Koppen in 't zand steken / Omissis / Struisvogelpolitiek | Omissis iocis, Sed quis custodiet ipsos custodes?

Oct 2023
"Koeroo, O.A. (Oscar)" <oa.koeroo@minvws.nl> wrote:

> Hoi,
>
> Ik weet niet wie je allemaal meer op BCC hebt meegenomen, maar dit is erg irritant.

Oprecht geïnteresseerde vraag over oorzaak en gevolg: Wat.. vind jij er specifiek erg irritant aan?
En waarom heb jij die reactie van jou ook gestuurd naar RvS bestuur.

Het is inherent aan de materie geen prettig onderwerp, maar dat mag toch geen reden zijn om een openhartige dialoog te schuwen..
Is immers ook reeds met je gedeeld dat er gebruik gemaakt word van de BCC functie met als doel om essentiële "awareness" en "discussie" te bevorderen over een belangrijk onderwerp waarvoor we toch met z'n allen een betere oplossing voor willen verkrijgen?

# Status Quo:
Er gaat e.e.a. fundamenteel flink mis in de huidige beveiliging strategie/beleid van De Overheid voor onze vitale infra. Dat is een feit waar iedereen het wel mee eens is volgens wat rapporten en media publicaties van wat govt CISO's en top-functionarissen.
Maaar 'men' blijft;
     1) ondanks al te vele jaren lang telkens weer vernietigende rapporten van officiële instellingen zoals AR & ADR & CBS & AIVD & etc.. etc..,
     2) en.. ook elk jaar weer pijnlijke (interne) security audit rapporten, met soortgelijke bevindingen als voorgaande jaren, over zaken die reeds lang op orde hadden moeten zijn!
     3) en.. elke paar maanden/weken/dagen weer nare kranten artikelen over weer heftige security incidenten -> Die zeer eenvoudig al lang en breed voorkomen hadden kunnen & moeten zijn,
toch alsmaar Stoïcijns aan die overduidelijk Disfunctionele methode/beleid vastklampen. {Ook gij Brutus.. net als Ad Reuijl en Aart Jochem en Sandor, enz. enz.}

En dat; Terwijl er een veel eenvoudiger en geheel logische methode gewoon beschikbaar is..., die wel al zeer lang en breed beproefd functioneel is gebleken
om De Beveiliging naar behoren degelijk op orde te maken.
Kan zelfs binnen korte tijd (max. 2 jaar) als men dat zou willen.

? Als 'men'/(zoals jij) er naar eer en geweten voor zou "willen" kiezen om een degelijk functionele methode wel te gaan gebruiken, zouden de ministeries en overheidsinstellingen zelf ook daadwerkelijk gaan voldoen aan BIO;Wbni;VIRBI;ABDO;AVG;NEN7510;enz. *En dan zouden ook bedrijven zoals DEKRA (ism NEN B.V. en anderen) niet meer illegaal ISO27001 & NEN7510 certificering kunnen Verkopen aan organisaties die overduidelijk niet voldoen aan de certificering voorschriften, maar dat gekochte certificaat papiertje wel gebruiken als 'rechtvaardiging' om met high-risk data en infra te 'mogen' werken om dikke winst te maken ten kosten van de veiligheid van de samenleving.

~ Dus als men verstandig zou willen overstappen naar een wel functionele methode/beleid, dan zouden o.a. RijksWaterStaat, RIVM, NCSC, CTIVD, RDI, *HCSS, enz.. niet meer geheel onnodig kwetsbaar en data-lekkend zijn/blijven, zoals dat nu al te vele jaren het geval is gebleken te zijn.
^ Ook ik heb ''geheime'' actuele detail security architectuur tekeningen/schema's en documenten van o.a. BBN3 verwerkende infra, en schema's van Very-High-Risk organisaties onder ogen gekregen met autorisatie om ze te bekijken. En als je die bekijkt dan is het direct overduidelijk dat er nare keuzes gemaakt worden die volledig haaks staan op VIRBI;ABDO;Wbni;BIO;enz. "verplichtingen!" en gezond verstand voor basis beveiliging structuren. :( [waarom die nare keuzes gemaakt worden, weet je neem ik aan ook wel? als niet dan kan je die vraag stellen aan MinEZk als hoofd-veroorzaker van het Cyber-Security Catch-22 Probleem]
En als iemand als jij dan ook even de feitelijk kleine moeite hebt gedaan om zelf te kijken naar bijvoorbeeld welke o.a. Chinese spionage en Criminele digitale infiltratie en extracties er al geruime gaande zijn bij wat Vitale Infra en Defensie infra leveranciers, ..dan kan ook jij zelf even 1+1=? uitvogelen over **waarom** Onze staatsveiligheid al te velen jaren een Disfunctionele puinhoop blijft.

