image

Jaap van Dissel gebruikte privémail voor communicatie over coronabeleid

dinsdag 19 april 2022, 10:13 door Redactie, 48 reacties
Laatst bijgewerkt: 19-04-2022, 13:38

OMT-voorzitter Jaap van Dissel gebruikte zijn eigen Gmail-adres om met bewindspersonen, OMT-leden en RIVM-collega's over het coronabeleid te communiceren. Van Dissel laat tegenover de Volkskrant weten dat gezien de grote hoeveelheden e-mail die hij ontving dit zijn werk eenvoudiger maakte. Een woordvoerder van het RIVM stelt verder dat de RIVM-systemen 'niet altijd even bruikbaar' waren en het soms lang kon duren om in te loggen en het versturen van grote bestanden lastig was.

Het RIVM werd aan het begin van de coronacrisis nog gewaarschuwd om geen vertrouwelijke informatie via privémail te versturen. "‘Er is een verhoogde dreiging van ongenode gasten geconstateerd", staat in een mail van 7 april 2020 die naar tientallen medewerkers werd verstuurd. "Ook digitaal is de alertheid verhoogd vanwege pogingen in te breken. Let dus zelf ook op met vertrouwelijke informatie. Nooit via privémail, uitsluitend achter de firewall", aldus documenten die via een WoB-verzoek openbaar zijn geworden.

Volgens het RIVM heeft Van Dissel nooit zijn privémail gebruikte om vertrouwelijke stukken te versturen. Verschillende bijlagen in de mail van Van Dissel zijn bij WoB-verzoeken als te vertrouwelijk bestempeld om vrij te geven, aldus de Volkskrant. Onlangs werd bekend dat minister De Jonge zijn privémail voor werkgerelateerde communicatie gebruikte en hier pas recentelijk mee is gestopt.

Na het debat dat in de Tweede Kamer hierover plaatsvond is Van Dissel gestopt met het gebruik van zijn privémail. "De discussie rondom het gebruik van een privémailadres door Hugo de Jonge heeft Jaap doen besluiten geen gebruik meer te maken van zijn privémail", aldus het RIVM. De e-mails die de OMT-voorzitter verstuurde zouden "in principe" via een WoB-verzoek zijn op te vragen, omdat altijd andere RIVM-adressen in de cc stonden, laat het RIVM verder weten.

Reacties (48)
19-04-2022, 10:24 door [Account Verwijderd]
Je moet wat, als je alles te verbergen hebt...
19-04-2022, 10:38 door Anoniem
Ach, het was lastig om de mailomgeving van het RIVM te gebruiken.
En dan doet Jaap het lekker niet.
Weet jullie wat ook 'lastig' was, Jaap en Hugo ?
Mondkapjes, lockdowns, avondklok, verplichte prik, QR code,
vragen stellen over de effectiviteit van die maatregelen, demonstreren
en nog zo wat.
19-04-2022, 10:42 door Anoniem
Dus de corona communicatie tussen van Dissel en de Jonge is verloren gegaan. Hoe praktisch.
19-04-2022, 10:49 door Anoniem
Door Rexodus: Je moet wat, als je alles te verbergen hebt...
Het is maar al te menselijk gedrag om als iets omslachtig is het op een manier te doen die minder moeite kost, dat doen mensen van hoog tot laag en van links tot rechts. Maar zoiets menselijks kan de verklaring natuurlijk niet zijn als je tegen iemand bent...

Daarmee vind ik het niet in orde dat Van Dissel en De Jonge hun privé-emailaccounts voor werk hebben gebruikt. Dat zijn mensen in hoge posities. Die zouden moeten beseffen dat wat voor hun omslachtig is voor iedereen in de organisatie omslachtig is, en dus een kostenpost. Uitgerekend zij zijn in een positie om te zorgen dat daar iets aan verbeterd wordt. Als ze dat niet doen, misschien omdat er een erg goede reden is om het toch maar op de omslachtige manier te doen, dan moeten ze zich daar zelf ook niet aan onttrekken.

Ik vind het dus niet in orde dat ze privé-email hebben gebruikt voor werk. Ik snap wel dat zij net zo menselijk zijn als wie dan ook en dat al die menselijke redenen om dingen anders te doen dan eigenlijk zou moeten bij hun net zo goed optreden als bij wie dan ook.
19-04-2022, 10:50 door Anoniem
De e-mails die de OMT-voorzitter verstuurde zouden "in principe" via een WoB-verzoek zijn op te vragen, omdat altijd andere RIVM-adressen in de cc stonden, laat het RIVM verder weten.
Dat gauw maar doen dan, want dan kan die bewering dat "Van Dissel nooit zijn privémail gebruikte om vertrouwelijke stukken te versturen" vast wel onderuit gehaald worden.
19-04-2022, 10:55 door Anoniem
Er is al een hoop gezegd over gebruiksvriendelijkheid en zo, maar op een gegeven moment zit je "zo hoog in de boom" dat gebruiksvriendelijk ondergeschikt is aan veiligheid, en dan heb je daar maar mee te dealen. AIVD, staatsgeheime informatie, hoogwaardige technische oplossingen waar heel de wereld in is geïnteresseerd, noem maar op: als ik dan zeg "zoek het uit met je regels, ik vind dit maar lastig en doe waar ik zelf zin in heb", dan trapt management me buiten.

