AP: data-afdeling Nederlandse Belastingdienst heeft databeveiliging weer op orde

De Autoriteit Persoonsgegevens stelt op basis van vervolgonderzoek dat de Nederlandse Belastingdienst voldoende maatregelen heeft genomen op de afdeling Datafundamenten & Analytics om eerder geconstateerde gebreken bij de informatiebeveiliging weg te nemen.

De Autoriteit Persoonsgegevens schrijft in een brief aan de staatssecretaris van Financiën dat er afdoende maatregelen zijn getroffen om drie eerder aangetroffen beveiligingsproblemen weg te nemen. De drie in 2017 geconstateerde tekortkomingen betreffen het gebrek aan het loggen van relevante activiteiten. Data kon ongemerkt worden gekopieerd of geëxporteerd, er was geen controle op de logging en er waren tekortkomingen bij het beheren van autorisaties, zodat niet kon worden uitgesloten dat medewerkers van de Belastingdienst toegang hadden tot data waar dat niet noodzakelijk was.

Het ontbreken van logging betrof drie activiteiten: de export van data vanuit de brongegevens naar de werkplek van een medewerker, het schrijven van data op een usb-stick en het opslaan van bijlagen op mobiele apparaten. De toezichthouder zegt dat de export van data vanuit de brongegevens naar het geheugen van de fysieke werkplek van een medewerker van DF&A nog steeds niet wordt gelogd, maar uit het onderzoek zou blijken dat medewerkers deze exporthandeling niet vaak nodig hebben en ze moeten er nu ook eerst toestemming voor vragen. Ook wordt een register bijgehouden waarin staat wie welke data heeft geëxporteerd. Dit register wordt periodiek door een databeschermingsfunctionaris van de desbetreffende afdeling gecontroleerd.

Bij deze tekortkoming in de logging is het beveiligingsrisico bij het gebruik van usb-sticks volgens de Autoriteit Persoonsgegevens 'verder beperkt' doordat medewerkers niet langer een usb-ontheffing krijgen; alleen de beheerders zijn uitgezonderd. De toegekende autorisaties worden in een logboek geregistreerd en worden na het gebruik direct weer ingetrokken. Op het vlak van mobiele apparaten kunnen medewerkers zo nodig buiten de beveiligde omgeving van de Belastingdienst altijd een bijlage uit een e-mail op de apparaten opslaan. Deze handeling wordt niet gelogd. De hiervoor gebruikte 'openen in'-functie om bijlagen op te slaan kan volgens de DF&A 'in zijn algemeenheid niet geblokkeerd worden', omdat het hier gaat om een functionaliteit die onderdeel is van 'generieke software en besturingssystemen'. Volgens de afdeling is een mogelijk beveiligingsrisico verder beperkt doordat medewerkers bijlagen bij e-mails versleuteld moeten versturen.

Verder is er bij de controle op de logging volgens de toezichthouder verbetering zichtbaar in de vorm van een systeem waarmee het loggen actief wordt gemonitord. Ook het e-mailverkeer is op dat systeem aangesloten. Het systeem werkt op basis van triggers: automatische beslisregels op basis van een uitzondering. Als een medewerker nu bijvoorbeeld een resultaat mailt naar een e-mailadres anders dan een @belastingdienst.nl-adres, leidt dit tot een trigger. Bij een dergelijke alert wordt eerst onderzoek gedaan en wordt de zaak waar nodig doorgezet naar een security officer.

Tot slot stelt de toezichthouder vast dat voor het bijhouden van het verwijderen van autorisaties voor medewerkers nu gebruik wordt gemaakt van autorisaties die per project of datagebied zijn gestructureerd. Dit gebeurt naast het structureren op basis van de functies en de rollen van de medewerkers binnen het specifieke project. Dit zou bij 95 procent van de data zijn gerealiseerd en voor het restant volgt volgens de DF&A nog een technische oplossing. De Autoriteit Persoonsgegevens concludeert verder dat verantwoordelijke leidinggevenden volgens een procedure handmatig autorisaties van medewerkers ongeldig maken of controleren. Als de medewerker bij de Belastingdienst vertrekt, zou hij of zij nauwelijks nog mogelijkheden moeten hebben om toegang te krijgen, omdat de werklaptop en Rijkspas worden ingeleverd en het account wordt verwijderd.

