Een goed begin zou kunnen zijn, om alle software die wordt (en werd) ontwikkeld voor overheden automatisch opensource te maken.
Daarmee zit je zit meer (volledig) vast aan een leverancier.
Nu blijft de leverancier/programmeur de auteursrechten houden, en daar begint de vendor-lock-in, die we juist kwijt willen.

Oh jéé. Doet mij denken aan de door Joop den Uyl (1974) afgeschafte voormalige aanspreektitel 'zijne Excellentie' voor het huidige 'de Minister'.

Zodra ik het woord excellent of een afleide daarvan - ook als angliscisme - lees, gaan mijn wenkbrauwen fronsen. Zeker met het 3x demissionaire 'vooruitschuif' kabinet Schoof' dat excelleert(de) in één ding; ruzie maken i.p.v. beleid.


Ingangsdatum... 2030?...

@Ron625
Het automatisch opensource maken van alle overheidssoftware klinkt aantrekkelijk vanuit het oogpunt van transparantie en vendor lock-in, maar is in de praktijk niet altijd verstandig.

Een paar redenen:
- Beveiliging en dreigingsbeeld: broncode openbaar maken vergroot ook de kans dat kwaadwillenden kwetsbaarheden sneller vinden, zeker bij systemen die (direct of indirect) de vitale infrastructuur raken. Niet alles kan direct publiek gedeeld worden zonder voorafgaande security-assessments en hardening.
- Complexe afhankelijkheden: veel software voor de overheid bouwt voort op commerciële componenten of licenties van derden. Het automatisch opensourcen kan daar juridisch of contractueel helemaal niet.
- Kosten en onderhoud: open source zonder een actief community- en beheerplan zorgt juist voor risico’s. Code die niemand onderhoudt, veroudert sneller en vormt een kwetsbaarheid. Het idee dat de “gemeenschap” dat wel oppakt, is vaak te optimistisch.
- Continuïteitsmanagement: belangrijker dan automatisch open source is dat de overheid eenduidige afspraken maakt met leveranciers over eigendom, escrow, documentatie en terugvalopties. Daarmee verklein je vendor lock-in zonder dat alle code publiek hoeft.

Kortom: open source kan waardevol zijn (zeker voor niet-kritische of generieke componenten), maar een generieke verplichting om álles automatisch open te gooien levert meer risico’s op dan het oplost.

En aanbesteden op open standaarden, leveranciers met eigen protocollen links laten liggen.
Daarnaast regelmatig je uitwijk procedures testen. En niet alleen op papier.

En vergeet niet de recente uitval bij het OM.

Ja en nee, het nadeel van open source is ook weer dat een andere (kwaadwillende) partij ook de source code bezit. Daarmee dus nog makkelijker manieren kan zoeken om in te breken in jouw systemen. Ik weet niet of ik dit zonder meer zou willen of dat ze binnen de overheid bijvoorbeeld gewoon de source laten zien en dit niet publiekelijk delen.

Dat zeker! en meer spreiden, niet 1 grote leverancier, maar 20 kleintjes - waarvan een deel regionaal -, en daarvan ook kunnen verwachten dat ze open en transparant naar elkaar zijn zodat er één of twee weg kunnen vallen.

Lekker doorgaan met digi-drammen. Het struikelt vanzelf een keer.

Dat kwam door de talentenvijver waar de PVV uit ging vissen voor de ministersposten, toch? AIVD mag politici niet onderzoeken op antecenten toch? Dat zou ongepast zijn in een democratie. Wilders-onderzoek 2007. Als straf moest Schoof premier worden.

https://www.volkskrant.nl/nieuws-achtergrond/aivd-onderzocht-israelische-contacten-wilders~b97adc34/

"De onderzoekers merken op dat het binnen de overheid niet ontbreekt aan kennis, wetgeving, good practices en richtlijnen/kaders, maar het ontbreekt aan het op een juiste wijze toepassen hiervan."

Wat een nonsens bewering. Als je het e.e.a. niet juist toepast is er per definitie gebrek aan kennis, good practices en richtlijnen.

