De Jonge: beveiligingslek Infectieradar was toch niet bij ontwikkelaar bekend
Een beveiligingslek in de Infectieradar van het RIVM waardoor het zeer eenvoudig was om medische gegevens van deelnemers te achterhalen was toch niet bij de ontwikkelaar bekend, zoals eerder nog door minister De Jonge van Volksgezondheid werd gesteld, zo heeft de minister aan de Tweede Kamer laten weten.
Begin juni bleek het door een kwetsbaarheid mogelijk te zijn om vragenformulieren te bekijken die door deelnemers waren ingevuld om aan Infectieradar deel te nemen. Deelnemers kunnen één keer per week doorgeven of zij in de afgelopen week koorts of andere klachten hebben gehad. Dit moet het RIVM meer inzicht geven in de verspreiding van infectieziektes. Bij het aanmelden voor Infectieradar moet een formulier met medische gegevens worden ingevoerd. Het gaat onder andere om het gebruik van medicijnen en waarvoor dit is, of deelnemers roken of allergieën hebben en of men zwanger is.
Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk. De vragenformulierenapplicatie was ontwikkeld door het bedrijf Formdesk. Volgens minister De Jonge was voor het live zetten van Infectieradar een beveiligingstest uitgevoerd en was ook de betreffende kwetsbaarheid aan het licht gekomen. "Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren", verklaarde de minister vorige maand tijdens een Kamerdebat.
De Jonge stelde verder dat Formdesk was gevraagd om een oplossing te verzinnen. "Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden. Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd", merkte de minister op. Formdesk ontkende echter van de kwetsbaarheid op de hoogte te zijn.
De minister laat nu op Kamervragen van GroenLinks en de VVD weten dat de situatie anders ligt. Er was tijdens de beveiligingstest een kwetsbaarheid met het manipuleren van url's in de software aangetroffen. Formdesk heeft vervolgens aangegeven hoe het RIVM dit risico kon verhelpen, wat het RIVM ook heeft gedaan. Eerder liet de minister weten dat Formdesk de oplossing moest doorvoeren, terwijl deze rol bij het RIVM lag.
Nadat de oplossing was doorgevoerd en Infectieradar live werd gezet bleek er een tweede kwetsbaarheid in de software aanwezig te zijn die door de NOS naar buiten werd gebracht en het mogelijk maakte om de ingevulde formulieren in te zien. "Achteraf gezien concludeert het RIVM dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen van Infectieradar een extra test op dit risico was uitgevoerd", laat De Jonge nu weten.
Twee weken geleden sprak het RIVM de hoop uit om Infectieradar in september weer volledig operationeel te hebben. Er wordt nu een compleet nieuwe website ontwikkeld. Daarnaast heeft het RIVM afscheid genomen van Formdesk. "Sowieso ging het daarbij om een tijdelijke samenwerking", aldus een woordvoerder.
Reacties (28)
Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
De overheid heeft geen mensen in dienst die kunnen denken. Roeptoeteren kunnen ze allemaal als de beste. Dat dan weer wel. Ik heb gezegd: Dit is weer eens een overheidsproject en het woord IT komt er in voor. Wedden voor 100 Euro dat dit bakken belastinggeld gaat kosten, niet gaat functioneren en dat er een rel rond komt? Niemand wou wedden. En maar goed voor hun ook!
Hoe kan het eigenlijk dat er in de regering zo'n collectie incompetente nietsnutten zit waar zo massaal op gestemd wordt?
Die stemgerechtigde hebben allemaal geen plank voor de kop maar een spoorbiels. In de lengte dan wel! 5 rijen, 7 kolommen! Tijd dat Teflon Pinokkio en z'n bende het veld ruimt. Kijken of er nog wat te redden is van ons land. Het liefst vóór hij naar Brussel rent om onze belastingcenten te schenken aan nog corruptere regiems als die van ons zelf.
De overheid heeft geen mensen in dienst die kunnen denken. Roeptoeteren kunnen ze allemaal als de beste. Dat dan weer wel. Ik heb gezegd: Dit is weer eens een overheidsproject en het woord IT komt er in voor. Wedden voor 100 Euro dat dit bakken belastinggeld gaat kosten, niet gaat functioneren en dat er een rel rond komt? Niemand wou wedden. En maar goed voor hun ook!
Hoe kan het eigenlijk dat er in de regering zo'n collectie incompetente nietsnutten zit waar zo massaal op gestemd wordt?
