Ik zie geen dilemma. Je moet gewoon zorgen dat de boel op orde is. Dat er daarom zwaardere eisen aan je software worden gesteld, ach, straatmeubilair is ook een stukje steviger dan wat je in je porseleinkast hebt staan.

Dat er breed met het kompjoeter-en-sieber-equivalent van papier-mache in de regen wordt gewerkt, tjsa, dat is natuurlijk niet zo slim. Maar dat maakt het niet tot een algemeen "openheid en veiligheid"-dilemma. Het dilemma is het krampachtig vast willen houden aan [x] Ongeschikte software en hardware versus alle andere eisen die je er verder nog aan zou willen stellen.

Dat kan. Maar als je het allemaal centraliseert kan dat, gek genoeg, die "effectieve aanpak" net zo goed in de weg staan. Zagen we op Teknikal Yooniversitie Delluf. Met de bedrijfsmanager, en de vier smaken windows en helemaal niets anders voor de hele universiteit. "Informatica" vond het niet erg (teken aan de wand) maar bijvoorbeeld physica... daar ging toch een en ander mis.

"Don't throw good money after bad."

Als je er op tijd bij bent, kost het minder. Zoiets heet vooruitzien. Madame du Cabinet.

Nou, daar heb je het antwoord al op vraag 1. Nee, ze waren dus niet goed voorbereid, want er klopten een hoop zaken niet. Dat is het nadeel van de "position of the interior" (https://www.schneier.com/blog/archives/2012/03/how_changing_te.html). Het Fox-IT rapport zegt wat dat betreft voldoende, een oude wijn in nieuwe zakken politiek plasje is niet nodig en kost onnodig veel geld en tijd. Neem dit rapport als uitgangspositie, klaar.


Haha, die is leuk. Zaken zijn structureel en tot op het bot verrot, maar de tips over patchen en misschien wel "verhoogde dijkbewaking" zijn gegeven. Zo, we kunnen weer rustig slapen.

Leuke praat. Maar probeer maar eens iets gedaan te krijgen binnen zo politiek machtsspel. Iedere afdeling is een koninkrijkje op zich zelf.

Het ligt vaak niet eens zo direct aan de software, maar alles moet meestal naar een centrale omgeving verbinding maken. En heel veel legacy en koninkrijkjes maken het heel lastig om goed en veilig te regelen. Want een koning gaat niet zijn infrastrctuur of software aanpassen omdat ICT dit noodzakelijk vindt.

En hier zie je precies waar het fout gaat. IT wil iets leveren van ze kunnen ondersteunen, maar een koninkrijkje heeft hier niets aan. En ontstaat er dus een probleem.
IT moet alles maar ondersteunen terwijl ze niet de middelen en mandaat krijgen om dit goed te doen, maar als het fout gaat is IT de gebeten hond.
Maar IT moet wel aansluiten wat de business nodig heeft, anders krijg je weer shadow IT. Maar de business moet hier ook voor willen betalen en de ondersteuning krijgen en willen geven aan IT.

Klopt. Maar dan moet IT wel het mandaat hebben om iets voor elkaar te krijgen en mogen doen. En zeker bij universiteiten kan zit nog wel eens een heel lastig iets zijn. Want iedereen is belangrijk, behalve IT.

Je mag hierbij denk ik wel voor de goede orde onderscheid maken tussen de verkopert, de klant en de omgeving.
De verkopert snapt niet altijd de klant-vraag van wie hij/zij aan tafel zit.
Diegene met de klant-vraag heeft bewust/onbewust met die legacy te maken.
En dus kan de verkopert dat niet weg-denken, omdenken of er omheen afspraken proberen te maken.
Ook wil er nog wel eens een verkopert zijn die meer kunnen toedicht aan IT dan er strikt genomen in functionele kan of wenselijk is.
Dan ligt het of aan de verkopert OF aan de IT, maar dat valt de klant moeilijk altijd te verwijten als ie overtuigd wordt dat de IT meer zou kunnen dan reeel of verstandig is.