Zaken in het werk stellen om oplossingen gebruiksvriendelijker te maken: prima. Maar als dat op zo'n moment niet lukt, dan heb je daar als hotemetoot maar op een volwassen manier mee om te gaan.
19-04-2022, 10:56 door Anoniem
Zijn deze mensen al afgetreden? Nee? Dan neem ik onze overheid nog steeds niet serieus.
19-04-2022, 11:19 door Anoniem
De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.
19-04-2022, 11:37 door Anoniem
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Dat is alsnog geen excuus om je privemail te gebruiken. Zeker niet als het om (vertrouwelijke) overheidsdocumenten gaat.
19-04-2022, 11:47 door Anoniem
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Net als dat niet iedereen snapt dat er een handleiding is, welke uitdrukkelijk waarschuwt dat je via de officiële manier moet werken. Voor mensen die werken aan beleid moet dit geen waarschuwing meer zijn, maar een verplichting. Met ontslag als ze zich er niet aan houden.
19-04-2022, 11:49 door [Account Verwijderd]
Je moet wat, als je alles te verbergen hebt...
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Dit soort reacties geven weer wat een naïeve mensen op deze planeet rondlopen.
19-04-2022, 11:54 door Anoniem
Door Rexodus: Je moet wat, als je alles te verbergen hebt...
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Dit soort reacties geven weer wat een naïeve mensen op deze planeet rondlopen.

En dat zijn er helaas veel.
19-04-2022, 11:55 door Anoniem
Niet gewoon een privé e-mail adres, maar een "gratis" e-mail adres van een USA-advertentie bedrijf dat in zijn voorwaarden heeft staan dat ze de inhoud van de e-mails en alle meta-data mogen gebruiken voor het opbouwen van persoonsprofielen en targetting.

Is dit data lek al gemeld bij de autoriteit persoonsgegevens? Jaap van Dissel had immers niet de bevoegdheid om al deze gegevens te delen met een surveillance bedrijf.
19-04-2022, 11:55 door Anoniem
Door Anoniem: Dus de corona communicatie tussen van Dissel en de Jonge is verloren gegaan. Hoe praktisch.

Dat staat nergens...
19-04-2022, 11:58 door Anoniem
Door Anoniem: Zijn deze mensen al afgetreden? Nee? Dan neem ik onze overheid nog steeds niet serieus.

Volgens mij hebben ze geen regels overtreden... het werd sterk afgeraden. En een medewerker, zoals van Dissel, kan niet aftreden.
19-04-2022, 12:19 door Anoniem
Door Anoniem: Niet gewoon een privé e-mail adres, maar een "gratis" e-mail adres van een USA-advertentie bedrijf dat in zijn voorwaarden heeft staan dat ze de inhoud van de e-mails en alle meta-data mogen gebruiken voor het opbouwen van persoonsprofielen en targetting.

Is dit data lek al gemeld bij de autoriteit persoonsgegevens? Jaap van Dissel had immers niet de bevoegdheid om al deze gegevens te delen met een surveillance bedrijf.

Dat is inderdaad nog het meest schokkende.
19-04-2022, 12:24 door gradje71 - Bijgewerkt: 19-04-2022, 12:26
Door Anoniem:
Door Anoniem: Zijn deze mensen al afgetreden? Nee? Dan neem ik onze overheid nog steeds niet serieus.

Volgens mij hebben ze geen regels overtreden... het werd sterk afgeraden. En een medewerker, zoals van Dissel, kan niet aftreden.

Hebben ze geen regels overtreden? Zie deze quote van OP.

Het RIVM werd aan het begin van de coronacrisis nog gewaarschuwd om geen vertrouwelijke informatie via privémail te versturen. "‘Er is een verhoogde dreiging van ongenode gasten geconstateerd", staat in een mail van 7 april 2020 die naar tientallen medewerkers werd verstuurd. "Ook digitaal is de alertheid verhoogd vanwege pogingen in te breken. Let dus zelf ook op met vertrouwelijke informatie. Nooit via privémail, uitsluitend achter de firewall", aldus documenten die via een WoB-verzoek openbaar zijn geworden.
19-04-2022, 12:26 door Anoniem
Toch zou ik aan Arnoud eens willen voorleggen in hoeverre het terecht is dat privé mail buiten schot blijft voor een WOB verzoek als degene willens en wetens zijn privémail gebruikt heeft voor zakelijke doeleinden.
19-04-2022, 12:50 door Anoniem
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Mensen die Gmail gebruiken voor hun werk bij de overheid moeten direct weg. Zij gaan zeer onverantwoord om met overheidsgegevens en gegevens van burgers. Daarvoor bestaat geen enkel excuus.

De genoemde personen hebben de afgelopen 2 jaar sowieso niks anders gedaan dan wanbeleid uitstrooien en burgers bedreigen en discrimineren. Ze deugen niet tot op het bot.
19-04-2022, 13:52 door Anoniem
Ik neem aan dat de overheid keurig een update heeft gedaan in hun dossier meldplicht en telefonisch melding gemaakt bij het AP binnen de wettelijk gestelde 72 uur. Er zijn afterall persoonlijke gegevens en naar alle waarschijnlijkheid medische gegevens verstrekt buiten bevoegde kanalen. Uiteraard zijn de betrokken DPO'S ook hard aan het werk om alle getroffenen te informeren en is er een data forensic team aangesteld voor het achterhalen waar de data allemaal onbevoegd naar toe is gestuurd.

Oh nee wacht we hebben het hier over de overheid.

Als iets lang duurt dan maak je er melding van en zoek je een oplossing voor je infrastructuur. Desnoods schokkend tijdelijk inderdaad via de prive mail met supervisie en schriftelijk vastgelegd dat er een bewust risico is genomen tot de reguliere communicatie kanalen weer adequaat functioneren. Maar je legt het vast !