Die stemgerechtigde hebben allemaal geen plank voor de kop maar een spoorbiels. In de lengte dan wel! 5 rijen, 7 kolommen! Tijd dat Teflon Pinokkio en z'n bende het veld ruimt. Kijken of er nog wat te redden is van ons land. Het liefst vóór hij naar Brussel rent om onze belastingcenten te schenken aan nog corruptere regiems als die van ons zelf.
Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk.
Dit is een dusdanig basale fout dat deze 'ontwikkelaar' gediskwalificeerd dient te worden voor alles wat met de verwerking van persoonsgegevens te maken heeft. Misschien kunnen ze (anonieme) games gaan ontwikkelen of zoiets.
"Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd", merkte de minister op. Formdesk ontkende echter van de kwetsbaarheid op de hoogte te zijn."
Ja hoor...we hebben een nieuwe Halbe Zijlstra in de kamer!
Ja hoor...we hebben een nieuwe Halbe Zijlstra in de kamer!
Ik word wel een klein beetje moe van het "verkeerd informeren" wat ze daar in den hagistan toch wel voortdurend blijken te doen.
19-07-2020, 09:37 door
karma4
Door Toje Fos:
Het is niet handig, een beetje dom. Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk.
Dit is een dusdanig basale fout dat deze 'ontwikkelaar' gediskwalificeerd dient te worden voor alles wat met de verwerking van persoonsgegevens te maken heeft. Misschien kunnen ze (anonieme) games gaan ontwikkelen of zoiets.De betere vraag is of dit de gangbare "state of art" of art is of dat de gangbare richtlijnen niet gevolgde zijn. Ik ben er van overtuigd dat het de gangbare "state of art" aanpak is. Het probleem de RIVM ICT (ssc campus) zouden de authenticatie van de gebruikers, invullers van het formulier, dienen te regelen. Deze dient dan strict afgestemd te worden met de externe SAAS provider. Het alternatief is de hele authenticatie en inhoud bij de SAAS provider te doen. Dat heeft wel een kosten aspect.
Hetzelfde zie je bij de api's die iedereen aan het bouwen is omdat het de "state of art" is. De authenticatie en sessiebinding ontbreekt in het interenet - html. Voor je het weet worden nummertjes dan wel certificaten met alles in de url http of via get beter met post etc. Het blijft behelpen zonder sessies in de basis van http.
Het zou aardig zijn een gedegen massaal onderzoek naar dit soort kwetsbaarheden te doen. ( Code injection.)
19-07-2020, 09:53 door
Briolet
Door Rexodus: De overheid heeft geen mensen in dienst die kunnen denken. …
Klopt. Dat ligt aan het beloningsbeleid. De goede mensen worden voor een groot deel weggekocht omdat de overheid niet meer wil betalen. Je houdt dan maar een paar idealisten over die zich wel voor de samenleving willen inzetten, ook al kunnen ze elders meer verdienen.
Door Rexodus:…Wedden voor 100 Euro dat dit bakken belastinggeld gaat kosten,…
"Goedkoop is duurkoop" heb ik altijd geleerd. Ze besparen een paar euro aan salaris, maar betalen een veelvoud ervan aan herstel van fouten, of inhuren aan externe kennis.
Door Rexodus:…Hoe kan het eigenlijk dat er in de regering zo'n collectie incompetente nietsnutten zit waar zo massaal op gestemd wordt?
De incompetentie zit bij de onderbetaalde ambtenaren, niet bij de regering. Die moet het doen met de ambtenaren die ze hebben. De ministers kunnen echt geen software schrijven en dat wordt ook niet van hen verwacht.
Door Rexodus:…Die stemgerechtigde hebben allemaal geen plank voor de kop maar een spoorbiels.
Stemgerechtigden zijn altijd al kortzichtig geweest. Die stemmen voor een groot deel op partijen die belastingen juist willen verlagen, zodat een regering nog minder kan uitgeven.
Wat toevallig dat De Jonge precies na de fractieleiderverkiezingen van het CDA hiermee naar buiten komt. 49,3% van de kiezende CDA leden was slim genoeg, helaas 50,7% niet.
Ik vind het wel lijken op de fout in de verkiezingssoftware van het CDA. Daar waren de nummers die gebruikt werden op de website ook te kort. Waardoor het mogelijk was door het proberen van alle mogelijke nummers de gegevens van random personen naar boven te halen.