Een klant mag zich wel tegelijk een en ander afvragen.
Bijvoorbeeld dat wanneer er een iets aan de klant getracht wordt te verkopen dat de achtergrond en werkwijze waarop de IT wordt opgeleverd ook van grote invloed is hoe veel potentiële kopzorgen het extra kan opleveren.
Dat is dan nog weer iets anders dan de klant die voor een dubbeltje op de eerste rij denkt die ultieme IT te kunnen aankopen.
Ook mogen klanten zich wel beter realiseren dat IT niet alle potten kan breken als de organisatie ervoor aangepast moet worden om de in het verschiet liggende vooruitgang te bereiken.
Je kan niet binnen doelmatigheid verwachtingen, verantwoordelijkheid afleggende verplichtingen, interne-klantvraag invullende processen altijd verwachten dat IT meer efficiëntie kan bieden als er tegelijk organisaties in steeds meer uitgesplitste / explicieter gemaakte soorten belangen en verwachtingen moeten werken.
En security en privacy vormen daarbij strikt genomen geen nieuwe maar wel een veronachtzaamd belang.
Intern moet de klant dus ook niet denken dat ze vanuit modulaire IT producten met veel koppelingen opeens altijd handig is.
Je moet ook niet als het ware vanuit vele kanten aan dezelfde kip willen gaan trekken.
Klanten doen er dus verstandiger aan om zaken tussen beperkt aantal afdelingen afzonderlijk per IT onder te brengen.
Dan zit je niet met z'n allen in dezelfde IT-doos te worstelen.
Dan hoef je als klant intern en in de IT ook minder in te regelen om te zorgen dat je krijgt wat je wilt en nodig hebt en te tegelijk te voorkomen dat je misgrijpt of er onhandige bulk-acties kunnen ontstaan, zoals per ongelijk allerlei email adressen per email lekken.

En de bulk-acties als efficiënter voor bedrijfsvoering voorspiegelen is toch wel het MBA en accountant-advies denken van de laatste jaren dat vaak van stal wordt gehaald.
En daar waar bureau's als Deloitte tegenwoordig wel meer onderkennen dat privacy ook van belang is zijn misschien nog meer dan de IT verkopert bureau's uit de Deloitte branche in hun bedrijf-optimalisatie adviezen vrees ik wel een beetje voorbarig en te overtuigend bezig geweest.
Voor bepaalde organisaties teveel op de toer van centraliseren op directie niveau, grote gebouwen en werkwijzen uniformeren.
Daar waar de "verbeter"-adviezen uit die hoek het opheffen van interne afstemming-verliezen de gezonde niveau's van nuttig samenwerken overtreft kan IT ook weinig extra's als vooruitgang bieden.
Want daar waar men al nuttig met elkaar samenwerkt wordt er al het nodig afgestemd.
Dat moet je niet met meer IT / modulaire IT of wat dan ook nog eens extra over doen of nog meer willen uniformeren met modulaire IT.
Dan knijp je met het accountant-advies het nut uit de afdelingen, omwille van "de vooruitgang".
Dan kan je wel denken we gaan maar meer aandacht vragen en besteden voor security, maar je bent het punt van nuttig effecten dan al lang voorbij.
En aangezien privacy verplichtingen al een lang-staand gegeven zijn maar de waarborgen duidelijk door organisatie wijzen wel degelijk eruit geknepen c.q. ondergesneeuwd geraakt.

Ik zou zeggen,
het is minder een kwestie van balans tussen het te behalen niveau van cyberveiligheid en de te maken kosten,
meer een kwestie van of het tandem van accountant-manager-adviseur de risico's niet onderschatten die hun eigen aanpak voor IT bij de klant (intern & extern) tot gevolg kan hebben!
En of daarbij de IT gegeven "organisatie" kwestie niet teveel de houding aanneemt van "ok, dat regelen we wel met onze standaard alles aankunnende" werkwijzen.

Nou, er was eigen IT per departement, die dus toegesneden diensten kon leveren, plus een centrale dienst die overkoepelende diensten leverde. Dat werd bijelkaar geveegd met de opdracht (van boven) om er een monocultuur van een zekere fabrikant van te maken, waar voorheen op protocol gestandaardiseerd was, en er dus toegesneden geleverd kon worden. Een universiteit was voorheen dan ook geen studentensilo annex leerfabriek maar een plek waar nieuwe dingen gedaan konden worden, en waar dus een grote diversiteit aan oplossingen nodig was. En niet alleen op IT-gebied.

Je kan denken dat een universiteit een "business" is (precies daarom heeft deze tent een "business manager" aangesteld), en te pretenderen kosten te besparen door net te doen of de hele universiteit eigenlijk vooral een kantoor is met heel veel poppetjes die elkaar word- en excel-bestandjes toe- en rondmailen, maar als je universiteit echt zo werkt dan kun je 'm maar beter sluiten want iets nuttigs zal er nooit meer uit voortkomen.

Bijkomende uitdaging voor de centrale security is ook dat men vaak kiest voor standaard, goedkoop (omdat er geen geld voor maatwerk is). En standaard is juist niet geschikt voor universiteiten waar de boel open staat.

