image

Kabinet komt niet met cyberverdedigingsprotocol voor gemeenten

vrijdag 8 oktober 2021, 16:52 door Redactie, 17 reacties

Het kabinet zal geen 'cyberverdedigingsprotocol' voor gemeenten opstellen zoals de Tweede Kamer had gevraagd. Dat heeft demissionair staatssecretaris Knops van Binnenlandse Zaken laten weten. Eerder dit jaar nam de Tweede Kamer een motie aan waarin werd gevraagd om een 'cyberverdedigingsprotocol voor gemeenten op te stellen waarin staat wat er moet worden gedaan bij ransomware, ddos-aanvallen en andere ontwrichtende cyberaanvallen.

Tijdens een debat over cybercrime in de Tweede Kamer kwam Dilan Yesilgoz-Zegerius, destijds nog VVD-Kamerlid, met een motie om gemeenten bij cyberaanvallen te helpen. Ze wees naar de ransomware-aanval op de gemeente Hof van Twente en stelde dat de gemeente niet over een duidelijk handelingsperspectief beschikte om hier adequaat op te reageren. Volgens Yesilgoz-Zegerius kunnen dergelijke aanvallen dan ook grote gevolgen voor burgers en gemeenten hebben.

Met een cyberverdedigingsprotocol zouden gemeenten over een duidelijk handelingskader beschikken wat te doen in het geval van een cyberaanval. De motie werd met 149 stemmen voor aangenomen, maar Knops zal die niet uitvoeren. "Ik wil vooropstellen dat enkel een cyberverdedigingsprotocol niet effectief zal zijn, omdat er meerdere factoren bepalend zijn in dit verband", stelt de staatssecretaris in een Kamerbrief over de motie.

Volgens Knops worden er allerlei maatregelen voor gemeenten getroffen. "Overheidsorganisaties, zo ook gemeenten, zijn zelf verantwoordelijk voor de wijze waarop het informatieveiligheidsbeleid in hun organisatie gestalte krijgt. Het blijven uiteindelijk afwegingen van het lokaal bestuur die worden getroffen in het kader van risico-gebaseerd werken." De staatssecretaris stelt dat gemeenten in het bijzonder op tal van manieren worden ondersteund door het ministerie van Binnenlandse Zaken.

Knops is verder van mening dat in zijn beleid al aandacht wordt besteed aan zowel de preventie van digitale ontwrichting als het bieden van handelingsperspectieven in het geval van een crisis. "Daarbij zet ik in mijn beleid niet in op een cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is contextafhankelijk."

Reacties (17)
08-10-2021, 17:22 door Anoniem
Er zijn vast landen die Nederland nu dankbaar zijn.
08-10-2021, 19:40 door Anoniem
En das misschien maar beter ook :)
08-10-2021, 22:29 door Anoniem
Verdorie nog an toe.... Wanneer is het toch eens afgelopen met die decentraliseringsfratsen. Als het aan de VVD/CDA/D'66 ligt zeker nooit. Soms ben ik echt voorstander van een machtswisseling zoals die in de Verenigde Staten algemeen is: Maximaal 2 presidentstermijnen voor dezelfde persoon, i.t.t. hier waar we opgescheept gaan zitten met voor een 4 keer Rutte i.c.m. chrrristelijke rechtse koorknapen, gestut door een politieke windvaanpartij van de eerste orde.
08-10-2021, 22:50 door Anoniem
ehhhhhhhhhhhhh?.en Nederland moest zo cyber veilig zijn....??
08-10-2021, 23:05 door Anoniem
Door Anoniem: Verdorie nog an toe.... Wanneer is het toch eens afgelopen met die decentraliseringsfratsen. Als het aan de VVD/CDA/D'66 ligt zeker nooit. Soms ben ik echt voorstander van een machtswisseling zoals die in de Verenigde Staten algemeen is: Maximaal 2 presidentstermijnen voor dezelfde persoon, i.t.t. hier waar we opgescheept gaan zitten met voor een 4 keer Rutte i.c.m. chrrristelijke rechtse koorknapen, gestut door een politieke windvaanpartij van de eerste orde.
Wat heeft dit nu te maken met het artikel?
09-10-2021, 09:31 door Anoniem
Citaat uit het document van de staatssecretaris:
"Tot slot
Bovenstaande uiteenzetting geeft aan dat er in mijn beleid reeds aandacht wordt besteed aan zowel de preventie van digitale ontwrichting als het bieden van handelingsperspectieven in het geval van een crisis. Daarbij zet ik in mijn beleid niet in op een cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is contextafhankelijk. Het risico-gebaseerd werken en de daaruit volgende getroffen maatregelen verschillen per gemeente. Om die reden richt het beleid zich, in samenwerking met de VNG en IBD, op de implementatie van de BIO, de verantwoording daarover aan het lokaal bestuur, het stimuleren van het gebruik van de GGI, het oefenen met gesimuleerde hackaanvallen, het delen van kennis en zorgt de IBD na elk incident voor de nazorgfase zodat de overheid daarvan kan leren. Kern daarbij is dat we als overheid zoveel als mogelijk proberen aanvallen te voorkomen, maar wel effectief kunnen reageren als we worden geraakt.
"