Door Joris Jansen

Redacteur

16-10-2019 • 14:25

22

Reacties (22)

22
21
10
1
0
8
Wijzig sortering
Op het vlak van mobiele apparaten kunnen medewerkers zo nodig buiten de beveiligde omgeving van de Belastingdienst altijd een bijlage uit een e-mail op de apparaten opslaan. Deze handeling wordt niet gelogd. De hiervoor gebruikte 'openen in'-functie om bijlagen op te slaan kan volgens de DF&A 'in zijn algemeenheid niet geblokkeerd worden', omdat het hier gaat om een functionaliteit die onderdeel is van 'generieke software en besturingssystemen'. Volgens de afdeling is een mogelijk beveiligingsrisico verder beperkt doordat medewerkers bijlagen bij e-mails versleuteld moeten versturen.
Bijzonder verhaal, juist met Mobile Device Management (zoals bijv. Intune) is dit eenvoudig in te regelen om data niet buiten het 'werk profiel' te openen of te delen. Of er ontbreekt informatie, of het AP gaat akkoord met dit verhaal wat in mijn ogen wel erg makkelijk is.
Binnen de belastingdienst wordt zeker gebruik gemaakt van MDM ik weet alleen niet welk product het is. Maar het zou kunnen zijn dat het betreffende MDM produkt bijlages door applicaties buiten de MDM kan laten openen.
Op zich goed nieuws dat het AP zijn werk lijkt te doen en dat een partij als de Belastingdienst naar behoren actie onderneemt op aangeven van het AP.
Ik ben eigenlijk wel benieuwd hoe het AP zijn prioriteiten stelt, ik zou graag zien/horen hoe het AP kijkt naar partijen als Google en Facebook en of zij duidelijk in kaart hebben of proberen in kaart te krijgen hoe dergelijke partijen data vergaart en wat ze er aan gaan doen.
ondertussen is het systeem daar zo potdicht gemaakt dat je niet eens meer normaal met elkaar kan mailen... dan dus maar met de usb stick / vel papier en ophangen aan de muur.
De USB-sticks zijn dus ook geblokkeerd.
Printen kan nog wel...
Prima. Fouten zijn geconstanteert en er zijn maatregelen getroffen. Prima gehandeld.
Er is nog steeds een overduidelijk en in mijn ogen onacceptabel groot lek; "Op het vlak van mobiele apparaten kunnen medewerkers zo nodig buiten de beveiligde omgeving van de Belastingdienst altijd een bijlage uit een e-mail op de apparaten opslaan. Deze handeling wordt niet gelogd."
Ahja, we hebben de omgeving dus op zo'n manier dichtgetimmerd dat on-premise eigenlijk misbruik uitgesloten is, maar op-afstand heeft iedereen dus via deze weg (zoals ik het iig begrijp) gewoon alsnog vrij spel...


"De hiervoor gebruikte 'openen in'-functie om bijlagen op te slaan kan volgens de DF&A 'in zijn algemeenheid niet geblokkeerd worden'," klinkt mij in de oren als een lulsmoes; ik heb zelf ook al jaren een MAAS welke mij precies kán vertellen welk bestand wanneer geopend is en het lijkt mij vanzelfsprekend dat bij dit soort bewegingen je ook de optie hebt te veranderen naar programma's die die functionaliteit in de hand werken (bijv. door áltijd extern-geopende bestanden op een bepaalde lokale locatie te plaatsen). Als dat geen mogelijkheid is geldt m.i. het zelfde voor het op afstand zo bereikbaar laten van deze bestanden.


