Een wachtwoordmanager klinkt wel leuk allemaal... maar vanuit mijn eigen ervaring weet ik dat er een master password is om in te loggen bij een wachtwoordmanager. De standaard wachtwoord eisen moeten hoger. 13-15 karakters minimaal. Want een wachtwoord voor bij een wachtwoordmanager wordt niet als bij een domein account verplicht om om de 3 maanden te veranderen...

ze willen eigenlijk een managed 2e kamer breed systeem. en MFA op het wachtwoord beheer. toch vermoed ik dat dat eerste er niet gaat komen, aangezien politieke belangen botsen om dit te willen.

Tja, veiligheid gaat toch echt voor gemak... Dus dat werkt elkaar tegen.

Maar laten ze dan allemaal Element installeren en de overheid een eigen Matrix server. Als elke overheid dit doet, kunnen ook landen onderling veilig communiceren.

https://www.security.nl/posting/713275/Duitse+gezondheidszorg+kiest+Matrix+als+basis+voor+nieuw+chatplatform
https://www.security.nl/posting/656662/Duitse+leger+stapt+volledig+over+op+Matrix-gebaseerde+chatapp

Je hoeft het wiel niet zelf opnieuw uit vinden. Ga ff bij onze Duitse buren kijken, en neem dat dan over.

TheYOSH

Iedereen over op de sectra tiger crypto phone.
Probeer opgelost.

Wat het Kamerlid zegt is nogal vaag. Wat precies versta je onder een "veilige laptop"?

Tja zo gaat dat in de IT. Dat is ook de reden dat iedereen Windows blijft gebruiken.
Je kunt wel alternatieven aandragen maar dan schieten de mensen in de verdediging en komen met op zich wel
correcte maar vaak niet relevante tegen-argumenten.

Goed voorstel. Mijn advies voor een WhatsApp alternatief: Threema (Zwitsers) of Signal.

Dat laatste, regelmatig wijzigen van een wachtwoord, werkt in de meeste gevallen averrechts en helpt nauwelijks (onderschepte wachtwoorden worden meestal snel en voor korte duur misbruikt).

Als accounts beveiligd zijn tegen brute-force attacks, gelden strengere eisen aan wachtwoorden die je gebruikt voor versleuteling (zoals bij een lokaal opgeslagen database van bijv. KeePass) dan voor inloggen. De reden daarvoor is dat zo'n database zich niet kan "verdedigen" tegen brute-force aanvallen.

Als de hele schijf van zo'n laptop en alle back-ups daarvan zijn versleuteld met een lang en niet te raden wachtwoord, zou je concessies kunnen doen (ik raad dat af, maar als men het onwerkbaar vindt) aan de lengte van het master-password voor de wachtwoordmanager - mits je niemand anders gebruik laat maken van jouw lokale account en je extra op je hoede bent voor evil maid (FDE) attacks.

Mijn advies zou zijn om een goede privileged session manager te gebruiken. Je hebt nog slechts één account nodig en kan via de session manager inloggen op systeem/applicatie/website. De credentials die door de session manager worden gebruikt om een verbinding op te zetten met systeem/applicatie/website zijn voor de gebruiker niet eens meer zichtbaar.

Wat betreft communicatie zou een alternatief als Teams, wat ongetwijfeld al wordt gebruikt ook prima functioneren als 'messenger app' op de mobile apparaten. Bijkomend voordeel is dat naast smartphones ook tablets gebruik kunnen maken van Teams.

Dit moet je ook centraal goed inrichten. Het masterwachtwoord is dan bijvoorbeeld ook alleen bij de Security Officer bekend (in een kluis).
Een goede wachtwoordmanager zou ook met SSO moeten werken, en niet een specifiek apart wachtwoord gebruiken, want dat werkt niet. Dit icm met MFA bijvoorbeeld. Maar ook hierbij geld weer, hoe complexer het gebruik, hoe minder gebruikers er gebruik van maken.