Reactie (met respect naar de staatssecretaris:
Beleid is 1 maar invulling is 2. In mijn optiek is hierdoor nog steeds teveel vrijblijvendheid hoe dit beleid wordt ingevuld. Het is ook niet handig omdat je dan ondanks het beleid toch verschillen krijgt per gemeente in hoe de ICT Security is ingevuld. Met als gevolg dat je verschillen krijgt in implementaties van dit beleid.

Wat ik hieruit concludeer is dat er dus nu al behoorlijke verschillen zijn en dat de hoofdreden is waardoor die vrijblijvendheid is toegestaan.

Er zijn bepaalde groepen die generieke services aanbieden echter dit zal naar mijn mening niet voldoende zijn. Doordat er geen uniformiteit is nemen de risico's alleen maar toe. Je blijft zitten met eilandjes die wel hetzelfde beleid hanteren maar vrij zijn in de implementatie en opvolging,

Dit kan goed gaan maar als er verschillende gemeentes tegelijk worden aangevallen kom je er niet met die paar generieke services die steeds met een verschillende omgeving te maken krijgen. Dit gaat juist ten koste van de daadkracht van die generieke services die zich steeds moeten focussen op een verschillende omgeving en uiteindelijk resources te kort komen.

Met als gevolg 1 grote bende. Tenzij die generieke services een minimale configuratie afdwingen. Ook de vrijblijvendheid om gebruik te maken van die generieke services zal per definitie grote verschillen opleveren. Dit wordt naar mijn mening oncontroleerbaar en zal leiden tot een enorme vergader cultuur.

En sorry dat ik het zeg maar ik heb hier ervaring mee. Het is in een groot bedrijf al heel lastig om dit goed te implementeren laat staan bij de overheid met al die verschillende gemeentes.

Met al die APT's snap ik niet dat ze hierin niet doorpakken.

Maar goed dit is slechts mijn mening en wie ben ik.
09-10-2021, 09:52 door Anoniem
We praten dus over 347 gemeenten...en stel dat we dit vertalen naar bedrijven.

<a href="https://allecijfers.nl/definities/aantal-gemeenten-en-overzicht-gemeentelijkeherindelingen/">347 gemeenten</a>

Dus in feite zeggen we tegen 347 bedrijven, dit is het beleid.

Implementeer het hoe je wilt en je kan vrijblijvend gebruik maken van onze generieke services.

Het grote verschil is echter ...we praten over de data van onze burgers.

Ik ben van mening dat we hier veel strakker in moeten zitten. Zeker met de aantoonbare aanvallen van APT's

Voordat we in een fase van geschokt zitten en we hebben niet goed geacteerd.
09-10-2021, 10:01 door Anoniem
Dit kan nog leuk worden als 347 gemeenten hun eigen riskmanagement inrichten. Hebben ze überhaupt de resources in mankracht en geld?

Want bij sommige gemeenten staat het water al tot hun lippen.
09-10-2021, 11:29 door karma4
Door Anoniem: ...
Reactie (met respect naar de staatssecretaris:
Beleid is 1 maar invulling is 2. In mijn optiek is hierdoor nog steeds teveel vrijblijvendheid hoe dit beleid wordt ingevuld. Het is ook niet handig omdat je dan ondanks het beleid toch verschillen krijgt per gemeente in hoe de ICT Security is ingevuld. Met als gevolg dat je verschillen krijgt in implementaties van dit beleid. .... .

