Korte tijd?
Disable moet helpdesk in 25 min kunnen doen.

Lekker vaag. Het kan een korte tijd duren. Maar het kan ook een lange tijd duren. Het is maar net hoe de wind waait. Komt er een mediastorm over ongeautoriseerde toegang, dan gaan we rennen. Anders niet. Tot zover het joiners/movers/leavers proces. Niet over nagedacht. Niet belangrijk genoeg, want we hadden haast. En aangezien het nu nog steeds niet goed is geïmplementeerd, is het nog steeds niet belangrijk genoeg.

Er blijkt dus maar weer dat de GGD, werkend met extreem gevoelige gegevens, het geen moer kan schelen.
20 jaar geleden werden 'mijn' inloggegevens op mijn laatste werkdag verwijderd. Precies zoals het hoort.

Iets wat 'slechts eenmalig' gebeurt is, legt wel meteen het probleem bloot: degene die die cursus geeft, had nooit bij die gegevens mogen kunnen komen. Als het iemand uit het veld is, dan had die zich moeten realiseren dat dit absoluut niet kan. Ook niet omdat het 'even snel' moet.

In plaats van die complete GGD per direct te ontmantelen, zal er wel weer wat 'verbeterd' worden. Op naar de volgende misser.
Ik wil met die hele GGD niks meer te maken hebben. Stik er maar in. Jullie snappen het gewoon niet (dat is misschien nog oplosbaar). En jullie willen het niet snappen (dat is onoplosbaar).

....korte tijd?

In dit geval is de anderhalve maand korte tijd een onacceptabele eeuwigheid.

Dit is niet te verexcuseren bagger. Niet minder.

Bij vorige werkgevers van mij was het in 1 tot uiterlijk 3 dagen gedaan met mijn acces m.b.v. Remmina. (ik gebruik thuis Linux)
3 dagen is eigenlijk al véél te lang. Een Manager HR en in tweede instantie, een Admin die het melden, respectievelijk IT verwerken van personeelsmutaties zolang laat aanslepen moet: óf nog leren prioriteiten te stellen, óf blijft ernstig in gebreke.

Dat hele opsporen van de GGD is kompleet nutteloos in een pandemie als deze. Snap echt niet dat we daar allemaal akkoord meegaan. Mensen kunnen zelf de mensen informeren met wie ze waren. Daar hulp bij krijgen is een ander verhaal.

Bij een 'op-staande-voet' of een proeftijdgeval deden we dit binnen 15 minuten (of zelfs al tijdens het slecht-nieuwsgesprek).

"De snelheid van de opschalingsoperatie maakte het niet mogelijk onderscheid te maken tussen vaste en tijdelijke medewerkers."
Dat komt omdat er pleister op pleister wordt geplakt en niet vooruit wordt gedacht. Alles gaat onde het motto: het is crisis en nood breekt wet.

Maar na bijna 3 jaar op en afschalen kun je anno 2022 COVID 2019 natuurlijk geen verrassing meer noemen.

Sjonge jonge, wat een beginnersfouten allemaal......

Ik kan best begrip opbrengen dat het allemaal wat minder gestroomlijnd gaat dan het reguliere werk, maar dit zijn toch wel elementaire zaken die ook in deze situatie gewoon op orde kunnen en horen te zijn. Als je accounts niet in één werkdag kan blokkeren en je gebruikt productiegegevens tijdens trainingen, dan ben je gewoon een prutser.....

Zo moeilijk is dat toch niet? Je zet in het systeem een einddatum neer en vanaf die dag is het account niet meer toegankelijk. Zo werkte het jaren geleden al. En anders laat iemand dagelijks even een lijstje aflopen en accounts blokkeren. Het gaat hier om gevoelige informatie die gewaarborgd moet blijven.

Uitschakelen hoort te gebeuren op datum en specifieke tijd middels een aanvraag vanuit HR waarop persoon uit dienst gaat of gewoon vol geautomatiseerd. IT hoort op HR na als eerste te weten dat iemand uit dienst gaat voor de persoon zelf nog. Want laatste wat je wilt is dat het einde van dienstverband is met emoties, wrok en iemand in gelegenheid is sabotage te plegen.