Het is niet uit te leggen dat er niks bekend was op enige laag. En serieus wat voor Operational Security voeren ze daar bij de overheid. Als hier documenten buiten reguliere kanalen gaan dan is ons SOC het eerste die aan de bel trekt en het betrokken account bevriest. Wat is er zo moeilijk aan het begrip *vertrouwelijke* document communicatie.
19-04-2022, 14:30 door Anoniem
We hebben te maken met een zeer kwaadaardige overheid die constant liegt, draait, bedreigt, gegevens achterhoudt, de Kamer misleidt, met journalisten in bed ligt, etc.
Wanneer... gaat hier iets tegen gebeuren?
19-04-2022, 14:34 door Anoniem
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.
Ik denk dat van Dissel al wel een inlog had hoor. Maar daar zat natuurlijk allerlei beveiliging op, zoals een beperking
van de devices waarop hij het mocht gebruiken en/of een 2nd factor authenticatie. Allemaal veel te lastig in het dagelijks
gebruik dus negeren we dat dan.
19-04-2022, 15:03 door Anoniem
Door Anoniem: Toch zou ik aan Arnoud eens willen voorleggen in hoeverre het terecht is dat privé mail buiten schot blijft voor een WOB verzoek als degene willens en wetens zijn privémail gebruikt heeft voor zakelijke doeleinden.

naar mijn mening valt hiermee de prive mailbox onder dezelfde wetgeving als de zakelijke mailbox en is de buitenechtelijke relatie met willekeurig welke d66 stagiaire daarmee ook WOBbaar
19-04-2022, 16:01 door Anoniem
de lapzwans!
19-04-2022, 16:59 door Anoniem
klinkt een beetje als doorgeslagen e-mailbeleid, waarbij mailen zo moeilijk wordt gemaakt dat zelf bestuurders er niet meer achter staan. security kan ook zijn doel voorbij schieten.
19-04-2022, 18:17 door Anoniem
Door Anoniem:
Door Anoniem: Dus de corona communicatie tussen van Dissel en de Jonge is verloren gegaan. Hoe praktisch.

Dat staat nergens...

Communicatie van van Dissel naar de Jonge is niet te controleren door de tweede kamer.
Communicatie van de Jonge naar van Dissel is niet te controleren door de tweede kamer.

Conclusie: Ga er van uit dat er communicatie tussen die twee verloren is gegaan en dat dit niet vastgesteld kan worden door de tweede kamer. Als jij wel kan zeggen dat er geen communicatie verloren is gegaan wil de kamer dat waarschijnlijk graag weten.

Q.E.D.
19-04-2022, 19:42 door Anoniem
Door Anoniem: Dus de corona communicatie tussen van Dissel en de Jonge is verloren gegaan. Hoe praktisch.

Scherp.
19-04-2022, 19:44 door Anoniem
Door Anoniem: De negatieve reacties laten zien dat deze mensen geen ervaring hebben met overheidssystemen. Op het UWV bijvoorbeeld liep het systeem zodanige vertraging op (zelf meegemaakt) dat je lange tijd moest wachten totdat je inlog gehonoreerd werd. Zo kun je gewoon niet werken. Maar niet iedereen op dit forum begrijpt dat ook.

Dan moeten die mensen niet de adviezen negeren maar aktie ondenemen om wel een werkend mailsysteem te krijgen.
Tot die tijd maar weer Faxen.
19-04-2022, 21:22 door Anoniem
niet dat het alles goed praat, maar ik zit hier bij een uni waar het mail systeem ook overhoop gehaald wordt en waarbij het dagelijkse gebruik de alleen maar moeilijker gemaakt wordt. en ja ik ben dus ook hard aan het twijfelen of ik niet van al het gezeik van mail filters en gebrekkige support en stuff in quarantaines etc. te omzeilen door een gmail account maar te gaan gebruiken. laten we wel wezen, veiligheid gaat niet boven alles want als een systeem onbruikbaar wordt, is er ook geen rede voor al die veiligheid (die fake is want elke dinsdag is het wel weer raak met een of andere CVE in exchange). hetzelfde is te strenge wachwoord policies die ervoor zorgen dat het ww op een post-it aan het scherm zit. we blijven mensen en we moeten niet alles pot dicht continue willen hebben zeker als daar niet overal de noodzaak voor is.

kortom ik snap het wel ergens met deze heren...
19-04-2022, 22:20 door Anoniem
Al gebruikt hij een postduif, zijn er geen belangrijkere problemen in dit land?
19-04-2022, 22:59 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem: niet dat het alles goed praat, maar ik zit hier bij een uni waar het mail systeem ook overhoop gehaald wordt en waarbij het dagelijkse gebruik de alleen maar moeilijker gemaakt wordt. en ja ik ben dus ook hard aan het twijfelen of ik niet van al het gezeik van mail filters en gebrekkige support en stuff in quarantaines etc. te omzeilen door een gmail account maar te gaan gebruiken. laten we wel wezen, veiligheid gaat niet boven alles want als een systeem onbruikbaar wordt, is er ook geen rede voor al die veiligheid (die fake is want elke dinsdag is het wel weer raak met een of andere CVE in exchange). hetzelfde is te strenge wachwoord policies die ervoor zorgen dat het ww op een post-it aan het scherm zit. we blijven mensen en we moeten niet alles pot dicht continue willen hebben zeker als daar niet overal de noodzaak voor is.

kortom ik snap het wel ergens met deze heren...

