NCTV hekelt gebrek aan cybersecurity bij Rijk: 'Zorgt voor vals gevoel van veiligheid'
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft zich kritisch uitgelaten over het gebrek aan cybersecurity bij de Rijksoverheid. Dat zorgt niet alleen voor een vals gevoel van veiligheid, maar maakt het ook onmogelijk om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd, zo staat in het Cybersecuritybeeld Nederland 2025. In het rapport wordt een beeld van het digitaal dreigingslandschap geschetst (pdf).
"Meerdere incidenten bij Nederlandse slachtoffers tonen aan dat de cybersecuritymaatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn", aldus de NCTV in het rapport. "Ondanks de diverse projecten en verbetertrajecten van de Rijksoverheid ten aanzien van cybersecurity zijn deze organisaties vaak niet in staat om aanvallen zelfstandig te detecteren en mitigeren."
Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid voldoen veel overheidsorganisaties niet aan de informatiebeveiligingsrichtlijnen die de Rijksoverheid zelf voorschrijft. "Het gebrek aan cybersecurity zorgt bovendien voor een vals gevoel van veiligheid; het is simpelweg onmogelijk om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd."
De NCTV merkt op dat de mate van weerbaarheid verschilt van organisatie tot organisatie en van sector tot sector. "Te concluderen valt wel dat de Rijksoverheid nog stappen te zetten heeft op dit gebied. Het gaat daarbij ook om het adequaat inrichten van terugvalopties in het geval van uitval of verstoring van digitale processen. Daarnaast blijkt dat de afhankelijkheid van externe digitale dienstverleners en de mogelijke risico’s die daaruit voortkomen niet voldoende worden afgewogen."
Reacties (12)
Gisteren, 14:55 door
Anoniem
Dat is correct, er moet veel meer geld naartoe. Uiteraard moet dot zorgvuldig besteed wordennte behoeve van het bouwen van veiligere cybersecurity.
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Gisteren, 15:15 door
Anoniem
Door Anoniem: Dat is correct, er moet veel meer geld naartoe. Uiteraard moet dot zorgvuldig besteed wordennte behoeve van het bouwen van veiligere cybersecurity.
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Cybersecurity begint bij besef van de hoogstverantwoordelijken wat cybersecurity inhoudt. Met andere woorden, dat dit niet een politiek begrip is, ook niet een marketing-slogan en ook niet uitsluitend(!) een technisch begrip, maar dat het een cultuur van respect voor realisme en voor de veiligheid van individuele natuurlijke personen vereist, inclusief alle personen die niet zelf minister, kamerlid, topambtenaar of directeur/grootaandeelhouder van een top-honderd bedrijf zijn. Gewone burgers dus ook.
Pas als dat besef is doorgedrongen tot de hoogste beslissers, en ze dat ook aangetoond hebben door allerlei privacy-schadelijke wetgeving (bijv. EHDS, de Sleepwet etc. etc.) terug te draaien, heeft het zin om meer geld aan die beslissers toe te vertrouwen. Anders gaat dat geld voor 90% besteed worden aan politiek-bestuurlijke windowdressing en nog meer privacy-aantasting onder het mom van "cybersecurity" die voor bijna alle mensen juist tot minder security leidt.
Gisteren, 15:50 door
Anoniem
Op dit moment is de beveiliging van de overheid een grap.
Dat verdient een uitleg en/of bronnen.
En geld alleen is niet de oplossing natuurlijk, wordt veel te makkelijk geroepen. Trouwens kun je met slimme, efficiënte oplossing en werkwijze vaak op het totale plaatje nog wat besparen.
Mooi dat er aandacht voor is. Ik hoop wel op het KISS-principe voor admins en users.
*Keep IT Simpel (Stupid)
Gisteren, 16:26 door
Anoniem
Door Anoniem: Dat is correct, er moet veel meer geld naartoe. Uiteraard moet dot zorgvuldig besteed wordennte behoeve van het bouwen van veiligere cybersecurity.
Op dit moment is de beveiliging van de overheid een grap.
Ik stel voor om het Europese deel van het budget voor de NAVO te besteden aan een Europese cyberbeveiligingsorganisatie i.p.v. aan militair materieel.Op dit moment is de beveiliging van de overheid een grap.
Het ligt voor de hand dat de (deplorabele) situatie m.b.t. cybersecurity bij de andere Europese leden van de NAVO hetzelfde is.
Wanneer op dit moment vastgesteld wordt dat "het (is) simpelweg onmogelijk (is) om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd" dan weet je één ding zeker: de "vijand", andere statelijke actoren, zit binnen, ongedetecteerd.