Misschien is dit soort beveiligingsfouten een blinde vlek van het CDA. Laten we hopen dat na de verkiezingen het CDA geen ministersposten krijgt waar ze met ICT moeten werken. Daar hebben ze duidelijk geen flauw benul van.
Misschien is dit soort beveiligingsfouten een blinde vlek van het CDA. Laten we hopen dat na de verkiezingen het CDA geen ministersposten krijgt waar ze met ICT moeten werken. Daar hebben ze duidelijk geen flauw benul van.
Door Anoniem: Wat toevallig dat De Jonge precies na de fractieleiderverkiezingen van het CDA hiermee naar buiten komt. 49,3% van de kiezende CDA leden was slim genoeg, helaas 50,7% niet.
Gelooft toch geen hond. Kijk straks bij de landelijke verkiezingen wie de meeste voorkeurstemmen heeft. Dat zal een hoop ophelderen.
Ik weet waar ik mijn geld op zou zetten... En dat is niet de Jonge.
19-07-2020, 10:47 door
johanw
Dan is het nog steeds prutswerk van de developer. Zelf als dit zo zou moeten van het RIVM uit dan had die moeten aangeven dat dat niet veilig was.
De Jonge heeft zeker een boze brief van de advocaat van die ontwikkelaar gekregen waar het woord schadeclaim in stond en is zich nu in blochten aan het wringen om dat te voorkomen.
De Jonge heeft zeker een boze brief van de advocaat van die ontwikkelaar gekregen waar het woord schadeclaim in stond en is zich nu in blochten aan het wringen om dat te voorkomen.
Door Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?Door Briolet:
En een hele hoop "dood hout" dat geen zin heeft elders minder te verdienen, want hier hebben ze senioriteit. Plus dat mede-ambtenaren nutteloze medewerkers vooral zielig vinden en dus graag hun best doen (fop)baantjes voor je te verzinnen, je (fop)projectjes te laten draaien, etc. Geweldig solidair zijn ze daar, met zichzelf. Tot en met hele "uitzendbureaux" die interdepartementaal hetzelfde doen voor de aangesloten vrindjes (schaal 14 en hoger).Door Rexodus: De overheid heeft geen mensen in dienst die kunnen denken. …
Klopt. Dat ligt aan het beloningsbeleid. De goede mensen worden voor een groot deel weggekocht omdat de overheid niet meer wil betalen. Je houdt dan maar een paar idealisten over die zich wel voor de samenleving willen inzetten, ook al kunnen ze elders meer verdienen.Door Rexodus:…Wedden voor 100 Euro dat dit bakken belastinggeld gaat kosten,…
"Goedkoop is duurkoop" heb ik altijd geleerd. Ze besparen een paar euro aan salaris, maar betalen een veelvoud ervan aan herstel van fouten, of inhuren aan externe kennis.Door Rexodus:…Hoe kan het eigenlijk dat er in de regering zo'n collectie incompetente nietsnutten zit waar zo massaal op gestemd wordt?
De incompetentie zit bij de onderbetaalde ambtenaren, niet bij de regering. Die moet het doen met de ambtenaren die ze hebben. De ministers kunnen echt geen software schrijven en dat wordt ook niet van hen verwacht.
Ze worden wel verwacht integer te zijn, eerlijk de waarheid te vertellen, en verantwoordelijk te zijn. Drie keer niks.Door Rexodus:…Die stemgerechtigde hebben allemaal geen plank voor de kop maar een spoorbiels.
Stemgerechtigden zijn altijd al kortzichtig geweest. Die stemmen voor een groot deel op partijen die belastingen juist willen verlagen, zodat een regering nog minder kan uitgeven.Door karma4: Het is niet handig, een beetje dom.
Overhandig eens de inbreker de sleutel van de kluis. Dan spreek je toch ook niet van: "het is niet handig, een beetje dom"?
Door Anoniem:
Door Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?Dit ligt een beetje ingwikkelder. Software als Formdesk wordt door bedrijven gebruikt op hun intranet om formuliertjes
in te kunnen vullen mbt de interne bedrijfs zaken. Melden aan de facilitaire dienst dat het toilet verstopt zit, melden aan
de catering dat je een lunch voor 4 personen wilt hebben in spreekkamer 123, dat soort dingen.
Daarbij is de beveiliging vaak niet de 1e prioriteit omdat:
- het toch alleen op intranet werkt
- de gegevens die er in staan veelal niet zo gevoelig zijn.
