Minister kondigt ontwikkeling van cyberkeurmerk voor ict-leveranciers aan
Dit jaar zal er worden gestart met de ontwikkeling van een cyberkeurmerk voor ict-leveranciers, zodat mkb-bedrijven de juiste partij voor hun cybersecurity kiezen en niet bij een beunhaas uitkomen. Dat heeft minister Adriaansens van Economische Zaken bekendgemaakt. Vorig jaar nam de Tweede Kamer een door de VVD ingediende motie aan waarin de regering werd verzocht om in overleg te treden met het Digital Trust Center (DTC) en betrokken brancheorganisaties om te komen tot een eenduidig keurmerk om mkb-bedrijven beter te ondersteunen bij hun cybersecurity (pdf).
"Mkb'ers en met name het kleine mkb hebben vaak niet de kennis, kunde of capaciteit in huis om hun informatiebeveiliging zelfstandig op orde te krijgen. Ze krijgen om die reden ook vaak hulp van externe it-leveranciers die kunnen helpen bij hun cybersecuritybeleid, maar de huidige wildgroei aan it-leveranciers en keurmerken kan het heel lastig maken om goed te kunnen inschatten of iemand nou goed werk levert of dat je te maken hebt met een beunhaas", zo liet VVD-Kamerlid Rajkowski over het keurmerk weten.
"We moeten ondernemers helpen om het kaf van het koren te scheiden. Daarom wil de VVD dat er een cyberkeurmerk komt voor it-leveranciers voor het mkb, in samenwerking met het Digital Trust Center. Honderd procent veiligheid bestaat niet, dus dat willen we ook niet garanderen, maar we kunnen er wel alles aan doen om ondernemers waar mogelijk zo veel mogelijk te ondersteunen en te stimuleren om digitale deuren op slot te houden", ging ze verder tijdens een debat dat afgelopen november plaatsvond.
Minister Adriaansens van Economische Zaken liet toen weten dat ze een fan is van keurmerken. "Ik denk dat duidelijkheid, zeker in dit soort situaties, heel erg kan helpen. Het is van oudsher echter wel aan het bedrijfsleven om marktinstrumenten zoals keurmerken, labels, certificeringen en dergelijke te ontwikkelen. Maar goed, gezien de economische en veiligheidsbelangen die hier wel degelijk spelen, wil het kabinet ook zelf de ontwikkeling van dit instrumentarium stimuleren."
Vandaag meldt de minister dat er afspraken zijn gepland met de relevante partijen die reeds hebben nagedacht over een dergelijk keurmerk of kennis hebben van bestaande Nederlandse en Europese wetgeving en certificeringschema’s. Het DTC zal zich hier echter niet mee gaan bezighouden. "Aangezien een keurmerk (of certificering) een instrument is van en voor marktpartijen, is het DTC als overheidsorganisatie hier niet voor geschikt", legt Adriaansens uit.
De minister merkt op dat er in de uitwerking wordt nagedacht over twee mogelijke sporen, namelijk aan de ene kant een mkb-keurmerk voor bedrijven, gericht op de eigen digitale weerbaarheid, aan de andere kant een keurmerk voor ict-dienstverleners gericht op de cybersecurity van de ict-producten en diensten die zij aanbieden. "Op basis van de inventarisatie en consultatie met brancheorganisaties naar de behoeften in de markt, zal dit jaar worden gestart met de publiek-private ontwikkeling van het keurmerk", aldus Adriaansens.
Daarbij biedt enkel een certificaat geen zekerheid als enkel het serverbeheer wordt uitbesteed dan kan er via het netwerk dat de klant zelf beheerd nog steeds een hack plaatsvinden.
Inzetten op educatie i.p.v. nog een nieuw keurmerk zou een betere optie zijn.
[...]
Daarom wil de VVD dat er een cyberkeurmerk komt
https://xkcd.com/927/
Daarbij biedt enkel een certificaat geen zekerheid als enkel het serverbeheer wordt uitbesteed dan kan er via het netwerk dat de klant zelf beheerd nog steeds een hack plaatsvinden.
Inzetten op educatie i.p.v. nog een nieuw keurmerk zou een betere optie zijn.
Eens, geen van deze certificaten bieden een technische beveiliging van het netwerk...
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.
Alsjeblieft, overheid voer dit maar in. Geen reuze tender nodig.
Deze oplossing zorgt dat het technisch ook goed geregeld is.
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.
Neemt niet weg dat het idee achter ISO 27001 helemaal niet zo slecht is omdat het een bewustwordingsproces in werking zet bij de bedrijven.
Alsjeblieft, overheid voer dit maar in. Geen reuze tender nodig.
Deze oplossing zorgt dat het technisch ook goed geregeld is.
Na, veel te efficient.
Politicy moet altijd iets hebben waaraan hun vriendjes veel kunnen verdienen, bijvoorbeeld met het geven van adviezen of uitgeven van certificaten.
Heb te vaak gezien dat een ISO 27001 auditor was die tijdens een audit vroeg om het beveiligingsbeleid van het bedrijf en deze liet zien dat ze deze hadden... de auditor skimde het document en vond het goed...
Hij keek niet of wat erin stond en of het voldeed aan de eisen van dit beleid...
Het beleid was een nutteloos document dat 8 jaar geleden was opgesteld en nooit meer naar gekeken was. Informatie was niet meer actueel en had geen enkel verband meer met de huidige werkzaamheden binnen het bedrijf.
Auditors hebben vaak dus niet de juiste kennis om de vereiste goed te beoordelen omdat ze alleen kennis van het doen van audits, maar niet van het vakgebied zelf.
Geeft goed aan waarom certificering alleen zo goed zijn als de auditor die de audit doet.
Heb zelf in een bedrijf gewerkt wat iso certificaat software ontwikkelde. Onder andere mijn backup document was alleen de titel met inleiding (goedgekeurd door alle management lagen gezien ik een super admin account had) en alles was in orde.
Op de vraag hoe raak kan je je iso certifcaat weer kwijt raken was het antwoord, dat heb ik nog nooit meegemaakt. Je krijgt maatregelen ter verbetering en dat kan je jaren rekken.
Daarna was hij verbaast dat we het certificaat niet wilden hebben omdat we dan met allerlei papier werk opgezadeld werden waar in de praktijk niemand wat mee doet. Die hele iso meuk is een papieren tijger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