Waarschijnlijk gebruiken ze ook Windows, omdat ze hun werkzaamheden moeten kunnen blijven uitvoeren. Dat is best wel belangrijk bij de overheid of het bedrijfsleven. En laten nu net eens de meeste gebruikte (en beste keuze) applicaties alleen op Windows draaien.

Hopelijk kijkt de tweede kamer mee.

Het is mij namelijk niet helemaal duidelijk of de ICT door partijen zelf wordt gedaan of door de kamer zelf. En hoe zit dat met medewerkers? Met Matrix als protocol kun je eenvoudig meerdere servers opzetten - of 1 server met meerdere organisaties - en toch met elkaar blijven praten. Niet tevreden met de partij die de server draait? Dan zet je je eigen server op zonder verlies van functionaliteit of contacten.

Kamer- en kabinetsleden (maar ook topambtenaren en hun secretarieel medewerkers) zijn prime targets voor cyberspionage. Ik hoop dat zij allen een degelijke insecurity-awareness training krijgen (bij herhaling) en er daarbij van worden doordrongen dat gebruiksgemak voor hen meestal misbruikgemak voor aanvallers betekent.

Het gaat hier niet om het beveiligen van vakantiekiekjes, maar om landsbelang.

Net als met "overstappen op LInux ipv Windows" speelt er bij overstappen op een andere chat app heel wat meer mee
dan "is het een goed werkend (en veilig) systeem". Je loopt aan tegen de bijna niet te overwinnen drempel van
"werkt iedereen er mee??". Je kunt wel tegen alle kamerleden zeggen "we gebruiken voortaan Signal" en dat zal na
een korte invoerperiode ook best werken tussen kamerleden onderling, maar vanaf dat moment blijven die voortdurend
aanlopen tegen dit "afwijkende" systeem. Persoon waar men mee praat zegt "Ik voeg je even toe in WhatsApp" en dan
moet men weer gaan vertellen "nee, wij werken niet met WhatsApp, wij gebruiken Signal. dat kun je ook op je telefoon
installeren en dan kun je mij toevoegen. Is echt veel beter dan WhatsApp hoor, veiliger en beter voor je privacy" maar
na 3 keer gaat dat vervelen en omdat men zich niet de messias voor Signal voelt maar gewoon wil WERKEN wordt het
dan weer opgegeven en WhatsApp gebruikt.
Is exact hetzelfde als wanneer je iemand "tegen de zin" ompraat naar Linux. Ze lopen tegen een paar problemen aan en
gaan uiteindelijk weer terug.

Het hangt sterk af van de omgeving waarin men werkt. Ik kan me voorstellen dat bepaalde mensen gebruik maken
van applicaties die er vooral voor Windows en/of Mac zijn, maar in de wat meer algemene administratieve wereld gebruikt
men vaak niet meer dan een tekstverwerker, spreadsheet, mail, PDF reader en als belangrijkste tegenwoordig een
web browser, waarin verder alles gebeurt wat niet in die eerste applicaties gedaan wordt. De meeste verticale applicaties
voor de administratieve wereld werken tegenwoordig met een webinterface of hooguit een Citrix of RDP window.
In dat werkgebied is er eigenlijk geen reden meer om zich aan Windows vast te klampen.

Grappig en de EU gebruikt signal.

En is ook goedgekeurd door de EU. Ga zelf maar zoeken.

Hebben die politici niks anders te doen dan security specialist te spelen.

altijd weer dat "do..." gebruiker geneuzel...

Ik ga me verkiesbaar opstellen denk ik. Want als zij het kunnen...met meer of minder zuilen van minerva whatsappgroepen kan mijn pony Rita het ook.

Teams is geen goed alternatief omdat het Amerikaans is. Amerikaanse inlichtingendiensten hebben dan rechtstreeks toegang tot de info van ons parlement (nu ook al voor een groot deel, maar dat terzijde).