Je weet niet hoe iemand gaat reageren en moment dat iemand uit dienstverband gaat moet je die gene ook als buitenstaander meteen behandelen. Dus systeem op slot dan gesprek met HR dan onder toezicht van leidinggevende of Responsible op afspraak prive informatie laten kopieren vanaf een enkele toegestane map. En vervolgens inlevering en of uitschakelen van toegangstoken, kaart etc met ondertekening voor afmelden van het dossier. Als het een functie betreft waar nog inwerken van een nieuwe medewerker nodig is dan schakel je de toegang in fase uit middels een checklist van overdracht.

Los daarvan is het van de zotte dat een systeem met medische informatie bereikbaar is zonder VPN en IP whitelisting.
En simulatie met echte data is een van de grootse bedrijfs doodzonde die je kan begaan.. Als iemand dat in mijn team het flikt ligt er een massclaim in verschiet namens onze klanten en is er sprake van ontslag op staande voet van de opdrachtuitvoerder wegens ernstig in gevaar brengen van klant, bedrijfsveiligheid.

Geen onderscheid kunnen maken tussen vaste medewerkers en uitzendkrachten qua persoonsgegevens is een lachtertje. Ze willen nu echt werkelijk beheren nog nooit van groepen en permissie structuren gehoord te hebben? Welke beheerder binnen operations gaat nu voor elke medewerker alles handmatig invullen daar heb je toch afdeling templates en gekoppelde policies voor? Al is het maar om menselijke fouten te minimaliseren. Dit hadden we 20 jaar terug ook al binnen de zorg naast een gefaxed kopie.

Allemaal domme leugens van de bovenste plank die ze zeggen waar iemand met beetje kenns zo door heen prikt. (no pun intended) Dit is puur mismanagement heeft weinig met technische mogelijkheden te maken.

Blij dat ik niet aan dit circus ben begonnen en zolang er een stel clowns op management niveau daar zitten zien ze mij niet langs een teststraat prik locatie gaan.

Bij een spoedje om wat voor reden dan ook is bij ons eerst je account disabled en dan mag je op gesprek komen.
Komt niet vaak voor maar op deze manier is er geen enkele moglijkheid om nog iets te 'vernielen' meet te nemen of wat dan ook.

Wat wordt er weer heerlijk vanuit de heup geschoten hier… Zoals zo vaak: de beste stuurlui staan aan wal. Het is natuurlijk ook gemakkelijk raak schieten, op zo’n groot target.

De GGD’s hebben in nog geen twee jaar tijd (dus geen drie, meneer/mevrouw Anoniem) bijna 25 miljoen testen afgenomen en in zo’n 13 maanden tijd 29 miljoen prikken gezet. Dat is een project van ongekende omvang.

Hoeveel grote organisaties kent u, die in omvang verdrievoudigden in slechts enkele maanden tijd en daarbij altijd alles perfect voor elkaar hadden? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, waar op vrijdagmiddag (door de minister in dit geval) besloten werd dat er met ingang van de maandag daarop plots dingen moesten gebeuren, of juist niet, of compleet anders moesten, en dat dan ook voor elkaar kregen? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die in no-time een callcenter overeind trokken dat op piekdagen 1.000.000 telefoontjes afhandelde? Geen? Dat dacht ik al.

Hoeveel organisaties kent u, die de afgelopen 12 jaar door de overheid compleet kapotbezuinigd zijn, net zoals bijvoorbeeld (andere) zorg, politie en onderwijs? Die dus alleen hebben kunnen focussen op hun primaire proces en daarom geen geld hadden voor het op niveau houden van hun bedrijfsvoering? En toch deze mega-operatie uitvoerden? Geen? Dat dacht ik al.

Zeker zijn er dingen fout gegaan en gaan ze ook nu niet goed. En het duurt allemaal te lang. En dat is niet goed te praten. Maar wel enigszins te begrijpen, als je kijkt naar de omvang van deze totale operatie. Als er maar vooruitgang in zit, en die indruk heb ik wel. Ik heb veel respect voor wat de GGD’en de afgelopen twee jaar neergezet en gepresteerd hebben. Want dat zou de meeste andere organisaties (zelfs commerciële) niet gelukt zijn. En dat mag ook gezegd worden. Want van alleen maar schoppen wordt het zeker niet beter.

