Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gestolen laptop veroorzaakt mogelijk datalek bij verschillende gemeenten

Door , 166 reacties, submitter: MyBearTibbers

Verschillende Nederlandse gemeenten melden dat er mogelijk een datalek is ontstaan door een gestolen laptop. Deze behoorde toe aan een leverancier die werk deed in het kader van de Wet Onroerende Zaakbelasting. Wat er precies op de laptop staat is nog niet duidelijk.

DatalekDe BsGW van Limburg meldt dat verschillende gemeenten uit die regio mogelijk getroffen zijn, waaronder Roermond en Venlo. Meerdere gemeenten hebben berichten op hun websites geplaatst, bijvoorbeeld Noordenveld, Venray en Zutphen. Mogelijke gegevens die op de laptop staan zijn bsn's, achternamen, initialen, adressen, geboortedata en bedrijfsgegevens als kvk- en rsin-nummers. De gemeenten noemen geen precieze aantallen.

Een woordvoerder van de Informatiebeveiligingsdienst voor gemeenten, oftewel IBD, legt aan Tweakers uit dat het om een leverancier gaat die voor verschillende gemeenten werkte. Die meldde onlangs dat een laptop van een medewerker was gestolen. Het is wettelijk vereist dat bij een dergelijke diefstal uitgesloten kan worden dat persoonsgegevens zijn buitgemaakt. Dit kon de leverancier niet uitsluiten, waarna verschillende gemeenten dit naar hun inwoners communiceren. Er moet nog vastgesteld worden wat er precies op de laptop staat.

De gemeenten hebben in veel gevallen informatienummers beschikbaar gemaakt en vragen inwoners om waakzaam te zijn voor mogelijk misbruik van de gegevens. Kwaadwillenden zouden met de informatie bijvoorbeeld identiteitsdiefstal kunnen plegen.

Sander van Voorst

Nieuwsredacteur

5 december 2016 15:40

166 reacties

Submitter: MyBearTibbers

Linkedin Google+

Reacties (166)

Wijzig sortering
Een woordvoerder van de Informatiebeveiligingsdienst voor gemeenten, oftewel IBD, legt aan Tweakers uit dat het om een leverancier gaat die voor verschillende gemeenten werkte.
Irrelevant voor mij, als burger: als ik m'n gegevens bij een overheidsinstantie neerleg is DIE verantwoordelijk voor de veiligheid. Als die instantie de gegevens bij een extern bedrijf neerlegt, is wat mij betreft de overheid nog steeds verantwoordelijk. En hoort dus ook vooraf na te gaan of het bedrijf zorgvuldig met de gegevens om gaat, *voor* mijn gegevens overhandigd worden.
Het is wettelijk vereist dat bij een dergelijke diefstal uitgesloten kan worden dat persoonsgegevens zijn buitgemaakt. Dit kon de leverancier niet uitsluiten, waarna verschillende gemeenten dit naar hun inwoners communiceren.
...ofwel, NA de diefstal is er eens bij de leverancier nagegaan of de gegevens daar wel veilig waren? Als dat zo is, heeft de gemeente daar mede schuld aan een datalek.
Irrelevant voor mij, als burger: als ik m'n gegevens bij een overheidsinstantie neerleg is DIE verantwoordelijk voor de veiligheid. Als die instantie de gegevens bij een extern bedrijf neerlegt, is wat mij betreft de overheid nog steeds verantwoordelijk. En hoort dus ook vooraf na te gaan of het bedrijf zorgvuldig met de gegevens om gaat, *voor* mijn gegevens overhandigd worden.
Sterker nog, die verantwoordelijkheid ligt wettelijk gezien ook bij die instantie, dus de overheid blijft verantwoordelijk. Dit noemen we het verschil tussen "databewerkers" en "data eigenaren". De data bewerker, in dit geval de consultant, is feitelijk een verlenging van de overheid. Er gelden dus in principe dezelfde regels voor. Er is in dit soort gevallen een standaard overeenkomst geldig tussen de gemeente en de consultant/bedrijf.

Dit systeem is zo gekozen om commerciŽle partijen dus aan dezelfde wetten en eisen te houden als voor een instantie gelden (scholen, ziekenhuizen, gemeenten, alles waar persoons gegevens worden verwerkt, dus NAW, BSN etc. dat soort spul, ook Appie Heijn met z'n Bonus kaart ;) ) zonder veel poespas met ingewikkelde juridische contracten.

Dit is ook de reden dat de gemeente jou moet informeren i.p.v. de veroorzaker van het datalek. De gemeente zal onder alle omstandigheden voor jou informatie verantwoordelijk zijn omdat zij het opslaan en een soort "recht" verlenen aan een bedrijf om daar iets mee te doen voor hun.
Tja, je kunt het ook als volgt bekijken: als IT leverancier heb je tevens de plicht secuur te werken omdat de klant meestal niet de kennis heeft over security gebliep. Zeker niet bij de huidige overheid, waarbij steeds meer specialisten weg gaan omdat ze elders meer kunnen verdienen (andere discussie). Jij als IT leverancier moet geen situatie creŽren waarbij zich dit soort situaties voor kunnen doen.

Ik werk ook veel voor de overheid waarbij wij altijd, maar dan ook altijd, werken met dummy data. Ofwel: we creŽren zelf een fictieve set van data om onze systemen mee te ontwikkelen en te testen. Eenmaal in productie wordt er uiteraard wel gewerkt met echte data, maar die data blijft te allen tijde in het domein van de overheid. Sterker nog: ik als ontwikkelaar heb en wŪl geen toegang tot deze data!
Hoogst waarschijnlijk gaat het niet om een it leverancier, maar een bedrijf dat WOZ waarden bepaalt, of bezwaren daarop behandelt. Die zullen wel met productiedata moeten werken.
De vraag is alleen of die data off-site mogen. Ik weet dat dat wel veel gebeurt: er worden bestanden met duizenden bsn's via de mail uitgewisseld tussen bureaus en gemeenten. De beveiliging is als je geluk hebt een Office wachtwoord |:(
Munitax is het bedrijf dat de gemeentelijke belastingen int. Van een medewerker van hun is de laptop.

Als opdrachtgever van Munitax heb je de plicht om voldoende maatregelen te nemen om kans op datalekken te voorkomen en hierop je leverancier te controleren...