Wat daar in de loop der jaren aan verandert is:
- er worden nu veel meer gegevens ineens als gevoelig bestempeld
- er sluipen langzaamaan formuliertjes in het systeem die wel degelijk erg gevoelig liggen
- het gebeurt steeds vaker dat een intranet ook vanaf internet toegankelijk is.
Je kunt eerder zeggen dat er een tool is ingezet wat niet geschikt is voor het doel wat RIVM er mee wilde bereiken
(veel te gevoelige informatie en veel te breed toegankelijk) dan dat het tool zelf nou zo slecht was.
Wellicht had de maker (Formdesk) hier op moeten wijzen, maar die willen natuurlijk ook graag verkopen, en wat er
in dit soort situaties ook nogal eens gebeurt is dat het tool eerst gekocht wordt voor bovenstaande doeleinden, en
dat er dan later een formulier ergens nodig is en iemand zegt "kunnen we dat ook niet met ons bestaande tool doen?".
Als er op DAT moment niet iemand bij zit die alle technische details kent, dan gaat het fout. En die kans wordt steeds
kleiner (echt niet alleen bij de overheid hoor!) als je steeds meer van dit soort dingen uitbsteedt en neerlegt bij externe
leveranciers van tools. Ontwikkelaars hebben op een gegeven moment ook geen inzicht meer in wat er precies
gebeurt in al die blackboxen die ze gebruiken, dat is het nadeel van de blackbox aanpak.
Door karma4:
Door Toje Fos:
Het is niet handig, een beetje dom.Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk.
Dit is een dusdanig basale fout dat deze 'ontwikkelaar' gediskwalificeerd dient te worden voor alles wat met de verwerking van persoonsgegevens te maken heeft. Misschien kunnen ze (anonieme) games gaan ontwikkelen of zoiets.q.e.d. (Hopelijk werk jij niet met persoonsgegevens)
Tja, een echte politicus. De buit is binnen, partijleider, dus nu kunnen we toegeven dat wr keihard gelogen hebben.. deze kanndirect in de coalitie.
Door Anoniem:
Door Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument? Ik heb ook niet over dienst maar project gesproken. 2 verschillende dingen.
Door Briolet:
Klopt. Dat ligt aan het beloningsbeleid. De goede mensen worden voor een groot deel weggekocht omdat de overheid niet meer wil betalen. Je houdt dan maar een paar idealisten over die zich wel voor de samenleving willen inzetten, ook al kunnen ze elders meer verdienen.
Door Rexodus: De overheid heeft geen mensen in dienst die kunnen denken. …
Klopt. Dat ligt aan het beloningsbeleid. De goede mensen worden voor een groot deel weggekocht omdat de overheid niet meer wil betalen. Je houdt dan maar een paar idealisten over die zich wel voor de samenleving willen inzetten, ook al kunnen ze elders meer verdienen.
Het is niet alleen het belongingsbeleid in absolute zin (secundaire arbeidsvoorwaarden zijn bij de overheid best goed). Voor een belangrijk deel heeft het te maken met een heel ouderwets functiehuis, promotiebeleid en beloningsbeleid. Salarisschalen zijn heel hard gekoppeld aan functies. Het gaat zelfs zo ver dat als iemand niet functioneert en je brengt dat ter sprake het antwoord is: "Hij zit in die schaal, dus dit moet hij kunnen". Dat leidt ertoe dat als iemand is weggepromoveerd, die persoon vervolgens elders dezelfde (of meer) schade gaat aanrichten. En als iemand in een bepaalde functie heel goed presteert, dan kan je hem daar niet substantieel voor belonen. De enige route is dan doorgroeien naar een managementfunctie met als gevolg: goede techneut kwijt, slechte manager ervoor terug.
Als de overheid meer goede kwaliteit in huis wil halen, dan moet het hele beloningsbeleid op de schop.
Overigens zijn er sommige hier die doen of alle IT'ers bij de overheid kneusjes zijn. Dat is pertinente onzin. Uit ervaring weet ik dat er ook bij de overheid goede specialisten rondlopen die flink wat in hun mars hebben. Probleem is veel meer het openbaar bestuur. Dat besturingsmodel is zo'n gedrocht dat de output van deze mensen verderop in de keten sneuvelt en daardoor niet bijdraagt aan het eindresultaat.
Door Anoniem:
Scherpe analyseDoor Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?De overheid is ook al geheel gereduceerd tot een stel kleine externe bureautjes.
We worden tegenwoordig geregeerd door een geschiedenisdocent en een onderwijzer in samenspraak met het RIVM.
