Ja, de overheid zelf neemt het ook niet zo heel serieus, zo lees je best vaak.
Data die er niet is, kan ook niet misbruikt worden. EPD (LSP, of hoe het vandaag dan ook mag heten... Iemand?).

Diezelfde overheid wil ons met alle geweld aan internet hebben. Dus moet ik elke 5 jaar een nieuwe computer kopen om iets met de overheid te kunnen doen. Niemand die wat betaalt. Die oude doet het nog. Wat denk je dat er gaat gebeuren, Ferd?

Volgens mij is er al lang een oplossing voor dit probleem, namelijk de privacy wetgeving. Deze verplicht bedrijven passende en adequate beveiliging te hebben. Als blijkt dat je nalaat je systemen te patchen en dus geen degelijke beveiliging hebt, lijkt mij dat in al strijd met al bestaande wetgeving. Er is dus ook geen enkele noodzaak om nieuwe wetten op te tuigen waarmee de overheid straks even je ICT afdeling gaat overnemen. Gewoon betere handhaving van bestaande wetgeving en meer geld voor het AP.

De houding lijkt goeddeels te danken aan de diverse diensten die zich bijna zonder beperkingen het recht toegeëigend hebben in ieders data te grasduinen. Mensen hebben hierdoor het gevoel gekregen dat ze er toch niets aan kunnen doen en dat alles toch al bekend is, want best wat opzichten waar is. Het verschil tussen overheidspartij X en criminele partij Y lijkt men minder relevant te vinden.

Grappig Grapperhaus geeft zelf het voorbeeld met naar anderen anderen wijzen waar de problemen zouden liggen.

- Bsn is geen bewijs van de juiste persoon, toch houdt hij er aan vast.
- Security by design betekent echt wat meer dan dat dit genoemd is bij het uitbesteding contract.
- goede werkbare ict dient samen te gaan met een goede dienstverlening. Overheid en ICT staat nu niet bepaald als adequaat bekend.

En nee ict veiligheid moet je niet willen beleggen bij het AP.
Die falen op dat vlak en je wilt ICT stabiliteit niet opofferen en het "het zou wel eens kunnen zijn dat .." niet onderbouwde veronderstellingen.

Daar ben ik het volstrekt niet mee eens, omdat:

1) Ik ervan overtuigd ben dat het aantal "datalekken" (ongeauthoriseerde/ongewenste: toegang tot, beschadiging/muteren van of vernietigen van tot personen te herleiden informatie) dat de AP (Autoriteit Persoonsgegevens) ter ore komt of op andere wijze publiek bekend wordt, het topje van de ijsberg is. Vermoedelijk is van veel gevallen van identiteitsfraude of ander misbruik van persoonsgegevens niet bekend hoe de daders aan deze informatie zijn gekomen, en bewijzen wie gelekt heeft, is lang niet altijd mogelijk. Daarnaast is het spreekwoord "voorkomen is beter dan genezen" veel te zwak uitgedrukt voor deze situatie, want op Intenet gelekte gegevens, of door ransomware vernietigde data op zowel reguliere opslag als back-ups, is meestal ongeneeslijk;

2) Systemen die niet of nauwelijks persoonsgerelateerde informatie verwerken of opslaan, maar wel van groot- of levensbelang zijn, niet onder de privacywet vallen (denk aan bruggen/sluizen/tunnels, LVNL, systemen van Prorail, etc).

Goed dat minister Grapperhaus voorstelt om een soort "cyberpolitie" in het leven te roepen, zoals ik voorstelde in https://www.security.nl/posting/625759/Het+belang+van+patchen_#posting625893.

"Ondanks continue waarschuwingen van overheid en experts zijn mensen nog altijd niet voldoende bewust van cybersecurity, zo stelde minister Grapperhaus van Justitie en Veiligheid tijdens de opening van de One Conferentie van het Nationaal Cyber Security Centrum (NCSC) in het World Forum in Den Haag."

De technische term voor dit soort uitspraken is "gratuit preken voor eigen parochie".

Als hij dit een serieus probleem vond dan zocht'ie naar oplossingen, en dan kom je vrij gauw tot de realisatie dat de meeste mensen onvoldoende computerkennis hebben om zelfs maar in de buurt van voldoende beveiligingskennis te komen, waarmee je moet concluderen dat zelfs de grootste kudde rondroepende experts volstrekt het verkeerde middel is om "demense" naar betere "cybersecurity" te tillen.

Maarja, dat doet'ie niet. Ministers zijn dan ook gratuite mensen.

