D66 wil opheldering over niet naleven beveiligingsregels door overheidssites
D66 heeft minister Yesilgöz van Justitie en Veiligheid om opheldering gevraagd over cijfers waaruit blijkt dat een groot deel van de overheidssites niet aan afgesproken beveiligingsstandaarden voldoet. Volgens onderzoek van het Forum Standaardisatie had 56 procent van de onderzochte overheidsdomeinen de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde, zo meldde Security.NL afgelopen september.
Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. "Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties", aldus het Forum Standaardisatie.
De cijfers zijn aanleiding voor D66-Kamerlid Van Ginneken om Kamervragen te stellen. "Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in 2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?", zo wil ze van de minister weten.
Yesilgöz moet ook duidelijk maken welke rol het tekort aan it’ers bij de Rijksoverheid speelt om te voldoen aan de implementatie van de verplichte beveiligingsstandaarden en welke andere oorzaken er zijn. "Hoe gaat u ervoor zorgen dat ook lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving", vraagt Van Ginneken verder. Als laatste moet de minister laten weten wanneer het ministerie van Justitie en Veiligheid aan de standaarden voldoet. Yesilgöz heeft drie weken om met een reactie te komen.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
De BIO is ToD, geen ToE. Dat laatste is belangrijker dan ToD want je toont aan dat je ontwerp werkt zoals bedacht.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
Op zich is overheid en IT niet eens zo'n slechte combinatie.
De IT systemen moet je denk ik meer zien als nuts voorzieningen en hoeft helemaal niet met de markt te concurreren.
Naar mijn mening en ik zeg het heel simpel. Is de oplosing als volgt.
- Zet een ministerie van IT op.
- Vernietig alle koningsrijkjes, die allemaal vinden dat ze zo speciaal zijn.
- Maak standaard bouwblokken (deze zijn er al stiekem, bij verschillende ministeries)
- En neem normale burgers aan, om het te maken en te beheren. Dus geen ambtenaren!
- Werk eventuele met externe partners, liefst in brokken, dat niet alleen de Centrics of Microsofts hier aan mee kunnen doen.
- En verplicht hier gebruik van te maken.
Het grote voordeel hierin is en ja, ik ben open source liefhebber.
- We kunnen een onafhankelijke Linuxdistributie maken. Gebaseerd op Ubuntu?
- We kunnen wetgeving/standaarden afdwingen, denk aan audit logging etc
- Het wiel hoeft niet elke keer opnieuw uitgevonden te worden en kan verbeterd worden.
- Per FTE, ben je uit eindelijk goedkoper uit. Ambtenaren salaris is stiekem niet zo slecht ;)
- Security gaat er op vooruit, je kan zaken tenslotte afdwingen in je basis O.S.
En als je als overheid, helemaal tof en hip wilt zijn.
Maak dit geheel OpenSource en laat anderen mee ontwikkelen.
Want ook het MKB, kan een goede, geteste en veilige basis gebruiken om op voort te bouwen.
Pas dan zetten we als Nederland ( en EU?) stappen voorwaarts met onze digitale infrastructuur.
Dit zeg ik na ruim 20 jaar ervaring als externe bij onze overheid.
Overal de zelfde type problemen, de zelfde bouwblokken. Maar ze zijn allemaal zo special.... not.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
Ha, ha, ha. Doe datzelfde onderzoek eens bij commerciële bedrijven. De meesten, vooral kleinere, partijen hebben nog nooit van het Forum van Standaardisatie of zelfs maar van OWASP gehoord om maar twee willekeurige zaken te noemen. Of ze weten het verschil niet tussen een vulnerability scan en een A&P-test.
Alleen wordt dit ondertekend door bobo's zonder doorzettingsmacht. Middel management die controle moet uitvoeren wordt niet aangestuurd en staat tandenloos.
Maar wij allen kunnen ook wat doen. Gebruik de internet.nl tool voor de website van je gemeente.
Als die noet boven de 95% scoort - rapporteer dit zowel als burgervraag aan je/de gemeente waarom ze zo onzorgvuldig zijn en stuur een afschrift aan de meest actieve (oppositie)partijen in je/de gemeente.
Waarom zouden we als burger onveilig gedrag door onze gemeenten accepteren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.