Tweede kamer heeft een eigen ICT afdeling. Daarnaast maken ze gebruik van ICT diensten die bepaalde ministeries aanbieden zoals iBabs door SSC-ICT (BiZa)

Als dat het geval is dan zijn de problemen niet te overzien, aangezien Microsoft Teams op SharePoint draait en Sharepoint ook bij overheden wordt gebruikt, dus ik denk niet dat dit een juist argument is.

Daarnaast staat de data binnen de EU en valt het onder de EU wetgeving, of te wel de Amerikaanse overheden hebben geen toegang tot deze gegevens.

Ik denk meer dat het probleem is dat Microsoft Teams omslachtiger is om te implementeren en te gebruiken voor gebruikers.

Heeft hij nu net het standaard wachtwoord van de kamerleden bekend gemaakt ?
:)

Ongelooflijk dat men zo'n dwaasheden zou begaan. Zelfs het gebruik van een dienst - van een meervoudig veroordeeld privacy-schendend bedrijf - zoals Facebook - kan je toch niet gebruiken in een wetgevende omgeving zoals het parlement?
Zijn die partijen die dat toelaten niet beschaamd?

Je bent erg naïef als je denkt dat de Amerikaanse inlichtingendiensten geen toegang hebben via Microsoft. In Nederland is het uitgangspunt dat je informatie tot een bepaald rubriceringsniveau niet beschermt tegen bevriende staten. Daarom wordt er geen groot issue van gemaakt.

Eerder is al aangetoond dat Micorsoft allerlei gevoelige informatie richting Amerika stuurt:
https://tweakers.net/nieuws/154646/rijksoverheid-mag-windows-10-en-office-blijven-gebruiken-na-avg-aanpassingen.html

Microsoft heeft inmiddels wat aanpassingen doorgevoerd, maar daarmee zijn nog niet alle risico's weg.
https://www.privacycompany.eu/blogpost-en/new-dpia-on-microsoft-office-and-windows-software-still-privacy-risks-remaining-short-blog

Je mag best vinden dat ik naief ben, al hoewel ik het toch anders zie. Daarnaast gaan de 2 artikelen waar u naar verwijst over diagnostische gegevens dat is totaal andere soort data dan documenten, email, chats of wat dan ook. En welk software bedrijf verzameld geen diagnostische gegevens, dat zullen er maar weinig zijn. En aan wat voor alternatief zit u dan te denken, aangezien het geen Amerikaanse kan zijn ben ik wel benieuwd wat u ingedachten heeft?

Ook de klepel horen luiden ??

Echt goede alternatieven hebben we niet, Europa heeft nooit ingezet op het creëren van onafhankelijkheid als het om ICT gaat. En als je het op de werkplek oplost, dan loop je risico's op onderliggende infrastructuur (Cisco, Juniper, Huawei, BlueCoat, Palo Alto, etc.).
Voor informatie waarop de hoogste rubriceringsniveaus (Stg G en Stg ZG) van toepassing zijn, ga ik ervan uit dat men aanvullende maatregelen - bijvoorbeeld isolatie - heeft genomen. Maar veel van wat als Departementaal Vertrouwelijk gerubriceerd is, kan de Amerikaanse Inlichtingendienst als ze écht willen gewoon bij.

Voor wat betreft 'diagnostische gegevens', dat valt in de categorieën META en REST data. Deze data is in beginsel nog belangrijker dan de inhoud zelf. Je wil in eerste instantie patronen en gedrag in kaart brengen. Daarmee kan je je targets bepalen en gericht zoeken.
Vergis je ook niet wat er onder 'diagnostische data' wordt verstaan. Zo (was/is) het dat als de Microsoft spellingscontrole een 'kringeltje' onder je tekst zet, de volledige zin voor de fout en na de fout als 'diagnostiche data' richting Microsoft gaat/ging. Ik vermoed dit aangepast is naar aanleiding van de aanpassingen die de overheid heeft afgedwongen.

