D66 wil opheldering over niet naleven beveiligingsregels door overheidssites
D66 heeft minister Yesilgöz van Justitie en Veiligheid om opheldering gevraagd over cijfers waaruit blijkt dat een groot deel van de overheidssites niet aan afgesproken beveiligingsstandaarden voldoet. Volgens onderzoek van het Forum Standaardisatie had 56 procent van de onderzochte overheidsdomeinen de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde, zo meldde Security.NL afgelopen september.
Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. "Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties", aldus het Forum Standaardisatie.
De cijfers zijn aanleiding voor D66-Kamerlid Van Ginneken om Kamervragen te stellen. "Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in 2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?", zo wil ze van de minister weten.
Yesilgöz moet ook duidelijk maken welke rol het tekort aan it’ers bij de Rijksoverheid speelt om te voldoen aan de implementatie van de verplichte beveiligingsstandaarden en welke andere oorzaken er zijn. "Hoe gaat u ervoor zorgen dat ook lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving", vraagt Van Ginneken verder. Als laatste moet de minister laten weten wanneer het ministerie van Justitie en Veiligheid aan de standaarden voldoet. Yesilgöz heeft drie weken om met een reactie te komen.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
De BIO is ToD, geen ToE. Dat laatste is belangrijker dan ToD want je toont aan dat je ontwerp werkt zoals bedacht.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
Op zich is overheid en IT niet eens zo'n slechte combinatie.
De IT systemen moet je denk ik meer zien als nuts voorzieningen en hoeft helemaal niet met de markt te concurreren.
Naar mijn mening en ik zeg het heel simpel. Is de oplosing als volgt.
- Zet een ministerie van IT op.
- Vernietig alle koningsrijkjes, die allemaal vinden dat ze zo speciaal zijn.
- Maak standaard bouwblokken (deze zijn er al stiekem, bij verschillende ministeries)
- En neem normale burgers aan, om het te maken en te beheren. Dus geen ambtenaren!
- Werk eventuele met externe partners, liefst in brokken, dat niet alleen de Centrics of Microsofts hier aan mee kunnen doen.
- En verplicht hier gebruik van te maken.
Het grote voordeel hierin is en ja, ik ben open source liefhebber.
- We kunnen een onafhankelijke Linuxdistributie maken. Gebaseerd op Ubuntu?
- We kunnen wetgeving/standaarden afdwingen, denk aan audit logging etc
- Het wiel hoeft niet elke keer opnieuw uitgevonden te worden en kan verbeterd worden.
- Per FTE, ben je uit eindelijk goedkoper uit. Ambtenaren salaris is stiekem niet zo slecht ;)
- Security gaat er op vooruit, je kan zaken tenslotte afdwingen in je basis O.S.
En als je als overheid, helemaal tof en hip wilt zijn.
Maak dit geheel OpenSource en laat anderen mee ontwikkelen.
Want ook het MKB, kan een goede, geteste en veilige basis gebruiken om op voort te bouwen.
Pas dan zetten we als Nederland ( en EU?) stappen voorwaarts met onze digitale infrastructuur.
Dit zeg ik na ruim 20 jaar ervaring als externe bij onze overheid.
Overal de zelfde type problemen, de zelfde bouwblokken. Maar ze zijn allemaal zo special.... not.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
Ha, ha, ha. Doe datzelfde onderzoek eens bij commerciële bedrijven. De meesten, vooral kleinere, partijen hebben nog nooit van het Forum van Standaardisatie of zelfs maar van OWASP gehoord om maar twee willekeurige zaken te noemen. Of ze weten het verschil niet tussen een vulnerability scan en een A&P-test.
Alleen wordt dit ondertekend door bobo's zonder doorzettingsmacht. Middel management die controle moet uitvoeren wordt niet aangestuurd en staat tandenloos.
Maar wij allen kunnen ook wat doen. Gebruik de internet.nl tool voor de website van je gemeente.
Als die noet boven de 95% scoort - rapporteer dit zowel als burgervraag aan je/de gemeente waarom ze zo onzorgvuldig zijn en stuur een afschrift aan de meest actieve (oppositie)partijen in je/de gemeente.
Waarom zouden we als burger onveilig gedrag door onze gemeenten accepteren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
