De belastingdienst heeft zijn https certificaat gewoon uit Ierland, dus dus zo belangrijk zal het ook weer niet zijn.
"Goed op het slotje letten" hadden ze gezegd. Nou, dat doe ik, en "DigiCert Ireland Limited" is niet bepaald Nederland!

Ik had verwacht dat de Nederlandse overheid wel ten minste hun eigen certificaat zou hebben.
Blijkbaar dus niet!

gemeente.amsterdam: geen SPF en geen DMARC records.

https://gemeente.amsterdam: werkt niet.

http://gemeente.amsterdam: zonder AitM wordt je browser doorgestuurd naar https://www.amsterdam.nl/.

Bijv. almere.nl heeft nog steeds geen HSTS policy (terwijl dit allang wettelijk verplicht is voor overheidsdomeinnamen): https://internet.nl/site/almere.nl/3085976/#control-panel-10.

Prutsers.

Bijzonder dat wetgeving alleen geld voor burgers. Kijk naar de belastingdienst die de boetes voor schijn zelfstandigheid gaat betalen maar door gaat met de inzet van zzp’ers.

Dat krijg je met al die nutteloze ambtenaartjes die allerlei regeltjes bedenken en die geen flauw benul hebben van hoe zaken in de praktijk werken. Je hebt dan ook nog eens allerlei puristische IT' ers die ook al niet weten hoe het binnen organisaties werkt die betrokken worden en et voila, een hoop nutteloze niet handhaafbare richtlijnen. Hetzelfde zie je met de NIS2 en de BIO2 gebeuren. Allemaal voer voor de groene vinkjes halers maar wordt het dan echt veiliger? Compliancy is niet hetzelfde als weerbaar zijn en met een aantal groene vinkjes ben je er nog lang niet.
Een gemiddelde gemeente heeft iets van 180 processen varierend van medium tot high risk waarvan de proceseigenaren vaak helemaal niet in staat zijn om te sturen op risico's omdat a het management er niet in is geinteresseerd en b ze behoren allerlei onhaalbare doelen te behalen waardoor er geen tijd is om zich met risico management bezig te houden.
Weerbaarheid begint vooral eerst tussen de oren en niet op papier. Van proceseigenaren verwachten dat ze voor elke scheet in hun proces een risico analyse moeten gaan uitvoeren is utopisch denken. Die BBN waarde was zo gek nog niet want het benadrukte juist de waarde voor vertrouwelijkheid. Dat was nog vrij goed uit te leggen dat hun proces BBN2 was en dat er daarvoor een flink aantal maatregelen genomen moesten worden. Beter dat met vage BIV waarden aankomen waarvan ze al helemaal niet wisten wat ze ermee aan moesten. Daarnaast zit bijna 90% van de processen op die BBN2 waarde dus waarom dan een risico analyse uitvoeren als je van te voren al weet welke maatregelen genomen moeten worden. De processen veranderen niet of nauwelijks en bij een aanpassing van een verwerking kijk je toch al met een pre dpia wat er precies veranderd en of het risklevel van het proces ermee veranderd. Dat is je PDCA cyclus die je er ieder jaar mee doorloopt.
Ik ben zeker geen tegenstander van een goed uitgedachte baseline aan maatregelen maar als ik zelf zie dat veel gemeenten en overheden nog niet eens aan de minimale baseline voldoen heb ik er een hard hoofd in dat de nieuwe richtlijnen wel gaan werken.
Het beste om de weerbaarheid te testen is om gemeenten en overheden te verplichten om zich jaarlijks te laten testen via bijvoorbeeld een hackers collectief. Een paar honderd hackers die los gaan op de omgevingen, zonder scoping overigens want die gebruiken criminelen tenslotte ook niet. Van alle bevindingen moeten gemeenten en overheden dan verantwoording afleggen hoe en hoe snel ze deze gaan oplossen. Mijns inziens, naast een verplichte baseline op basis van de 6 pijlers van infosec, heeft dat veel meer impact op weerbaarheid dan weer een shitload aan allerlei onhaalbare regeltjes en doelstellingen bedacht door een stel overbetaalde ambtenaartjes en veel te dure ZZP' ers.