De VPRO heeft overigens een mooie documentaire over de risico's van rest- & metadata uitgezonden. Link: https://www.vpro.nl/programmas/tegenlicht/kijk/afleveringen/2019-2020/de-grote-dataroof.html

Maar Teams is vooral geen goed alternatief omdat het niet WhatsApp is.
Zoals al eerder uiteengezet: je kunt zo iets wel standaardiseren binnen je eigen kluppie waarin iedereen al met Teams
werkt en "we gebruiken de Chat van Teams" een beleidbeslissing kan zijn, maar de kamerleden gebruiken WhatsApp
natuurlijk niet alleen binnen de kamer.
Het is gemakkelijk om iemand die je tegenkomt even toe te voegen op WhatsApp, maar de vergelijkbare actie met Teams
is (met een buitenstaander) veel te lastig. Dan moet die persoon eerst een Microsoft account hebben, dan kun je die
pas uitnodigen en aan een Team toevoegen. En voor chat met random personen moet je dan een apart Team aanmaken,
je wilt ook niet in de "Mail CC" val trappen waarin iedereen kan zien met wie je allemaal communiceert.

Dus dat gaat in de praktijk allemaal niet werken.

Daarom vind ik Zoom persoonlijk veel prettiger als video conference tool. Daar hoeft alleen de initiator een account te hebben. Deelnemers hoeven alleen op een toegestuurde link te klikken. Maar goed, dat is natuurlijk een andere discussie als 'alternatief voor WhatsApp'.

Laten we eens stoppen om wat binnen een clubje wordt afgesproken standaardiseren te noemen. Een standaard is een universele norm.

Een ergernis die ik inmiddels al tientallen jaren heb is dat er juist met alle macht niet wordt gestandaardiseerd. Voordat de commercie brood ging zien in het internet kon IRC-software met elkaar communiceren omdat het dezelfde standaard implementeerde, kon usenetsoftware met elkaar communiceren omdat het dezelfde standaard implementeerde, kon e-mailsoftware met elkaar communiceren omdat het dezelfde standaard implementeerde, websoftware ook al.

Er worden standaards nog ondersteund, en er worden standaards toegevoegd, maar wat je bijvoorbeeld bij het web ziet gebeuren is dat dat zo'n krachtig applicatieplatform is geworden dat daarbinnen van alles wordt gedaan dat zich juist geen ene donder van standaardisatie aantrekt. We hebben geen gedeelde standaard voor sociale media of voor microblogging, we hebben propriëtaire platforms als Facebook en Twitter. Whatsapp is geen open protocol en infrastructuur waar allerlei aanbieders van software en van diensten op kunnen inhaken zonder dat dat beperkingen oplevert met wie je kan communiceren. Zoom is ook geen open protocol.

Wat je steeds ziet is dat commerciële aanbieders het qua gebruiksaandeel winnen van de open protocollen en infrastructuren omdat ze een enorm marketingbudget in stelling kunnen brengen en omdat de meeste mensen bij marketing niet hun schouders ophalen en kijken wat er nog meer is maar het cool vinden en het gaan gebruiken.

Ik heb gemerkt dat aan veel mensen bijna niet uit te leggen is. Ze vinden het volstrekt vanzelfsprekend dat ze elk elektrisch apparaat in elk stopcontact kunnen pluggen maar zijn kennelijk niet in staat om te bevatten dat dat geen natuurwet is maar een afspraak waar iedereen zich aan houdt, en dat het verdomd onhandig zou zijn als je voor Philips-apparaten Philips-stopcontacten nodig zou hebben, voor Sony-apparaten Sony-stopcontacten etc. En kennelijk is ook niet te bevatten dat dat ook bij sociale media, chatten, videobellen en noem maar op een enorm voordeel zou opleveren.

Ik denk dat we een beter internet en betere IT hadden gehad als de mensheid wat minder achter de kluiven die het bedrijfsleven ze voorhoudt zou aanrennen en de ontwikkelingen wat langzamer waren gegaan maar in de richting van algemeen nut in plaats van nut voor de aandeelhouders van het bedrijfsleven.

Als kamerleden, naast WhatsApp voor koetjes en kalfjes, bijv. Threema gebruiken voor onderlinge en/of meer vertrouwelijke communicatie, is dat toch winst? Zie ook mijn bijdrage van 06-08-2021, 13:06.