Ikzelf vind het belachelijk dat ik mijn bsn niet moet afgeven zomaar ivm misbruik maar een bedrijf mag ze kennelijk wel lokaal, zonder encryptie opslaan....
Het is ook een mooi staaltje "samenwerken" wat hiertoe tot gevolg heeft dat als er 1 data lek is, opeens van een tal van gemeentes de deuren openstaat. Zoals de BsGW in het Zuiden van Limburg nagenoeg alle gemeentes onder zijn hoede heeft. Dit zorgt enerzijds voor zeer beroerde service, een groot aantal eerste lijns dames die geen flauw benul hebben waar ze mee bezig zijn, anderzijds zie je nu dus ook wanneer er een gaatje is, plots half limburg openligt in dit geval. Schandalig hoe de gemeente en diens leveranciers mee omgaan. Uiteindelijk als burger zitten we hier weer eens mee met een sterk staaltje onkunde.
Ik weet niet hoe office-wachtwoorden tegenwoordig werken maar een zip-versleuteling is tegenwoordig niet te kraken. Maarja, als de ontvangende computer compromised is met een keylogger of als, zoals hier het geval lijkt te zijn, een laptop wordt gejat waarop dat bestand is uitgepakt...
Natuurlijk is dat wel te kraken, en nog makkelijk ook.
Ze maken dus geen gebruik van disk encryptie. Mijn laptop heeft een bios/boot passcode en zonder deze kan je de schijf niet extern uitlezen. Of is dit alweer achterhaald?
Dat is helaas alweer achterhaald... nouja, in veel gevallen. ATA-based *dus dat protocol* is redelijk eenvoudig te achterhalen, BIOS-based ook. OS-based is afhankelijk van de implementatie. Bij Windows 10 enz. was BitLocker toevallig een paar dagen geleden keihard gekraakt. Bij Apple's FileVault kan je als de computer nog aan staat en ingelogd is/was met fdesetup een 'authenticated reboot' doen die de keys naar NVRAM kopieert. Bij LUKS op Linux kan je als de keys niet in de CPU registers opgeslagen zijn maar in RAM een cold boot attack doen.

Er zijn altijd methodes, en aan het eind van de rit is eigenlijk vooral de gebruiker verantwoordelijk, en ook meteen de zwakste schakel.
Gewoon brute force. De kans dat er een moeilijk wachtwoord wordt gebruikt bij dat soort bedrijven is al nihil. Met moderne tools op een gpu doe je meer dan 1 miljoen wachtwoorden per seconde. Kost niet zoveel dus.
Maar als IT leverancier, ben je niet bezig met de (productie) data te muteren, maar met de werking van je systeem.
Maar als jij als "leverancier" wťl uitvoerend voor de gemeente bezig bent, dan ga je waarschijnlijk wel met de echte data aan de slag.
Dan vraag ik mij nog steeds af wat die leverancier met mijn BSN en geboortedatum moet. Krijgen leveranciers gewoon een standaard dataset aangeleverd om gezeur te voorkomen? Of wordt er ook daadwerkelijk per leverancier bekeken welke gegevens zij nodig hebben om hun werk uit te kunnen voeren?
Het zal je verbazen hoeveel grote bedrijven in OTA omgevingen nog steeds werken met 1op1 data uit productie. Het zal je ook verbazen wat de reactie daarop is als je aangeeft dat dit een groot risico is.
Het besef ontbreekt.
Met alle respect als je op Acceptatie met dummy data gaat werken dan kan je op Productie nog wel eens van een koude kermis terug kunnen komen. End to end testen dan helemaal een crime op Acceptatie. Neemt niet weg dat je op Ontwikkeling en Test altijd met dummy data moet werken
Je kan op productie data testen door te anonimiseren. Maar dat gebeurt niet eens. Je acceptatie hoeft niet een 1 op 1 kopie te zijn in de meeste gevallen om goed te accepteren. Je accepteert meestal functionaliteit. Als je de rest van de omgevingen goed hebt staan is acceptatie niets anders dan een akkoord van de klant.

[Reactie gewijzigd door Chadi op 5 december 2016 19:00]

Kan nogal lastig zijn met interfaces naar andere systemen. Heb ondervonden dat dev systemen soms hele andere data types gebruiken. Van integer naar varchar etc. Dat zijn geen leuke verassingen van dev naar t naar a & p. Ben het wel met je eens dat je heel erg moet uit kijken, en waar kan nooit echte data moet gebruiken.
Productiedata op een Acceptatieomgeving is geen probleem, mits die omgeving ook exact hetzelfde beveiligd is, met dezelfde controls, processen en maatregelen. Echter zijn de kosten daarvoor vaak vele malen hoger, als data op de acceptatie-omgeving anonimiseren.
Werken met dummy data is een heel goede gewoonte. Het is ook zelden noodzakelijk om met echte data te werken.
Het is maar aan kleine moeite om tracking software te installeren waarmee een laptop van afstand alsnog onklaar kunt maken. Dat geeft zelfs na diefstal nog de mogelijkheid de data onbruikbaar te maken. Helemaal waterdicht is die beveiliging niet, maar in veel gevallen kan je wel zien wanneer de laptop wordt gebruikt. Als men de laptop juist steelt om de data in handen te krijgen, zal men wel rekening houden met tracking software, maar in de meeste gevallen is dat niet het geval.
Irrelevant voor mij, als burger: als ik m'n gegevens bij een overheidsinstantie neerleg is DIE verantwoordelijk voor de veiligheid. Als die instantie de gegevens bij een extern bedrijf neerlegt, is wat mij betreft de overheid nog steeds verantwoordelijk. En hoort dus ook vooraf na te gaan of het bedrijf zorgvuldig met de gegevens om gaat, *voor* mijn gegevens overhandigd worden.
Helemaal mee eens, maar het klinkt alsof je het de gemeente kwalijk neemt dat ze de schuld afschuiven. Ik kan dit echter niet uit het artikel opmaken: op mij komt het over dat de IBD gewoon volledig uitlegt hoe het zit. Lees jij meer / iets anders?
Het feit dat ze sowieso al noemen 'dat het om een leverancier gaat' vind ik afschuivend klinken. Zo van 'wij zijn het niet, is een externe partij'.

Afgezien daarvan ben ik wel met je eens dat ze netjes openheid geven en de juiste dingen doen om de schade te beperken.
Eerlijk gezegd kun je dat op 2 manieren uitleggen (of nog meer): openheid van zaken zorgt ervoor, dat gemeenten nu de juiste maatregelen kunnen nemen. Immers, als het een interne medewerker was geweest, is de kans klein dat andere gemeenten getroffen zouden worden.

In die context is het zeer zeker relevant en biedt het meer inzicht in het waarom verschillende gemeenten getroffen zijn en niet ťťn enkele gemeente. Als dit niet was gezegd, kwam de vraag immers bovendrijven: wat heeft die gemeente X met mijn gegevens uit gemeente Y van doen?

Dus afschuiven kŠn een argument zijn, maar hoeft zeer zeker niet.
De wet maakt een onderscheid tussen de eigenaar van de data en de bewerker van de data, in dit geval het bedrijf. Zij zijn dan ook verantwoordelijk in dit geval.
Tja overheid en ICT.
Helaas nu geen overheid, maar 1 van de bedrijven die "beter" zou moeten weten.
Hier huur je dus de dure "specialisten" voor in bij externe bedrijven.
Waarschijnlijk hebben ze dus toegang nodig tot de gegevens, en ze maken er blijkbaar net zo'n bende van.

Je kan het dus als overheid in dit soort gevallen nooit goed doen.

[Reactie gewijzigd door _root op 5 december 2016 18:30]

Je kan als overheid dan beter zaken doen met kleine, specialistische bedrijven dan de Capgemini's van deze wereld waarbij de linkerhand geen flauw benul heeft wat de rechterhand uitspookt.
Volgens De Gelderlander zijn het niet alleen Limburgse gemeenten:

De gegevens van inwoners van de gemeenten rond Nijmegen liggen mogelijk op straat. De laptop van een medewerker die voor Berg en Dal, Beuningen, Druten, Heumen en Wijchen woz-waardes berekent, is namelijk gestolen.

