "om het stelen van fietsen te stoppen moeten de mensen geen tweedehands fietsen meer kopen!".
Dat werkt niet omdat het pas werkt als IEDEREEN er aan meewerkt en dat krijg je nooit voor elkaar.
Zolang je zelf probeert om het goede voorbeeld te geven en niet iedereen volgt dat, heb je alleen jezelf ermee.

Dat is dan een harde leerschool, maar wel de enige die op lange termijn zoden aan de dijk zet. Het betalen van afpersers met gemeenschapsgeld omdat de ICT kennis niet in huis was om zich te beschermen tegen dit soort aanvallen is dat namelijk niet. Als men het uitbetalen van afpersers toelaat zal alles glas/plas/was blijven. Het is immers stukken makkelijker om het geld van een ander uit te geven dan op eigen kunde te reflecteren en verantwoording daarover af te leggen.

Mooie gelegenheid om 10% van het bedrag aan preventie te gaan besteden. Policies van de standaard waardes afhalen. Bij voorkeur af te dwingen door de leveranciers.

WErkt prima, oplossing: aanbesteden outsourcen. Vaste prijsafspraken en je hebt er als verantwoordelijke geen verantwoording meer voor. Daarmee kpi's behaald en extra bonus wegens het behaalde resultaat.

Ze moeten van Microsoft afstappen en een veiliger OS gaan gebruiken. Toch?

De term ransomware zegt het al: er wordt iets dierbaars gegijzeld en je kan dan meestal niet zomaar zeggen dat je niet betaalt.

Het salaris van de ICT-er bij de overheid moet gewoon omhoog, zodat experts vanuit het bedrijfsleven voor de overheid gaan werken.

Laatst zag ik een ICT-advertentie van de overheid, MBO-diploma was genoeg. Bizar.

Op het moment dat verantwoordelijken dat (impliciet of expliciet) zeggen mag je ze ontslaan. In een verantwoordelijke organisatie werkt het namelijk echt niet zo. Dat "verantwoordelijken" dat grapje wel uithaalden en er nog publiekelijk mee wegkwamen ook na de ramp op vliegbasis Eindhoven, bijvoorbeeld, laat eigenlijk al een vreselijk diepgewortelde rot in de overheid zien, namelijk dat ze individueel en collectief volstrekt onverantwoordelijk zijn. En dat is ze aan te zien.

Voorspelling.

Ooit werd oorlogsvoering zo slordig dat daar in Geneve een conventie werd vastgelegd. Over fatsoensnormen in de oorlogsvoering.

Het gaat niet lang meer duren dat er dringend zoiets gaat gebeuren als toen in Geneve. Maar dan op gebied van internet oorlogsvoering, spionage en internet criminaliteit. Internet is de facto een grensoverschrijdend fenomeen. Maar er is geen Geneva Convention.

Dat is ook maar de uitvoerende knoppendrukker. Het grote lastigere werk wordt gewoon uitbesteed.
Ik heb ander posities gezien waar je allen maar met Universtair een kans maakt, ook overheid. Ander soort werk.

Waarschijnlijk voor een manager of consultant ;-)

https://dilbert.com/strip/2019-07-11

Tja een goed initatief van de Amerikaanse vereniging van gemeentes denk ik dat het is.
Maar ja ik denk eerder dat daar de overheidssoftware beter op orde moet worden gebracht,zodat het minder vatbaar voor ransomware is.

https://www.werkenbijdeoverheid.nl/vacatures/junior-security-analyst-soc-BD-2019-0566#0
"Naast je baan krijg je de mogelijkheid om verschillende trainingen en opleidingen te volgen. Denk aan een ICT-opleiding op hbo-niveau. En aan vakgerichte opleidingen op het gebied van SIEM, de SANS-trainingen SEC 401, 501 en 504, Taranis en Transits 1 en 2." Mbo-er wordt opgeleid bij het werk tot HBO.

https://www.werkenbijdeoverheid.nl/vacatures/manager-team-fraude-externe-overheidssamenwerking-BD-2019-1135#0
"Je hebt een wo-master in een fiscale, bestuurskundige, strafrechtelijke of andere relevante richting.
Je hebt ruime ervaring met het leidinggeven aan medewerkers van verschillende (opleidings)niveaus en je bent als gedreven coach zichtbaar aanwezig en koersvast bij dynamische ontwikkelingen.

Makkelijk controleerbaar en duidelijk dat he er volledig naast zit.
Je kent duidelijk de verhoudingen en cultuur niet. Bij de grotere bedrijven is het niet veel anders.
Prima dan berokken je daar in ieder geval geen schade.

Deze lijkt me best behoorlijk. (advertentie hier op de site)
https://www.werkenvoornederland.nl/vacatures/detail/expert-informatiebeveiliging-hardware-AIVD-2019-005
"Je hebt een hbo-opleiding in een voor de functie relevante richting, zoals elektrotechniek.
Je hebt kennis van beveiligingsaspecten, samenhangend met hardware.
Je hebt aantoonbare interesse in en ervaring met informatiebeveiliging."

@karma4 Jammer dat jij geen opleiding hebt. Dan kom je natuurlijk niet aan de bak en ga je op security.nl je theorietjes lopen spuien. Arme karma4.

De motie zou niet moeten gaan over ''niet betalen'' maar over de vraag ''welke preventieve maatregelen moeten we nemen, om te voorkomen dat we moeten betalen''. Denk aan zaken als backup procedures en dergelijke. Als ook maatregelen om de kans van besmetting kleiner te maken.