" Als de medewerker bij de Belastingdienst vertrekt, zou hij of zij nauwelijks nog mogelijkheden moeten hebben om toegang te krijgen, omdat de werklaptop en Rijkspas worden ingeleverd en het account wordt verwijderd." klinkt mij ook nogal zwak in de oren; als een user-account unauthorized is geworden lijkt mij dat toch voldoende om dit te weren? zoniet, waarom dan niet? Nooit van iets als een AD en bijbehorende security-practices gehoord?

[Reactie gewijzigd door Annihlator op 26 juli 2024 11:16]

Er is nog een verschil tussen loggen en blokkeren. Onze eigen mobiele email oplossing staat niet toe dat wij attachments opslaan op onze telefoon maar dat geeft ook vaak genoeg problemen omdat onze gebruikers bestanden niet kunnen openen danwel een zeer vereenvoudigde viewer moeten gebruiken die in de mail software wordt meegeleverd. Webmail extern raadplegen staat ook niet toe dat je attachments gaat bekijken.

De juiste balans vinden is niet altijd even eenvoudig. Al zou men in dit geval inderdaad minstens wel moeten zoeken naar een optie voor goede logging.
"Op het vlak van mobiele apparaten kunnen medewerkers zo nodig buiten de beveiligde omgeving van de Belastingdienst altijd een bijlage uit een e-mail op de apparaten opslaan. Deze handeling wordt niet gelogd. De hiervoor gebruikte 'openen in'-functie om bijlagen op te slaan kan volgens de DF&A 'in zijn algemeenheid niet geblokkeerd worden', omdat het hier gaat om een functionaliteit die onderdeel is van 'generieke software en besturingssystemen'."

Het gaat voor zover aangegeven wordt niet (enkel) om het kunnen openen van de bestanden op de apparaten, maar het zondermeer kúnnen opslaan van content zónder verdere borging; ik zou zelf die combinatie onacceptabel vinden en eerder willen verwachten dat "alleen lezen" gehanteerd wordt wanneer die controles (om welke reden dan ook) onmogelijk zouden zijn. Het sluit hierdoor (m.i. dan) zondermeer niet uit dat een medewerker gemaild kan worden met een volledige mail met bijbehorende attachments als attachment (door een andere medewerker, dan wel bewust, danwel per-ongeluk; daar zijn voor zover gemeld geen aparte alarmbellen voor), die opslaat op de telefoon en vervolgens doorzet.

Mede als men aangeeft niet te kúnnen loggen welke bestanden op een apparaten worden gebruikt, lijkt mij vanzelfsprekend dat er ook niet voldoende maatregelen zijn getroffen om voldoende uit te kunnen sluiten dat die gebruiker vervolgens via een ander pad de data exfiltreert. Als die maatregelen er wel zijn valt mij in ieder geval op dat die zelf niet benoemd lijken te worden en automatisch volgende voordelen van die maatregelen eveneens.

Het gaat in dit geval (m.i.) niet meer om "balans vinden"; als er concessies gemaakt moeten worden op veiligheid zegt dat in deze context dat het op afstand onacceptabel dient te worden en eigenlijk reeds te zijn (daar lijken mij immers de regels van de AP wél voor; dat daar ook op gecontroleerd én gehandhaafd kunnen worden.)
Wat dat betreft klinkt mij het inmiddels/eerljik gezegd het als iemand benoemd balans vinden het mij inmiddels iets te snel als een zwaktebod/excuus in iets wat een security-situatie zou moeten zijn; zéker als de balans ten gevolge zo zoek kan raken dat mensen on-premise zo goed als niks kunnen zónder logging/borging maar off-premise zondermeer; zegmaar, zou je dat dan niet eerder andersom zelfs moeten doen?