Ik snap dat deze heren niet vastgepind willen worden in een gebruiksonvriendelijk systeem.
Maar ze willen ons wel vastpinnen in een gebruiksonvriendelijk systeem.
Een systeem waarin wij voor elk beweginkje hun toestemming moeten vragen
en krijgen met een QR-code. En ze willen niet dat wij dat snappen.
Daarom gebruiken zij privé-mail zodat wij niet te weten komen wat ze elkaar precies vertellen,
namelijk over hoe ze ons willen vastpinnen.

Dus als deze heren zouden zeggen:
"Oké, wij proberen jullie niet meer vast te pinnen, mogen wij dan onze privémail gebruiken?"
Dan zou ik zeggen: als jullie die "tijdelijke" maatregelen opheffen, echt opheffen,
en geen onzin meer in RIVM-Covid-modellen stoppen
en ook niet meer op basis van die modellen gaan orakelen
dat wij onze vrijheid niet meer mogen hebben -
Ja dan, dan mogen jullie van mij jullie privémail gebruiken,
met andere woorden: als jullie van het politieke toneel verdwenen zijn.

M.J.
19-04-2022, 23:29 door Hendrik-Jan van Bommel
Goede man die Van Dissel. Is/wordt schandalig gedemoniseerd door extreem rechtse trollen en overig vals volk. Hoop dat hij een hoge onderscheiding krijgt en de Russische staatstrollen / collaborerende trollen gerechtigheid niet zullen ontlopen.
19-04-2022, 23:40 door Anoniem
Door Hendrik-Jan van Bommel: Goede man die Van Dissel. Is/wordt schandalig gedemoniseerd door extreem rechtse trollen en overig vals volk. Hoop dat hij een hoge onderscheiding krijgt en de Russische staatstrollen / collaborerende trollen gerechtigheid niet zullen ontlopen.
Tja hij is nogal onheus behandeld door de zittende politiek. Die niet de waarheid wilde horen ("we weten het niet") maar altijd bij iedere vraag feitelijke antwoorden wilden hebben waarop ze concrete beslissingen konden nemen en niet later nat zouden gaan.
Het was natuurlijk onvermijdelijk dat er meerdere malen dingen die geopperd waren later onjuist zouden blijken. Dat heb je nou eenmaal met wetenschappelijk onderzoek.
Maar het volk raakte gesplitst in een groep die daar voortdurend naar uit keek ("zie je wel ze liegen ons voor!") en een groep die daar lijnrecht tegenover wilde staan en dus alles wat mensen als Van Dissel vertelden als het ware geloof aannamen en iedere twijfel wegzetten als "complot theorie" en iedereen die niet alles voetstoots aannam als "wappie".

Een middenpositie innemen (we onderzoeken de boel en soms gokken we wel eens verkeerd) dat werd totaal onmogelijk.
20-04-2022, 00:02 door Anoniem
Door Anoniem: niet dat het alles goed praat, maar ik zit hier bij een uni waar het mail systeem ook overhoop gehaald wordt en waarbij het dagelijkse gebruik de alleen maar moeilijker gemaakt wordt. en ja ik ben dus ook hard aan het twijfelen of ik niet van al het gezeik van mail filters en gebrekkige support en stuff in quarantaines etc. te omzeilen door een gmail account maar te gaan gebruiken. laten we wel wezen, veiligheid gaat niet boven alles want als een systeem onbruikbaar wordt, is er ook geen rede voor al die veiligheid (die fake is want elke dinsdag is het wel weer raak met een of andere CVE in exchange). hetzelfde is te strenge wachwoord policies die ervoor zorgen dat het ww op een post-it aan het scherm zit. we blijven mensen en we moeten niet alles pot dicht continue willen hebben zeker als daar niet overal de noodzaak voor is.

kortom ik snap het wel ergens met deze heren...
Nee dit is niet goed te praten in geen enkel geval. Bij ons wordt je meteen de deur uitgezet als we erachter zouden komen. We drillen het erbij al onze gebruikers in en ze tekenen een overeenkomst dat ze *niet* op het reguliere corporate network mogen voor privé zaken nog verbinden naar ongerelateerde services en sites. We hebben daar een gescheiden netwerk voor compleet andere IP range compleet lostaande hardware.

Dat geldt voor iedereen van stagiaire tot directie en er is geen uitzondering mogelijk en ik blaf je uit op welk niveau je ook zit al zit je boven mijn salaris. Want als puntje bij paaltje komt als de organisatie door een gebruikersfout die had voorkomen worden data verliest dan gaan er meer koppen rollen dan als ik niet zou blaffen verliezen de aandeelhouders heel wat centen en wordt ik alsnog aangekeken erop dat ik mijn werk niet heb gedaan.

Helaas durft niet iedereen dat in de management laag want als iemand bij de overheid op management niveau meteen zijn mond open had gedaan was het klaar geweest. Dit krijg je als je een angst cultuur hebt binnen je organisatie waar het volgen van protocol en aanspreken erop wordt afgestraft maar het niet naleven juist weer geen juridsche gevolgen heeft.