Op die laptop stonden mogelijk persoonsgegevens van inwoners. Munitax, de organisatie die dit in deze streek regelt en de medewerker inhuurde, weet dat niet zeker.

Harde schijf
Het bestand dat de gemeenten voor dit werk aanleverden, wordt gewoonlijk via een netwerk geraadpleegd. Maar de eigenaar van de laptop sluit niet uit dat hij dit ook op de harde schijf heeft opgeslagen.
Maar de eigenaar van de laptop sluit niet uit dat hij dit ook op de harde schijf heeft opgeslagen.
Hah. Grapjas zeker. Je weet het echt nog wel met zekerheid hoor, als je zo'n bestand naar je lokale disk gekopieerd hebt. Dit is gewoon een gevalletje van jezelf politiek correct indekken:

Je kunt niet zeggen dat je die data bewust gekopieerd hebt, want dan hang je. En je kunt niet liegen en zeggen dat je het niet gekopieerd hebt, want als daarna uitkomt dat de data toch op die laptop stond, hang je dubbel en dwars.

Dus dan zeg je maar dat je het niet meer weet en je hoopt dat de hele kwestie overwaait en je er met wat minder kleerscheuren af komt als het een flinke tijd later toch uitkomt.

Of een andere oude favoriet: je geeft het systeem de schuld.
Misschien zelfs gewoon allebei tegelijk: "Zou kunnen; misschien dat verwerkingssoftware <XYZ> een tijdelijk werkbestand aangemaakt heeft, wat nog op de schijf stond."

[Reactie gewijzigd door R4gnax op 5 december 2016 23:09]

het zou me niet verbazen als het om bv een excelfile gaat waar hij ook een edit in had gedaan. In dat geval (als de laptop in standby was) is er een kans dat er een tmp-file aanwezig is op de laptop zelf :)
Iemand zou bij wijze van experiment eigenlijk eens de hoeveelheid IT debacles waar Excel deels debet aan is, moeten enumereren.

Zou nog lachen kunnen worden. :+

[Reactie gewijzigd door R4gnax op 6 december 2016 13:22]

Hier is er een: (en niet alleen IT debakels!)

http://www.eusprig.org/horror-stories.htm

Forbes heeft ook een verhaal ove rhoe Excel wellicht de gevaarlijkste software op de planeet is

(En dan moeten we het nog maar niet hebben over de werkelijk verschikkelijke wereldeconomie vernietigende fout in de reinhardt rogoff hypothese waar de complete bezuinigingsdrift van de EU aan is opgehangen: http://www.nytimes.com/20...the-excel-depression.html
Dus, alleen maar toegankelijk maken via een virtuele desktop. Benodigde software van te voren inleveren bij een systeem beheerder van de gemeente. En hij dan via een beveiligde verbinding hier op kan komen, prima, maar lokaal opslaan moet dan echt onmogelijk zijn.
Zou de informatie via bijvoorbeeld VPN zijn benaderd kunnen gemeentes voorkomen dat dit soort externe partijen gegevens naar de remote client kunnen verplaatsen. Zeker omdat het hier over persoonsgegevens gaat lijkt mij dat logisch beleid. Dat de remote client in staat is geweest om data uit te wisselen vergroot ook het risico op een virusinfectie van de gemeentedata. Met de bestandsuitwisseling maakt de leverancier zich medeverantwoordelijk voor de databeveiliging van de gemeentes. Een verantwoordelijkheid die ik als leverancier niet zou willen aangaan als het niet hoeft.

Als gemeentes zou ik de randvoorwaarde stellen dat deze privacy gevoelige data alleen vanuit het eigen netwerk te benaderen mag zijn, via sessies van waaruit geen bestandsuitwisseling mogelijk is. Ik vind het bijna naÔef dat op deze manier is gewerkt.
Nergens in het artikel valt op te maken dat er geen encryptie gebruikt werd.
Voor hetzelfde geld is de boel gewoon encrypted maar wordt er weer paniek gezaaid door de media (men is immers verplicht om melding te maken van de diefstal, ongeacht of deze encrypted is of niet)
Nergens in het artikel valt op te maken dat er geen encryptie gebruikt werd.
Dat klopt, dat staat er niet.

Er staat wťl dat de leverancier niet kon uitsluiten dat er persoonsgegevens buitgemaakt zijn.
Dat doet in elk geval vermoeden dat er ofwel geen encryptie is gebruikt, of dat ze niet zeker zijn of de boel wel of niet encrypted is.

[Reactie gewijzigd door tc-t op 5 december 2016 15:52]

Maar men kan dit nooit uitsluiten, zelfs al is de boel zwaar encrypted : je weet nooit of de sleutel uit is gelekt (of dat er volgende week een exploit beschikbaar komt waarmee juist deze methode van encryptie zo gekraakt kan worden).

In feite dus logisch dat men dit niet uit kan sluiten aangezien dit zo goed als onmogelijk is.
voor alsnog is het vrijwel niet voorgekomen dat er exploits uitkomen die encryptie kraakbaar maken.
De enige exploits die bestaan zijn het uitlezen van de sleutel die in het ram geheugen opgeslagen is, dit kan door een coldboot attack of door bv een DMA aanval via de USB/Firewire poorten.
Vergeet Rowhammer en alle zero days niet. Als je bijvoorbeeld een jaar wacht, kun je bijvoorbeeld een laptop aanvallen omdat SSL out of date is. Bovendien zoals Wica meldt wanneer men gebruik maakt van Windows 10 zal tijdens een update de FDE tijdelijk uit staan.

Voor een gemiddelde inbreker is dit moeilijk.

Maar goede criminelen lopen vrij rond ipv in de gevangenis.

Dus is het degelijk van belang dat dit soort datalekken worden gemeld.
een laptop aanvallen omdat SSL out of date
Kan je die uitleggen?
Heartbleed bijvoorbeeld. Of de slechte random number generator van Debian omstreeks 2008. Allebei ouch. Een ander voorbeeld is deze: http://info.lookout.com/r...us-technical-analysis.pdf alhoewel die user interactie vereist, is die interactie minimaal en kun je dit ook injecteren in een HTTP request.

Zoiets kan worden geactiveerd wanneer de laptop boot, en Windows Update start.

Ook kan men eenvoudig een backup van de HDD maken middels 'dd'. Om vervolgens 5 jaar later de data te proberen achterhalen, in een faraday cage omgeving met een MITM. Ook kan men verkeer via Tor laten routen waardoor je er niet achter komt waar de crimineel zich bevindt.

Tenslotte kan men ook een zwak wachtwoord hebben, en dit kan ook aangevallen worden met brute force. Denk jij dat de gemiddelde gemeentewerker een goed wachtwoord gebruikt? Met alle respect...

Mijn punt was dat de aanname dat 'de gegevens cryptografisch zijn versleuteld' en 'dat daardoor er geen sprake is van een datalek' onzin in. Als de aanvaller weet wat hij met de data kan (vereist een zekere intelligentie en creatief denken), en de aanvaller heeft tijd en geld om dit te bewerkstelligen, dan ben je alsnog de lul.
ssl aanval op disk encryption is vrij nutteloos, hetzelfde met man in the middle aanvallen.