Alles is gecommercialiseerd tot op het bot, waarbij het MKB langzaam wordt uitgefaseerd,
zoals dat in de afgelopen decennia met de middenklasse is gebeurd. Ook gaat dat zo met de online buurtwinkel,
vanwege de brief- en pakket-frankering, o.a. naar de USA. Het loont niet meer.
Informatie zo veel als mogelijk "gleichgeschaltet". Het gaat kennelijk de goede kant op.
Saucijzenbrood met krekel- of zes soorten sprinkhanenspijs.
Strookt tevens met alle spijswetten en de Codex Alimentarius, dus vooruit, waarom ook niet?
Benieuwd wat de toekomst nog brengen moge. Hangt de reus Og misschien opnieuw aan de ark van Noach?
Want zoals in de dagen van Noach, zo zal het zijn in de laatste dagen voorzegt het woord.
.
Blijf onderwijl vooral trouw aan jezelf en laat je nergens door beinvloeden.
Dat is het advies dat ik allen kan geven,
J.O.
We worden tegenwoordig geregeerd door een geschiedenisdocent en een onderwijzer in samenspraak met het RIVM.
Alles is gecommercialiseerd tot op het bot, waarbij het MKB langzaam wordt uitgefaseerd,
zoals dat in de afgelopen decennia met de middenklasse is gebeurd. Ook gaat dat zo met de online buurtwinkel,
vanwege de brief- en pakket-frankering, o.a. naar de USA. Het loont niet meer.
Informatie zo veel als mogelijk "gleichgeschaltet". Het gaat kennelijk de goede kant op.
Saucijzenbrood met krekel- of zes soorten sprinkhanenspijs.
Strookt tevens met alle spijswetten en de Codex Alimentarius, dus vooruit, waarom ook niet?
Benieuwd wat de toekomst nog brengen moge. Hangt de reus Og misschien opnieuw aan de ark van Noach?
Want zoals in de dagen van Noach, zo zal het zijn in de laatste dagen voorzegt het woord.
.
Blijf onderwijl vooral trouw aan jezelf en laat je nergens door beinvloeden.
Dat is het advies dat ik allen kan geven,
J.O.
Door Rexodus:
De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument? Ik heb ook niet over dienst maar project gesproken. 2 verschillende dingen.
Door Anoniem:
Door Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument? Ik heb ook niet over dienst maar project gesproken. 2 verschillende dingen.
en zie dus de kwaliteit 'uit de markt'.met hun 'best practices' en 'whitepapers' etc. etc. etc. neemt niet weg dat je als opdrachtgever ook zo je verantwoordelijkheden hebt. je kiest er zelf voor om genaaid te worden. vraag je je maar af wat het impliceerd dat iedereen zichzelf consultant mag noemen...
19-07-2020, 13:05 door
karma4
Door Advanced Encryption Standard:
Dan spreek je toch ook niet van: "het is niet handig, een beetje dom"?
De verwoording mag bij jou een andere keus hebben, een understatement kan soms de juiste reactie oproepen.Door karma4: Het is niet handig, een beetje dom.
Overhandig eens de inbreker de sleutel van de kluis. Dan spreek je toch ook niet van: "het is niet handig, een beetje dom"?
In dit geval is er niet eens aan een sleutel gedacht, de kluis staat uit het zicht, waarom zou je die afsluiten?
Een procedure voor goede beveiliging is veel te kostbaar, het werkt ook wel zonder.
Niet dat ik zoiets doordacht en slim vind, het is de gedachtewereld vanuit management waar de kosten boven alles staat .
Door Toje Fos: q.e.d. (Hopelijk werk jij niet met persoonsgegevens)
Lees even verder in de eerdere reactie. Ik werk met persoonsgegevens en zie het op die manier te vaak mis gaan.Er moet en er zal een dienst extern ingekocht worden. De eisen aan de beveiliging en afscherming worden onder tafel geveegd. Wat is je ervaring met de opzet rond api's dan wel wat voorheen SOA de enterprise servicebus was.
Trek hem door naar de analsye, etl dwh, dan is het tegenwoordig Python R downloaden naar de eigen machine.
Kijk naar het doel van SSC Campus, de ICT voor RIVM en nog een partner dan zie je dat dat als dienst voorop staat.
https://www.ssc-campus.nl/ssc-campus-0 "We begrijpen wat kennis- en onderzoeksinstituten nodig hebben."