Verplicht stellen van een soort BBN voor het bedrijfsleven is geen gekke oplossing. Misschien moet je wel willen dat het op orde hebben van een basis beveiligingsniveau verplicht is voordat je het internet op mag. (dus controle bij de providers)

En wie gaat beslissen wat dat is (de overheid soms? of het bedrijfsleven zelf a la PCI voor financieele gegevensverwerking? iemand anders? op welke basis gaat dat? noem maar op) en hoe dat getest gaat worden? Met standaardtesten, een soort automatische pentest door je provider iedere keer als je inbelt?

Een probleem hierbij is dat zelfs al voldoe je aan alle opzitten-en-pootje-geven truukjes in zo'n test, de software niet alleen zo complex maar vooral ook zo brak is dat er altijd wel andere problemen te misbruiken zijn. Dus een certificering is puur maakwerk, volstrekt betekenisloos maar lijkt wel iets te bewijzen en daarom gevaarlijk.

En waarom zou je de providers in de hoek van de politieagent willen duwen? Dat vond ik al een slecht idee met het websiteblokkeren (dat is vooral goedkoop opportunisme en totaal aan de verkeerde kant bovendien), maar ik vind het geen beter idee nu. Als in te kopen dienst (a la solcon) mischien, maar niet verplicht. Gaat veel te veel tegen het cooperatieve idee van het internet in (ik verscheep jouw pakketjes, jij de mijne), en geeft veel te veel handvatten om nog meer censuur toe te passen. Dat is dan niet meer dan een opportunistische politicus van ons verwijderd. En daar heb ik dus net even geen zin in.

Overigens als je een goed verdienmodel weet om 'demense' naar betere cybersecurity te tillen, hoor ik het graag.
En dan heb ik het over actief verbeteren, niet over af en toe een voorlichtingspraatje.

Je kan bijvoorbeeld beginnen met software te produceren die niet bij elke "verkeerde" email gelijk de broek laat zakken. Of liever, bij elke email, alleen bij sommige heb je er meer last van dan andere. Want het is de software die beschermd moet worden. Waarom heeft die dat nodig?

Of daar een goed verdienmodel in zit, ach, mischien onderhand wel. Want hoeveel kost een serieuze malwareinfectie ookalweer? Miljoentje of honderd?

En dat zal ook nooit voor iedereen lukken.

Als je een wereldbol pakt, zijn er ook nog genoeg mensen die niet kunnen aangeven waar Nederland of hun vakantiebestemming ligt. En dit zijn toch veel gemakkelijkere zaken dan Cybersecurity.

U stelt voor het oplossen van het probleem het uitbreiden van een organisatie. Die uitbreiding zou daaraan extra bestaansrecht moeten ontlenen en bestendigen zodat de problemen, die sowieso met de huidige werkwijze van ict ontwikkelaars nooit ophouden, blijvend onder controle gehouden kunnen worden.
Zo lang ontwikkelaars qua verificaties & validaties inferieure processen (van bovenaf gedwongen blijven) hanteren, vaak onder noemer van nieuwe of innovatieve benaderingen, is het een vrij manische benadering van Grapperhaus dat toch vooral “bedrijven” meer moeten doen met hun beveiliging.
Het blijft een “dweilen met de kraan open” kabinet, om vervolgens alle kieren en gaten de “hand” te willen reiken.
Bezigheidtherapie 2.0 zou ik zeggen.
En vooral blijven wijzen als minister en gek genoeg niet eerst beginnen met intern zijn zaken en leiding beter op orde te krijgen.

En laat ie ook vooral de volstrekt hackbare QR code waanzin bij digid, paspoorten et cetera onmiddelijk van zijn collega tot nadere orde vetoeën

Grapperhaus en zijn departementale topambtenaren lezen vast en zeker met grote regelmaat en interesse het nieuws op Security.NL, want ik lees zowaar in het Financieele Dagblad zinsnedes die hier wel vaker op dit forum in zijn geuit :-) Zou het? Hoe dan ook, die wetgeving om bedrijven en instanties hard aan te pakken komt er wel.


https://nos.nl/artikel/2304164-grapperhaus-wil-harde-aanpak-bedrijven-met-slechte-digitale-beveiliging.html

Toch tamelijk onbezonnen om dat juist voor te stellen.
Dan moet de minister eens beginnen de invoering van QR codes bij paspoorten en tal van repliceerbare faciliteiten stoppen. Het lijkt allemaal vrij doordacht en goed overdacht waar de minister mee komt, maar hij brengt digitale veiligheid ermee niet dichter bij en binnen hand bereik.
Het dwingen bedrijven ertoe zich schuldig te laten voelen maar zelf alleen maar kwetsbaarheid verhogende tools en producten invoeren is natuurlijk niet proportioneel. Kansloze wet op deze manier dus. Dit voldoet niet aan de EU vereisten noch aan de nationale wetgeving beginselen voldoet. En zo verder experimenteren creeert dezelfde zo niet ergere chaos dan Wiebes van de ICT bij de belastingdienst achterliet!

