Hirsch Ballin gedaagd om virusscanner
Minister van Justitie Ernst Hirsch Ballin (CDA) is voor de rechter gedaagd omdat hij geen helderheid over de bescherming van gevoelige gegevens op het ministerie wil geven. Uit vrijgegeven bonnetjes bleek dat de minister zelf een virusscanner op zijn laptop had geïnstalleerd. "In goed beveiligde zakelijke omgevingen is het installeren van dergelijke software voorbehouden aan systeembeheerders. Daarom roept dit de vraag op hoe veilig de laptop is en of er ook kwaadaardige programmatuur aanwezig is", aldus onderzoeksjournalist Brenno de Winter.
De Winter verzocht met een beroep op de Wet openbaarheid van bestuur om documenten over basale beheersprocedures publiek te maken. “Een minister heeft altijd interessante informatie bij zich, waarbij in een aantal gevallen dit gevoelig zal zijn. Is het niet voor het departement dan is het wel gevoelig voor de burger”, stelt hij dan ook. “Deze zaak roept veel meer vragen op. Die hoor je te onderzoeken zeker als het een bewindvoerder betreft die jaarlijks het volk van het belang van informatiebeveiliging probeert te overtuigen via een campagne.”
Reactie
Toch kreeg De Winter geen reactie op zijn verzoek, waarop hij naar de rechter stapte. Die besloot de zaak versneld te behandelen. “De minister lapt de wet aan zijn laars, want na acht maanden is er niets gebeurd. Dat is een bestuurder onwaardig en zou je al helemaal niet van een justitieminister verwachten", merkt de journalist op.
Naast een dwangsom en het afdwingen van een beantwoording heeft de Winter de rechtbank ook gevraagd een beslissing op het informatieverzoek te nemen. “Zelf
blijken ze dat in acht maanden niet te kunnen en hopelijk herstelt de rechtbank de mogelijkheid voor een journalist om zijn taak naar behoren uit te voeren.” Waarschijnlijk is een uitspraak in de zaak te verwachten voor 21 juli dit jaar.
Het kan ook zijn dat hij vanwege zijn functie deze belangrijke beveiligingsmaatregel volledig in eigen hand wilde houden om vreemde mogendheden (de chinese systeembeheerder) niet volledig te vertrouwen was....
Het Orakel.
Laat die Hirsch Ballin maar eens even met de billetjes bloot gaan!
Daar wil ik overigens wel aan toevoegen dat onze overheid aan erg goede informatiebeveiliging dient te doen, omdat het doorgaans ONZE gegevens zijn die op hun systemen staan. Op zich ben ik dus niet tegen initiatieven die de beveiliging verbeteren.
Het lijkt me heel sterk dat op de normale kantoorlaptop geen standaard anti-virus staat, en nog gekker dat als de minister daar een persoonlijke wens voor zou hebben qua software, hij zelf dan de software koopt en declareert.
In een grootschalige IT organisatie gaat zo'n speciaal verzoek van een hoge baas gewoon naar de IT afdeling, en is die afdeling degene die (al dan niet met een creditcard van een teamleider+declaratie) zo'n enkele niet-standaard oplossing aanschaft en installeert bij de hoge baas.
(een lage baas krijgt natuurlijk gewoon "nee" te horen, maar de minister of CxO niet).
Wat ik denk is het volgende:
De minister heeft deze software gewoon voor een thuiscomputer aangeschaft. De declaratie van zo'n flutbedrag (het blijft een kleine kruidenier) zal hij voor zichzelf of voor het ministerie wel rechtvaardigen met de stelling dat hij ook werkt op die thuiscomputer. Misschien echt vertrouwelijk werk, misschien rechtspraak.nl af en toe bezoeken, of zelfs het lezen van geenstijl of telegraaf.nl als "werk gerelateerd" zien.
De voorlieger wilde die discussie "justitie werk op privecomputer" niet en heeft toen gedraaid naar "dienstlaptop" . En nu zitten ze al acht maanden klem en te wachten totdat die journalist het misschien vergeten is.
Geen grote beerput, gewoon een kruidenier die elke cent die maar enigszins "zakelijk" te draaien is wilde declareren en een leugentje om daar niet mee op straat te hoeven.
Op zich heeft Brenno wel gelijk, maar aan de andere kant lijkt het vrijgeven van details omtrent databeveiliging op ministeries mij op zich al een bedreiging. Dergelijke gegevens kunnen immers ook door kwaadwillenden misbruikt worden.
"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
100% mee eens. Indien de beveiliging doorgelicht moet worden (lijkt mij wel het geval), dan moet dat niet in het openbaar gedaan worden. Gegevens omtrent de databeveiliging moeten niet via een WOB aan willekeurige personen verstrekt worden.
Ik heb ook een voorkeur voor bepaalde software maar ik ben evengoed nog steeds gebonden aan wat het bedrijf mij levert. Blijkbaar als minister zijnde hoef je je daar niet aan te houden.
Volg de link en je ziet dat ie Norton wilde. Van Antivirus heeft hij dus ook geen verstand.
{quote][ii]"Hmm. Dus als ik het goed lees hoeft een willekeurige potientiele aanvaller slechts een WOB verzoek te doen om de veiligheidsprocedures van de overheid in handen te krijgen? Lijkt mij een slechte zaak. Dergelijke documenten horen eyes-only te zijn, en niet zomaar opvraagbaar voor iedere burger."
