Minister: Defensie kan beveiliging kritieke systemen door personeelstekort niet jaarlijks testen
Het is wegens een tekort aan personeel niet mogelijk voor Defensie om de beveiliging van kritieke systemen jaarlijks te testen, zo heeft minister Bijleveld van Defensie laten weten. De minister reageerde op vragen van het CDA en VVD over een onderzoeksrapport van de Algemene Rekenkamer.
In april publiceerde de Rekenkamer een rapport waarin werd gesteld dat de grenstoezichtsystemen van de Marechaussee op Schiphol onvoldoende beveiligd zijn en bij een mogelijke aanval onbruikbaar zouden kunnen worden. Daardoor kan de continuïteit van het grenstoezicht en de vertrouwelijkheid van de verwerkte gegevens in het geding komen.
Volgens de Rekenkamer beschikt Defensie over de kennis en kunde om it-beveiligingstesten uit te voeren. In het Defensiebeveiligingsbeleid staat dat deze testen jaarlijks moeten plaatsvinden. Bij twee van de drie grenstoezichtsystemen bleek de beveiliging nog nooit te zijn getest. Het selfservicesysteem van Justitie en Veiligheid was één keer getest, maar deze test was veel beperkter dan gepland.
Hierdoor bestaat volgens de Rekenkamer het risico dat aanvallers misbruik maken van onopgemerkte kwetsbaarheden in de drie it-systemen. Niet alleen blijkt dat de voorgeschreven jaarlijkse beveiligingstesten in de praktijk in zeer beperkte mate plaatsvinden, ook de opvolging van de aanbevelingen laat te wensen over, zo stelt het rapport.
VVD-Kamerleden Dam en Van Helvert vroegen minister Bijleveld waarom de beveiliging van grote systemen maar eens per drie jaar wordt uitgevoerd en of een dergelijke periode wenselijk is. Daarop antwoordt de minister dat Defensie op dit moment niet over voldoende personeel beschikt om vaker te testen.
"Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar", aldus Bijleveld.
De minister voegt toe dat reguliere beveiligingstesten niet het enige middel zijn om de weerbaarheid van de it-systemen te waarborgen. "Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen", stelt Bijleveld.
In een reactie op het onderzoeksrapport van de Algemene Rekenkamer had de minister al laten weten dat voor de veertien kritieke systemen van Defensie, waar het grenstoezichtsysteem onderdeel van uitmaakt, besloten is dat zij elke drie jaar opnieuw de goedkeuringsprocedure moeten doorlopen. "Het grote aantal systemen, de beperkte personele capaciteit om te kunnen testen en de tijd die benodigd is om alle bevindingen te kunnen opvolgen maken dat het verhogen van deze frequentie op korte termijn niet haalbaar is", zo reageerde de minister.
En dat geld voor veel meer (semi) overheidsorganisaties en ook de gemeenten.
Kapotbezuinigd of in financieel zwaar weer door (jarenlange) politieke keuzes. Mn vanuit Den Haag.
Met alle maatschappelijke en economische gevolgen van dien.
Met al die bezuiningingen had parallel ook het niet meer uitvoeren van bijbehorende overheids-taken moeten zitten.
Maar dan is de politiek nergens te bekennen. Want dan gaan burgers en maatschappelijk organisaties lobbyen en demonstreren.
Steeds meer doen voor minder geld is dan ook het mantra van poitici. Dan hoeven zij namelijk geen pijnlijke beslissingen te nemen en daar direct verantwoording voor af te leggen bij de burger.
En dat geld voor veel meer (semi) overheidsorganisaties en ook de gemeenten.
Kapotbezuinigd of in financieel zwaar weer door (jarenlange) politieke keuzes. Mn vanuit Den Haag.
Met alle maatschappelijke en economische gevolgen van dien.
Met al die bezuiningingen had parallel ook het niet meer uitvoeren van bijbehorende overheids-taken moeten zitten.
Maar dan is de politiek nergens te bekennen. Want dan gaan burgers en maatschappelijk organisaties lobbyen en demonstreren.
Steeds meer doen voor minder geld is dan ook het mantra van poitici. Dan hoeven zij namelijk geen pijnlijke beslissingen te nemen en daar direct verantwoording voor af te leggen bij de burger.
Zolang partijen zoals VVD, D66 en Groen Links de scepter zwaaien blijft dat zo. Die regeren met de portemonnee ipv gezond verstand. Snappen dus niet dat als je geld wilt verdienen dat veiligheid ook van belang is. Nu wil ik niet zeggen dat bijvoorbeeld PvdA zo heilig is want die loopt achter de polonaise aan van de 'democraten' en laten dat linkse masker ook vallen.
Dan ga je geen personeel vinden.
Verder is het interessant om te analyseren hoe aantrekkelijk je als overheid op de arbeidsmarkt bent. In zijn algemeenheid geldt dat qua arbeidsvoorwaarden alles strak omlijnt in een functiehuis en salarisschalen is vastgelegd. Daardoor kunnen ze niet inspelen op de markt en competenties van kandidaten. Zo lang die situatie zo blijft, zal dit een probleem blijven.