Het is dus weer het oude liedje: het schuim van het vakgebied krijgt onderdak bij de overheid en maak daar grote schade.
En wij maar betalen.

Open source is voor producten zoals Linux en talloze andere producten die dagelijks in de vuurlinie van het internet liggen geen enkel probleem. Voor de overheid hoeft het dat ook niet te zijn. Moet je security wel als een basiskwaliteit van je product gaan beschouwen, en dat kon voor onze overheid nog wel eens een uitdaging worden.

Ik zie dat dan ook nog eens helemaal misgaan daar in Denemarken. Zal wel met Groenland te maken gaan hebben. Wat heeft die Cap Gemini PVV-er Szabo hier trouwens allemaal er door gedigigedramd en op de rails gezet? Gewoon denkend aan de mogelijkheden, en slechte ervaringen met open source, -en OSINT onderzoek hoort daar ook bij- om de redenen die jij noemt.

Jongens jongens, gaat de hele discussie weer over het open source maken van "de software". Alsof de overheid "eigenaar" is van de software. Hint; héél veel infra wordt niet zelf ontwikkeld maar ingekocht...
Artikel wel gelezen?
TU Delft: MFA ontbrak op VPN; wat had je hier willen opensourcen? Hun firewall? Ik ga er vanuit dat ze geen PfSense draaien.
NAFIN: Glasvezel netwerk; wat had je hier willen opensourcen?
CrowdStrike: Antivirus oplossing voor Windows machines, denk je dat we dat kunnen opensourcen?
Citrix problemen (denk even aan het OM): Je raad het al; succes met opensourcen.

en:
Toch opvallend dat als je naar beveiligingslekken, computerinbraken, malware en dergelijke kijkt dat propriëtaire systemen met gesloten broncode niet bepaald immuun blijken te zijn voor al die ellende. Verder geldt natuurlijk dat niet alles niet meteen impliceert dat alles niet de enige overblijvende optie is.

Niet in een keer over kunnen is iets anders dan er niet aan kunnen beginnen. En het is echt niet zo dat elke open source-licentie incompatibel is met elke propriëtaire licentie. Dat jij besluit dat jouw broncode openbaar mag zijn legt geen enkele verplichting op aan de leverancier van een library die door jouw code gebruikt wordt. Zelfs bij de GPL is het zo dat de "besmettelijkheid" van die licentie geldt als een werk de GPL-software of een deel ervan bevat. Een library bevat niet het programma dat de library gebruikt, het programma bevat de library, de "besmetting" werkt maar één kant op. En als die situatie zich voordoet is het natuurlijk hoe dan ook verstandig om in de licentietekst heel duidelijk in een toevoeging een uitzondering voor die onderdelen toe te voegen. Maar dat niet alles wat de overheid heeft laten bouwen simpelweg tot open source gebombardeerd kan worden is duidelijk, als de rechthebbende nu al een softwareleverancier is kan je niet zomaar verordonneren dat dat voortaan anders is.

Open source gebruiken betekent echt niet dat je het beheer ervan niet mag regelen en maar moet hopen dat dat nog goed komt. Hoe kom je bij die onzin? Als een overheid software laat ontwikkelen door een commerciële partij en daarbij contractueel regelt dat die code een open source-licentie krijgt, dan kan de overheid ook onderhoud door die commerciële partij laten uitvoeren. Of op een gegeven moment overstappen naar een andere leverancier, afhankelijk van wat daarover is vastgelegd in contracten. Of het zelf doen. Of het samen met andere overheden doen die dezelfde software ook goed kunnen gebruiken. Met name dat laatste verlaagt de kosten: je kan ze delen.

Open source is denk ik de beste verdediging tegen vendor lock-in die maar beschikbaar is. En op uitzonderingen na is publieke code een voordeel, niet een nadeel. Het past bij de Wet open overheid dat de overheid ook in geautomatiseerde processen controleerbaar is voor de burger. De controle over wat de software doet zelf in handen hebben in plaats van die uit te besteden aan grote bedrijven die vaak onder Amerikaanse regelgeving vallen is belangrijk. Als overheidssoftware open source is kan die ook makkelijk door andere overheden in binnen- en buitenland gebruikt worden, en kunnen de kosten en inspanning voor ontwikkeling en onderhoud over meerdere gebruikers gespreid worden.