Natuurlijk moet je voor dit gigantische project veel respect kunnen aandragen. Iemand die dat niet kan of wil, babbelt m.i. vanuit zijn ervaring met alleen badkamerverbouwingen van 3 bij 4 meter e.d. en kan beter zijn mond houden als hij/zij kritiek levert op de GGD.

maar....

Je veronachtzaamt met je opmerking: 'uit de heup schieten' toch een beetje het feit dat hoewel hier sprake is van een incident, dit afschuw veroorzaakt bij elke rechtgeaarde ICT'er die zijn vak verstaat.

En daar draait het hier om. Het is hier een ICT security website en geen website die gebed is in de medisch maatschappelijke dienstverlening.
Dus in aanmerking genomen de ICT achtergrond 'verdient' dit incident echt alleen de kwalificatie: Bagger.


Daar ben ik het volledig mee eens!!

Wij zijn het wel eens hoor. Waar ik op aansloeg was het gebrek aan nuance. En dan vooral de reacties dat het allemaal zo simpel zou zijn en dat dat op een achternamiddag tussen de koekjes en de thee zo te regelen zou zijn. Ik heb cijfers gezien van de dagelijkse instroom en uitstroom van uitzendkrachten en ander tijdelijk personeel, en geloof me: je moet een dijk van een organisatie hebben om dat te kunnen managen. Alleen al het opzetten van zo'n zware backoffice is een mega-klus. Laat onverlet dat er dingen voorgevallen zijn die nooit hadden mogen gebeuren!

Wat exact heeft de hoeveelheid prikken te maken met het gekozen beleid en beveiligings protocol?
Of ik nu 5 medewerkers inzet of 5000 als er templates liggen is het een kwestie van schalen daar zijn gewoon berekenings methodes voor en zowat alles wat niet fysiek is kan je automatiseren.

Het opschalen van server infra stelt tegenwoordig echt niks meer voor tenzij je niet nadenkt over wat je voor infra gebruikt.
Als je rond 2020 signalen krijgt dat je infra de verwerking qua capaciteit niet aankan dan herzie je het opschalings plan.

Verdrievoudigen van capaciteit is echt niet bijzonder meer in dit decenia. Menig bedrijf activeerd nieuwe server clusters per week of maand we hebben niet voor niks een booming datacenter industrie. Extra schijfruimte, Cores, Geheugen? 2 minuten en online. Deployment script 5 minuten. snapshot clonen? 30 minuten. Nieuwe IP range en domein actief 2 tot 4 uur. Als ik wil kan ik nu een telefoonje plegen en binnen paar weken is er exabyte aan data gemigreerd van locatie naar een nieuw datacenter. Duur? Oh ja absoluut maar mogelijk definately en ook in het budget van de overheid.

Callcenter optuigen? Alsjeblieft dat heeft GGDGHOR niet gedaan die hebben opdracht gegeven en toen zijn de aasgieren er boven op gedoken en zijn ze goed beet genomen omdat ze wederom geen enkel toezicht deden op aanbesteding en eisen. https://www.ftm.nl/artikelen/cashen-corona-callcenters
Moeten we dat een noemenswaardige prestatie noemen? Verkeerde aanbesteding niet controleren van marktconform tarief?

Organisaties die kapot bezuinigd zijn en mega operaties moeten uitvoeren? Wel wat dachten we van ziekenhuizen en revalidatie klinieken? Hoor geen klachten over administratie problemen bij hun wel over capaciteit issues met beschikbaar personeel maar ongeacht de enorme groei aan administratie zelden gehoord in de afgelopen crisis van een IT storing in die sector.

Fouten worden overal gemaakt het is niet meer dan menselijk maar risico analyse hoort er ook bij en het is een feit dat GGD, GGDGHOR en VWS alle regels en protocollen aan hun laars hebben gelapt ze zijn er meerdere keren nu al op aangesproken. Het afdoen als dat het enkel komt door opschaling is onzin HPzone lite en CoronIT waren al vanaf begin bekend als niet efficient inzetbaar en niet veilig genoeg maar die audits zijn weggewuifd en pas nadat alles is uitgelekt is inclusief het actieve misbruik is er haast gezet achter uitfasering to safe face.

Ik geef je op een briefje over enkele maanden lekt er ook weer uit dat het nieuwe systeem niet in orde is en dan met het excuus dat men tijdens crisis tijd moest migreren.