D66 mist duidelijk ICT expertise. Welk tool je gebruikt maakt weinig uit, je houdt een afhankelijkheid met een leverancier welke dat dan ook is. Met open source heb je nog steeds die leveranciersafhankelijkheid. Geen enkel 2e kamerlid gaat die code bekijken en dan hoef aan het onderhouden nog niet eens te denken.

Dus een partij die een alternatief wil laten onderzoeken "mist expertise".
Dan vraag ik mij wel af, hoe zou je op een expert-manier moeten vragen om hulp?

(en nee, ben geen D66 stemmer)

Wat een domme opmerking. Verdiep je eerst eens in opensource. Gebruikers gaan geen code bekijken, weer zo'n domme opmerking.
Open standaard daar gaat het om en bij voorkeur open source. Dat eist de overheid al, zodat iedereen kan inhaken en bouwen op wat al gebouwd is. Zo worden wij er samen beter van en niet 1 enkel bedrijf.

Dit klinkt wellicht als een domme opmerking.
Maar naar mijn weet is parlementaire communicatie over WhatsApp. Gelijkelijk ingeslopen als algemeen geaccepteerd geraakt. ( een overside betreft privé/werk scheiding).
Betreffende het artikel stoor ik mij aan twee aspecten.

Als eerste de uitspraak van D66. Welk aanvoelt als een impulsieve actie reactie. ( iets gaat fout, dus moet het anders) met daar in een tekort koming in het inzicht van de realiteit. Ongeacht welk systeem of communicatie techniek wordt gebruikt in de huidige tijd en vooral op dit niveau van datavalue. Zo nu en dan (bewust of onbewust) lekken doorkomen. ( its part of the political game). Dit is niet anders nu als in de jaren 70 dat papier, fax of klerk gebruikt werden.

Ten tweede. Zijn binnen de huidige zittende volksvertegenwoordigers weinig tot nauwelijks expertise betreft dit security topic. Nog niet te spreken over de verdere gebrekkige (digibetie dat de gevestigde orde is). Verschillende opmerking in de comments als stiekem al de huidige situatie zijn te lastig of omslachtig voor de huidige zittende orde.

Tevens waar Snelle in het laaste deel van artikel het bovenstaande aanhaalde. Spreekt hij zich tegen betreft het onderdeel griffiers registratie en zijn eerdere statement omtrent beheergemak en beveilig. Dat blijkbaar al niet toereikend genoeg is voor het huidige parlementair proces.

In tegenstelling tot de leveranciers van gesloten commerciële systemen, zoals die van Apple en Microsoft, kan men op de producten van open ontwikkellaars, zoals die van Fedora en het Debian project, wel goed audits door onafhankelijke instanties en door andere derde partijen laten uitvoeren. Daarvan zijn de broncodes namelijk wel beschikbaar.

https://reproducible-builds.org/projects/

Die open source projecten zijn gebaseerd op internationaal erkende open standaarden. Dat vereenvoudigd de audits.

Zeker vijftien van de hondervijftig Tweede Kamerleden lezen ook regelmatig mee op Security.NL, Tweakers.net, Computable en de c't, nadat de verschillende teams van fractiemedewerkers het meest relevante ICT nieuws hebben geselecteerd en voorgekauwd.

https://www.tweedekamer.nl/kamerleden_en_commissies/commissies/diza

Als je er in verdiept, in plaats van op de onderbuik te reageren, dan zul je spoedig zien dat de politiek beter is ingelicht dan menigeen op Security.NL zich inbeeldt. Wel is het onderwerp uitermate taai en vergt het een lange adem.

https://www.security.nl/posting/645393/Europese+Commissie+kiest+Signal+als+aanbevolen+chat-app


Neem eens kennis van de Kennisagenda van de vaste Kamercommissie voor Digitale Zaken. Ze krijgen het er druk mee.

https://www.tweedekamer.nl/kamerleden_en_commissies/commissies/diza