De disk dd'en is leuk, maar dan nog moet je om de encryptie heen.

Zoals ik al zei: de enige realistische exploits op encryptie zijn exploits die bedoeld zijn om de sleutel die in het geheugen staat uit te lezen, rowhammer is er daar inderdaad 1 van. Die zullen echter alleen werken als de laptop aanstond of in standby

En een zwakke sleutel brute-forcen is mijn inziens geen exploit op de encryptie. Het is een exploit op het zwakste element (vrijwel altijd!) in de beveiliging: datgene wat zich tussen scherm en toetsenbord bevind.

Dus ja, met goed opgeleide medewerkers die een strak protocol volgen kan je wel degelijk garanderen met een 99%+ zekerheid dat er geen data buitgemaakt is.
Maar je kan niet garanderen dat je werknemers altijd het protocol volgen helaas.
we kunnen ook niet garanderen dat er mogen niet een grote steen uit de ruimte op amsterdam valt en iedereen plet.. Toch doen we dat, sort off. Althans, we kunnen zeggen dat het zeer onwaarschijnlijk is.

En hetzelfde geld voor je medewerkers: afhankelijk van hoe jij je medewerkers opleidt, ze een protocol aanleert, ze de waarde van dat protocol bijbrengt en ze controleert op het protocol kan je met een redelijke zekerheid zeggen dat het uit te sluiten is dat het protocol niet gevolgd is.
Illusie. Een medewerker is een persoon. Hoe groter je team hoe lastiger het wordt. In het geval van code kun je het afdwingen door de pull requests. Bij het opslaan van gegevens kun je als medewerker gewoon beslissen deze data onversleuteld op te slaan via wat voor mogelijkheid dan ook. Misschien heeft de medewerker wel z'n eigen laptop meegenomen naar de klant omdat zn werklaptop net gecrasht was en hij geen zin had om eerst langs kantoor te gaan.
Die kans is een stuk groter dan de op A'dam vallende steen.
ssl aanval op disk encryption is vrij nutteloos, hetzelfde met man in the middle aanvallen.
De SSL aanval zou plaatsvinden op bijvoorbeeld Windows Update. Als het doel is user access verkrijgen, dan is dat niet nutteloos. Verder gebruikt Windows 10 op x86-64 niet iets van een security enclave.
De disk dd'en is leuk, maar dan nog moet je om de encryptie heen.
Klopt, maar dan heb je daar wel ontelbaar veel tijd voor. En kun je brute forcen. En kun je dictionary attacks plegen. Ook kun je die aanvallen op meerdere systemen plegen.
Zoals ik al zei: de enige realistische exploits op encryptie zijn exploits die bedoeld zijn om de sleutel die in het geheugen staat uit te lezen, rowhammer is er daar inderdaad 1 van. Die zullen echter alleen werken als de laptop aanstond of in standby
Eens dat dat de meest realistische aanval is, maar zeer zeker niet de enige.

Zie bijvoorbeeld:
En een zwakke sleutel brute-forcen is mijn inziens geen exploit op de encryptie. Het is een exploit op het zwakste element (vrijwel altijd!) in de beveiliging: datgene wat zich tussen scherm en toetsenbord bevind.

Dus ja, met goed opgeleide medewerkers die een strak protocol volgen kan je wel degelijk garanderen met een 99%+ zekerheid dat er geen data buitgemaakt is.
Goed opgeleide medewerkers? Je hebt het over ambtenaren die bij de gemeente werken. Kortom, de gemiddelde MBOer. Database dumps bewijzen dat mensen niet zo'n sterke wachtwoorden gebruiken. Ik zou niet weten waarom die een slimmer wachtwoordbeleid hebben dan de gemiddelde mens, en 99+%? Heb je wel 'ns zo'n database dump bekeken?

Ik zou niet met percentages rond gaan strooien. Die zijn op niets gebaseerd.
Over die medewerkers: gewoon iemand random opbellen, zeggen dat je van IT bent en even in moet loggen onder diens username vanwege een issue met een profiel oid en dikke kans dat je het wachtwoord krijgt.

Sad but true.
Voorzover ik weet is dit ook erg moeilijk, echter is het niet onmogelijk waardoor men dus niet uit kan sluiten dat er gegevens op straat terecht zijn gekomen.
noem mij 1 exploit van de afgelopen jaren die AES-256 brak
Waarom zou ik een exploit moeten noemen? Alle vormen van encryptie zijn in theorie te kraken, dat is gewooon een gegeven, dus mijn stelling dat het niet onmogelijk is blijft gewoon staan (en dat een bepaalde encryptiemethode nooit gekraakt is wilt niet zeggen dat dit in de toekomst nooit zal gaan gebeuren)
Alle encryptie is kraakbaar, echter, wiskundig gezien zijn daar X berekeningen voor nodig en die X is zo hoog dat het praktisch onmogelijk wordt. Daarom kan je wiskundig gezien spreken van onkraakbare encryptie, in ieder geval met de huidige processor techniek.
En dat gaat pas veranderen zodra we van silicon afstappen en overgaan naar quantum computing.
Hmmm, Windows zet de key van de bitlocker, bij het updaten tijdelijk ergens neer.
http://www.theregister.co...m_bitlockerbypassing_cli/
Maar goed dat werkt alleen als de laptop aan het booten is na het installeren van de update. En dan alleen bij bepaalde soorten updates. Als de laptop uitstond of normaal opgestart wordt is het niet het geval.
Alleen bij upgrades. Niet bij updates.
Het handigste is ook om er gewoon "langs heen" te werken.
Dat zie je vaak terug bij IOS en Android. In plaats van de encryptie aan te vallen, werk je er langs heen. Bij Windows was het mogelijk om zo volledig langs Bitlocker heen te komen. Zie ook stap 2:
https://blog.ahmednabeel....encrypted-windows-system/
Dan nog...hier op het werk ook bitlocker, maar dan nog, gevoelige data mag alleen op het netwerk staan en is alleen benaderbaar via on site netwerk apps. Wil je die buiten benaderen, dan via VPN. Ik zie geen enkele reden dat WOZ data gekoppeld aan persoonsgegevens op een laptop van derde leverancier moeten staan.

[Reactie gewijzigd door divvid op 5 december 2016 20:19]

Misschien stond de sleutel gewoon op die postit note die op de laptop geplakt zat. Zou echt niet de eerste zijn...
Niet als de laptop in Standby/Sleep (erg grote kans) stond en het enige obstakel bijvoorbeeld de login van Windows is.
Je relaas klopt technisch gezien misschien wel, maar geen instelling gaat roepen dat het niet uit te sluiten is dat er gegevens zijn gelekt als er bekend is dat alles encrypted was. Dan voelen ze geen meldingsplicht. En als ze denken dat 't waterdicht is, dan is er toch ook niet een meldingsplicht?
Volgens mij (maar ik weet uiteraard niet zeker hoe men dit ziet bij de autoriteit persoonsgegevens) moet dit ook gemeld worden als er versleutelde media zoekraakt, ongeacht de gebruikte encryptie methode.
Dat is natuurlijk wel vanuit een erg theoretisch oogpunt beschouwd. In dat geval kan feitelijk nooit de garantie gegeven worden dat er geen gegevens zijn gelekt. Als er gebruik wordt gemaakt van een gangbaar soort encryptie en er geen aanwijzingen zijn dat de sleutels daarvan zijn gelekt zou ik naar het publiek toe wel een iets duidelijker statement verwachten.
Je kunt het nooit uitsluiten, kans blijft altijd bestaan dat iemand toevallig het juiste wachtwoord intypt.
Zelfs als disk encrypt aan zou staan, moet je er maar vanuit gaan dat ze bij de data kunnen.
http://www.theregister.co...m_bitlockerbypassing_cli/
Stel de laptop stond nog aan of in slaapstand terwijl deze werd gejat
Ook al de data opzich encrypted, als eigenaar kun je niet uitsluiten dat er iemand bij die data is gekomen.