Ik sprak vorige week met een engineer van Microsoft n.a.v. een blunder in hun Teams oplossing (een default wachtwoord). Die was alleen via RDP benaderbaar. Zijn reactie was "Dat staat toch altijd dicht voor de buitenwereld?" Nou, bij een universiteit niet. Je zult er versteld van staan hoe veel onderzoekers, van vooral technische faculteiten, de meetapparatuur via RDP benaderbaar hebben. Dan kunnen zij er bij vanuit huis. Dan kunnen mede-onderzoekers vanuit andere universiteiten er bij.

Ik heb tientallen, zo niet honderden, gesprekken gevoerd met leveranciers die perfect oplossingen hebben tegen bijvoorbeeld ransomware. "Je hoeft alleen maar X op je beheerder werkplekken te installeren." Dan vraag ik hoe hun oplossing er uit ziet voor de tienduizenden onbeheerde werkplekken die een gemiddelde universiteit minstens heeft.

Je kunt de studenten wel in een apart netwerk zetten, maar zij zullen toch ook mee moeten doen aan onderzoeken en projecten, en op de elektronische leermiddelen in kunnen loggen. Daar waar ook de docenten op inloggen om de ingeleverde stukken te kunnen beoordelen.

Wie niet op een universiteit (in de IT) heeft gewerkt, heeft geen idee van de complexiteit van zo'n organisatie. In een bedrijf zegt de CEO hoe het gebeurt en dan gebeurt dat ook. Zo niet, wordt je ontslagen. Op een universiteit is zo'n besluit niet meer dan een advies. En als een security maatregel een onderzoek van een belangrijke onderzoeker belemmert, dan wordt dat teruggedraaid.

Gelukkig wordt dat wat minder na Maastricht.

Peter

Ik weet niet of dat "gelukkig" is. Ik denk dat zulke maatregelen nog steeds neerkomen op achteraf oplappen en dus pappen en nathouden. Doe het een keer goed en je hebt er geen omkijken meer naar. Maar dat betekent dus wel dat je robuuste software nodig hebt. Waar dus vooralsnog te weinig vraag naar is want ach we lappen het achteraf toch wel op. En dus blijven "we" maar [x] Ongeschikte software inzetten. Want die zit "toch wel" achter allerlei lagen andere bescherming, ha ha in de praktijk dus niet.

Het is die mentaliteit die de boel in de weg zit. Dan maar de gebruikers laten bloeden, nou, dan zijn we dus weer terug op "NIET OP DIE EMAIL KLIKKEN".

kijk met std software en std computers zul je ook alleen maar std onderzoek doen. baanbrekend werk gebeurt niet met excel sheetjes of word documenten. er zijn niet veel beta faculteiten die alleen maar windows doen. alle supercomputers alleen al zijn unix/linux en als je eens in arXiv kijkt zie je dat het meerendeel van de papers ook in LaTeX geschreven zijn bij de beta-ers. ja er is plaats voor std kantoor automatisering op UNIs [sterker nog de UM liet duidelijk zijn dat het hun bedrijfsvoering op windows was die getroffen was en niet de wetenschappelijke unix servers], maar het echte werk gebeurt op een veel diverser IT landschap gedicteerd door techniek en wetenschappelijke randvoorwaarden. Ja duidelijk, als je als wetenschapper perse een NMR apparaat van 10 miljoen via windows xp nog moet aansturen (want fabrikant), dan heb je als IT dienst een uitdaging om die data van dat masjien te ontsluiten. Een simpel, nee dat doen we niet, is een unieke kostenpost van 10 miljoen en een halt op het werk van enkele PhDers. Denk niet dat dat een goede buisness strategie is voor een UNI. Daar zal de IT met meer mankracht en etra andere maatregelen maar aan de bak moeten en dat zal ook bekostigd moeten worden door CvBs etc. Daar zit de mentaliteitsfout (alles naar de cloud en het kan wel wat goedkoper en we doen toch allemaal windows, word en excel de godsganse dag?).

Neem gelijk even comply of explain mee.

en neem s.vp. ook voorkomen is beter dan genezen mee t.b.v. privacy.

De vaten voor de koeling en de NMR apparatuur die hier staan vertegenwoordigen ruwweg de waarde van een riante villa in een dure buitenwijk. De grafische aansturing draait op Linux, en niks geen verouderde Windows XP. Dacht je met 10 miljoen soms uit te kunnen voor een fMRI scanner, voor medisch onderzoek? Dat is andere koek.