Ik heb wel moeite met het feit dat je gehacked bent, en dan gaat zeggen dat er geen bewijs is dat de data is gestolen.

Als je gehacked bent, dan heb ik geen vetrtouwen in dit soort opmerkingen. Want niet loggen, is ook een vorm van zeggen er is geen bewijs! Dus wie zegt dat ze ubehaupt dit kunnen zien of gelogt hebben.


TheYOSH

Ze weten altijd heel snel te beweren dat er geen data is gestolen. Dat is ongetwijfeld voor de Bühne om ongerustheid te voorkomen. Curieus is ook dat de hack niet werd gevonden, pas toen er bestanden ge-encrypt waren dacht men huh

Als je wat simpele netwerk monitoring tools hebt draaien dan kun je al wel zien of dat er 40TB data geupload is naar internet.
Er staat ook "We hebben geen aanwijzingen gevonden dat er veel data door onze poorten naar buiten is gegaan", het is
niet handig van de aanvalles om te zeggen dat ze 40TB data hebben buitgemaakt want dat kun je weerleggen. Als ze
alleen maar zouden zeggen dat er data buitgemaakt is dan is dat veel moeilijker.

Hoezo heb je er moeite mee. Ze zegt niet dat er bewijs is dat er geen data is gestolen. Het enige dat er met deze formulering gezegd wordt is dat het wel of niet gestolen kan zijn. Ze kunnen het alleen niet aantonen.

Ook als er wel 40Tb aan data naar buiten is getrokken is het maar de vraag of bij betaling van het losgeld deze bestanden ongebruikt waren voor zij vernietigd gaan worden. Criminelen zijn zo onbetrouwbaar als draaideuren die om de haverklap van richting veranderen.

Ik heb respect voor de beslissing om geen losgeld te betalen. En ik wens ze veel succes en IT wijsheid toe bij het op poten zetten van een nieuwe digitale structuur. Dat is een enorme klus.

Ik hoorde in een digitale wandelgang dat de beslissing genomen is op het feit van een eventuele mogelijke boete Autoriteit Persoonsgegevens?

Een mogelijke boete voor een datalek door Autoriteit Persoonsgegevens is maximaal 820.000?
vijftig bitcoin is 937.000 euro reken uit de winst.

kijkend naar een faalkaart.nl (nu basisbeveiliging.nl)
Rapport https://basisbeveiliging.nl/#/report/157 geeft al aan dat "basis" ontbreekt er niet is.

offtopic: Wacht een paar jaar en dan verteld Brenno de Winter wel iets in (of na) presentatie.

Je zou bijna de S.A.S. op die losgeld-eisers van het losgeld afsturen.

Goed handelen van burgemeester Ellen Nauta. Niet buigen voor chantage.

Chapeaux!

4 dingen,

1. "We hebben geen aanwijzingen gevonden dat er veel data door onze poorten naar buiten is gegaan" is niet overtuigend als je wel gehackt blijkt te kunnen worden.

2. wat was hun risico perceptie m.b.t. hackbaarheid van de gemeente?
Dachten ze, wat de universiteit van Maastricht op een bepaalde manier kan overkomen kan ons niet gebeuren?
Dachten ze dat ze Murphy bezig waren te verslaan?

3. Deze gemeente was zelf geen warm voorstander van ver-gaande digitalisering, weet ik toevallig.
Toch werden ze gedwongen door BiZa over stag te gaan.
Wordt het niet tijd dat BiZa en VNG automatisering koninkrijkjes - zoals King - nu niet over stag gaan?
Moet het door-duwen van nog meer ICT in gemeentes en burgers in Twente niet een paar tandjes terug?