Alle respect richting de reguliere medewerkers en betrokken partners maar top ambtenaren, middel management en hoger management hebben simpelweg gefaald. Als we dat stel onkunde wegschoppen kan het wel degelijk beter erop worden.

We hadden meeste van deze hele infra niet nodig gehad als men gewoon ging prikken en het gele vacinatie boekje en ID tonen accepteerde als bewijs van vacinatie en vertrouwde op de eerlijkheid van de meerderheid aan mensen want die kleine groep fraudeurs die hou je toch nooit tegen. Dat in combi met het hele bron contact onderzoek meteen op de schop gooien na bleek dat het realistisch niet eens haalbaar was in plaats van elke keer tijdelijk te pauzeren.

Instead zitten we nu met een registratie systeem dat lek als een mandje is waar fraudeurs in kunnen grasduinen zonder effectief toezicht. We te maken hebben met enorme wantrouwen door het opvoeren van een buiten proportioneel registratie systeem en applicatie uit een think thank van KPMG maar verkocht als wetenschappelijk onderbouwd.
https://assets.kpmg/content/dam/kpmg/nl/pdf/2021/services/hoe-verder-in-2021.pdf

Keep It Simple Stupid maak er geen rocketscience van als het niet nodig is.

En maar doen alsof dit een "incidentele" fout was en zeggen dat het "nooit meer mag gebeuren". Hou toch op. Dit gebeurt aan de lopende band met digitale gegevensbestanden en het zal ook blijven gebeuren, want mensen zijn mensen.

De enige oplossing is om zulke gevoelige gegevens niet meer in grote aantallen in digitale bestanden te stoppen.

Maar die conclusie wil men natuurlijk niet trekken. Te veel belangen, men heeft zichzelf al lang in een hoek geschilderd. Dus wen er maar aan dat de wet (de AVG) structureel zg. "incidenteel" wordt overtreden omdat men schijt heeft aan jouw privacy, aan jouw veiligheid, aan jouw vrijheid.

Het is een jungle. De enige oplossing voor mensen die daar niet het slachtoffer van willen worden, is zich gedragen zoals in de jungle. Dat wil zeggen: onder de radar blijven, uit de systemen blijven. Dus geen prik gaan halen en als je de grens over gaat, te voet door een weiland. Etc. etc. Maar ze zijn bezig om van Europa één groot gevangenkamp te maken naar Chinees voorbeeld, dus uiteindelijk zul je waarschijnlijk echt naar een heel andere plek moeten emigreren.

Als zo'n helpdekskmedewerker of zo'n management-klojo ooit nog van een papiertje oplepelt dat ze "waarborgen" hebben zodat de gegevens veilig zijn, dan weet je dat ze betaald worden om die leugen op te dissen.

Ik neem aan dat de nieuwe medewerkers niet 6 weken hoeven te wachten voor ze toegang hebben tot het systeem.
Als de ex-medewerkers dan wel 6 weken toegang houden, dan is er duidelijk iets totaal verkloot.
Immers die mega back-office die zit er, anders konden ze geen nieuw personeel aannemen.

Ik denk dat we hiervoor een nieuw woord moeten voor bedenken. Heeft iemand suggesties?

Al die opmerkingen over 'de organisatie heeft het moeilijk gehad' enzo... Dat zal vast.
Maar blijkbaar kan het salaris van die medewerkers wel op tijd betaald worden - anders had daar vast meer gezeik over geweest.
Dit vindt men duidelijk niet belangrijk: we hebben er geen last van, komt wel een keer (of niet).

De AP is gewoon niet in staat om technische vraagstukken goed te beoordelen. Ze willen wel heel veel juristen maar geen technici in huis hebben. Dan vraag je om wonderlijke vreemde uitspraken.

Eigen apparatuur (BYOD) is niet het probleem mits je maar naar een virtuele interne desktop doorsluist. Daar zijn standaard oplossingen voor zoals met Citrix en VMware. Dienstverleners zouden die als standaard in de portfolio moeten hebben.
Op dat moment is de vraagstelling met coronasystemen ineens heel anders.
- kan er aan een virtuele GGD desktop aangelogd worden j/n
- is er binnen de virtuele desktop de corona applicatie apart afgeschermd j/n
- hoe is het beheer naar die corona app via een IAM (identity Access Management) systeem ingeregeld.
Pas daarna komen de technische details met de uitzonderingen en aandachtspunten.

