''De overheid zou dat zelfs kunnen verplichten''. Er staat nergens in de wet dat een bedrijf gehouden kan worden 10% van hun ict-budget te reserveren voor beveiliging. Enige bepaling die ik ken is artikel 13 van de Wet bescherming persoonsgegevens, waarin staat dat er een 'passende' beveiliging moet zijn.

Verder: goede zaak dat dit soort rapporten blijven uitkomen. Het opbouwen van awareness vanuit scholen lijkt me ook een goed idee. Wetsvoorstellen mbt bevoegdheden voor politie en veiligheidsdiensten blijf ik huiverig voor; wetsvoorstel Computercriminaliteit III is bijvoorbeeld nog steeds niet van de baan en bevat zeer discutabele bepalingen als de hackbevoegdheid, het NTD-bevel, decryptiebevel...

Volgens mij is de verkeersles bij veel scholen vanwege bezuinigingen, geschrapt.

Peter

Ik krijg de indruk dat er voor wat betreft dreiging een bias is richting dreigingen door derden en dat men de dreiging
van binnenuit (het ontwikkelen van toepassingen die steeds meer big data schrapen van de onschuldige gebruikers)
niet aan de orde stelt. Maar dat zal wel komen omdat het rapport is opgesteld door de belanghebbenden in die
richting in plaats van in het algemeen belang.

https://www.schneier.com/blog/archives/2016/10/security_design.html
https://www.security.nl/posting/488037/%E2%80%98Internetter+heeft+last+van+security-vermoeidheid%E2%80%99

Lees deze twee pagina's eerst en bepaal daarna of opleiden wel zin heeft.

Zolang onze computers zo brak zijn dat elke link de laatste kan zijn is het internet niet meer dan Russisch Roulette.

Kijk naar https://genode.org voor een oplossing van brakke architectuur.

De belasting verder omhoog. Of cybersecurity invoeren.
@ de heer Rutte, heeft u een rekeningnummer waar ik mijn salaris op kan storten.

re. 'kunnen verplichten' : daar kunnen ze een wet voor maken en die door meer dan 75 onnozelaars in de 2e kamer laten goedkeuren, tot een stemming zal het voorlopig natuurlijk niet komen omdat het bedrijfsleven een uitermate goed zelfregulerend vermogen heeft waar een veel groter aantal lobbyisten de komende tijd op zullen gaan wijzen.

Het is ***v*rd*mme weer zover!

De Nederlandse burgers hebben niet alleen "last van security-vermoeidheid’ maar vooral last van dit soort neprapporten dat geschreven wordt om gewenst beleid alvast te legitimeren.
* Hoe werd het voorstel voor computercriminaliteit III ingeluid en gelegitimeerd?
Met een (twijfelachtig) rapport dat positief adviseerde.
* Hoe werd het niet gewenste en ongewilde opvolger van Digid, het EID Idensyssysteem gelegitimeerd.
Met een (twijfelachtig) rapport dat positief adviseerde.
Proef begonnen zonder medenemen van de (in de weggemoffelde paragraaf hoekjes) kritische aanbevelingen op gebrek aan privacy waarborgen.

Traject gaat altijd ongeveer als volgt.
Positief rapport in opdracht
Lokale proef
Proef geslaagd en invoeren maar
Men wil iets en het komt er vroeg of laat, linksom of rechtsom toch.

We worden continue, keer ep keer totaal belazerd en opgelicht waar we bijstaan met dit soort broekzak-vestzak 1-tweetjes rapporten.
Dit soort rapporten worden geschreven met een duidelijke opdracht en gewenste uitkomst om de publieke en politieke opinie te bespelen.
Het woord rapport suggereert iets van een onafhankelijk onderzoek.
Dat klopt allang niet meer.
Het woord rapport betekent niets meer als het in opdracht van de overheid ten behoeve van politieke besluitvorming wordt gegeven.
Zeker niet bij dit kabinet dat een grote bijl heeft gezet aan de wortels van het steeds zwaarder beschadigde vertrouwen in de politiek.

Wat met spoed dient te gebeuren is dit kabinet naar huis sturen, om het netjes te zeggen.
Wat met spoed moet gebeuren is met prioriteit gaan werken aan het herstellen van vertrouwen in de politiek en overheidsdiensten.
* Wie vertrouwt de overheid en almaar politiserende politie nog?
Werkelijk?
* Wat is jouw idee bij je stem uitbrengen?
Dat je met je stem aangeeft bepaald beleid te willen en dat daar naar geluisterd wordt?
Dat je dat kan terugzien in gevoerd beleid?
Werkelijk?

Laat dat woord rapport maar zitten.
Iemand een voorstel voor een passender woord?
"Marketingpaper ?"

Ja, dan komt er weer een clubje van faalmutsen die voor 100.000 euro per maand of een half miljoen wel even de boel om zeep komen helpen.. zoals die gasten die nu de boel verkloten bij de belastingdienst, verantwoordelijk waren voor ovjaarkaart problemen enz.

Net als zwemles, als we het dan toch over 'droge voeten' hebben...

Als verplichtingen:
- ISO2700k COBIT ITSM als handvat voor de financials (DNB). Ook terug te vinden via Basel en Solvency.
Praktische controle en handhaving vind niet plaats. (zelfregulering)
- Nen 7510 een uitbreiding op ISO27k verplicht voor zorg en ziekenhuizen
Praktische controle en handhaving vind niet plaats. De betreffende instanties (NZA KNMG IGZ RIVM) zijn met andere zaken bezig
- De overhied heeft http://www.noraonline.nl/wiki/Beveiliging_Eisen. Alleen in de praktijk is het dit niet aan de dienstverlener eisen maar hem zijn gang te laten gaan zoals het maar uitkomt.


De basis veiligheidslessen zijn niet zoals zwemles naar dromenland verbannen, reden het kostenplaatje

Laten we eens ergens praktisch beginnen, bijvoorbeeld met het beter uitvoeren van software code.

Bijvoorbeeld in de browser "disable-inline-and-eval",behalve daar waar het volledig gemonitord wordt toegelaten als "unsafe-inline" en "unsafe-eval". Het loopt bij mij in de browser als userscript en is een onderdeel van mijn Tampermonkey extensie userscripts: https://greasyfork.org/en/scripts/10966-disable-inline-and-eval/stats

Als ik soms een online domxss scannetje wil doen of alerts wil krijgen via Malware Script Detector 1.1. moet ik het bovenstaande userscript weer op disabled zetten, anders krijg ik conflicten en werken andere userscripts niet. Maar het experimenteren ermee is alleszins leerzaam, mensen.

Zie over het aloude MSD versie 1.1.
hier ->: http://www.slideshare.net/guest31a5be/introducing-malware-script-detector

En lees eens hoe jonge developers vragen stellen: https://askubuntu.com/questions/325929/malware-and-backdoor-detection-shell-script en met de materie bezig zijn.

Ga daar eens mee aan de slag. Schrijf een HBO competitie uit, benoem een student tot beveiliging-g33k van het jaar 2016/17.

Ontwikkel positieve initiatieven, maar creëer niet meer "security through obscurity"
en gedoe van "in het land der blinden is eenoog koning"
en wij zijn de experts en discussiëren niet met buitenstaanders.

Hou toch op! Je wordt er zo moe van.

luntrus