Het blijft modderen met de beveiliging van overheidsinformatie. Aan de reeks incidenten kunnen nu een aantal raadsinfomatiesystemen en het BSN-uitgiftesysteem worden toegevoegd. Bij beide lijkt de fundamentele houding ten opzichte van beveiliging het probleem.
Beveiligingsproblemen blijven overheid teisteren
Aan de incidenten kunnen nu het raadsinfomatie- en het BSN-uitgiftesysteem worden toegevoegd. Bij beide is de houding ten opzichte van…
Raadsinformatie
Getuige een bericht van Webwereld zijn gegevens uit databases van tientallen gemeenten een tijd vrij toegankelijk geweest. Het bedrijf Gemeenteoplossingen.nl, dat onder andere raadsinformatiesystemen voor gemeenten beheert, bleek zijn beveiliging niet op orde te hebben. Een beveiligingsdeskundige kon vrij eenvoudig inloggen en de volledige, deels vertrouwelijke raadsinformatie inzien.
Beleid
De directeur van het bedrijf reageert vrij laconiek en meldt op de site van zijn bedrijf dat het probleem al was gesignaleerd door een zelf ingeschakelde expert en inmiddels is opgelost. Hij benadrukt vooral het belang van een goed wachtwoordenbeleid voor gemeenten en wil daarover meer helderheid van VNG en KING. "Aanvullende beveiligingsmaatregelen en een urgent advies aan onze klanten om zorgvuldig met wachtwoorden om te gaan moeten het lekken van informatie nu en in de toekomst voorkomen." Ondertussen heeft bijvoorbeeld de gemeente Bloemendaal wel het raadsinformatiesysteem sinds vrijdag uit de lucht gehaald.
BSN
Een andere kwestie blijkt te hebben gespeeld bij de Beheervoorziening Burgerservicenummer, een onder BZK vallend systeem voor de uitgifte van BSN's. Uit een audit van de Rijks Audit Dienst (RAD) blijkt dat er in 2010 ernstige tekortkomingen waren in de beveiliging van het systeem en dat het beveiligingsplan ook niet deugde. Het verantwoordelijke agentschap BPR van BZK meldde dat tegen de regels in niet aan de BZK-directie Dienstverlening, Regeldruk en Informatiebeleid. De tekortkomingen hebben overigens niet geleid tot incidenten, denkt de Rijks Audit Dienst.
Brandbrief
De fundamentele houding tegenover beveiliging is ook het onderwerp van een brandbrief die een verzameling hackersorganisaties gezamenlijk opstelde en afgelopen donderdag uitdeelde bij een kameroverleg over de DigiNotar-kwestie. De boodschap: maak het ons niet zo makkelijk. "Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico's. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars."
Reacties: 7
U moet ingelogd zijn om een reactie te kunnen plaatsen.
"De tekortkomingen hebben overigens niet geleid tot incidenten, denkt de Rijks Audit Dienst."
Keep dreaming! Het misbruik van DigID om via de Belastingdienst geld te stelen van nietsvermoedende burgers zou ook "slechts enkele tientallen malen" zijn voorgekomen, maar blijkt volgens recente publicaties nu toch "vele duizenden" gevallen te betreffen.
Het is jammer dat je niet kunt kiezen of je wel of geen BSN krijgt. Gelukkig kun je dat nog wel doen voor een DigID en voor een niet-anonieme OV-chipkaart, en beide zal ik ook voorlopig niet nemen.
"Veiligheid is een gevoel" is ook een veel gehoorde dooddoener, maar die klopt wel: ik voel me er heel veilig en 'vrij' bij dat ik geen DigID heb, en een anonieme OV-chipkaart, ik kan het iedereen van harte aanraden! Het jaarlijks invullen en opsturen van een papieren belastingaangifte is daarbij vergeleken maar een onbetekenend nadeeltje.
Tegen de tijd dat de overheid haar digitalia echt op orde heeft (dat valt naar verwachting ongeveer samen met Sint Juttemis) zal ik er nog eens opnieuw over nadenken.
De beveiliging van de overheid wordt teveel gezocht in de techniek en onvoldoende in het menselijk handelen. Zolang sleuteldiscipline, cleandesk en het afsluiten van kasten en lades niet tot de normale rituelen behoort van een ambtenaar zal het niet beter worden met meer geavenceerde zaken.
Onderstaande reacties zijn veelzeggend en bevatten feiten en omstandigheden waar je niet optimistisch of vrolijk van wordt. Waar ligt de crux van het probleem.
Aan ene kant de nonchalance van de gebruiker. Zolang mensen in het zelfde gebruikerspatroon blijven vervallen kan je organiseren en verbeteren tot je er bij neervalt, echter het resultaat zal onder ondermaats blijven.
Tevens is verbetering te behalen bij het screenen van bedrijven die door de overheid worden ingehuurd. Vaak is expertise, gebleken bekwaamheid of reputatie niet onderzocht.
Als veilig gebruik van de digitale weg beter geborgd moet worden zullen dergelijke "basic" aspecten serieus en op een aanzien hoger niveau moeten worden gebracht.
Het subjectief onveiligheidsgevoel van de burger is onverminderd terecht. Men wordt geconfronteerd met gebruiksmethodes waarvan door de ban genomen men er van uit mag gaan dat dit op een veilige manier kan plaats vinden. Vaak blijkt anders en dat is teleurstellend. Het doet het vetrouwen in de overheid sterk geweld aan terwijl dat niet nodig is.
We zijn zo ver gevorderd met al die automatisering dat ze de boel vanuit een Afrikaans ontwikkelingsland plat kunnen leggen. Echt treurig.
@ Jan Keijzer:
hier begint inderdaad het probleem, het gebrek aan besef.
Net zoals bij DigiD : beveiliging, privacy, requirements en risico's. 4 aspecten die stelselmatig worden verontachtzaamd in overheidsprojecten.
En van 'identity theft' heeft men blijkbaar ook nog nooit gehoord.
Zo lang je DigiD-gegevens per post verstuurd worden in plaats van per e-mail en zo lang je bij anderhalf jaar niet gebruiken steeds maar weer opnieuw een DigiD moet aanvragen, waarvan de gegevens dan weer per post naar je worden opgestuurd, blijft misbruik op de loer liggen.