Dat het omgedraaid wordt en eerste naar technische details en uitzonderingen gegaan wordt is veeg teken.
De AP faalt volledig in de advisering en daarbij is de technische invulling via aanbesteding met snel klaar keuzes mogelijk niet goed by design. Voor je het weet heb je een Kasey met open access verhaal.

Ontmantelen en opnieuw opbouwen geeft geen enkele garantie dat het de volgende keer beter gaat.

Misschien doet de helpdesk het instant... maar, ergens, ergens zal een leidinggevende moeten melden dat z'n MW uit dienst is.
Als een manager op vrijdag avond klaar is en pas maandag meld dat zijn MW zaterdag gestopt is... uiteindelijk werken mensen geen 24 uur, als de MW tijdig aangeeft te stoppen kan dat vooraf, maar als een MW zaterdag plots stopt zonder dat vooraf te melden aan zijn/haar leidinggevende... hoe doe je dit dan tijdig?

Op dit onderwerp (opheffen accounts) is 'bezuinigen' een slecht excuus. Je verwerkt eerst de 'uit dienst' mutaties, daarna de' in dienst' mutaties. Als er dan te weinig capaciteit voor accountbeheer is, droogt de instroom vanzelf op.

Moraal van het verhaal: Als er te weinig budget is om het werk deugdelijk uit te voeren, moet je stoppen met het uitvoeren van het werk. Niet de kantjes er vanaf gaan lopen ten koste van de informatieveiligheid van je klanten/burgers.

Hoofdstuk 9 van de Baseline Informatiebeveiliging Overheid (ISO2700x gebaseerd) stelt eisen aan toegangsbeheer. Elke manager die een beheerder dwingt dit soort basale beveiligingsmaatregelen te overtreden neemt een enorm risico voor de organisatie en mogelijk zichzelf.

Voor mensen die ooit in zo'n situatie komen, het volgende advies:
Wordt je door een manager gedwongen om serieus af te wijken van de regels voor informatiebeveiliging, adviseer ik als eerste om een mailtje aan zo'n manager te sturen met ongeveer deze tekst: "Ik heb begrepen dat de werkinstructie luidt: ........ Graag wil ik dat in een antwoord op deze mail bevestigd zien" . Grote kans dat zo'n manager al nattigheid voelt, kans ook dat je afgeblaft wordt met "wat een flauwekul". De manager kan eigenlijk niet anders kan dan antwoorden, bij het uitblijven van een antwoord heb je als beheerder namelijk de mail waarin je om bevestiging vraagt en kan je je altijd verdedigen met: "daar is nooit een antwoord op gekomen" of "mondeling is gezegd....". Een manager die zo'n mail onbeantwoord laat is in gebreke, het is namelijk zijn taak om dit soort 'misverstanden' direct de wereld uit te helpen.

De volgende stap is melding maken bij het meldpunt integriteit. Dat kan zijn omdat je gedwongen wordt regels te overtreden, maar ook als je mail niet beantwoord wordt. Er wordt van je gevraagd om iets tegen de regels te doen, maar je krijgt geen schriftelijke bevestiging. Elk meldpunt integriteit dat zichzelf serieus neemt moet hier iets mee.

Mocht je bij het meldpunt ook niet gehoord worden, dan is een mailtje naar de pers dat het een puinhoop met informatiebeveiliging en dat meldingen niet serieus worden opgepakt genoeg om te zorgen dat zo'n organisatie zich wel aan de regels gaat houden. In dit laatste geval heb ik het niet over een paar losse incidentjes, maar over structurele overtredingen zoals hier het geval is.

Weer een reden om dit digitale priksysteem af te breken, gewoon opheffen die boel.
Het is nergens voor nodig om vaccins in een digitaal systeem te stoppen, prikken is waar het om gaat in een pandemie! Als je dat goed geregeld hebt is het belangrijkste gefikst.
Alle "bovenbouw" vergroot alleen maar de privacy-onveiligheid voor iedereen en de controlehonger van de overheid.
Twee zaken die je allebei niet moet willen.