Nieuws
image

VNG wil gemeentelijke IT-beveiligingsdienst

dinsdag 3 april 2012, 10:20 door Redactie, 8 reacties

De Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) vinden de tijd rijp voor een gemeentelijke IT-beveiligingsdienst. Deze dienst gaat incidenten bij gemeenten afhandelen en verzorgt de coördinatie bij beveiligingsproblemen. Vanwege Diginotar en het grote aantal lekken binnen gemeentelijke websites werd er door bureau Gateway een onderzoek uitgevoerd.

Behoefte
Eén van de aanbevelingen in het onderzoeksrapport is dat er een functie nodig is die allerlei initiatieven op beveiligingsgebied vertaalt naar de gemeentelijke rol. VNG en KING gaan daarom nu de mogelijkheden voor het opzetten van een eigen beveiligingsdienst onderzoeken. "Ook op basis van de geluiden die we zelf horen kunnen we zeggen dat er behoefte is aan zo'n dienst", zegt Bart Drewes van VNG tegenover Binnenlands Bestuur.

Daardoor hoeven niet alle gemeenten individueel aan de slag, maar kan dit gemeenschappelijke orgaan deze taak op zich nemen. Nog voor de zomer verschijnt er een opstel voor het opzetten van de dienst. Daarover moet het VNG-bestuur dan nog beslissen.

Reacties (8)
03-04-2012, 11:08 door Anoniem
Dit strookt niet met de doelen van de overheid. Er is vanuit de overheid voor het afhandelen van incidenten immers al gekozen voor een landelijk CERT. Nog zo'n CERT speciaal voor gemeenten opzetten kost tijd, geld en het komt de kwaliteit niet ten goede. Ik vraag me af hoe die behoefte volgens VNG is ontstaan, ik vermoed dat een berg bestuurders de weg naar het landelijke CERT niet weet te vinden of niet eens weet wat een CERT is. Om het nog maar niet te hebben dat de gemeenten na decenia aan ICT anno 2012 eens bedenken dat het ze nog niet lukt hoe ze beveiliging naar hun eigen organisaties kunnen vertalen. Komt er kennelijk op neer dat behoorlijk bestuur niet lukt, wat schokkend is voor organisaties die daar hun bestaansrecht aan ontlenen.
03-04-2012, 11:12 door RickDeckardt
CERT is reactief, waar VNG nu naar streeft is een pro-actief securityorgaan. Goede ontwikkelingen!
03-04-2012, 11:13 door N4ppy
Er is al zoveel
https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html

http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/CO_SearchResults?query=security

weer een clubje er bij?
03-04-2012, 11:16 door Anoniem
415 gemeenten in Nederland, het grootste deel staat er waarschijnlijk qua kennis op gebied van cyber security net zo belabberd voor als meer dan 1000000 organisaties van het mkb. Hoe denk je de onbekwaamheid op te lossen door er een organisatie boven te hangen die zogenaamd de boel nog begrijpelijker gaat vertalen? Wil men weer voor een dubbeltje op de eerste rij zitten en dan hopen dat het goed gaat?
03-04-2012, 12:15 door tegenlicht
Laten we maar eerst de reguliere ICT bij gemeenten op orde krijgen. Naast het bestuur wat zonder kennis beslist is er van zowel de kant van de beheerders als het bestuur een gebrek aan motivatie om goed kwaliteit te leveren. Denk aan belangrijke taken die je als ICTer moet uitstellen omdat de deur om 17:00 sluit. Management wat roept dat je pakket X moet gebruiken. Overwerk wat uit den boze is. Meer policies dan het aantal medewerkers. Met dit soort reglementen krijg je een verwende beheerder die niet meer gefocust is en in een sleur raakt.

Maar goed, CERT bestaat ook nog. Inmiddels is dat het NCSC geworden. Voor zover ik weet hebben ze daar 30 man technici en waarschijnlijk een meervoud aan management. Ze zijn vooral bezig met het herpubliceren van security berichten en patchinformatie.
03-04-2012, 12:21 door Anoniem
Door Anoniem: Dit strookt niet met de doelen van de overheid. Er is vanuit de overheid voor het afhandelen van incidenten immers al gekozen voor een landelijk CERT. Nog zo'n CERT speciaal voor gemeenten opzetten kost tijd, geld en het komt de kwaliteit niet ten goede. Ik vraag me af hoe die behoefte volgens VNG is ontstaan, ik vermoed dat een berg bestuurders de weg naar het landelijke CERT niet weet te vinden of niet eens weet wat een CERT is. Om het nog maar niet te hebben dat de gemeenten na decenia aan ICT anno 2012 eens bedenken dat het ze nog niet lukt hoe ze beveiliging naar hun eigen organisaties kunnen vertalen. Komt er kennelijk op neer dat behoorlijk bestuur niet lukt, wat schokkend is voor organisaties die daar hun bestaansrecht aan ontlenen.

Een overkoepelende organisatie kan nooit zo detailistisch te werk gaan als voor beveiliging soms noodzakelijk is. Zo'n organisatie is goed te gebruiken als clearing house, maar die taak ligt volgens mij al bij NCSC. Ik denk dat het verstandiger is om op gemeentelijk (of regionaal) niveau CSIRT's in te richten die aangesproken kunnen worden voor beveiligingszaken. Dat zie je in allerlei andere omgevingen eigenlijk (bijna) perfect werken.

Kijk bijvoorbeeld naar het hoger onderwijs. Ieder land heeft een CSIRT die informatie verzameld en verspreid, terwijl de universiteiten, hogescholen e.d. een eigen CSIRT hebben die op de hoogte is van de lokale omstandigheden.

Peter
03-04-2012, 13:10 door tegenlicht
"Een overkoepelende organisatie kan nooit zo detailistisch te werk gaan als voor beveiliging soms noodzakelijk is. Zo'n organisatie is goed te gebruiken als clearing house, maar die taak ligt volgens mij al bij NCSC."

Wat voor moeite is het om server van pak m beet 20.000 euro in te richten met penetratie software en om alle 400 gemeenten periodiek te scannen op de meestvoorkomende exploits. Dat is wat verkeerd gaat bij bijna alle hacks.
03-04-2012, 13:27 door Anoniem
Door tegenlicht: "Een overkoepelende organisatie kan nooit zo detailistisch te werk gaan als voor beveiliging soms noodzakelijk is. Zo'n organisatie is goed te gebruiken als clearing house, maar die taak ligt volgens mij al bij NCSC."

Wat voor moeite is het om server van pak m beet 20.000 euro in te richten met penetratie software en om alle 400 gemeenten periodiek te scannen op de meestvoorkomende exploits. Dat is wat verkeerd gaat bij bijna alle hacks.

Omdat je niet weet wat er fout kan gaan bij een penetratie test. Ik heb voldoende testen gezien waarbij toch, ondanks beloftes van de (professionele) testers, de productie omgeving onderuit ging. Je moet dat lokaal registreren.

Ook een leuke: in een bepaald geval blokkeerde een lokale beheerder die pentester in de firewall. Resultaat van de analyse was dat de applicatie goed beveiligd was.

Security is niet het eens in de zo veel tijd een penetratietest uitvoeren. Daar zit veel meer achter. Een lokale security expert kan ook werken aan awareness. Hij kan ook kijken hoe er lokaal met security omgegaan wordt. Zo'n server met pentestsoftware ziet niet de post-its op de beeldschermen. Die ziet niet of mensen hun PC wel of niet locken als ze koffie gaan drinken.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search