Jaren terug meegemaakt met een niet nader te noemen overheidsonderdeel waar cruciale back-ups van server configuraties nog op floppy disk gedaan werden. Niemand had echter een beleid opgesteld om die floppydisks regelmatig te kopieren en te testen want de kans dat ze ooit nodig waren was nihiel dus die lagen in een kluis bewaard. Melding van gemaakt werdt afgedaan als niet zo gevaarlijk door de opdrachtgever waarop ik heb besloten per direct mijn handen van de audit af te trekken want als je klant niet wil luisteren dan is er geen verbetering mogelijk. Die rapportage is waarschijnlijk toen ook uit angst ergens in een laadje verdwenen. Kan je zeggen er draait nog steeds sht bij een overheidsorgaan tot deze dag waar herstel enkel mogelijk is met floppydisks. Ergens 2030 hopen ze het eruit te hebben is wat ik van oude contacten heb gehoord.


Er is een reden waarom die filters en quarantaine er is omdat eindgebruikers niet de kennis bezitten om juiste beslissingen te maken over wat je wel en niet moet aanklikken.

Dat is de realiteit de gemiddelde eind gebruiker weet niet wat een echt mailtje is en wat nep is. En dat is geen verwijt dat is gewoon hoe goed tegenwoordig phising en de distributie in elkaar zit. Zou je geen filters erop donderen met score berekeningen als bayes, Neuralnetwork learning, DCC, Pyzor, Razor, IP reputation checks en nog heel scala aan middelen is het praktisch game over voor je organisatie.

Vroeger kon je spam herkennen aan hoe slecht het geschreven was. Toen kwam de domeinnamen die leken op echte. Tegenwoordig liften ze gewoon mee op legitieme netwerken die niet worden herkend als onveilig in de meeste gevallen en je afhankelijk bent van de kleinste afwijkingen om de score berekening zo te krijgen dat het wordt tegengehouden.

Criminelen huren tegenwoordig vervals bedrijven in die targets bestuderen en exact de communicatie namaken of voorbeelden pakken uit aangeleverde datalekken. Zelfs zulke brutale meegemaakt die onder mom van mogelijke samenwerking graag de namen wouden weten van onze accountmanagers. We hebben ze daarop bait gegeven door paar namen erin te donderen die niet bij ons werkte en kleine maand later was het raak. Dat waren trouwens keurig Nederlands sprekende mensen die de social engineering deden allleen wel met een spoofed nummer.

Dus ja daarom zijn er al die baricades die als problematisch worden beschouwd.
Dat betekend helaas ook heel veel false positives want je kan al lang niet mee je eigen domein whitelisten nog je relaties want je weet nooit hoe goed je relaties hun systemen hebben beveiligd en je creeert daarmee false sense of security.

Geen onderwerp, te veel spaties waar een enter hoort, te veel spelfouten false positive, onbekende bijlage namen, encapsulated archive zoals winmail.dat. En zo nog een paar duizend identifiers die in allerlei combinaties false positives kunnen veroorzaken.


Wachtwoord beleid zou echt geen probleem meer mogen zijn. Je geeft alle gebruikers een monitored wachtwoordkluis je geeft ze een gedeelde kluis waar nodig. Je laat ze 1 master password onthouden in combinatie van een MFA als apparaat of token. Je gooit de toegang tot de wachtwoord kluis dicht met IP, MAC registratie en bij meer dan 5 verkeerde masterkey pogingen gooi je alert op en gooit de toegang tijdelijk uit. Je draait een weekelijkse rapportage uit en je monitored alle opgeslagen diensten, domeinen op geregistreerde datalekken en gooit een wachtwoord reset de deur uit bij bevestigd lek.

Verder kun je alle wachtwoord regels vergeten als eindgebruiker. Geen wachtwoord aanpassingen om X dagen, Geen wachtwoordzin bullcrap of minimale entropie geen wachtwoord hints. Wat je wilt is iets dat te onthouden is voor de eindgebruiker de rest van inlog gegevens moeten pseudorandom gegenereert worden en geautomatiseerd en alle overige handmatige beslissingen liggen bij je IT security team.


De noodzaak is er helaas het internet is geen vriendelijke plek het is plek waar eigenlijk continue oorlog gaande is.
20-04-2022, 06:12 door Anoniem
Door Anoniem:
Door Anoniem: Dus de corona communicatie tussen van Dissel en de Jonge is verloren gegaan. Hoe praktisch.

Scherp.

Beide niet scherp. Altijd een @rivm.nl adres in de Cc. Valt dus gewoon te Wobben.
20-04-2022, 06:14 door Anoniem
Door Anoniem: Zijn deze mensen al afgetreden? Nee? Dan neem ik onze overheid nog steeds niet serieus.

Als je zelf niet weet hoe het werkt dan ben je zelf niet serieus te nemen. Iemand bij een uitvoerende organisatie treedt niet af. Die wordt ontslagen of neemt ontslag. En heb je het debat in de Tweede Kamer gemist? Door incompetentie van de Nederlandse politiek zit de Jonge nog.
20-04-2022, 06:16 door Anoniem
Door Anoniem: Niet gewoon een privé e-mail adres, maar een "gratis" e-mail adres van een USA-advertentie bedrijf dat in zijn voorwaarden heeft staan dat ze de inhoud van de e-mails en alle meta-data mogen gebruiken voor het opbouwen van persoonsprofielen en targetting.

Is dit data lek al gemeld bij de autoriteit persoonsgegevens? Jaap van Dissel had immers niet de bevoegdheid om al deze gegevens te delen met een surveillance bedrijf.

Kan je aangeven over welke gegevens het gaat die onder de AVG vallen? Of is je reactie een gevalletje van klok en klepel?
20-04-2022, 06:20 door Anoniem
Door Anoniem: Toch zou ik aan Arnoud eens willen voorleggen in hoeverre het terecht is dat privé mail buiten schot blijft voor een WOB verzoek als degene willens en wetens zijn privémail gebruikt heeft voor zakelijke doeleinden.