Alleen al het feit dat kopstukken zoals jij en voorzitter van RvS en bestuurder RDI & NCSC, en makers van BIO vX.yz, en Leiding van MinDef & MinBZK & MinJeV, allemaal blijkbaar liever aan struisvogelpolitiek blijven doen.. door het falende beleid een Taboe onderwerp te maken... Terwijl vijandige krachten door die struisvogelpolitiek toegang ''mogen'' blijven krijgen tot onze vitale infra en BBN2/BBN3 geheime data verwerkende systemen.
=> In plaats van _integer_ volgens de gemaakte wettelijke voorschriften de P.D.C.A. beveiliging verbeter instructies op z'n minst daadwerkelijk op te volgen, daarmee dus andere methodes dan het huidige dogmatische 'security' beleid, ook daadwerkelijk te "willen" onderzoeken en overwegen voor adoptie!?

Ipso facto: Als je die meest elementaire stap voorwaarts niet "wil" zetten vanuit een Ivoren Toren positie, dan ben je inherent onderdeel van de oorzaak van de geheel onnodige groeiende kwetsbaarheid van ons kikkerlandje.
Geen mooie woorden, maar tastbare daden! is toch wat er noodzakelijk is gebleken uit onze leerzame geschiedenisboeken.

Is in essentie niet meer of minder dan een bewuste Keuze om een goede voorbeeld stap voorwaarts te "willen" maken, toch ??

[Waar een wil is, is een weg..]

Tēnā koe e hoa,
*Anna.

=========
> From: "Koeroo, O.A. (Oscar)" <oa.koeroo@minvws.nl>
> To: "anna", "vacatures@raadvanstate.nl" , "vice-president@raadvanstate.nl"
> Subject: RE: Chief Information Security Officer , Vacature: RVS-2023-0017
>
> Hoi,
> Ik weet niet wie je allemaal meer op BCC hebt meegenomen, maar dit is erg irritant.
> Stop hiermee.
>
>
> Met vriendelijke groet,
>
> ing. O.A. (Oscar) Koeroo
> Chief Information Security Officer (CISO) Concern &
> Cryptobeheerder Concern
> ............................................................
> Ministerie van Volksgezondheid, Welzijn en Sport
> Directie Informatiebeleid
> Parnassusplein 5 | 2511 VX | Den Haag
> Postbus 20350 | 2500 EJ | Den Haag
> ...........................................................

______________________________

Sept 2023

> To: vacatures@raadvanstate.nl; vice-president@raadvanstate.nl

> Bcc: Oscar
> Onderwerp: Re: Chief Information Security Officer , Vacature: RVS-2023-0017
>
>
> Beste Vincent en Thom,
>
> Intrigerend, dat er al heel wat maanden gezocht blijft worden naar een 2e CISO,
> er daarbij juist vakkundiger kandidaten bij voorbaat uitgesloten blijken te worden dmv de gekozen selectie procedure, omdat er een sterke voorkeur is voor academische bureaucraten / boven ervaren deskundige specialisten.
>
> ^) Als, Vincent Toms en Mr. Thom de Graaf er daadwerkelijk voor willen zorgen dat RvS aantoonbaar alsnog gaat voldoen aan BIO, Wbni en VIRBI, door de basis beveiliging alsnog naar behoren op orde te maken ?
> Om zo doende het goede voorbeeld te kunnen gaan geven.
>
> ^^) Dan, is het wellicht verstandiger om een andere koers te gaan varen, met focus op een pragmatischer aanpak.. {ipv de huidige veelte bureaucratische methodiek, waarvan alg bekend is dat die disfunctioneel is gebleken te zijn.}
> Het is immers al vele jaren publiek zichtbaar dat RvS feitelijk de eigen beveiliging en wet&regelgeving compliance structuur niet op orde heeft.
> Ipso facto: dat op de huidige koers inherent het ook überhaupt niet op orde kan gaan krijgen.
>
> Ondertussen blijft RvS continue vertrouwelijke (interne) informatie naar buiten lekken, en blijft *onopgemerkte* toegang tot interne en externe kern systemen met BBN2 & BBN3 data mogelijk omdat RvS niet meer "in control" is van de infrastructuur waarmee ook BBN2&BB3 data verwerkt blijft worden. Men met name daarom niet eens meer kan detecteren of/als er ongewenst bezoek is uit verre vijandige gebieden.
> :(
>
>
> Verneem gaarne of er langzamerhand meer interesse is
> _in de keuze voor een aantoonbaar wel functionele methode
> __om er voor de zorgen
> ___dat RvS de eigen beveiliging en spionage preventie degelijk op orde krijgt
> ____binnen korte tijd.
>
> _____ om zo doende wel het goede voorbeeld en juiste adviezen te kunnen gaan geven:
> ______> "De Raad van State is een instituut dat in de Grondwet is geregeld. Hij heeft een eigen taak in de democratische rechtsstaat, die hij onafhankelijk van de regering uitvoert.
>
>
> Kind regards,
> *Anna.
>
>
>
>
> => www.trouw.nl/ economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor- veilige~ba71a0b3/?referrer=https://www.raadvanstate.nl<http:// www.trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet- voor-veilige~ba71a0b3/?referrer=https://www.raadvanstate.nl>