Op dat moment moet je volgens wet: melden van datalekken, dit aanmelden.
Het hoeft niet zo te zijn dat er klant data op de laptop stond. Misschien weten ze niet zeker of er Łberhaupt klant data op stond. Ik zet zelf nooit data van klanten op de werk laptop, en werk altijd op de systemen van de klant. Op die manier is er niets te halen, zelfs als de bitlocker/fileVault wordt gekraakt. Hoogstens een draaiboekje met inrichting van de systemen. Of wat geblurde screenshots.
Als je de richtsnoeren volgt, krijg je een aantal voorwaarden waaraan bij een melding in ieder geval voldaan zijn.

Zie hiervoor: https://autoriteitpersoon...ldplicht_datalekken_0.pdf
* Het verlies van de laptop wordt geclassificeerd als een beveiligingsincident.
* Het is niet redelijkerwijs uit te sluiten dat de gegevens gelekt zijn
* Het gaat om gegevens van gevoelige aard.

Verder noemt men in een aantal reacties de garantie dat gegevens niet gelekt zijn. Dat wordt niet vereist in de richtlijnen van de Autoriteit Persoonsgegevens. Er moet redelijkerwijs aangenomen worden dat de gegevens niet gelekt zijn. Zaken als rowhammer en zwakheden in AES-256 zullen op dit moment niet als redelijkerwijs genoemd worden; het zal me sterk lijken dat een met bitlocker versleutelde harde schijf niet als voldoende wordt beschouwd.

In de richtlijnen geeft de autoriteit expliciet aan dat de betrokkenen geinformeerd moet worden as de gegevens niet (goed) of onvolledig versleuteld zijn, of andere redenen die ongunstig zijn voo de persoonlijke levenssfeer. Het lijkt dan ook wel aannemelijk dat de gegevens niet versleuteld waren.

Wat daarnaast nog onbekend is, is hoe groot de schade daadwerkelijk is. Dit bedrijf zal veelal een bewerker zijn van de gegevens in opdracht van een gemeente. Ze zullen dan ook aparte afspraken hebben met de gemeente. Het kan dan ook goed zijn dat ze sneller een melding moeten maken dan wanneer ze zelf verantwoordelijke zijn. Immers, niet ieder datalek hoeft gemeld te worden aan de betrokkene.

Grote aantallen BSN-nummers, daarentegen, maken het wel weer aannemelijk dat het uiteindelijk wel gemeld aan de betrokkenen moet worden.
Waarom heeft Nederland eigenlijk geen BSI zoals in Duitsland?! https://www.bsi.bund.de/EN/TheBSI/thebsi_node.html Als je je als ambtenaar niet aan de regels houdt ga je gewoon de bak in! Neem je geheime data mee op een Windows laptop zonder BitLocker, dan heb je echt een probleem... Dat kunnen ze zeggen omdat er toegelaten hardware en software is... Een duidelijk kader met duidelijke consequenties...

Lijstje: https://www.bsi.bund.de/D...gundanerkennung_node.html
Standaarden (gebaseerd op ISO270**): https://www.bsi.bund.de/E...ds/BSIStandards_node.html

De standaarden zijn echt aan te bevelen om eens door te kijken...

edit: met --> zonder

[Reactie gewijzigd door WienerBlut op 5 december 2016 16:12]

Het betreft hier geen ambtenaar, maar een leverancier.

Voor ambtenaren zijn er al extra consequenties, namelijk via het ambtenaren tuchtrecht.

Als er echt criminele dingen gebeuren kan gevangenisstraf alleen via de strafrechter.
Omdat wij in de wbp (wet bescherming persoonsgegevens) hebben vastgesteld dat er "passende maatregelen" moeten worden getroffen. Of dit nou pro-actief of reactief is, boeit niet. De spelregels zijn vrij in te vullen en dus kan er geen persoonlijke straf plaatsvinden als de werkgever de maatregelen zoals getroffen ter bescherming van persoonsgegevens passend acht.
En dat is echt een gemiste kans... De definities voor classificaties zijn er, maar geen beleid:
  • STG. Zeer Geheim (STG = staatsgeheime informatie)
  • STG. Geheim
  • STG. Confidentieel
  • Departementaal Vertrouwelijk
In ieder ander land zijn deze klassen er ook, voor iedere klasse zijn er technologien/methoden toegelaten en sommige niet. In bepaalde landen is voor bijvoorbeeld "geheim" de encryptie van BitLocker misschien wel uit den boze, want niet toegelaten. Een oplossing zoals Sophos SafeGuard wel. Het zegt niets over BitLocker, want het zal best goed zijn, maar het is nu eenmaal niet getoetst of het voldoet niet. Dit soort toelatingen schept een duidelijk kader voor wat wel en wat niet kan.

Dit gaat veel verder dan WBP, het gaat ook om belangrijke documenten voor een overheid.
Wow blijven ze aan de gang met laptops en andere media die onbeveiligd overal terecht komen, met al onze gegevens 8)7

[Reactie gewijzigd door AmigaWolf op 5 december 2016 15:46]

Dit zal altijd blijven gebeuren. Bij zo'n grote hoeveelheid medewerkers zal altijd iemand een laptop in de trein, auto of restaurant laten liggen.

Zelfs bij een klein bedrijfje (<20) kwam het al 1x per jaar voor. Laat staan bij grote jongens. Belangrijkste is om een informatiebeveiligingsbeleid te voeren dat bij geval van verlies schadebeperkend ('mitigerend') optreedt.

Dus: zorg dat laptops allemaal encrypted disks hebben, zodat zonder credentials de data moeilijker toegankelijk is.
Bij voorkeur data altijd op een netwerkschijf, niet op de lokale schijf.
Doe iets aan mobile device management, waarmee je op afstand een laptop/telefoon kan wissen/van het netwerk kunt weigeren.

Maak het melden van verlies makkelijk, maar wel verplicht.

Bijvoorbeeld: voor een groter bedrijf: bij verlies van laptop een 24-uurs noodnummer en zorg dat als de medewerker op werk komt, dat er al een nieuwe vervangende laptop geconfigureerd voor ze klaar staat. Beloon het gewenste gedrag!

Teveel bedrijven hebben geen of slecht beleid en voor de medewerker die iets kwijt is alleen maar een preek klaar stan. Dus wat gaat een medewerker doen die op vrijdagmiddag de laptop kwijt is geraakt? Die gaat tot maandag wachten met melden, in de hoop dat ze de laptop nog terugvinden, terwijl het hele weekend lang dit een gevaar voor de bedrijfsinformatie betekent.