Ik zie het zelf gewoon als dat de mensen op-locatie zo veel-als-mogelijk nu gecontroleerd worden (hopelijk goed ;) ) maar vervolgens iedereen die dat niet is in vergelijking (dus niet absoluut) een veel grotere vrijheid krijgen terwijl ze toch echt in een situatie verkeren waar ook anderszijds mínder invloed kan worden uitgeoefend (desnoods denken aan firewalling/packet-inspection; desnoods vanuit een vulnerability ipv security-aspect) dan on-premise; ik vind het gewoon vreemd als ik er op die manier naar kijk :)

[Reactie gewijzigd door Annihlator op 26 juli 2024 11:16]

Het gaat voor zover aangegeven wordt niet (enkel) om het kunnen openen van de bestanden op de apparaten, maar het zondermeer kúnnen opslaan van content zónder verdere borging; ik zou zelf die combinatie onacceptabel vinden en eerder willen verwachten dat "alleen lezen" gehanteerd wordt wanneer die controles (om welke reden dan ook) onmogelijk zouden zijn. Het sluit hierdoor (m.i. dan) zondermeer niet uit dat een medewerker gemaild kan worden met een volledige mail met bijbehorende attachments als attachment (door een andere medewerker, dan wel bewust, danwel per-ongeluk; daar zijn voor zover gemeld geen aparte alarmbellen voor), die opslaat op de telefoon en vervolgens doorzet.

Mede als men aangeeft niet te kúnnen loggen welke bestanden op een apparaten worden gebruikt, lijkt mij vanzelfsprekend dat er ook niet voldoende maatregelen zijn getroffen om voldoende uit te kunnen sluiten dat die gebruiker vervolgens via een ander pad de data exfiltreert. Als die maatregelen er wel zijn valt mij in ieder geval op dat die zelf niet benoemd lijken te worden en automatisch volgende voordelen van die maatregelen eveneens.
Je hebt inderdaad veel controle over gegevens die op je eigen systeem staan. Daar zijn allerlei oplossingen voor.
Waar het hier om gaat zijn niet bijlages met gevoelige gegevens die door belastingdienstmedewerkers zijn ontvangen, maar bijlages die door belastingdienstmedewerkers worden verstuurd. Eenmaal verstuurd is er door de belastingdienst geen controle meer over wie die bijlages opent, opslaat en wat er verder mee gebeurt. Zolang het mogelijk met blijven om met anderen, zoals belastingplichtigen, belastingadviseurs en andere overheidsorganisaties te mailen, indien nodig met bijlages, is hier geen verdere controle op mogelijk.
Wat dacht je van Social engineering?

AD is echt wel in gebruik bij de BD. Maar als voorbeeld: Er bestaan helaas nog steeds commercieel verkrijgbare applicaties die geen AD ontsluiting hebben. Dus kan jij ergens een laptop in het netwerk prikken dan kan je alsnog inloggen als jij het wachtwoord van een functioneel of service account weet.

Ander dingetje is dat je natuurlijk scripts kan maken dat zodra je account geblokkeerd of verwijderd is een nieuw lokaal account aanmaken in de applicatie en dat het script je het account en wachtwoord mail.

Security krijg je helaas nooit 100% water dicht. Je moet alleen er alles aan doen (binnen het redelijke) om zo dicht mogelijk tegen die 100% aan te zitten.
Bestaan die echt nog op deze schaal?
Is dát dan niet het eigenlijke probleem? en zijn voor die situaties geen Radius OTP's mogelijk of wordt het zo stelselmatig gebruikt dat men het nadeel maar moet slikken?

Goed voorbeeld, dat soort dingen zijn mij gewoon onbekend en ik zou willen verwachten dat een organisatie als de BD groot genoeg is om dat eigenlijk beter geregeld te moeten, kunnen en willen hebben (ook vanuit een verwachting dat zij toch eisen zou moeten kunnen stellen aan haar pakketten, maar misschien is dat beeld bij mij nogal vertekend...)