Op zich is het gebruik van privé mail een probleem voor de WOB als alle deelnemers alleen van privé mailadressen gebruik maken. Zit er één overheidstussen dan is het WOBbaar.

Interessante vraag verder. Ik heb er nog één: is er toegang te krijgen tot privé mail boxjes nu bekend is dat de Jonge en van Dissel zo dom zijn geweest geen gebruik te maken van hun werkadres?
20-04-2022, 06:22 door Anoniem
Door Anoniem: Ik neem aan dat de overheid keurig een update heeft gedaan in hun dossier meldplicht en telefonisch melding gemaakt bij het AP binnen de wettelijk gestelde 72 uur. Er zijn afterall persoonlijke gegevens en naar alle waarschijnlijkheid medische gegevens verstrekt buiten bevoegde kanalen. Uiteraard zijn de betrokken DPO'S ook hard aan het werk om alle getroffenen te informeren en is er een data forensic team aangesteld voor het achterhalen waar de data allemaal onbevoegd naar toe is gestuurd.

Oh nee wacht we hebben het hier over de overheid.

Als iets lang duurt dan maak je er melding van en zoek je een oplossing voor je infrastructuur. Desnoods schokkend tijdelijk inderdaad via de prive mail met supervisie en schriftelijk vastgelegd dat er een bewust risico is genomen tot de reguliere communicatie kanalen weer adequaat functioneren. Maar je legt het vast !

Het is niet uit te leggen dat er niks bekend was op enige laag. En serieus wat voor Operational Security voeren ze daar bij de overheid. Als hier documenten buiten reguliere kanalen gaan dan is ons SOC het eerste die aan de bel trekt en het betrokken account bevriest. Wat is er zo moeilijk aan het begrip *vertrouwelijke* document communicatie.

Je snapt echt niet hoe organisaties werken, concludeer ik.

Hoe dom het gebruik van privé mail ook is, ministers en directeuren RIVM gaan zich echt niet bezighouden met zaken op persoonsniveau. Die hebben het over de grote lijnen.
20-04-2022, 06:31 door Anoniem
Door Anoniem: niet dat het alles goed praat, maar ik zit hier bij een uni waar het mail systeem ook overhoop gehaald wordt en waarbij het dagelijkse gebruik de alleen maar moeilijker gemaakt wordt. en ja ik ben dus ook hard aan het twijfelen of ik niet van al het gezeik van mail filters en gebrekkige support en stuff in quarantaines etc. te omzeilen door een gmail account maar te gaan gebruiken. laten we wel wezen, veiligheid gaat niet boven alles want als een systeem onbruikbaar wordt, is er ook geen rede voor al die veiligheid (die fake is want elke dinsdag is het wel weer raak met een of andere CVE in exchange). hetzelfde is te strenge wachwoord policies die ervoor zorgen dat het ww op een post-it aan het scherm zit. we blijven mensen en we moeten niet alles pot dicht continue willen hebben zeker als daar niet overal de noodzaak voor is.

kortom ik snap het wel ergens met deze heren...

Het is duidelijk dat organisaties hun ICT niet op orde hebben. Er is nu veel focus op beveiliging, maar functionaliteit en gebruikersgemak hoeft daarbij niet vergeten te worden.

1. Mail heeft vaak een beperking op omvang. Is voor bepaalde personen uiteraard (tijdelijk) uit te zetten. Of stel een bestandsuitwisselingsmechanisme beschikbaar (bijvoorbeeld een portaal).
2. Je kan de zaak best veilig maken (wachtwoord, MFA) zonder dat het veel extra tijd kost om te gebruiken.
3. Gebruik een EMM voor mobiele devices. Integreert volledig met de mogelijkheden van het device. Is dan ook meteen op afstand te wissen als het device kwijtraakt.

En zo zijn er wel meer dingen te bedenken. Uitgangspunt is wel dat de werkgever alle benodigde apparatuur gewoon ter beschikking stelt en dat dat geen oude meuk is.

Wat ik niet snap dat ik een paar keer “je moest vaak je wachtwoord wijzigen”. Hoe vaak dan? Dagelijks?
20-04-2022, 09:34 door Anoniem
Is het gebruik van gmail (waarbij google meeleest) niet gewoon een datalek?
20-04-2022, 10:10 door Anoniem
Na Hugo nog een incompetente eindgebruiker van een overheids-mailsysteem (er zijn er vast nog heel veel meer). En toch blijven dit soort mensen gewoon zitten waar ze zitten op cruciale plekken in organisaties en met functies die, wanneer iets uitlekt of misgaat, levensgrote consequenties hebben voor het hele land.
Lastig hoor om 1x per maand je wachtwoorden her en der te moeten wijzigen maar ik ben niet anders gewend, ik doe dit soort dingen al 40 jaar, met en zonder 2-factor authenticaties en soms zelfs meer. Ik zie het gewoon als gemakzucht en nonchalance als je de (veiligheids)regels van je organisatie moedwillig omzeilt en onveilige zaken gebruikt voor je werk.
In mijn ogen kan dit alleen op straffe van ontslag afgehandeld worden maar in het leugenachtige politieke landschap verdwijnen zulke zaken weer gewoon onder het tapijt.
20-04-2022, 17:47 door Anoniem
Door Anoniem:
Je snapt echt niet hoe organisaties werken, concludeer ik.