In dat kader past het dat voor de corona serververwerking gepoogd werd de machines bij de belastingdienst te zetten.
Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Gelukkig dat niet-overheids IT vrij is van kwetsbaarheden (kuch). Programmeren blijft mensenwerk. Of een programmeur nou werkt voor de overheids, of in het bedrijfsleven.
Jij bent een geniale programmeur, die code schrijft, die 100% vrij is van kwetsbaarheden..... ?
Of is het meer een gevalletje van de beste stuurlui staan aan wal ?
Door Rexodus:
De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument? Ik heb ook niet over dienst maar project gesproken. 2 verschillende dingen.
Door Anoniem:
Door Rexodus: Overheid en IT. Water dragen naar de zee. Diepvriezen verkopen op de zuidpool. Stofzuigers verkopen in de woestijn.
Volgens mij is Formdesk geen overheidsdienst maar een commercieel bedrijf, en dat commeciële bedrijf maakte beginnersfouten in wat note bene hun specialisatie is. Het is bij een overheidstoepassing aan het licht gekomen, maar dan is het dus eerder bij eindeloos veel niet-overheidstoepassingen die al eerder op Formdesk gebaseerd waren niet aan het licht gekomen. Kan je in dat licht niet net zo goed zeggen dat commercie en IT water naar de zee dragen is?De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument? Ik heb ook niet over dienst maar project gesproken. 2 verschillende dingen.
Even los van de discussie: de overheid heeft wel degelijk IT diensten. Bijvoorbeeld SSC-IT en JIVC. Ook bij de lokale overheden zoals gemeenten zijn er IT diensten.
Gelooft toch geen hond. Kijk straks bij de landelijke verkiezingen wie de meeste voorkeurstemmen heeft. Dat zal een hoop ophelderen. Ik weet waar ik mijn geld op zou zetten... En dat is niet de Jonge.
En, waarom zou je dit niet geloven. Waarom zou er sprake zijn van fraude, bij de lijsttrekkersverkiezing, binnen het CDA ? Overigens is een voorkeursstem voor een kamerlid niet per definitie hetzelfde als een stem voor een fractie voorzitter. Hoeveel stemmers kiezen denk je wel (bijvoorbeeld) CDA, maar zijn geen lid. En nemen niet deel aan de lijsttrekkersverkiezing ?
Ik zie geen enkele reden om waarde te hechten aan dit soort 'gelooft toch geen hond' reacties.
Door Anoniem: Gelukkig dat niet-overheids IT vrij is van kwetsbaarheden (kuch). Programmeren blijft mensenwerk. Of een programmeur nou werkt voor de overheids, of in het bedrijfsleven.
Jij bent een geniale programmeur, die code schrijft, die 100% vrij is van kwetsbaarheden..... ?
Of is het meer een gevalletje van de beste stuurlui staan aan wal ?
Dit is meer een gevalletje van het kan ons niet genoeg schelen om het goed te doen in het bedrijfsleven. Dat los je op door soms hele simpele eisen als "er moet altijd een ingenieur voor tekeken en de ingenieur die tekende is hoofdelijk aansprakelijk voor schade door ontwerp- en bouwdefecten". Zo werkt ingenieurschap in Duitsland bijvoorbeeld.Jij bent een geniale programmeur, die code schrijft, die 100% vrij is van kwetsbaarheden..... ?
Of is het meer een gevalletje van de beste stuurlui staan aan wal ?
Bij de overheid en de "usual suspects" die ze daarvoor inhuurt geldt "we willen zo min mogelijk presteren tegen zoveel mogelijk kosten". Dat noemen we corruptie, dat ga je te lijf met de botte bijl.
Door Rexodus: De overheid heeft geen IT diensten. Die huren dat altijd in. Daarmee vervalt je argument?
Ik denk het niet. Formdesk biedt zich als verwerker volgens de AVG aan. Klanten kunnen via een formulier een aantal zaken over de verwerking invullen aan de hand waarvan een verwerkersovereenkomst wordt opgesteld. In de voorbeeldovereenkomst die je kan downloaden stellen ze zichzelf als verwerker verantwoordelijk voor adequate technische en organisatorische maatregelen om een voor de betreffende gegevens adequaat beveiligingsniveau te handhaven.Als je als klant met ze in zee gaat doe je dat op basis van de verwachting dat ze dat waarmaken, of je nou een commerciële klant of een overheidsinstantie bent. De fout lag bij Formdesk en zal echt niet alleen in formulieren van overheden zijn opgetreden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