Een generieke verplichting kan inderdaad te ver gaan, maar "open source, tenzij" gaat niet te ver. Sterker nog, dat is ook beleid:
https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/open-source/beleid/
Dat overheden dat beleid lang niet altijd waar weten te maken zegt vermoed ik vooral iets over hun gebrek aan kennis hierover en hun daarmee samenhangende afhankelijkheid van softwareleveranciers die liever een andere kant op sturen.

Wat je met iets simpels als DDOS bij thuiswerkende ambtenaren wel weer niet kunt bereiken vandaag. Ze allemaal naar kantoor toe lokken, of een uit-het-raam-kijkdag, lees- en/of vrijedag geven vanwege storing op de thuisnetwerken van de ambtenaren.

https://nos.nl/artikel/2582557-succesvolle-ddos-aanvallen-op-overheid-advies-aan-deel-ambtenaren-werk-niet-thuis.

Vraag is, misschien dat iemand het hier weet, met welke VPN loggen ze in? UFO VPN ofzo? (Geintje)

En omvat deze storing medewerkers GGZ met een praktijk aan huis? Hoe zit het met de culturele en media sector, ook getroffen?

Overheid adviseert noodpakket met contant geld en kopie identiteitsbewijs
vrijdag 25 oktober 2024, 16:40 door Redactie

https://www.security.nl/posting/863576/Overheid+adviseert+noodpakket+met+contant+geld+en+kopie+ID-bewijs

Jij kunt je beter afvragen of dit iets met na-ijver van team Wilders-Szabo te maken heeft. Zou je ex-ministers strafrechtelijk kunnen vervolgen? Pas na de verkiezingen, als die 'goed' uitpakken, en kiezers en ambtenaren wakker zijn uit hun droomwereld. Ja sorry hoor, ik heb het niet zo met zoontjes van Hongaarse diplomaten uit het Wilders dreamteam, en Wilders zijn Israel connecties.



bron: https://www.binnenlandsbestuur.nl/digitaal/departementen-hebben-last-van-ddos-aanvallen

https://www.rijksoverheid.nl/documenten/kamerstukken/2025/02/18/kamerbrief-over-achtergrond-opzet-waarborgen-nieuwe-werkplek-ssc-ict

Het ligt aan het ministerie, iedereen gebruikt weer zijn eigen oplossingen. Maar meestal is het een of andere dure enterprise rommel zoals Fortinet (met een gedrocht van een client inclusief antivirus scanner). Die leverancier is ook enorm vaak in het nieuws omdat het vol zit met gaten (VPN en firewall software).
https://www.greynoise.io/blog/vulnerability-fortinet-vpn-bruteforce-spike

Anyway, een moderne werkplek zou hier natuurlijk helemaal niet echt vatbaar voor zijn. VPN verbindingen zijn enorm ouderwets en gebruik je enkel nog om bij servers te komen. Ze zouden zelfs gewoon simpel kunnen filteren en alleen Nederlandse verbindingen toe kunnen staan. Dan is zo'n DDOS aanval al grotendeels onmogelijk. Dit bericht geeft enkel weer wat voor incompetente leiding ze daar hebben.

Als je dit artikel leest en bij ieder woord bedenkt: wat betekent dit, wat doet deze functie etc, dan zie je dat hier 10 mensen aan het werk gaan met het schrijven van nog meer rapporten. Om deze problemen op te lossen moet er geld uitgegeven worden aan meer ICT, duurdere projecten etc.

Dit stukje ruikt naar: maak een brief, met oncontroleerbare beloften en het mag niets kosten.