LOL, iedereen is hier altijd meteen wars van overheidsbemoeienis, begrijpelijk, want dat doen ze me naar mijn smaak al te veel. Maar toch, als de verwachting is dat je meer dan {x} aantal bezoekers per maand krijgt, is het standaard overleggen van een ISO certificaat geen raar idee. Daarmee toon je niet aan dat je alles op orde hebt, maar wel dat je er serieus naar gekeken hebt. En dat je een procesje in gericht hebt om op een redelijke manier met incidenten om te gaan (in ieder geval iets met PDCA), want informatiebeveiliging als proces is nou eenmaal de kern van ISO.

Voordat alle puristen hier los gaan over certificeringen en de voors en tegens, ik zeg niet dat ISO de heilige graal is. Wel dat het een goede leidraad is.

Ik zeg overigens niet dat alles maar reguleren de oplossing is, daarmee beperk je ook de creativiteit en vrijheid die het internet maakt tot wat het is.
Men heeft echter ook de behoefte gebruik te maken van websites zonder dat dit merkbare complicaties geeft. Merkbaar is natuurlijk een ruim begrip (ik merk waarschijnlijk eerder dat een site complicaties geeft dan mijn oude vader).
Het geven van waarborgen dat in ieder geval basis maatregelen zijn getroffen kan daar mijns inziens bij helpen. Om daarvoor een controle verplichting bij de overheid neer te leggen is ondoenlijk (en ik vind ook onwenselijk, gezien de bemoeienis die ze zich dan toeëigenen in je bedrijfsvoering).

Dus zul je dit ergens anders moeten beleggen, een aansluitingsvereiste bij providers op basis van op te stellen criteria vind ik dan niet onlogisch. Maar toegegeven, wellicht is het scheppen van een certificering oid vanuit het bedrijfsleven nog beter.

Wie gaat bepalen of een patch kritiek was of niet? Of weet je dat pas nadat de bijbehorende kwetsbaarheid misbruikt is?
Wat is degelijke beveiliging? Een firewall? Antivirus? IDS/IPD? SIEM? Hoe ver moet je gaan? En als de AV-fabrikant - die je keurig uit het leaders-kwadrant van Gartner gehaald hebt - eens een virusje mist? Wie is dan verantwoordelijk?

Security is vaak geen exacte wetenschap en staat bol van de aannames.

@Pebkac,
Waarom zit je kwaliteitsmanagement te pluggen als de voorkant van dit alles gaten-kaas is?
Gecertificeerde gatenkaas maken de Zwitsers al, maar die is tenminste nog tastbaar en heeft smaak.
Laat de overheid eerst eens zorgen dat Cisco, andere hardware fabrikanten ed hun werk beter voor elkaar krijgen. Ze leveren wel erg veel af met standaard backdoors en kritieke fouten.

De enige reden dat Grapperhaus bedrijven en dus kennelijk ook hosting/providers wil gaan lastig vallen kan alleen maar verzonnen worden als hier producten de eu binnen komen die slechts steeksproefgewijs door douane en ict toetsingen en accountancy audits TE globaal worden gecheckt. En bij genoeg lage aantallen en met wat certificaat logo’s erop al nauwelijks tot helemaal niet! Want dat gaat ten koste van vrij verkeer van goederen.

Zelfs dat niet: Dat je serieus gekeken hebt (of iemand ingehuurd om te kijken) hoe je aan het certificaat kan voldoen. Wat helemaal niets met echte security van doen hoeft te hebben.

Toevallig net een hele discussie over gehad. Mischien dat het bruikbaar is als leidraad. Maar dat wil niet zeggen dat het ook zo ingezet wordt. Vaak wordt zo'n certificaat een doel op zich en dat gaat nogal eens ten koste van de inhoud.

Weet ik niet. Maarja, wat voor criteria? "Het moet werken en veilig zijn", betekent wat precies? Voor wie? Voor je het weet heb je regels geklust die van iedere website een soort mijnoverheid maken, ofzo. Of die effectief alle diensten over http/s/3.0/weetikhet forceren, of, nouja, zulke onzin. Regeltjes klussen is linke soep en zelfs onze regelklussende specialisten van de overheid kunnen er maar bar weinig van.