Hoe dom het gebruik van privé mail ook is, ministers en directeuren RIVM gaan zich echt niet bezighouden met zaken op persoonsniveau. Die hebben het over de grote lijnen.
Leuk dat je dat zegt maar een minster, of directeur is een eindgebruiker. Dat betekend dat ze vallen onder regulier operationele monitoring. Een eindgebruiker heeft vervolgens onbevoegd gegevens gedeeld naar bedrijven waardoor dit onder protocol valt als een datalek.

Het heeft niks te maken met dat ministers en hoog geplaatsten enkel over grote lijnen gaan. Juist daarom moeten die zich al helemaal niet bemoeien met welk protocol er gevolgd wordt inten op informatieuitwisseling. Dat is eerste plaats niet hun taak en tweede plaats niet eens toegestaan. Daar hebben ze niet de kennis voor en de mensen die dat wel hadden hebben liggen slapen.

Ik neem de eindgebruikers kwalijk dat ze adviezen niet hebben opgevolgd maar ik neem de gene verantwoordelijk voor security en handhaving het vele malen kwalijker. Want als er meer malen is verteld naar de eindgebruiker niet prive mail te gebruiken dan is er signalering geweest dat beleid niet gevolgd werd en had er actie ondernomen moeten worden.
20-04-2022, 17:52 door Anoniem
Door Anoniem: Is het gebruik van gmail (waarbij google meeleest) niet gewoon een datalek?
Zodra data in enige vorm gedeeld wordt met verwerkers die niet zijn vastgelegd in officieel beleid is er al sprake van een datalek. De meeste organisaties en gebruikers begaan dan ook dagelijks die fout. Ooit een dienst als wetransfer gebruikt zonder contract een screenshot gedeeld met je naam erin richting klant via externe service? Gefeliciteerd dat is een datalek.

Dus ja gmail gebruik is genoeg aanleiding voor melding maken intern en richting AP
20-04-2022, 20:27 door Anoniem
Door Anoniem:
Door Hendrik-Jan van Bommel: Goede man die Van Dissel. Is/wordt schandalig gedemoniseerd door extreem rechtse trollen en overig vals volk. Hoop dat hij een hoge onderscheiding krijgt en de Russische staatstrollen / collaborerende trollen gerechtigheid niet zullen ontlopen.
Tja hij is nogal onheus behandeld door de zittende politiek. Die niet de waarheid wilde horen ("we weten het niet") maar altijd bij iedere vraag feitelijke antwoorden wilden hebben waarop ze concrete beslissingen konden nemen en niet later nat zouden gaan.
Het was natuurlijk onvermijdelijk dat er meerdere malen dingen die geopperd waren later onjuist zouden blijken. Dat heb je nou eenmaal met wetenschappelijk onderzoek.

En heb je wetenschappelijke integriteit dan ZEG je dat ook. En ben je niet halsstarrig als een andere theorie later beter blijkt te kloppen. Laat je je geen uitspraken in de mond leggen door politici - en zit je niet stilzwijgend te knikken als er naar jouw en je instituut verwezen wordt als de facto beslisser voor zogenaamd enorm effectieve en hoogst noodzakelijke maatregelen waar je als wetenschapper erg aan kunt twijfelen - en waarvan de feitelijke beslissing door politieke stoethaspels genomen werd.

Dat verdwijnt het respect voor de Dr witte jas echt wel snel - en terecht.

Maar het volk raakte gesplitst in een groep die daar voortdurend naar uit keek ("zie je wel ze liegen ons voor!") en een groep die daar lijnrecht tegenover wilde staan en dus alles wat mensen als Van Dissel vertelden als het ware geloof aannamen en iedere twijfel wegzetten als "complot theorie" en iedereen die niet alles voetstoots aannam als "wappie".

Dat werd het inderdaad. Ook de staatsmedia mogen zich dat als aanjagers van de hetze echt wel aanrekenen.


Een middenpositie innemen (we onderzoeken de boel en soms gokken we wel eens verkeerd) dat werd totaal onmogelijk.

Die integriteit (en inderdaad - het vergt beslist moed) hebben maar weinig wetenschappers getoond. Niet "Jaap en zijn mensen" in elk geval. Met genoeg druk (en de aandachtsgeilheid) werd vrijwel iedereen vloeibaar. Geen uniek Nederlandse situatie overigens.
20-04-2022, 20:36 door Anoniem
Door Anoniem:
[..]
Wat ik niet snap dat ik een paar keer “je moest vaak je wachtwoord wijzigen”. Hoe vaak dan? Dagelijks?

Dat advies uit al die security boeken en maatregelen is een heel natte vinger.

De _reden_ NU is om een eind te maken aan de toegang *als* je wachtwoord een keer gelekt of gezien is en dat is nog niet op een andere manier gemerkt .

Stel dat je nooit je wachtwoord wijzigt, en een heel geduldige en voorzichtige hacker heeft het - die kan dan jarenlang meekijken met jou .

Die 1/3/6/12 maanden richtlijnen zijn gewoon natte vinger gokken tussen "acceptabel in ongemak" en "kans dat het ongemerkt en onwetend gelekt is" .
Uiteindelijk, hoe langer je het gebruikt, des te groter de kans _dat_ het een keer gezien is over je schouder, ingetikt in een verkeerd scherm of noem maar op.

De historische reden WAS - toen de password hashes nog gewoon leesbaar waren - om het sneller te wijzigen dan een toenmalige kraak-poging het zou kunnen vinden.

