Hoog-risico ambtenaren ontvangen volledig beheerde mobiele apparaten
Het Rijk is begonnen om hoog-risico ambtenaren van volledig beheerde mobiele apparaten te voorzien. Dit is onderdeel van het nieuwe appbeleid. Aanleiding voor de uitrol van de 'managed apparaten' zijn de risico's die TikTok en andere apps afkomstig van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen zouden vormen, aldus voormalig staatssecretaris Van Huffelen voor Digitalisering.
De nieuwe staatssecretaris Szabo laat vandaag weten dat bij de uitwerking van het beleid is gekozen voor een risicogebaseerde aanpak. De maatregelen van het appbeleid zullen in eerste instantie alleen worden uitgevoerd voor ambtenaren die vanuit hun functieprofiel een verhoogd risico vormen voor digitale spionage door statelijke actoren en cybercriminelen. "Concreet bestaat deze groep ambtenaren uit leden van de Algemene Bestuursdienst en ambtenaren in een vertrouwensfunctie met een Verklaring Geen Bezwaar (VGB) B, A en A+ zoals uitgegeven door de AIVD en MIVD", aldus de bewindsman.
Op deze beheerde apparaten zijn alleen vooraf goedgekeurde apps te installeren. Hiervoor wordt gewerkt met een allow-list. "De implementatie gebeurt momenteel door de rijksorganisaties die mobiele apparaten uitgeven aan medewerkers van de Rijksoverheid", laat de staatssecretaris verder weten. Of en wanneer andere ambtenaren aan de beurt zijn is nog niet duidelijk. "Pas na een positieve evaluatie van deze eerste uitrol Q1 2025 kunnen we gaan bepalen of en wanneer andere groepen ambtenaren aan de beurt zijn, of dat we wellicht de groep moeten inperken", staat in een vrijgegeven nota over het appbeleid.
Waarom risico lopen?
Vooral de groep die in het artikel wordt genoemd zou je meer van moeten verwachten.
Ik was eens bij een kapster in de zaak waar een heel bekende Belgische minister vaste klant is. Ik was er toch, hij vroeg me of ik de spotify app weer op zijn telefoon kon zetten. Kunstje van niks, hij blij.
Nou ben ik nogal op privacy, ook maar zeker bij minsters. Dus ik zei hem, het staat erop. Maar het viel me wel op dat u enorm veel apps op de telefoon hebt. Dat is linke soep, zeker voor een minister.
Hij keek me wel aan met een blik van oud nieuws, over mij weet iedereen toch al alles. Vandaag op het nieuws hier in Spanje dat privegesprekken van de Spaanse premier zijn uitgelekt. Met een andere politicus. De pers smult ervan. Het is ook wel belangrijk, al die transparantie, zeker op dat niveau. Maar iedereen op een werkvloer of met familie weet dat je collegas en familie niet kunt kiezen. Affijn denk ervan wat je wil. De Belgische minister vond het wel netjes dat ik het tòch even zei. Welke apps hij had, daar heb ik dan weer een blind oog voor.
Maar het was wel veel scrollen tot ik zijn verse spotify kon tonen.
Waarom risico lopen?
Wat een geluk voor ze dat A.I maar uit twee letters bestaat niet?
Waarom risico lopen?
Hij bedoeld waarschijnlijk de ambtenaren verantwoordelijk voor de IT, die zijn een hoog-risico. Er is nooit iemand eerder op het idee gekomen dat onbeheerde devices niet veilig kunnen zijn? Met zulk beleid blijft je 15 jaar achter op de feiten.
Bij de uitvinding van de auto kwamen gordels ook als laatste aan bod.
Niemand kon enig bewijs van het tegendeel tegen hem gebruiken.
Maar sommigen zien dat gewoon niet.
De overheid heeft niet voor niets de Baseline Informatiebeveiliging Overheid (BIO).
Een baseline met verplichte minimale maatregelen. Dat is wat anders dan risico gestuurd..
Waarom risico gebaseerde? Lopen de lagere ambtenaren dan geen risico's’??…
De keuze voor risico gebaseerde is echt management prietpraat.
Niet om het een of ander, maar ik loop ook met 2 telefoons rond.
1 van de baas, beheerd via MDM. Wordt alleen gebruikt voor werk. Nummer is wel bekend bij mijn vrouw in geval van calamiteit.
1 van mijzelf. Wordt alleen prive gebruikt.
De prive telefoon gaat op 's ochtends op het werk in een kluis en komt er 's middags weer uit.
Als ik dit kan, dan kan zo'n ambtenaar het toch ook? Lijkt me niet heel ingewikkeld.
In algemene zin eens dat dit een kwestie van 'beter veel en veel te laat dan nooit is'. Bepaalde ambtenaren en politici hadden al jaren geleden moeten worden voorzien van goed beveiligde smartphones. En een premier die SMSt met een oude Nokia is natuurlijk volstrekt onverantwoord, ik vraag me dan af waarom niet ergens een CIO, FG of andere functionaris heeft ingegrepen. Zelf ervaren dat diverse bestuurders geen enkele affiniteit met IT, security en privacy hebben, tot het een keer gruwelijk misgaat.
Dan nog staat op de schaduw telefoon hopelijk geen werk kritische data (want geen werk mail, werk chat etc)
Ik denk dat hij de veiligste was met z'n Nokia. Al die gasten met hun onveilige smartphones zouden daarvan kunnen leren.
Waarom risico lopen?
Om ze te vervangen door anderen, die met dezelfde hoog risico informatie moeten werken ? Dat ligt niet aan de persoon. Leer eerst het risico begrijpen.
Die had dat al. Plus een dumb phone, waar helemaal geen apps op gedraaid kunnen worden.
De overheid heeft niet voor niets de Baseline Informatiebeveiliging Overheid (BIO).
Een baseline met verplichte minimale maatregelen. Dat is wat anders dan risico gestuurd..
Waarom risico gebaseerde? Lopen de lagere ambtenaren dan geen risico's’??…
De keuze voor risico gebaseerde is echt management prietpraat.
zucht... BIO 2.0 concept versie: "Risicomanagement is een kernonderdeel van NEN-EN-ISO 27001 en vormt ook de basis van de BIO-aanpak binnen de overheid. "
Maar goed, kleine stapjes zullen we maar zeggen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?