[Reactie gewijzigd door Keypunchie op 5 december 2016 15:52]

Ben ik helemaal met je eens, met name dat het melden van zo'n lek beloond moet worden! Er staat mij nog een recent geval van verlies van mobiele HDD bij waarop medische gegevens stonden, waarbij precies het tegenovergestelde gebeurde (http://nos.nl/artikel/209...euwenhoek-ziekenhuis.html). Uiteraard is het tegen de regels om dit soort gegevens uberhaupt op een HDD te zetten en aan de ene kant is het een zeer begrijpelijke reactie om een medewerker die zich niet aan de regels houdt daarvoor te straffen. Daarna was er dan ook iemand van de afdeling communicatie van het AVL (kan dat helaas niet terugvinden) in de media die duidelijk liet blijken dat de betreffende medewerker gestraft/ontslagen zou worden. Dat staat natuurlijk heel 'stoer' tegenover het 'publiek', want er worden wel heldhaftige maatregelen genomen! Maar het lost het probleem niet op, integendeel: gevolg is dat de volgende onderzoeker die zijn HDD met medische gegevens verliest z'n mond houdt in plaats van het z.s.m. te melden.

Ik heb wel eens begrepen dat ze in Japan heel anders omgaan met risicomanagement wat betreft menselijke 'fouten': als zo iets gebeurd, is het nooit de schuld van de mens, maar altijd van het systeem. Mensen falen namelijk altijd wel eens, het is de taak van het systeem om zo ingericht te zijn dat mensen daarvoor behoed worden. Persoonlijk denk ik dat dat een zťťr constructieve opvatting is.

Een heel simpel voorbeeld: als er geen manier is voor de betreffende onderzoeker om thuis via een versleutelde verbinding bij de data te komen (of die manier is te omslachtig), dan gaat hij/zij vanzelf naar oplossingen op zoek, die dan gevonden wordt in de vorm van een externe HDD/USB-stick. De oplossing is dan dus het systeem zo in te richten dat de mens niet meer faalt, door de veilige optie makkelijker - of ten minste net zo makkelijke - te maken als de onveilige. D.w.z. of een hele makkelijke manier om remote bij de data te kunnen (en als dat echt niet kan, standaard je je werknemers een externe HDD/USB die standaard versleuteld is).
De oplossing is dan dus het systeem zo in te richten dat de mens niet meer faalt, door de veilige optie makkelijker - of ten minste net zo makkelijke - te maken als de onveilige.
Doe het allebei.

Maak de onveilige optie zo onaantrekkelijk mogelijk door barrieres op te werpen die hinderen dat dit soort data het interne netwerk verlaat.

Op fysiek verbonden workstations onder controle van een sysadmin kun je bijv. USB verbonden opslag mbv policies uit forceren. En BYOD devices zoals laptops moet je gewoon Łberhaupt niet toe laten om direct te verbinden op het interne netwerk. Als die met dit soort data moeten werken, dan moet dat via een centraal gevirtualiseerd desktop systeem kunnen.


Daarmee los je niet alleen data leaks via mobiele opslag op, maar ook bijv. malware infecties via gecompromiteerde USB opslagapparatuur die op een systeem ingeprikt wordt.


En aangezien die gevirtualiseerde desktopomgeving sowieso toch al buiten het fysiek verbonden interne netwerk beschikbaar moet zijn voor BYOD laptops, kun je deze ook via een degelijke VPN tunnel beschikbaar maken voor buiten kantoor.

[Reactie gewijzigd door R4gnax op 5 december 2016 22:39]

bij verlies van laptop een 24-uurs noodnummer en zorg dat als de medewerker op werk komt, dat er al een nieuwe vervangende laptop geconfigureerd voor ze klaar staat. Beloon het gewenste gedrag!
Ik begrijp je punt, maar moest toch even lachen: je verliest je laptop (niet echt gewenst gedrag, al valt er aan diefstal meestal niet veel te doen), en als beloning krijg je direct een nieuwe... :P
als die "nieuwe" dan een oudje-uit-de-kast is, totdat een vervanging is besteld en geconfigureerd, lach je toch wel anders...
Je kunt gelijk door met essentiŽle zaken, je wordt daadwerkelijk beloond voor je meldgedrag, maar je gaat er zeker niet op vooruit. Tenzij je het ongemak van wekenlang wachten en verscheidene procedures doorlopen voor lief wilt nemen om een nieuwe laptop te verwerven. Kun je net zo goed je baas vragen om een replacement...
Techniek zal zoals je zelf al aangeeft inderdaad al veel problemen verhelpen. Als aanvulling op jouw input: Gebruik ook Azure RMS, zodat men de bestanden zelf niet zonder de juiste credentials kan gebruiken. Is er dan een laptop of ander mobiel apparaat dat verloren of gestolen is met data en al op straat komen te liggen, dan kan men nadat het de encryptie van het apparaat doorbroken is, nog steeds niets met de data erop: Zonder juiste credentials is namelijk het document niet te openen.
Over het algemeen is een laptop voor een dief onbruikbaar als deze gestolen wordt. In de meeste gevallen heeft een dief niet eens interesse in de data en wanneer de laptop gebruikt kan worden na herinstallatie zal dat over het algemeen gebeuren.
Bij diefstal juist voor de bedrijfsdata is zo snel mogelijk melden inderdaad de enige juiste reactie.
Het is zaak uit te gaan van het ergste scenario, maar over het algemeen denk ik dat het nog wel meevalt en het gros gestolen wordt door kleinschalig denkende dieven.
In dit geval is de kans dus ook groot dat de eventuele data allang overschreven is door een nieuwe OS installatie en iemand de laptop nu gebruikt voor privťdoeleinden.
Ik lees in het nieuwsbericht niet dat de laptop onbeveiligd (in de zin van onversleuteld) is. Ik lees uberhaupt niets over encryptie - wat dan weer jammer is, want dat is toch wel de eerste vraag die bij mij opkomt. Als de gestolen data unencrypted is zou ik me als getroffen inwoner een stuk meer zorgen maken dan wanneer er een (fatsoenlijke) encryptie gebruikt is.
Inderdaad! Enige is de de huidige eigenaar nu alle tijd heeft om te decrypten door bijvoorbeeld een brute force, als er versleuteling is gebruikt tenminste.

[Reactie gewijzigd door pumpidumpi op 5 december 2016 15:57]

Hij heeft alle tijd, maar dan ook alle tijd nodig. Een standaard bitlocker key decoderen duurt langer dan de verwachte resterende levensuur van deze aarde. Dus daar voel ik me niet onveilig bij 8-)
Het ligt er wel aan of er wel een TPM-chip in die laptop zit (alhoewel je dat wel bewust aan moet zetten als er geen TPM is). Als die er niet in zit dan hoef je alleen het wachtwoord te bruteforcen die de gebruiker normaal gebruikt. Ik weet ook niet of het wachtwoord nog op een andere manier te bruteforcen is.