Je raakt een kern van het probleem.
- In de uitvoering worden er te vaak met technische oorlogjes op de vloer uitgevochten waarbij het achterliggende beleidsdoel geheel verloren gaat.
- Beleidsmakers zijn niet in staat het beleid naar uitvoerende maatregelen te vertalen. Elke poging daartoe verzandt in onwerkbare afvinklijstjes welke het beleidsdoel geweld aan doen.
09-10-2021, 12:27 door Anoniem
Knops?

Knops geeft aftrap van “Coalition of the Willing” om digitale transformatie van overheden te versnellen
https://www.rijksoverheid.nl/actueel/nieuws/2020/10/05/staatssecretaris-knops-geeft-aftrap-van-%E2%80%9Ccoalition-of-the-willing%E2%80%9D-om-digitale-transformatie-van-overheden-te-versnellen

Coalition of the Willing my ass.
10-10-2021, 12:21 door Anoniem
Door karma4:
Door Anoniem: ...
Reactie (met respect naar de staatssecretaris:
Beleid is 1 maar invulling is 2. In mijn optiek is hierdoor nog steeds teveel vrijblijvendheid hoe dit beleid wordt ingevuld. Het is ook niet handig omdat je dan ondanks het beleid toch verschillen krijgt per gemeente in hoe de ICT Security is ingevuld. Met als gevolg dat je verschillen krijgt in implementaties van dit beleid. .... .

Je raakt een kern van het probleem.
- In de uitvoering worden er te vaak met technische oorlogjes op de vloer uitgevochten waarbij het achterliggende beleidsdoel geheel verloren gaat.
- Beleidsmakers zijn niet in staat het beleid naar uitvoerende maatregelen te vertalen. Elke poging daartoe verzandt in onwerkbare afvinklijstjes welke het beleidsdoel geweld aan doen.

Hier de anoniem van 09:31 en waarschijnlijk ook ex collega. Ik ben het helemaal met je eens, Karma4. Goede toevoeging 10+,

Hoe vaak hebben wij dit al niet meegemaakt? Het lijkt net een slechte film.

Maar wie zijn wij?
10-10-2021, 22:46 door Anoniem
Als ik overheid i.c.m. ICT lees dan klik ik snel verder.

PS: een aangenomen motie naast je neerleggen is weer de arrogantie ten top. Gaat.Nooit.Wat.Worden
11-10-2021, 08:02 door Anoniem
We zullen dus steeds meer zien dat men G*d's water over G*d's akker zal laten lopen.
Weer een bordje buurtpreventie moeten verschijnen.

Net als bij alles, de burger doet uw werk. Bij bankieren, bij veel overheidszaken.

De terugtredende overheid is geen partij voor ransomware artiesten en zich daarachter verbergende cybercriminele developer/hackers.

Neerland, bananen-staat.
11-10-2021, 08:25 door Anoniem
ik dacht dat de IBD (VNG) al gemeenten bijstond bij grote Cyber-problemen.
11-10-2021, 09:16 door Anoniem
Dilan Yesilgoz is de kakelkip van de VVD. 0.0 inhoud.

Daarnaast weten we allemaa de stelling: ICT && overheid == faal
11-10-2021, 20:49 door gbrugman
Hoe zo, democratie. 149 leden van de 150 zijn voor de motie en Kabinet zegt dat ze die niet uitvoeren. Stuur Kabinet maar naar huis Tweede Kamer, want wij hebben jullie gekozen als onze vertegenwoordigers.
14-10-2021, 09:25 door Anoniem
Door Anoniem: Als ik overheid i.c.m. ICT lees dan klik ik snel verder.

PS: een aangenomen motie naast je neerleggen is weer de arrogantie ten top. Gaat.Nooit.Wat.Worden

Het is wel jammer dat het woord "cyber" weer eens te pas en onpas gebruikt wordt (cyberverdedigingsprotocol, dit is vaagheid ten top)

Het woord ICT heb ik niet gelezen, maar zeg er dit van: zolang er mensen zijn die denken dat Cyber iets met ICT heeft en zolang CISO's in ICT afdelingen verstopt zitten wordt het probleem sowieso niet opgelost.

Gelukkig is er de IBD, dat dan weer wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.