Je krijgt security misschien nooit 100% waterdicht, maar ik vind het moeilijk te begrijpen dat je verbinding zou kunnen maken met zo'n relatief onbeveiligd platform dat ze geen AD-ontsluiting hebben zónder daarvoor diezelfde authenticatie af te dwingen; m.i. kan dat ook via een VPN/DirectAccess die ook de al-gebruikte rijkspas kan vereisen als sleutel.

[Reactie gewijzigd door Annihlator op 26 juli 2024 11:16]

Reken er op dat een organisatie als de belastingdienst minimaal 600+ applicaties heeft. Het is algemeen bekend dat de belastingdienst werkt met een gedeeltelijk verouderde systemen. (genoeg berichtgevingen hier over geweest in het verleden lijkt mij)

De belastingdienst is afhankelijk van de politiek hoeveel geld zij krijgen voor het onderhoud, vervanging en innovatie van de ICT systemen. Helaas gaat dat niet zoals bij een commerciële partij dat zodra er een positieve businesscase is dat er geld voor vrijgemaakt word. Dat er verouderde systemen in gebruik zijn kan je niet direct de Belastingdienst aanrekenen maar de politiek.
Dat laatste snap ik; maar naast dat zij een bepaalde hoeveelheid geld krijgen voor dat onderhoud zijn deze eisen eigenlijk ook wel afgedwongen door dezelfde overheid.

Simpel verwoord;
Regering: "Als belastingdienst dien je aan deze voorwaarden/regels te voldoen"
Belastingdienst: "Het budget is daarvoor ontoereikend"
Regering: "Ja, zoek dat zelf maar uit"

Lijkt mij hopelijk niet hoe dat in de realiteit gaat, maar het staat mij niet bij dat (in contrast tot dit soort berichtgeving) je daar normaliter veel over hoort (al kan dat ook komen omdat ik náást Tweakers niet heel veel andere bronnen volg.) is daar normaliter geen constructief proces voor of mis ik dat misschien compleet? Het is ook pas bij dit soort situaties dat ik vragen krijg als "maar hoe werkt dát dan?" :)

[Reactie gewijzigd door Annihlator op 26 juli 2024 11:16]

Vergis je niet. Door al die jaren aan lapregels als in, een toeslag hier en daar en uitzondering zo etc, is het stelsel dusdanig complex geworden, dat je hier bijna door mee moet gaan. dit soort wetten (gdpr etc) verscherpen weer t een en ander en komt er dus weer een soort lapmiddel bij. je zal dit blijven houden.

dan is het leuk dat de politiek a b en c roept, maar toetsen of het uitvoerbaar is, ja praktisch wel, maar technisch soms niet. weer een lapmiddel.
Simpel verwoord;
Regering: "Als belastingdienst dien je aan deze voorwaarden/regels te voldoen"
Belastingdienst: "Het budget is daarvoor ontoereikend"
Regering: "Ja, zoek dat zelf maar uit"
Misschien een beetje kort door de bocht, het is helaas wel zo'n beetje hoe het gaat.
En meteen na die laatste uitspraak komt de uitspraak: "En we hebben hier nog een pakket maatregelen van Prinsjesdag die je nog even vóór 1 januari in de systemen moet prakken."
Veel systemen van de belastingdienst zijn in de basis heel degelijk, maar daarbovenop is een heel systeem van houtje-touwtje oplossingen aangebracht omdat bepaalde maatregelen of wijzigingen doorgevoerd moesten worden in onvoldoende tijd om het normaal, goed, te doen.
Een apparaat in prikken op een patch punt is echt wel dicht getimmerd. Anders kan je leuke dingen doen moet een dhcp server..
2 jaar geduurd, prima gehandeld zei die.
Zeiden ze voor de hack LinkedIn ook ..

Op dit item kan niet meer gereageerd worden.