En al dat soort historische vuistregels komen dan in boeken, in vinkenlijstjes van auditors, in folklore die seniors vertellen en niemand kan of durft meer te zeggen "wat voor zin heeft het nu, en waarom is het precies die tijd/waarde/instelling"
En dan is "zo is het beleid altijd geweest" .
21-04-2022, 09:15 door Anoniem
Door Anoniem:
Door Anoniem:
[..]
Wat ik niet snap dat ik een paar keer “je moest vaak je wachtwoord wijzigen”. Hoe vaak dan? Dagelijks?

Dat advies uit al die security boeken en maatregelen is een heel natte vinger.

De _reden_ NU is om een eind te maken aan de toegang *als* je wachtwoord een keer gelekt of gezien is en dat is nog niet op een andere manier gemerkt .

Stel dat je nooit je wachtwoord wijzigt, en een heel geduldige en voorzichtige hacker heeft het - die kan dan jarenlang meekijken met jou .

Die 1/3/6/12 maanden richtlijnen zijn gewoon natte vinger gokken tussen "acceptabel in ongemak" en "kans dat het ongemerkt en onwetend gelekt is" .
Uiteindelijk, hoe langer je het gebruikt, des te groter de kans _dat_ het een keer gezien is over je schouder, ingetikt in een verkeerd scherm of noem maar op.

De historische reden WAS - toen de password hashes nog gewoon leesbaar waren - om het sneller te wijzigen dan een toenmalige kraak-poging het zou kunnen vinden.

En al dat soort historische vuistregels komen dan in boeken, in vinkenlijstjes van auditors, in folklore die seniors vertellen en niemand kan of durft meer te zeggen "wat voor zin heeft het nu, en waarom is het precies die tijd/waarde/instelling"
En dan is "zo is het beleid altijd geweest" .
Klopt en als dit eerlijke verhaal eens vaker verteld werdt waren we een stuk minder ver van huis. Niet alleen naar senioren trouwens ik merk het ook bij huidige en vorige generatie ITers. Net zo hardnekkige onzin dat men nog steeds geloofd als bijvoorbeeld het aan de oplader laten liggen van je telefoon slecht voor de accu is. Men neemt de boeken en hearsay over zonder te denken aan de technologische vooruitgang.

Belangrijkste signalering methode is en was altijd registratie en notificatie van inlog. Daarom zou je ook nooit een locatie als vertrouwd moeten opgeven elke keer simpelweg kennis nemen van een nieuwe inlog poging op je account. bewaar die mails dan heb je een geweldig audit trail.

Verder zijn we simpelweg afhankelijk van dat andere partijen audits verrichten en standby voor uitsturen van alerts en wachtwoord resets.

MFA, wachtwoordkluis, unieke wachtwoorden per dienst. En als je helemaal secuur te werk wilt subadressing met mail registratie. Niet omdat het dan 100% veilig is maar omdat je gezeik met wachtwoord changes en spam aanzienlijk minder is.
21-04-2022, 14:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
[..]
Wat ik niet snap dat ik een paar keer “je moest vaak je wachtwoord wijzigen”. Hoe vaak dan? Dagelijks?

Dat advies uit al die security boeken en maatregelen is een heel natte vinger.

De _reden_ NU is om een eind te maken aan de toegang *als* je wachtwoord een keer gelekt of gezien is en dat is nog niet op een andere manier gemerkt .

Stel dat je nooit je wachtwoord wijzigt, en een heel geduldige en voorzichtige hacker heeft het - die kan dan jarenlang meekijken met jou .

Die 1/3/6/12 maanden richtlijnen zijn gewoon natte vinger gokken tussen "acceptabel in ongemak" en "kans dat het ongemerkt en onwetend gelekt is" .
Uiteindelijk, hoe langer je het gebruikt, des te groter de kans _dat_ het een keer gezien is over je schouder, ingetikt in een verkeerd scherm of noem maar op.

De historische reden WAS - toen de password hashes nog gewoon leesbaar waren - om het sneller te wijzigen dan een toenmalige kraak-poging het zou kunnen vinden.

En al dat soort historische vuistregels komen dan in boeken, in vinkenlijstjes van auditors, in folklore die seniors vertellen en niemand kan of durft meer te zeggen "wat voor zin heeft het nu, en waarom is het precies die tijd/waarde/instelling"
En dan is "zo is het beleid altijd geweest" .
Klopt en als dit eerlijke verhaal eens vaker verteld werdt waren we een stuk minder ver van huis. Niet alleen naar senioren trouwens ik merk het ook bij huidige en vorige generatie ITers.

Oh - misverstandje misschien: ik schreef 'seniors' - ik bedoelde in de betekenis oude/ervaren rot in het IT vak (junior/medior/senior) , niet in de betekenis "gewone bejaarde".
Een deel van de IT vuistregels wordt dus overgedragen door de seniore ITers die "weten hoe het moet" -(of gewoon docenten op een opleiding) maar niet altijd snappen dat de reden voor de vuistregels uit hun tijd niet meer van toepassing is .


Net zo hardnekkige onzin dat men nog steeds geloofd als bijvoorbeeld het aan de oplader laten liggen van je telefoon slecht voor de accu is. Men neemt de boeken en hearsay over zonder te denken aan de technologische vooruitgang.

Inderdaad - "accu helemaal leeggebruiken dan weer opladen" was het juiste advies voor nikkel-cadmium en nikkel-metaalhydride (NiMH) gebaseerde accus.
Voor Lithium gebaseerde accus is dat pessimaal .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.