4. Voor zover ik dat nu kan bedenken lijkt het me inderdaad gezien de achtergrond verstandig om niet te buiten voor chantage van hackers.
Dat minimaliseert de kans ook enigszins dat hackers bij andere gemeenten wel geld kunnen losweken.
Dat tegen de achtergrond dat de gemeente hun eigen organisatie en burger gegevens kwetsbaar hebben "moeten" maken door introductie van meer ICT diensten, centraal opgelegd vanuit Den Haag.
Dat is lang her en der getracht op een gezond en verstandig tempo te doen, maar daar werd schamper over gedaan over ambtenaren van andere gemeenten.
Het nut van automatisering is bovendien iets waar pragmatisch gezien een uiterst ongelukkige overdrijving van nut van automatisering achter schilt gaat.

Ik ken de ICT situatie bij hof van Twente niet. Voor elke organisatie geldt dat je de complete omgeving in kaart moet hebben en de nodige zaken goed geregeld hebt wat betreft beleid en security. Vaak zie je echter dat de ICT afdeling onderbezet is en net de boel draaiende kan houden. Tijd om alles goed te onderhouden en de omgeving te checken op security is er niet altijd.
Terwijl dit wel geregeld zou moeten gebeuren. Een tijdje terug las je ook dat overheidsinstanties nog windows 7 pc's in gebruik hadden en met Microsoft maar een speciaal onderhoudscontract hebben afgesloten.
Dit wil zeggen dat deze organisaties te weinig mankracht hebben om goed te kunnen functioneren.

1. (ICT) personeel is steeds meer een sluitpost bij gemeenten. Zij kosten geld. De raad gaat over de geldbuidel. Alles wat aan pesoneel uitgegeven wordt, kan niet aan politieke onderwerpen of de bevolking uitgegeven worden.

2. Veel gemeenten hebben tekorten agv de uit de hand gelopen jeugdzorg (en te weinig geld van het rijk daarvoor). Die tekorten moeten ze zelf bij passen. Oa. door te korten op personeel. (natuurlijk verloop ed)

3. Gemeenten zijn voor een groot deel van hun inkomsten afhankelijk van het gemeentefonds. De hoogte van de uitkeringen uit dit fonds, zijn weer afhankelijk van de uitgaven van het rijk. En die zijn de afgelopen jaren verminderd. Dus minder inkomsten voor de gemeenten.

(Stijgende kosten, minder inkomsten. Tel uit je winst. Het is nu wachten tot de helft van de gemeenten onder artikel 12 gaat vallen. Dan mag het rijk alsnog gaan bijpassen)

4. Hof van Twente heeft haar IT uitbesteed. Maar dat betekent vaak uurtje-factuurtje.

Maar dat kan nou net de reden zijn om het maar opnieuw te gaan bouwen.
Geen idee wat er voor gemeentes tegenwoordig beschikbaar is, wellicht zijn er complete SAAS oplossingen waarbij men
helemaal geen Windows meer op de PC's hoeft te hebben? Gewoon een internet aansluiting en chromebooks.
Ik begreep dat Centric een belangrijke leverancier is voor gemeentes dus daar is het natuurlijk allemaal opgelost met de blockchain...

Ik heb zo niet de URL paraat, maar onlangs is er een onderzoek gepubliceerd naar openbaar worden van gestolen informatie. De conclusie van dat onderzoek was dat in 50% van de gevallen er toch data werd gelekt, ondanks dat de slachtoffers hadden betaald voor vernietigen van de gegevens.

Peter

Beste Burgemeester:
WAAR zijn jouw back ups nu???
WAAROM kun je die niet even herstellen???
Als je dat niet tevredenstellend kunt beantwoorden, neem dan je hoed en ga weg.
We zouden je PERSOONLIJK AANSPRAKELIJK moeten stellen!!!

Dat hoeft niet de oplossing te zijn. Wanneer iemand in die SaaS omgeving kan komen, heb je precies hetzelfde gedonder. En waarom ChromeBooks? Het moet nog maar blijken, dat de maker van dat product niet kan meekijken in wat er gebeurt en daar weer gegevens uit graait. Basis moet altijd zijn, dat je moet automatiseren wanneer het kan én zinnig is én verbetering oplevert. Nooit automatiseren, omdat iemand in Den Haag of waar ook het wil. Mensen moeten beseffen, dat automatiseren een oplossing is, die voor iedere situatie anders kan zijn. Plus niet iedere werkplek hoeft internet toegang te hebben en niet alles hoeft via internet aangeleverd te kunnen worden.

