Waarom hebben ze dan die informatie?

En de ICT bij de Overheid is nogal gammel, dus dat onze Overheid die informatie heeft lijkt mij juist risico verhogend.

Sterker, veel organisaties hebben hun eigen asset-management/CMDB totaal niet op orde, dus hoe zou een derde dan moeten weten welke systemen jij hebt - met eventuele kwetsbaarheden daarin?

Of willen ICT'ers graag overstelpt worden met waarschuwingen voor systemen die zij helemaal niet hebben? Als je niet elke dag door een volle mailbox wilt ploegen, kun je beter dagelijks https://www.ncsc.nl/actueel/beveiligingsadviezen checken (of, m.i. véél overzichtelijker, minder onvolledig en meer up-to-date, https://www.cert-bund.de/overview/AdvisoryShort).

M.i. is het volslagen krankzinnig om dit bij de overheid neer te leggen. Dit leidt alleen maar tot nog meer excuus-Truus-types die na een hack de overheid de schuld geven: "het NCSC had ons niet gewaarschuwd". Met bovendien het risico dat, wij belastingbetalers, opdraaien voor schadeclaims.

Als je zelf een auto hebt zul je ook af en toe de verlichting moeten controleren en defecte lampjes (laten) vervangen; ook ICT-systemen vereisen nou eenmaal checks en onderhoud. Dat zul je toch echt zelf moeten doen of moeten uitbesteden aan een betrouwbare commerciële partij (en, niet te vergeten, meebegroten als je met iets nieuws begint).

Overheid en ICT, dus de blinde gaat de lamme nu leiden??

LOL.

Het trieste is dat er bij de overheid soms wel goede kennis in huis is, maar die personen worden genegeerd of snel eruit gewerkt. Want bestuurlijke spelletjes.

Een opt-in/out zou toch een prima optie zijn?

Ah ja de overheid die nog steeds https, TLS niet verplicht vind voor overheid sites. Gebruik maakt van slecht beveiligde Wordpress voor kritieke inlogomgevingen. En om onverklaarbare reden altijd informatie kwijt is ook al hebben ze zelf wettelijke verantwoordelijkheid data voor X jaar op te slaan denkt andere te kunnen informeren over specifieke cyberdreigingen.

Dus de overheid denkt met een wetvoorstel jaren van luiheid, kennisgebrek en gierigheid op te kunnen lossen wat zowat de gehele security community en branche al jaren *matig* lukt met miljoenen keren de resources?

Dit moet haast een verlate 1 april grap zijn.

En de passwoorden hangen aan de beeldschermen.

Het NCSC kan en wil echt wel wat, maar die politieke sturing moet er vanaf.
De kerntaak is immers een belang wat niet verstrengeld met politiek belang behoort te zijn.

inderdaad!

Deze neiging is volgens de minister van V&J in tijden van dreigende overheid behoorlijk bedreigend.
Dat was een verfrissende vaststelling die vrijwel breek met voorgangers als op het paard getilde minister Donner, die zogenaamd niet feilbaar was maar wel onder diens leiding diverse dossiers liet uitgroeien tot onhandige & onhandelbare proporties.

Zeker als je rekening houdt met een paternalistische voorkeur van bepaalde 'top'-managers bij de overheid dan is de stap van het willen informeren van weet u dat u fout zit al een juridisch al een bestuurlijke aanwijzing, wellicht al een halve veroordeling.
Dossier-vorming voor een straf- of civiele procedure.
En dan te bedenken dat ministerie van V&J - op een paar lezingen aan de 2e kamer van recente ministers over privacy perikelen na - zelfs niet eens altijd dé escalerend voor hysterie & rust functioneert met hoofdzakelijk reactieve aanwijzingen uitbrengen.
Kijk je naar de neiging van hun ambtsgenoten bij Binnenlandse Zaken en het gehobby met digitaal stemmen, digitaal stem aantallen controleren, de verkiezing software dan moet toch de les zijn qua ict, less ict is more.
Minder ict is meer rust en minder bronnen met aanleiding voor "veiligheidaanwijzingen" / blootstelling aan hacks.
Het onpragmatische is wel dat de afgelopen jaren de lobbyclub "ambtenarenzaken" vanuit gemeente-wethouders flink aan de weg timmerde met niet alleen ontsluiten van omgeving gegevens van de categorie niet-direct privacy gevoelig, maar tegelijk wel bezig was met het verder willen digitaliseren en dus potentieel kwetsbaarder maken voor mee-kijkers op afstand & ongemerkt meekijken door beperkt/verlopen gemandateerde supervisors.

En dat is niet op zichzelf staand.
Zoals meerderen waarschijnlijk weten zijn de 'top-'managers in roulatie tussen de G4 gemeenten en ministeries.
En hebben bepaalde vacatures een voorkeur kandidaat wegens "vriendjes", talenten en/of wegprommoveringen.
Deze groep rouleren dus door en door.
En natuurlijk zijn ze niet allemaal kampioen zaken in de war sturen.
Wel overvleugelen die categorie in de war stuuders andere type ambtenaren met hun wil.
Hun wil om eindeloos te zeuren en te zanikken of het niet anders, beter, sneller kan terwijl alle mogelijkheden al lang uitputtend verkend en beklonken zijn.
Met hun wil aan een langer eind proberen te trekken en het afvloeien van ambtenaren met lagere voorkeur om in dillema's mee te gaan / mee te werken en met vrijwillig vertrek bonussen de aftocht te blazen.
Kijkend naar de belastingdienst-f%$ck-ups (Eric Wiebes)
Kijkend naar de aardbevingschade dossier. (Eric Wiebes)
Kijkend naar de organisatorisch gregoriaanse knopen die ze van AZC's hebben gemaakt. (cda ministers en ministers binnenlandse zaken)
Kijkend naar de ICT tekortkomingen bij politie diensten.(vvd ministers)
Kijkend naar de ICT bij rechtbanken die met veel kunst en vliegwerk volgens jaarrapportages niet richting de ondergrens zakt. (D66 bewindvoerders)
Dossiers waar D66-CDA-VDD aficionado's volgens media berichtgeving toch echt collectief verzaakten.
Zelfs in gevallen waar het als haalbaar werd gepresenteerd bleven quick-fixes uit.

Met name die rechtbank organisaties beseften dat het goede voorbeeld geven hier een minimale vereiste is wil je richting de rest van Nederland serieus de aandacht kunnen vasthouden qua ICT veiligheid.
Wil het niet dweilen met de kraan open blijven dan moeten ook maar eens de zero-bugs uit Microsoft, Google, Amazon en andere grootgrutters gehaald worden.
Maar wacht eens even, de minister wilde naar eigen zeggen wel weer bepaalde gaten in ICT middelen HOUDEN om geen nuttige effectieve opsporing mogelijkheden weg te gooien.
Dus het ministerie van Veiligheid & Justitie is er juist niet helemaal voor uw en mijn veiligheid.
Ze zijn er wel om een agenda te voeren.
Iets waarvan de ombudsman ook al in diens jaarverslagen over dat ministerie en de aanverwante diensten zoals de NCTV waarschuwde.
Het ministerie komt met deze agenda dus niet verder dan het hanteren van een rotation-list.
Om vervolgens om de zoveel tijd een item van die rotation-list wederom te droppen in een persbericht.