Die hoeft m.a.w. niet meer de moeite te nemen om Europa aan te vallen met militaire middelen, maar die activeert zijn cyberleger - gedifferentieerd, aangepast aan verschillende te hanteren escalatieniveaus.
De Europese (en Nederlandse) prioriteiten op het gebied van defensie zijn onnavolgbaar: wèl militair en economisch (sancties) escaleren naar de "vijand" (Rusland en China) en dus daarvan een overeenkomstige (uitgestelde) respons kunnen verwachten, maar het eigen gapende gat niet zien.
Hoe ziet je "defensie" er dan uit? Als een vergiet.
Illusionisme en zelfbedrog overheersen.
Gisteren, 17:21 door
thegodthatfailed
Het klopt wat de NCTV zegt, maar het doet me ook denken aan https://www.rijksoverheid.nl/documenten/rapporten/2024/12/13/tk-rapport-onderzoek-beveiligingsproces-van-staatsgeheime-vertrouwelijke-informatie-bij-nctv-en-politie. Als de NCTV van haar eigen cybersecurity al een zooitje maakt, dan kun je op je klompen aanvoelen wat de staat van informatiebeveiliging is bij de rest van de overheid (alsmede buiten de overheid, laten we ons geen illusies maken).
Gisteren, 18:07 door
Anoniem
Door Anoniem:
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Gisteren, 18:13 door
Anoniem
Door Anoniem:
Het ligt voor de hand dat de (deplorabele) situatie m.b.t. cybersecurity bij de andere Europese leden van de NAVO hetzelfde is.
Wanneer op dit moment vastgesteld wordt dat "het (is) simpelweg onmogelijk (is) om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd" dan weet je één ding zeker: de "vijand", andere statelijke actoren, zit binnen, ongedetecteerd.
Die hoeft m.a.w. niet meer de moeite te nemen om Europa aan te vallen met militaire middelen, maar die activeert zijn cyberleger - gedifferentieerd, aangepast aan verschillende te hanteren escalatieniveaus.
De Europese (en Nederlandse) prioriteiten op het gebied van defensie zijn onnavolgbaar: wèl militair en economisch (sancties) escaleren naar de "vijand" (Rusland en China) en dus daarvan een overeenkomstige (uitgestelde) respons kunnen verwachten, maar het eigen gapende gat niet zien.
Hoe ziet je "defensie" er dan uit? Als een vergiet.
Illusionisme en zelfbedrog overheersen.
Door Anoniem: Dat is correct, er moet veel meer geld naartoe. Uiteraard moet dot zorgvuldig besteed wordennte behoeve van het bouwen van veiligere cybersecurity.
Op dit moment is de beveiliging van de overheid een grap.
Ik stel voor om het Europese deel van het budget voor de NAVO te besteden aan een Europese cyberbeveiligingsorganisatie i.p.v. aan militair materieel.Op dit moment is de beveiliging van de overheid een grap.
Het ligt voor de hand dat de (deplorabele) situatie m.b.t. cybersecurity bij de andere Europese leden van de NAVO hetzelfde is.
Wanneer op dit moment vastgesteld wordt dat "het (is) simpelweg onmogelijk (is) om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd" dan weet je één ding zeker: de "vijand", andere statelijke actoren, zit binnen, ongedetecteerd.
Die hoeft m.a.w. niet meer de moeite te nemen om Europa aan te vallen met militaire middelen, maar die activeert zijn cyberleger - gedifferentieerd, aangepast aan verschillende te hanteren escalatieniveaus.
De Europese (en Nederlandse) prioriteiten op het gebied van defensie zijn onnavolgbaar: wèl militair en economisch (sancties) escaleren naar de "vijand" (Rusland en China) en dus daarvan een overeenkomstige (uitgestelde) respons kunnen verwachten, maar het eigen gapende gat niet zien.
Hoe ziet je "defensie" er dan uit? Als een vergiet.
Illusionisme en zelfbedrog overheersen.
Eens. Wapenindustrie heeft wel genoeg ontvangen.
Gisteren, 19:12 door
Anoniem
Door thegodthatfailed: Het klopt wat de NCTV zegt, maar het doet me ook denken aan https://www.rijksoverheid.nl/documenten/rapporten/2024/12/13/tk-rapport-onderzoek-beveiligingsproces-van-staatsgeheime-vertrouwelijke-informatie-bij-nctv-en-politie. Als de NCTV van haar eigen cybersecurity al een zooitje maakt, dan kun je op je klompen aanvoelen wat de staat van informatiebeveiliging is bij de rest van de overheid (alsmede buiten de overheid, laten we ons geen illusies maken).