Wat een frustratie.

Verdiep je eerst eens in de organisatie-structuur van een gemeente.
De burgermeester is het politieke hoofd van de gemeente. Hij/zij zit de gemeenteraad en B&W voor.
De gemeentesecretaris is het hoofd van de ambteklijke organisatie. ICT valt onder de ambtelijke organisatie.
Als zodanig behoor je je vraag(?) aan de gemeentesecretaris te stellen.

Als je zo graag een bijltjesdag wilt, dan stopt de verantwoodelijkheid bij de gemeentesecretaris.

Maar wat lost dit op?
Heb je met zo'n ontslagronde dan je systemen automatisch gereset, en weer in de lucht? (alsof het een videogame is)
En ontslag betekent wachtgeld. Dus extra kosten voor de gemeente.


Als dit bij jouw bedrijf gebeurd was (natuurlijk kan dat niet want jullie hebben alles perfect op orde), wie zou er dan moeten vertrekken:

Het hoofd van de raad van toezicht?
De directeur?
Jouw manager?
Jijzelf (als jij voor de backups of de beveiliging verantwoordelijk was)?

En met zo'n bijltjesdag zouden jullie systemen dan ook weer volledig gereset zijn.
Of misschien toch niet?

Shit happens.
It's how you deal with it that matters.

Dus:

Als de systemen van de Eerste en Tweede Kamer gehackt worden en er zijn geen bruikbare backups, dan moet de minister president opstappen omdat hij persoonlijk gefaald heeft? En daar ook persoonlijk financieel voor opdraaien?

Als de systemen van de EU gehackt worden, en er zijn geen bruikbare backups, dan moet de president van de EU in schande opstappen?


Leg eens uit hoe waarop je redenaties gestoelt zijn?
Waarom is specifiek de burgermeester aansprakelijk en niet de IT-manager of een van de beheerders? Of de architect die de systemen ontworpen heeft?

Die Engelse?

OK, ik begrijp het nu. Wat is jouw voorstel nadat het mijne niet deugt? Doorgaan??

Ik ben blijkbaar wat minder bloeddorstig en meer op het proces gericht.

Speel niet automatisch op de mens, maar onderzoek wat er fout gegaan is. En herstel dat vervolgens.
Proces kwaliteitsverbetering: Plan, Do, Check, Act

https://zbc.nu/wp-content/uploads/2011/01/product_proces_kwaliteit2.gif


Mocht er uit het onderzoek laakbaar gedrag aan het daglicht komt, kan de betreffende medewerker (of leidingegvende) hier op aangesproken worden. Met als ultieme maatregel ontslag.
Dit hoort niet een doel op zich te zijn.
Niet als je een goed werkklimaat wilt behouden.

Jij wilt ook niet voor elk foutje dat je maakt ontslagen worden.

Je maakt een fout.
Je herstelt de fout en je leert er van.

En ja, er is hier waarschijnlijk een en ander goed fout gegaan.
Maar laten we eerst afwachten wat een onderzoek oplevert, voordat er hoofden op het hakblok gelegd worden.

Een goude oude:

"Wie zonder zonde is werpe de eerste steen." (Johannes 8:7).

Dus, hoeveel fouten heb jij tot nu toe gemaakt in je carriere?
0 of meer.

Het gaat hier niet meer over fouten maar over grove nalatigheid tesamen met onkunde (denk ik). En hou er aub de bijbel buiten de konversatie

Het is nu eenmaal een klassieker. :-)
De uitspraak heeft niets met religie te maken, maar met een stukje zelf-reflectie.


Maar waar staaf jij de nalatigheid en onkunde op? Bron svp.
Is er al onderzoek geweest?

Verder:
Dit kan niet bij jouw werkgever gebeuren. Nooit niet. Daar is alles perfect op orde?
Geen toegankelijke backups. Geen open poorten. Geen thuiswerkers. (om maar wat te noemen)