werd wel tijd, gezamenlijk oppakken is veel goedkoper voor de burger en beter voor de veiligheid.

http://pastebin.com/DyvgMKrp

Is it really that hard to set up a mysql server?

Nog een overheidsorgaan, oh joy... hallo burocratie. Als gemeentes nu eens voor normale salarissen competente mensen op de juiste plekken zouden neerzetten. Ho, wacht, ambtenaren, ik heb niks gezegd... move along, nothing to see here. *belastingbetalengaat*

King is geen overheidsorgaan. Bovendien, als gemeenten los van elkaar "de juiste dingen" doen, waarom zouden ze dat niet elkaar delen zodat de grotere de kleinere helpen? Doen "wij" toch ook in de vorm van meetings?

Verschil is dat rijksoverheid en gemeenten (dat is namelijk NIET hetzelfde) bestuurd worden.
En ja.. helemaal eens dat er in- en competente mensen daar zitten, maar dat is hier niet anders.
Er wordt vanuit de politiek juist nu meer druk gezet op (lokale) bestuurders om aandacht te geven aan dit onderwerp. Het domweg inzetten van meer competente mensen leidt tot frustratie bij deze mensen, omdat ze geen dekking krijgen vanuit "de top". Die zien dat "geneuzel" van je slechts als kostenpost.

Een deel van het probleem wordt nu dwingend opgelost.EINDELIJK! Zit ik al jaren op te wachten.
Kijk eens naar dit: http://www.logius.nl/producten/toegang/digid/ict-beveiligingsassesments/
Denk dan ook nog eens aan de economische omstandigheden waarin we zitten en de bezuinigingen.

Volgens mij ga je als security specialist een paar gouden jaren tegemoet als je dit slim aanpakt.
En voor de langere termijn, zou jezelf als belatingbetaler een plezier doen om die sysadmins en ontwikkelaars van pakketten op hun verantwoordelijkheid te wijzen dat ze minimaal die aansluitvoorwaarden van DIGID moeten hanteren.
Want de OWASP top 10 of andere zaken zijn echt niet afhankelijk van DIGID, maar van de bereidheid en kundigheid van softwareleveranciers en web en applicatiebouwers of SAAS leveranciers, om hun producten veiliger te maken.
Want een deel van de oorzaak ligt ook bij de bron.. de makers.... de implementators....de aanbieders.


Zoals de eerste gisteren al stelde.. gezamelijk oppakken is goedkoper.
Ergste wat al die ZZPérs of bedrijven in de securitybranche in Nederland kan overkomen is dat ze de controle gezamelijk Europees gaan aanbesteden. Dat zou pas humor zijn toch? of niet? Bespaart jou als belastingbetaler weer een paar euro per jaar.
Een websitescan kan desnoods gewoon op afstand....
Roemeense of Bulgaarse securityspecialisten zijn goedkoper en netzo competent als de meeste Nederlandse.


Harry

En daar zit m juist het probleem. Doordat deze mensen het "geneuzel" zien als kostenpost moet het duur extern worden ingekocht over de ruggen van de burgerij, wat ook niet zal werken.

Infosec/riskmanagement is alleen toepasbaar en uitvoerbaar als het vanuit "de top" wordt ingezet en ondersteund.
Gezamelijk oppakken zoals hier wordt gesteld houdt niet in dat de mensen die nu de tactische en operationele verantwoordelijkheid bij de gemeentes hiervoor dragen hun baan verliezen. Er komen gewoon meer fte's bij en dat is duurder. Daarbij komt ook nog dat deze fte's hoogstwaarschijnlijk voor duur geld ingehuurd zullen worden. Goedkoper? Nee.

En waar is het NCSC hierin? Even goed lezen, het gaat KING om de "gemeentelijke invalshoek" ..maar.. "gemeenten blijven zelf verantwoordelijk". Ze nemen dus gewoon het advies van het NCSC over en vertalen dat naar ambtenarentaal.

Hmm, KING mag eerst eens bij zichzelf te raden gaan. Ze lobby'en met hun tool 'Mens Centraal' bij de gemeenten, alleen deze tool is slecht opgezet en zo lek als een mandje. En toch gebruiken veel gemeenten deze lekke tool.
Maar binnen gemeenteland draaien nog veel meer van dat soort lekke tools. Tools die ooit eens uit een ver verleden zijn opgezet en nooit verder getoetst zijn. Bij de schuldhulpverlening worden dergelijke tools nog weleens gebruikt. Niet voor niets dat de tool van de Nederlandse Krediet bank al even off-line is. Zo'n 60 gemeenten gebruikte deze tool en zijn allen (hopelijk) off-line gehaald.

Het gevaar is dat gemeenten gaan wachten op IBD, terwijl er NU een probleem is.
Gemeenten buigen zich vooral over de vraag waar de verantwoordelijkheid ligt.
Bij de applicatiebouwer, de hosting partij of de gemeente zelf?
Inmiddels is wel duidelijk dat de eigenaar van data (de gemeente zelf) verantwoordelijk is voor de data.
De aangetoonde vulnarabilities zijn veelal "gewone" SQL-Injecties of Cross Site Scripting (XSS).
De eerste twee uit de OWASP Top 10.
Niet het kelderraampje aan de achterkant van het pand, maar de voordeur die openstaat.
Met een bord erbij: "Hier kan je naar binnen"
Laten we dus samen niet afwachten en NU actie ondernemen.
Een goede Web Application Firewall (WAF) doet al wonderen.
Niet alleen voor gemeenten overigens ;)
Ik ben graag bereid ervaringen te delen.
Hans-Willem Verwoerd.