Nou, dat was afgelopen dagen weer niet zo lang zoeken naar onderwerpen voor deze column! Na het Diginotar-debacle weer een beveiligingsblunder in de publieke sector. Van wel vijftig gemeenten bleek de website zo lek als een mandje. Maar wat is er werkelijk aan de hand?
Het waren niet de grootste gemeenten. In het rijtje dat circuleerde figureren bijvoorbeeld Drimmelen, Vlist, Littenseradiel, Nederlek (!), Sint Oedenrode en Webdam (Is dat een Nederlands woord voor firewall?). Dat werpt een nieuwe blik op de zaak. Zou het kunnen zijn dat deze gemeentes een wat onderbemeten it-staf hebben? Zou me niets verbazen. Ik ken gezinnen met meer deskundigheid voor de thuis-it dan waar de gemiddelde kleine gemeente over kan beschikken.
In de online reacties waren de sneren naar onbewame overheids-it'ers niet van de lucht. Maar even later bleken vrijwel al die websites op hetzelfde verouderde commerciële cms (contentmanagementsysteem) te draaien. Hé, dat is toevallig? Waren de gemeentelijke it'ers toch zo slim om niet zelf ook nog door het neefje van wethouder Hekking het cms te laten bouwen. Dat siert ze dan wel weer. Maar ja, als het cms geen updates meer krijgt, wie zijn schuld is het dan dat het gehackt wordt? De leverancier die zit te prutsen of de ambtenaren die niet op zitten te letten?
En bij Diginotar waren het helemaal geen ambtenaren aan de knoppen. Het was gewoon een commercieel bedrijf, onderdeel van een internationaal concern dat beter zou moeten weten en kunnen, maar nog voor de haan drie keer kraaide de hele dochteronderneming verloochende en heeft opgedoekt.
Blijkbaar willen we met zijn allen zoveel technologie gebruiken dat we dat maar net aankunnen, en liefst nog iets meer. We vergeten dan wel eens dat we voortdurend onze kennis moeten bijhouden, en de schaal van it-beheer moeten vergroten. Daarom gaan er dingen naar de cloud. Niet omdat we dat willen, niet omdat dat hip is, maar omdat het daar beter gedaan kan worden. Als we er maar op blijven letten dat het goed gaat.
En overigens blijf ik van mening dat IPv6 ingevoerd moet worden.
Reacties
"Zou het kunnen zijn dat deze gemeentes een wat onderbemeten it-staf hebben?"
Dat is zeker waar! Ik vraag me af waarom gemeenten hun krachten niet wat meer bundelen en dit soort zaken uitbesteden aan een grotere gemeente in de buurt, of dat ze dit per provincie of zo regelen. Schaalvergroting en kennistoename.
En de "sneren naar onbewame overheids-it'ers" waren uiteraard ook slechts loze kreten van niet-overheidsdienaren. We weten allemaal hoeveel de overheid gebruik maakt van ICT-dienstverleners, ja inderdaad dezelfde niet-overheidsdienaren!
"We vergeten dan wel eens dat we voortdurend onze kennis moeten bijhouden, en de schaal van it-beheer moeten vergroten. Daarom gaan er dingen naar de cloud. Niet omdat we dat willen, niet omdat dat hip is, maar omdat het daar beter gedaan kan worden. Als we er maar op blijven letten dat het goed gaat."
Hoe kun je je kennis vergroten door je IT uit te besteden aan een derde partij? Als er al sprake is van IT kennis binnen overheden dan is deze al zeer lang onderhevig geweest aan uitholling door het juist uitbesteden hiervan aan commerciële partijen. Niet dat dit direct aangepakt moet worden maar er is wat dat betreft toch wel heel veel vertrouwen in deze partijen waarvan men dan ook volledig afhankelijk van geworden is en breken hiermee menig ambtenaar doet sidderen.
En waarom zou de schaal van IC-beheer vergroot moeten worden? Zeker in het geval van overheden veranderd de 'core-business' nou juist helemaal niet zoveel. Wat er wel veel veranderd is het aanpassen van wetgevingen zonder daarbij IT de kans te geven om hier bij te blijven. (IT architectuur dient hier rekening mee te houden maar schiet vaak hierin tekort.)
Of zou het de alsmaar grotere informatie verzamelwoede van de overheid zijn die van alles en nog wat over burgers wil weten om nog effectiever te kunnen werken terwijl in het groot er 6 miljard per jaar aan subsidies door ministeries wordt uitgekeerd zonder duidelijke cijfers hierover.
Een cloud an sich is kan een heel goede IT invulling zijn voor menige organisatie. Maar het is zeker geen must en lange termijn gevolgen van veiligheidslekken zijn net zo erg als het lekken van een of andere kleine gemeente. Alleen omdat het meer gegevens betreft wordt het voor criminelen ook lucratiever.
Moeten we niet ook eens de hand in eigen boezem steken ?
Iedere flapdrol die Windows kan instaleren en een paar certificaatjes bij elkaar weet te gokken vind zichzelf meteen een ICT expert, terwijl de meeste daarvan de meest basale kennis nog ontbeert (ooit vroeg me iemand ie pas afgestudeerd was waarom ik 8 ledjes aan mijn computertje had aangesloten en niet gewoon 10, moedeloos wordt ik van zoiets)
Je kennis bijhouden is niet zorgen dat je de laatste versie van Office kan instaleren, maar dat je zelfstandig nieuwe kennis eigen maakt. Als je een cisco router kunt instaleren maar niet weet hoe netwerk tools (door sommige kneuzen ook wel hackertools genoemd) werken, hoe kun je dan een probleem oplossen.
Zo moeilijk is het allemaal niet, maar je moet gewoon een beetje moeite doen, daar wordt je dan ook naar betaald.