Daar zit dus denk ik de makke niet echt. De grote aantrekkingskracht van werken voor de overheid was altijd de arbeidszekerheid. Je krijgt wel niet heel veel betaald, je hoeft ook niet heel veel te doen, en ontslagen word je niet. En als militair zit er een zeker risico aan, je kan wel uitgezonden worden en ineens in een zandbak onder vuur komen liggen, maar je krijgt er een zekere cameraderie voor terug, en de eer iets voor je land te mogen doen. Er werd ook best goed voor je gezord, bijvoorbeeld het veteranenpensioen.
Dus ik denk niet dat je als overheid moet proberen net te doen of je silicon valley bent, met hun oververhitte beloningen voor "rock star developers" en wat dies meer zij. Dat is niet waarom mensen militair worden, of meer algemeen in overheidsdienst gaan. Wat niet wil zeggen dat je geen toptalent kan vinden, maar je moet wel even goed snappen waar je naar op zoek bent en wat voor mensen daarbij passen.
Maar wat je dus als defensie echt niet kan maken is je mensen afvallen, en dat hebben ze door jarenlange bezuinigingen gedwongen wel en veel en vaak moeten doen. Als je als iemand die inhoudelijke dingen kan zekerder bent van een baan in de snelle wereld der commercie, tsja. Dan maar liever die burnout riskeren met ondankbaar werk waar je meer mee verdient maar wat toch echt voelt als niet genoeg betaald worden voor wat er verder ook nog van je verwacht wordt.
* Zo zit er een topambtenaar bij ik-weet-niet-meer-welk ministerie die bovenop zijn schaal achttien nog elke maand een heel modaal jaarsalaris erbijkrijgt. Waarom? Vrindjes, want zo rolt de overheid. Er is zelfs een heel "bemiddelingsbureau", in naam bedoeld "om toptalent vast te houden", maar effectief een carroussel van afgedankte omhooggevallen middelmaat die vooral zichzelf heel goed weet te bedruipen. Overheidsdienaar en minstens schaal 14 en dan mag je meedoen met het feest van 95% salaris doorbetaald krijgen tot ze een nieuw plekje voor je gevonden hebben bij ontslag wegens abjecte onkunde.
Het is een Catch-22.
https://en.wikipedia.org/wiki/Catch-22_(logic)
To many chiefs, not enough indians.
En maar vijandige gelukzoekers binnenhalen en voorrang geven.
Heb je zelf allemaal op gestemd. Eigen schuld.
Wellicht dat we met een budget tekort zitten. Denk je dat er geld over is, tijdens deze pandemie. Natuurlijk kan je in theorie altijd groeien en personeel aannemen. Het moet ook nog betaald worden (door ons allen). Budgetten zullen overal komende tijd flink krimpen. De huidige economische crisis t.g.v. Corona is al 2x zo zwaar als de crisis van 2008. En het einde is nog niet in zicht.
En maar vijandige gelukzoekers binnenhalen en voorrang geven.
Heb je zelf allemaal op gestemd. Eigen schuld.
Tuurlijk, want links is verantwoordelijk voor 20 jaar beleid, door rechtse kabinetten. Waar we allemaal op hebben gestemd.
Hou op met huilen, en post dit s.v.p. op politieke jankfora, i.p.v. hier.
https://nl.wikipedia.org/wiki/Belastingdruk#Overzicht_in_de_volledige_EU
Helaas is de politiek al decennia aan het bezuiningen en gelden ombuigen naar nieuwe hobby-projectjes.
Dat is niet gekomen door de corona-crisis (geld lenen kost geen geld nu, riep een minsister(president)), en ook niet door de financiele crisis van 10-12 jaar gelden. Sinds de jaren 70 wordt er al (met enige regelmaat) bezuinigd. Tel uit je winst. Ergens houdt het een keer op. Dan heb je het bot bereikt.
Vooral het neo-liberale denken sinds de jaren 90 (de markt regelt het zelf wel, goedkoper is beter) is funest geweest.
Een goed werkende overheid kost nu eenmaal geld. En anders moeten er harde keuzes gemaakt worden.
Geen (door de overheid gefinancierde) bibiotheken en zwembaden meer. geen onderhoud aan bruggen, wegen en openbare ruimte (parken, bermen, etc) meer. Etc, etc, etc. Minder geld, dan ook minder overheidstaken.
En meer aan de markt "overlaten", als er behoefte aan is.
Idem voor politie, brandweer, ambulances, huisartsen, ziekenhuizen.
Dan kun je een heel lage belastingdruk behalen.
En alleen de rijken kunnen zich dan enige faciliteiten veroorloven. Alsof je weer in de 18e of 19e eeuw leeft. Maar dat heeft niet mijn voorkeur.
Of staat de VIR/BIR (ben niet zo bekend in overheidsland) niet doe dat Defensie penetratietesten door externen laat uitvoeren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