Als er een vorm van encryptie is dat werkt met een wachtwoord dat door een gebruiker ingetypt moet worden dan is dat mogelijk een zwak punt. De gebruiker moet er toch iedere dag mee werken en heeft waarschijnlijk niet de kennis van een systeembeheerder, het wachtwoord kan in dat geval best simpel zijn.

Het beste is denk ik een implementatie met een cardreader, een vpn en een server die de kaart kan authenticeren en de sleutel kan communiceren. Ik denk dat er in dat geval wel uitgesloten kan worden dat de gegevens nog beschikbaar zijn dus dan zouden we er ook niets over hebben gehoord.
Het ligt er wel aan of er wel een TPM-chip in die laptop zit (alhoewel je dat wel bewust aan moet zetten als er geen TPM is). Als die er niet in zit dan hoef je alleen het wachtwoord te bruteforcen die de gebruiker normaal gebruikt. Ik weet ook niet of het wachtwoord nog op een andere manier te bruteforcen is.

Nee, dat is onjuist.

Zonder TPM en met TPM is gťťn verschil in encryptie. Standaard is het allemaal 128bit AES CBC. Bitlocker heeft echter 3 methoden om de sleutel te versleutelen, en dat is waar jij denk ik op doelt. Je kunt dan ook proberen de sleutel encryptie te breken.

De eerste methdoe voor sleutelbeveiliging is via de TPM. De TPM bewaart de key en geeft deze automatisch vrij bij het booten, indien de secure boot vereisten voldaan zijn. Optineel kun je een PIN-code toevoegen aan de TPM alvorens die de sleutel vrij geeft. Tot nu toe is het nog niemand gelukt een TPM te kraken.

De tweede is die met passphrase ofwel wachtwoord. Dat is een ander wachtwoord dan je Windows wachtwoord. Dit wachtwoord wordt opgeslagen op disk na meer dan een miljoen (!) rounds met een complex iteratief hash algorithme. Dan heb je heel wat miljoenen jaren nodig om dat te brute forcen. Ook dit is dus nog nooit gekraakt mits een fatsoenlijk wachtwoord gebruikt is.

De derde optie is de key - versleuteld - op te slaan op een USB stick en deze fysiek te verwijderen van je Windows systeem. Er is dan niets te kraken, want de sleutel is niet bij het systeem. Nadeel is als je de USB stick verliest (aan de dief), je dus ook de toegang verliest (aan de dief).

(En de 4e optionele manier is een reserve sleutel uploaden naar een server.)
Think again.....
Ik vind dat de personen verantwoordelijk een functie aangeboden moet worden BUITEN het bedrijf of de gemeente waar ze nu werken. M.a.w. ze moeten op staande voet ontslagen worden.
Ik vind dat de personen verantwoordelijk een functie aangeboden moet worden BUITEN het bedrijf of de gemeente waar ze nu werken. M.a.w. ze moeten op staande voet ontslagen worden.
Dat werkt enkel averechts. Bij dat soort zware maatregelen gaan de verantwoordelijke personen enkel proberen om het hele voorval onder de pet te houden en zo de dans te ontspringen.
Tijd om laptops ook gewoon te verbieden als je met dit soort data werkt. Of een laptop en dan gewoon geanonimiseerde data. Een of het ander.

"Maar het is zo handig" en "Dan heb ik alles bij me, ook als ik in het vliegtuig zit". Huil!

Ook het hele idee dat alles maar gewoon moet kunnen moet maar eens overboord. Dat het technisch mogelijk is wil nog niet zeggen dat het ook een goed idee is.....

[Reactie gewijzigd door Sandor_Clegane op 5 december 2016 15:50]

Waarom verbieden (of huil)? Als iemand dat voor zijn/haar werk nodig heeft (of het heel handig is), moet je gewoon zorgen dat het veilig gebeurd.

Laptop verstrekken met een fatsoenlijk geŽncrypte schijf en klaar is Kees.

Snap trouwens sowieso niet dat dit niet wettelijk verplicht is als er met dit soort gegevens gewerkt wordt. Blijkbaar is gezond verstand en bewustzijn niet genoeg en moeten er echt straffen uitgedeeld worden voordat men voorzichtiger met gegevens om gaat.
Laptop verstrekken met een fatsoenlijk geŽncrypte schijf en klaar is Kees.
En vervolgens maakt de werknemer in kwestie thuis een wekelijkse backup op de eigen NAS die zonder password aan het wijde internet hangt en zijn de rapen alsnog gaar.

Disk-encryption an sich is ook niet een afdoende antwoord op dit probleem.
Omdat het keer op keer is bewezen dat het te moeilijk is om je aan de procedures te houden.

Voorkomen beter dan genezen enzo. Als die gegevens op straat liggen ben je de pineut, die geest gaat niet meer terug in de fles.

Waarom ze die data niet anonimiseren.
Omdat data goed anonimiseren nog best lastig is. Sommige velden zijn niet te anonimiseren omdat je data anders "kapot" is in de ogen van je applicatie. En op basis van die gegevens kun je vaak nog best veel herleiden.

Daarnaast is anonieme data best leuk voor test- en ontwikkeldoeleinden. Maar dit bericht ging over iemand die de data nodig had voor productie-werk. En dan heb je in 95% van de gevallen gewoon de echte gegeven nodig om je werk te kunnen doen.
Maar toch nemen mensen documenten mee op een USB schijf... Het allermooiste voorbeeld vond ik nog van een rechter die dossiers meenam in haar fietstas en ja, die vielen eruit... Dossiers lagen letterlijk op straat... https://www.nrc.nl/nieuws...jk-van-raadsheer-a1481362

Tegen onwetend dom gedrag is geen kruid gewassen...

In Duitsland is er handhaving en zeer strenge maar duidelijke regelgeving... Dat kan in Nederland toch ook?! Afwijken van het kader = straf...
Als IT-er bij een financiŽle instelling vraag je je toch echt af waarom dit nog steeds mogelijk is!? (Als dit bij ons zou gebeuren is het over en uit...) Waarom ligt schijnbaar de lat bij overheidsinstellingen lager?
dat heet BYOD > your problem :+
dat heet BYOD > your problem ;).
Oftewel BYOP...
Bring your own problems.

Maar zonder gekkigheid: op een door de gemeente geleverde laptop kan natuurlijk elke gek ook lokaal een bestandje opslaan met gevoelige gegevens.
Ik vraag me af of de betreffende persoon ook iets moest ondertekenen inzake 'geen vertrouwelijke gegevens zonder encryptie op de laptop zetten'.
dat hoort vanuit it geregeld te worden. Bij ons zijn alle laptops die wij leveren standaardvan encryptie voorzien.
Dat is _een_ manier om je data te encrypten...
Klopt. bij ons (ook financieel) komen echt niet zomaar eigen apparaten binnen. Alles gaat via eigen servers met wachtwoorden en encryptie. En dan moet eerst de security manager er een plasje over doen of het zomaar kan.