Vandaar dus ook dat ik niet heel blij ben met "regeltjes", bijvoorbeeld in de vorm van certificaten. Voor je het weet gebeurt er iets wat je helemaal niet wil (koekjeswet) en rechtzetten, ho maar. Laat je het het bedrijfsleven zelf uitvogelen dan heb je al gauw dat de regels je in een ander stramien drukken, dat van "modern zijn", bijvoorbeeld de ergerlijke onzin van de html5 "levende standaard". En zo druk je makkelijk de kleine jongen eruit, want vanwege de "compliance" een paar poppetjes in je grootbedrijf erbijproppen is niet zo'n probleem. Voor een klein bedrijf al snel een halszaak. Er zijn dan ook bijvoorbeeld geen kleine retailbanken. De grote bleken, hoeveel was het, 5500 man in dienst te hebben om te kijken of jouw transacties niet witwassen te noemen zijn en dus gemeld moeten worden. Dat is dus 5500 man private opsporingsdienst in het bankwezen, vanwege de "compliance". Wil je zoiets optuigen binnen ISPs vanwege "veiligheid"? Wat?

Dus nee. Gewoon zeggen "laten we wat regeltjes doen" is niet voldoende.

Laten we eerst eens kijken waar het echt zoden aan de dijk zet, en ik denk dat dat bij softwarefabrikanten ligt. Niet bij gebruikers, want in de laatste twintig jaar is er maar bar weinig gebruikersdruk om structureel betere veiligheid te bespeuren geweest.

Meer en meer regeldruk is niet het antwoord. We hebben in Nederland al een bizarre papiermolen en de maatschappij kan maar zoveel dragen. Nog los van dat het proces van certificeren niet zelden een lachertje is. Vakjes worden keurig afgevinkt, maar de realiteit is anders.

"Ondanks continue waarschuwingen van overheid en experts zijn mensen nog altijd niet voldoende bewust van cybersecurity, zo stelde minister Grapperhaus van Justitie en Veiligheid"
Maar waarom 'promoot' de overheid dan wel het gebruik van DigiD?

Als je wettelijk afdwingt dat een organisatie aan dit en dat moet voldoen, want anders (en dan, voor de verandering, daar nog echt op handhaven ook, bij, ook voor de verandering, alles en iedereen), dan gaan organisaties tijd en geld investeren in precies dat, en blijft de rest liggen.

De vraag is of dat gewenst is.
De vraag is wie of wat de "uitzonderingen" gaan worden, of "toevallig" overgeslagen worden.
De vraag is of de overheid überhaupt de kennis en kunde heeft (ook niet als dat duur ingehuurd wordt), om tot iets zinnigs te komen, dat ook nog tijdig bij de tijd blijft.

Worden dergelijke vragen niet afdoende beantwoord, dan kan het niet anders dat de overheid weer eens op zoek is naar hefboomwerking (om uiteindelijk een ander belang te dienen), of dat een of andere lobby er weer iets aan het doordrukken is voor eigenbelang.

Als men ziet hoezeer (in daden, niet woorden) de overheid, en politici, vooral bezig zijn met zichzelf in stand te houden, en hun macht en invloed uit te breiden, dan zou men ieder voorstel uit die hoek met grote hoeveelheden korreltjes zout nemen.

Neem een van de basisvereisten voor een goede volksvertegenwoordiging, namelijk: volledige verantwoording afleggen, openbaar, want daar schort het al aan.

Nu dan de zoveelste politicus, dus overheid, die roept: u moet, u moet, en anders grijpen wij in, en willen van alles van u weten, en voor u bepalen, voor het grote goed, maar diezelfde politici verbergen zich achter: prive, geheim, in beraad, is al besloten, en noem maar op, ook als er grote vraagtekens zijn gerezen inzake negatieve impact op grote maatschappelijke belangen.

Als de vos preekt, boer, pas op uw kippen.

Wellicht, als er echt sprake is van een vrije markt, en bijbehorende, vakkundige, vrije pers, gaat het kaf van het koren vanzelf gescheiden worden, als blijkt dat product A allerlei risico's, schade en aansprakelijkheden, met zich meebrengt (goedkoop, hip, IoT dingetje, want dan heb je XYZ snel en goedkoop geregeld), en het iets duurdere product B, niet.
Evenzo organisaties die er met de pet naar gooien, of middelen die erger blijken dan de kwaal, maar toch in stand worden gehouden.

Maar nee, wat men geleerd heeft is dat het meeste geld, de meeste macht, en een vrijbrief voor welke kapitale blunders dan ook (sterker nog, wordt beloond), bij hen liggen die het voor het zeggen hebben, die bepalen voor anderen, of die dat leuk vinden of niet, (zoals: de overheid), dus... wil de rest dat ook. Met name multinationals lukt dat al aardig.