> => www.tenderned.nl/aankondigingen/overzicht/280102/details

> => www.werkenvoornederland.nl/vacatures/chief-information-security-officer-RVS-2023-0017

> => nl.linkedin.com/in/vincenttoms

> => etc.
>

> #------#
> > > On Sep 2018
> > > Voorlichting Raad van State <Voorlichting@RaadvanState.nl> wrote:
> > >
> > > Geachte,
> > >
> > > Dank voor het meedenken en de kritische noot over het advies van de Afdeling advisering. Dit zou de discussie over het onderwerp 'Digitalisering' wellicht alleen maar verder kunnen helpen. Maar een gesprek met de vice-president of een staatsraad daarover is op dit moment niet opportuun.
> > >
> > > Het advies van de Afdeling advisering en de reactie van de staatssecretaris daarop liggen nu ter behandeling bij de Tweede Kamer.
> > > Dat lijkt me in dit stadium een betere gesprekspartner.
> > >
> ==> De rol van de Afdeling advisering is na het uitbrengen van het advies vorige week, 'klaar'.
> > >
> > > Hoogachtend,
> > > mr. Emmy de Jager
> > > persvoorlichter
> > >
> > > Raad van State | directie Bestuursondersteuning | afdeling Communicatie
> > > Kneuterdijk 22 | Postbus 20019 | 2500 EA Den Haag | kamer Kn C 203
> > > t +31704264520| m +31652077000
> > > www.raadvanstate.nl<http://www.raadvanstate.nl>

> > > -----Oorspronkelijk bericht-----
> > > Verzonden: september 2018
> > > Aan: Voorlichting Raad van State
> > > Onderwerp: Ref: Advies W04.18.0230/I : Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen.
> > >
> > >
> > > Beste afdeling Voorlichting,
> > >
> > > Na het doornemen van "Advies W04.18.0230/I", komen we tot de conclusie dat het welgemeende advies hoogstwaarschijnlijk een contra-productief effect zou bewerkstelligen.
> > > Dat effect komt als gevolg van een specifieke vorm van belangenverstrengelingen bij de organisaties die adviserend en tegelijkertijd toezichthoudend zijn met betrekking tot digitalisering en beveiliging daarvan.
> > >
> > > Graag zouden we de ondertekenaar van het stuk, 'De vice-president van de Raad van State', een en ander mondeling aan uitleg willen geven, met behulp van actuele voorbeelden.
> > > Met daarbij ook uitleg over een vanzelfsprekend Eenvoudige aanpak om wel het gewenste resultaat te kunnen bewerkstelligen, binnen korte tijd en zonder dat daar extra investeringen voor nodig zijn.
> > >
> > > Met vriendelijke groet,
> > > *
> > >
> > > Ps.
> > > We constateren tevens dat er ook een paar onjuiste aannames in het stuk staan, zoals in de "Tussenconclusie".
> > > Aannames op basis waarvan deels ook advies geformuleerd is.
> >
> > > Ook constateren we dat de beveiliging van de door RvS gebruikte ICT infra niet volgens de wettelijke voorschriften op orde is.

> > > Met als een van de gevolgen daarvan, dat er onopgemerkte toegang mogelijk is tot vertrouwelijke informatie, enz.