image

D66 wil opheldering over niet naleven beveiligingsregels door overheidssites

woensdag 30 november 2022, 15:24 door Redactie, 8 reacties

D66 heeft minister Yesilgöz van Justitie en Veiligheid om opheldering gevraagd over cijfers waaruit blijkt dat een groot deel van de overheidssites niet aan afgesproken beveiligingsstandaarden voldoet. Volgens onderzoek van het Forum Standaardisatie had 56 procent van de onderzochte overheidsdomeinen de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde, zo meldde Security.NL afgelopen september.

Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. "Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties", aldus het Forum Standaardisatie.

De cijfers zijn aanleiding voor D66-Kamerlid Van Ginneken om Kamervragen te stellen. "Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in 2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?", zo wil ze van de minister weten.

Yesilgöz moet ook duidelijk maken welke rol het tekort aan it’ers bij de Rijksoverheid speelt om te voldoen aan de implementatie van de verplichte beveiligingsstandaarden en welke andere oorzaken er zijn. "Hoe gaat u ervoor zorgen dat ook lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving", vraagt Van Ginneken verder. Als laatste moet de minister laten weten wanneer het ministerie van Justitie en Veiligheid aan de standaarden voldoet. Yesilgöz heeft drie weken om met een reactie te komen.

Reacties (8)
30-11-2022, 16:03 door Anoniem
Nou, IT en overheid is gewoon een waardeloze combi.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.
30-11-2022, 16:16 door Anoniem
Een belangrijke oorzaak van beveiligingsproblemen bij de overheid komt door de standaard die gehanteerd wordt: De BIO. Hierin staan goede kaders, maar deze worden niet afgedwongen. Als afdeling moet je jezelf beoordelen.
30-11-2022, 18:49 door Anoniem
Door Anoniem: Een belangrijke oorzaak van beveiligingsproblemen bij de overheid komt door de standaard die gehanteerd wordt: De BIO. Hierin staan goede kaders, maar deze worden niet afgedwongen. Als afdeling moet je jezelf beoordelen.

De BIO is ToD, geen ToE. Dat laatste is belangrijker dan ToD want je toont aan dat je ontwerp werkt zoals bedacht.
30-11-2022, 22:19 door Anoniem
Door Anoniem: Nou, IT en overheid is gewoon een waardeloze combi.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.

Op zich is overheid en IT niet eens zo'n slechte combinatie.
De IT systemen moet je denk ik meer zien als nuts voorzieningen en hoeft helemaal niet met de markt te concurreren.


Naar mijn mening en ik zeg het heel simpel. Is de oplosing als volgt.

- Zet een ministerie van IT op.
- Vernietig alle koningsrijkjes, die allemaal vinden dat ze zo speciaal zijn.
- Maak standaard bouwblokken (deze zijn er al stiekem, bij verschillende ministeries)
- En neem normale burgers aan, om het te maken en te beheren. Dus geen ambtenaren!
- Werk eventuele met externe partners, liefst in brokken, dat niet alleen de Centrics of Microsofts hier aan mee kunnen doen.
- En verplicht hier gebruik van te maken.


Het grote voordeel hierin is en ja, ik ben open source liefhebber.
- We kunnen een onafhankelijke Linuxdistributie maken. Gebaseerd op Ubuntu?
- We kunnen wetgeving/standaarden afdwingen, denk aan audit logging etc
- Het wiel hoeft niet elke keer opnieuw uitgevonden te worden en kan verbeterd worden.
- Per FTE, ben je uit eindelijk goedkoper uit. Ambtenaren salaris is stiekem niet zo slecht ;)
- Security gaat er op vooruit, je kan zaken tenslotte afdwingen in je basis O.S.

En als je als overheid, helemaal tof en hip wilt zijn.
Maak dit geheel OpenSource en laat anderen mee ontwikkelen.

Want ook het MKB, kan een goede, geteste en veilige basis gebruiken om op voort te bouwen.
Pas dan zetten we als Nederland ( en EU?) stappen voorwaarts met onze digitale infrastructuur.

Dit zeg ik na ruim 20 jaar ervaring als externe bij onze overheid.
Overal de zelfde type problemen, de zelfde bouwblokken. Maar ze zijn allemaal zo special.... not.
01-12-2022, 00:42 door Anoniem
Streefbeelden = rad voor de ogen draaien
01-12-2022, 12:45 door Anoniem
Door Anoniem: Nou, IT en overheid is gewoon een waardeloze combi.
Ondertussen natuurlijk weg blijven digi-drammen. Want alleen de burger heeft er tenslotte last van.

Ha, ha, ha. Doe datzelfde onderzoek eens bij commerciële bedrijven. De meesten, vooral kleinere, partijen hebben nog nooit van het Forum van Standaardisatie of zelfs maar van OWASP gehoord om maar twee willekeurige zaken te noemen. Of ze weten het verschil niet tussen een vulnerability scan en een A&P-test.
02-12-2022, 01:43 door Anoniem
Overheid stelt convenanten op met gemeenten, ziekenhuizen, ZBO's ... met een datum.
Alleen wordt dit ondertekend door bobo's zonder doorzettingsmacht. Middel management die controle moet uitvoeren wordt niet aangestuurd en staat tandenloos.

Maar wij allen kunnen ook wat doen. Gebruik de internet.nl tool voor de website van je gemeente.
Als die noet boven de 95% scoort - rapporteer dit zowel als burgervraag aan je/de gemeente waarom ze zo onzorgvuldig zijn en stuur een afschrift aan de meest actieve (oppositie)partijen in je/de gemeente.
Waarom zouden we als burger onveilig gedrag door onze gemeenten accepteren?
02-12-2022, 22:52 door Anoniem
Overheid heeft ook te maken met 'snelle jongens'.
Vooral daar waar waarheid leugen is geworden.
Van de wereld een grote veenkolonie te maken is hun voortgezet streven. Als dat ten koste moet gaan van andermans veiligheid,
wat geeft dat dan?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.