Open Source hoeft niet door het publiek ontwikkeld te worden.
Je kan ook ICT of CMG oid inhuren om een programma te schrijven en dat vervolgens publiceren....
In veel closed source zitten ook opensource libraries (openssl, of nss)
Er zijn niet veel andere smaken encryptie, De windows TCP stack is ook "geleend" van BSD.
Java compilers zijn opensource, er zijn uberhaupt nog maar weinig closed source compilers.
Etc.
Dus je kan best een Git repo maken, de source erin zetten en evt de bug meldingen aanzetten, dan krijg je nog wat feedback die je aan de ontwikkelaar kan geven als ussr stories.

Dit wordt vooral foutief geduid. CrowdStrike en Citrix zijn beide software ellende en het feit dat we massaal van één fabrikant gebruik maken. Reden voor paniek, nee.. gewoon anders inkopen of een dual vendor beleid aanhouden.

Maar als we allemaal voor één fabrikant / leverancier kiezen, dan doen we echt zelf..

Een kopie identiteitsbewijs zegt helemaal niets, dat de overheid zoiets adviseert is van de ratten besnuffeld.

Offtopic opmerking (ik ben het verder eens met wat je schreef): je kan in Git geen bugmeldingen aanzetten. Je bedoelt waarschijnlijk GitHub of GitLab of iets dergelijks. Besef alsjeblieft dat Git een source code management-systeem is dat (op een paar GUI-tools na) via de commandline werkt, dat initieel ontwikkeld is om de Linux-kernel te ontwikkelen. Die webgebaseerde hulpmiddelen gebruiken Git maar zijn niet Git. Besef dat je verwarring kan zaaien als je niet de volledige naam van iets gebruikt, want voor mensen die het kennen zeg je iets anders dan je bedoelt. "Hub" en "Lab" zijn elk maar een lettergreep van drie letters, niet onoverkomelijk veel lijkt me.

Kijk naar de context. Het dient als backup voor als het origineel verloren is gegaan in een crisissituatie die niet alleen jou maar de hele samenleving in jouw omgeving raakt. De kans dat dat kopietje klopt is aanzienlijk groter dan de kans dat het niet klopt, en hoewel er inderdaad een risico op fraude en fouten is zal het over het geheel genomen meer helpen dingen goed te doen gaan dan dat het helpt ze de mist in te laten lopen.

Weet je waarom men in de ICT-beveiliging zo sterk gericht is geraakt op het streven naar nagenoeg totale foutloosheid? Omdat we sinds het internet overal doordrong nagenoeg alle systemen direct of indirect aan de hele wereld hebben gekoppeld, waardoor de meute van de allerslimste en allervaardigste inbrekers ter wereld pal voor elke digitale voordeur staat.

Tot in de jaren '90 was er nog volop veilige datacommunicatie zonder enige encryptie omdat dat gebeurde met huurlijnen en tapes die door koeriers heen en weer werden gebracht, in het Amsterdamse financiële hart ging dat op de fiets. Dat was niet veilig omdat het extreem goed beschermd was, dat was het niet, het was veilig omdat die meute aanvallers niet vlak voor je fysieke deur stond en vrijwel geen hond over de schreeuwend dure mainframes en bijbehorende schreeuwend dure tape-apparatuur beschikte om die tapes te kunnen lezen. In de praktijk ging het altijd goed. We hebben extreme maatregelen nodig tegenwoordig omdat we dingen zo hebben ingericht dat we extreem grote risico's extreem dichtbij hebben laten komen met het internet, hoe mooi dat verder ook is.

Verlies het verschil in context dus niet uit het oog, die uitermate paranoïde houding die we helaas nodig hebben voor ICT-beveiliging is niet in elke context op zijn plaats. Pas op dat je niet gaat redeneren alsof elke fysieke sluipschutter in de wereld zijn geweer op elke fysieke voordeur gericht heeft zodat je alleen nog zwaar gepantserd naar de bakker kan om een half volkoren te halen.

Opensource is alleen maar een licentie, dat zegt niets over de kwaliteit van de software.
Die hangt af van de programmeurs. En soms ook van hoeveel geld en tijd er is.
Kijk bijvoorbeeld naar rustls, daarin zal je niet snel een zwakheid als Heartbleed in tegenkomen.