Aanleiding van de audit was het aanhouden van twee personen op 26 oktober '23, wegens lekken. Management van nctv en politie is onvoldoende bewust van insider threat, zo lees ik, en hebben hier hun eigen kwetsbaarheid gecreerd. Mag ik iets anders vermoeden, het opzetten van een bewust insider threat netwerk. Belangen van Nederland kunnen groot lijken, zoals met MH17 (Schoof, NCTV) vooral als er gekozen wordt voor strafzaak in Nederland, want dan komt de zaak juridisch op de rol van Europa.
Van de maatregelen van ik nog de fraaiste dat er aangifte was gedaan bij de AP vanwege een datalek.
Naast dat de NCTV ging werken aan de registratie van USB sticks.
Plus dat de inzet van tolken anders gemonitoord zou gaan worden.
https://open.overheid.nl/documenten/dpc-5b0143c85d1d272bbbed4eed2acd7ba166cb1f20/pdf
Vandaag, 01:41 door
Anoniem
Door Anoniem:
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Er is veel te weinig geld en begrip op dit gebied op vlakken van de overheid, en de overheid onderschat de concurrentie.Door Anoniem:
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Het maakt niet uit of ze hun best doen, andere landen kunnen dit nog steeds te gemakkelijk compromiteren.
Er moet een fundamentele aanpak komen waarin veel tijd en geld moet worden gestoken. Je best doen is helaas niet goed genoeg, ik stel hooguit de feiten, dit was geen kritiek op hard werk.
Vandaag, 01:45 door
Anoniem
Door Anoniem:
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Hoe ik ben, en wat ik er van denk doet er niet toe, er moet meer gebeuren, en dat geeft dit nieuwsbericht ook goed weer, ongeacht of mensen hun best hebben gedaan of niet, de vijand loopt daar momenteel met ruime bocht lachend omheen. Cybersecurity is een grap in Nederland, dat is geen kwetsende kritiek, dat is een hard feit, vandaar dat er meer geld naartoe moet, veel meer.Door Anoniem:
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Vandaag, 15:38 door
Anoniem
De zinsnede "goed beveiligingsbeleid wordt niet goed uitgevoerd" staat er niet in...
Vandaag, 15:54 door
Anoniem
Door Anoniem:
Het maakt niet uit of ze hun best doen, andere landen kunnen dit nog steeds te gemakkelijk compromiteren.
Er moet een fundamentele aanpak komen waarin veel tijd en geld moet worden gestoken. Je best doen is helaas niet goed genoeg, ik stel hooguit de feiten, dit was geen kritiek op hard werk.
Door Anoniem:
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Er is veel te weinig geld en begrip op dit gebied op vlakken van de overheid, en de overheid onderschat de concurrentie.Door Anoniem:
Op dit moment is de beveiliging van de overheid een grap.
Op dit moment is de beveiliging van de overheid een grap.
Dit is niet meer dan een populistische kort-door-de-bocht opmerking van iemand die geen idee heeft van de daadwerkelijke beveiliging bij de overheid. Het doet ook geen eer aan het goede werk dat vele ICT- en cybersecurity-medewerkers bij de overheid dagelijks uitvoeren. De beveiliging bij de overheid is niet slecht, maar kan zeker beter. Vooral op het vlak van een risicogestuurde aanpak. Dat vereist echter betrokkenheid vanuit de lijn en dat is precies waar het aan ontbreekt.
Het maakt niet uit of ze hun best doen, andere landen kunnen dit nog steeds te gemakkelijk compromiteren.
Er moet een fundamentele aanpak komen waarin veel tijd en geld moet worden gestoken. Je best doen is helaas niet goed genoeg, ik stel hooguit de feiten, dit was geen kritiek op hard werk.
Dit zijn letterlijk leugens die letterlijk door het artikel zelf al tegengesproken worden. Ik kan zelf persoonlijk garanderen dat IT beveiliging binnen zowel de lagere als de rijksoverheid gewoon een lachertje is.
Het is ook helemaal geen geld kwestie, overheden hebben meer budget en zelfs regels omtrent beveiliging dan de gemiddelde commerciële organisatie. Dit is simpelweg een cultuurkwestie die zelfs helemaal niets met IT te maken heeft.
Niemand is verantwoordelijk, niemand zal ooit ergens op afgerekend worden en de hele bende draait op externen (zich ik als externe).
Man, er zijn hele parlementaire onderzoeken geweest en er is helemaal niets mee gedaan. Net als Groningen, net als de toeslagen affaire, net als alle andere faalprojecten... Niemand is verantwoordelijk en niemand doet wat...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?