[/quote]
Oftewel, het feit dat minjust een slechte virusscanner heeft moet staatsgeheim blijven? Inderdaad conform de Haagse mores; vrijwel ieder staatsgeheim dient om falen te verbergen.
Het gaat mij niet zozeer om het openbaren van keuzes, maar over beheerprocedures. Dat is vrij standaard materiaal. Of het wel of niet openbaar moet worden, is een discussie die pas speelt als er een beslissing op het Wob-verzoek ligt. Zover zijn we na acht maanden niet eens. Dus het welles/nietes-spelletje is nog niet eens begonnen. Overigens lijkt mij weigeren in het algemeen moeilijk, maar op detail kan dat wel. Daar had ik ook vrede mee gehad, daar kun je over onderhandelen en dat is soms in een interview ook te regelen. Maar ja. Dat is allemaal theoretisch geneuzel, want er ligt nog geen beslissing.
Nu hoop ik dat de rechter niet kiest voor het aanhalen duimschroeven, maar gewoon de zaak overneemt. Justitie kan dan de stukken aanleveren en vervolgens zou de rechter dan kunnen beslissen. Gezien de lange voorgeschiedenis wekt dat het meeste vertrouwen.
Als je veel op reis bent, en afhankelijk bent van een notebook, is het onverstandig om, naast een standaard-user werk-account, geen admin beheeraccount te hebben. Bijvoorbeeld om "authplay.dll" van Acrobat Reader te kunnen hernoemen of de noodpatch van a.s. vrijdag te kunnen installeren. Of om andere noodmaatregele toe te passen als je een presentatie moet geven en dat ding vertikt het.
Een voorwaarde lijkt me dat de gebruiker voldoende in security awareness getrained is. Overigens hecht ik al zeer weinig waarde aan virusscanners, en voor gerichte aanvallen (waar je in het geval van de computer van een minister, zeker van justitie, van uit kunt gaan dat die er zijn of komen) heb je nulkommazeerweinig aan een virusscanner. En misschien heeft ie NAV wel parallel aan McAfee geinstalleerd of zo - met een van de twee disabled (bijv. in aparte hardware profiles) zodat hij, mocht een van de virusscanners weer eens foute definities verspreiden, toch AV kan draaien.
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...
That said, wie van de commentors hierboven heeft zelf ook een admin/root beheeraccount op z'n notebook (of erger, gebruikt dat voor dagelijks werk) in vindt dat kennelijk wel terecht[*] - en rechtvaardigt dit door zichzelf slimmer te vinden dan Hirsch Ballin?
[*]Heb jij nooit vertrouwlijke gegevens van anderen op je computer? Denk ook aan e-mails, ook in je browser cache, of zelfs maar e-mail adressen van anderen...[/quote]
Hear hear! "Goed voorbeeld doet volgen" is iets wat sommige systeembeheerders helaas niet willen begrijpen.
En erg offtopic: Zelf lekker Firefox draaien terwijl de rest van de organisatie nog is opgescheept met IE6. Gelijk heeft zo iemand natuurlijk maar je geeft wel een vreemd (en mij irriterend) signaal af......
Zo werkt het immers ook met audits die de overheid en toezichthouders bij anderen doen, dus waarom niet bij de overheid zelf? Zij moet immers zelf ook voldoen aan de wetgeving.
Als je als journalist dan toch iets wilt doen, doe het dan voor het gehele ministerie en bekijk daarbij ook de eventuele status-aparte van de minister.
Het probleem is dat de (directeuren van de) ICT beheerorganisaties hun rug onvoldoende rechthouden bij dit soort verzoeken. Als er vanuit deze hoge regionen verzoeken komen, voelen die directeuren zich allemaal het mannetje en willen scoren door die verzoeken in te willigen. Als de ICT beheerorganisaties hier niet snel iets aan gaan doen, dan gaan we vroeg of laat nog een serieus security lek krijgen.
Grappige reactie. Het gaat hier over de beveiliging van een ministerie. Wanneer je een organisatie beveiligt, dan ga je niet vervolgens al je beveiligingsprocedures bekend maken aan de buitenwereld, omdat het bekend maken van dergelijke informatie het niveau van de beveiliging vermindert - immers kan dergelijke informatie ook weer gebruikt worden om beveiliging te doorbreken.
Dat het gaat om een ministerie staat daar geheel los van, een minister dient -natuurlijk- geen slechte virusscanner te gebruiken (en hij zou deze ook niet zelf moeten aanschaffen / installeren). Verder ben ik er geheel voor dat de beveiliging periodiek door onafhankelijke partijen wordt gescreened.
Dat wil echter niet zeggen dat je als overheidsoverheidsorganisatie alle informatie over de beveiliging via WOB verzoeken moet vrijgeven. Zou jij het een goed idee vinden indien hackers via een WOB alle beveiligingsprocedures kunnen inzien van de gemeentelijke basis administratie, om deze informatie vervolgens te gebruiken om het systeem te kraken, en jouw persoonsgegevens te stelen t.b.v. identiteitsfraude ?
Die heb ik zelf samen met donner Kinder porno zien staan knipsen op een uni waar debatingwedstrijden werden gehouden.
Dat om Jong Talent en Polici te corrumperen bij voorbaat al te kunnen afpersen en chanteren.
Dus dat gehele minsterie is een boute crime org van een buitenlandse mogendheid en sterft van de Kiddyrapende mossadratten zo als pechthold en cohen en lubbers van agt rutte en verhagen etc etc etc bendeleden zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.