Nu heb ik ook bij een hogeschool gewerkt. En daar is het niveau er van "oh, u heeft dit nodig? stopt u dan daar maar uw USB stick in" . no questions asked
Nu heb ik zelf ook de nodige werkervaring in de bancaire wereld en zodoende weet ik ook dat je er meestal niet zo heel lang hoeft te werken om de nodige gaten in de beveiliging te ontdekken. Al die eigen servers en encryptie zijn leuk, maar het blijft de verantwoordelijkheid van de medewerkers om die te gebruiken voor het uitwisselen van data en niet die handige website van firma X. Natuurlijk volledig in strijd met het beveiligingsbeleid, maar dat is het datalek waar dit artikel melding van maakt waarschijnlijk ook.

De enige manier waarop je dat voorkomt is zo ongeveer alle internetverkeer blokkeren, USB poorten uitschakelen en elke manier van gegevensuitwisseling tussen laptops en externe netwerken dichttimmeren. Klinkt leuk en aardig, maar levert in de praktijk een vrijwel onwerkbare werkomgeving op.
In de basis is het lek niet ontstaan bij een gemeente maar bij een leverancier, en die is in eerste instantie verantwoordelijk voor de veilige opslag van de data. Ik kan me zo voorstellen dat er ergens een exportje is gedraaid voor excel (zo handig ... :+ ) en dat deze achter is gebleven. Volgens berichten had Zutphen het contract al een jaar geleden beŽindigd, dus wat doet die data sowieso nog op een externe machine?

Je zou wel verwachten dat er een overeenkomst is tussen gemeente en leverancier over wat er mag gebeuren met de data, en hoe deze wordt bewaard. Daarmee voorkom je wellicht dit soort stommiteiten.

edit: typo

[Reactie gewijzigd door watermannl op 5 december 2016 15:58]

Als IT-er bij een financiŽle instelling vraag je je toch echt af waarom dit nog steeds mogelijk is!? (Als dit bij ons zou gebeuren is het over en uit...) Waarom ligt schijnbaar de lat bij overheidsinstellingen lager?
Hoezo? Dit was toch geen overheidsinstelling maar een commerciele dienstverlener?
Het enige wat die overheid te verwijten valt is dat ze blijkbaar niet in staat zijn om toezicht te houden op hun dienstverleners. Dat is helaas de wrange waarheid van uitbestedingen, zodra je het buiten de deur laat doen heb je zelf niet meer de mensen om de kwaliteit te controleren. Ik vind dat een reden om belangrijke zaken niet buiten de deur te zetten.
In principe kun je natuurlijk een waterdicht contract afsluiten dat alle risico's en verantwoordelijkheden afdekt en controleert. In praktijk is dat alleen verschrikkelijk veel te duur en is het opstellen van goede eisen en afspraken haast net zo moeilijk als het zelf ontwikkelen van de software.
Over en uit voor wie? Voor die externe contractor die de regels niet naleeft? Voor de manager die een contractor in heeft gehuurd die zich niet aan de regels heeft gehouden? Zal geen van beide structureel iets veranderen.
Lekker fitten op de overheid, terwijl dit een leverancier is die een fout gemaakt heeft. Sinds wanneer maken leveranciers (van apparatuur of software?) onderdeel uit van overheidsinstellingen?
De overheid moet dit afdwingen door enkel beveiligde toestellen toe te laten. Dus remote manageble, encrypted en alle externe toegangspoorten (firewire/usb/com/paral) af te sluiten. Dus BYOD door een personeelslid of contractor is absoluut no go.

Als het dan nog fout gaat, kun je beginnen fingerpointen.
Als extern personeel notities doet op een eigen BYOD, dan valt daar weinig tegen te doen (anders dan verbieden, maar dan kan die leverancier gewoon niet fatsoenlijk werken). Als hier op 't werk een leverancier komt, heeft die ook altijd een eigen laptop (of grote smartphone) bij zich waar allerlei gegevens in staan van ons netwerk.
Dat is helemaal geen excuus.
Indien zoiets gebeurd met bv gegevens uit de bancaire sector,ben je als toeleverancier instant failliet, en wordt je mogelijks ook nog persoonlijk aansprakelijk gesteld. Het is dus in je eigen belang om geen gebruik te maken van je persoonlijke computer.

Ik zie ook niet in waarom een externe leverancier niet zou kunnen werken op een computer van het bedrijf of in dit geval de overheid waarvoor hij tijdelijk werk verricht. Gewoon een kwestie van plannen.
Ik zie ook niet in waarom een externe leverancier niet zou kunnen werken op een computer van het bedrijf of in dit geval de overheid waarvoor hij tijdelijk werk verricht.
De praktijk is gewoon anders; over de hele breedte. Zowel bij overheden als in de commerciŽle wereld. Ga jij een externe medewerker fouilleren op smartphones of smartwatches? Of die apparaten eerst onderzoeken? Hij hoeft er maar tijdelijk een wachtwoord van je netwerk(switches) op te zetten, en hoppa...
Als een leverancier tegen je bedrijfsvoorschriften inbreuk maakt is hij defacto al een geen goede partij. Daarenboven staan dit soort zaken beschreven in onze contracten met derden en zou hij dus al inbreuk plegen op deze voorwaarden.

Los daarvan praat jij dus al over bewuste bedrijfsspionage wat nog van een heel andere grootorde is, uit het artikel blijkt dat het meer om gemakzucht zou gaan en dat kan nooit een reden zijn.
Mag nooit een reden zijn, bedoel je.
Het kan natuurlijk wel... ;)
Ik weet niet in hoeverre ik mag uitwijden over dit onderwerp maar in groffe lijnen.

Mijn vader die bij defensie zit heeft in zijn functies vroeger. Menig keer werk thuis moeten verrichten. Dit is uiteraard "classified". Dat ging ook via een verbinding met een server door middel van (bijvoorbeeld) een kaart en een scanner, waarna een vingerafdruk of iris scan. Dan in die omgeving nog met wachtwoorden en dergelijke. Dus het kan allemaal wel een stuk veiliger. Maar het lijkt alsof gemeentes hier niet zo veel om geven.
Ik werk bij een (grote) gemeente en het besef is groeiend.

edit: hopelijk groeit het na incidenten als dit wat harder ;)

[Reactie gewijzigd door Ilikebananas op 5 december 2016 16:14]

Dat is (helaas) meestal wel zo. Er moet eerst iets goed fout gaan, voor er verbetering in komt. Of het nou gaat om een slecht verlichtte weg waar eerst een ongeluk moet gebeuren voor er extra lampen komen.

Of een enorm lek in persoonsgegevens vanuit een gemeente voordat er meer maatregelen komen...
Apart dat dergelijke gegevens lokaal op een laptop staan.

Dit soort gegevens zijn bij uitstek gegevens waarvan je zou willen dat die alleen binnen de server omgeving beschikbaar zijn.
Is toch handig, even meenemen naar huis zodat je in de avond nog even de laatste updates kan doen?

:+
Bij mijn eigen werkgever kan dat best, maar alleen via remote-access, met 2-staps verificatie.

Dan kan je thuis werken, maar alsnog alleen binnen de server-omgeving.
En vervolgens kan je alsnog de data kopieren. De mens is de zwakte hierin.
Ja maar dat kan op kantoor ook en daarover krijg je gewoon duidelijke instructie dat dat niet de bedoeling is.

Waar het om gaat is dat als iemand mijn computer jat of hackt, ze geen vertrouwelijke gegevens van mijn werkgever in handen krijgen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*