Waterschap Drents Overijsselse Delta had portaal met bsn's op openbaar staan

Een online portaal van het waterschap Drents Overijsselse Delta met daarin onder andere burgerservicenummers van inwoners in het gebied was tijdelijk openbaar. Het waterschap heeft de portaal weer afgeschermd en zegt een melding bij de AP te hebben gemaakt.

Het waterschap, dat een gebied van 255.000 hectare in Drenthe en Overijssel beslaat, waarschuwt op zijn site dat er een 'mogelijk datalek' is geweest. Het waterschap ontdekte dat een online portaal waarin gegevens stonden openbaar toegankelijk was. Het gaat om een omgeving waarin 'gegevens van kadastrale percelen en de eigenaren en gerechtigden van deze percelen' stonden op digitale kaarten. "Hierdoor is mogelijk toegang geweest tot persoonsgegevens", schrijft het waterschap, al zegt het ook dat het niet bekend is of de gegevens ook echt onrechtmatig zijn ingezien. "De gegevens waren alleen toegankelijk voor mensen met kennis van ons geo-informatieportaal en de technische kennis om de gegevens te kunnen vinden. We weten niet of de gegevens daadwerkelijk gevonden en geraadpleegd zijn door onbevoegden. Het was niet mogelijk om de gegevens te wijzigen."

In de portaal stonden niet alleen adresgegevens, maar ook burgerservicenummers van inwoners uit het gebied. Het is niet duidelijk om hoeveel mensen het gaat; in het gebied van het waterschap wonen zo'n 639.000 mensen. Het waterschap zegt melding te hebben gemaakt van een datalek bij de Autoriteit Persoonsgegevens.

IT-banen

Reacties (45)

wildhagen

Privacy
Datalek

24 mei 2024 11:11

Het waterschap, dat een gebied van 255.000 hectare in Drenthe en Overijssel beslaat, waarschuwt op zijn site dat er een 'mogelijk datalek' is geweest.

[...]

"Hierdoor is mogelijk toegang geweest tot persoonsgegevens", schrijft het waterschap, al zegt het ook dat het niet bekend is of de gegevens ook echt onrechtmatig zijn ingezien. "De gegevens waren alleen toegankelijk voor mensen met kennis van ons geo-informatieportaal en de technische kennis om de gegevens te kunnen vinden. We weten niet of de gegevens daadwerkelijk gevonden en geraadpleegd zijn door onbevoegden. Het was niet mogelijk om de gegevens te wijzigen."

Ehm, hoezo weten ze niet of de gegevens ingezien zijn? Dat kan je toch gewoon terugkijken in de logging en auditing die je bijhoudt, en daar de juiste rapportages uit halen om te zien welke gegevens daadwerkelijk benaderd zijn in de tijdsperiode dat dit (potentiele) datalek speelde?

Ik mag althans aannemen dat toegang tot dit soort gegevens wel gelogd danwel geaudit wordt? Zo niet, dan heeft deze organisatie denk ik wel een aanzienlijk groter beveiligings/compliancy-probleem dan 'slechts' een datalek...

theduke1989 @wildhagen • 24 mei 2024 11:23

Wat voor tools zijn geschikt voor auditing?

Ik bedoel, moet een auditing systeem opzetten. Maar wat is een stabiele systeem.

Bijvoorbeeld in server heb je gpos voor auditing. Zijn dit die tools. Of heb je ook van de externe .exe software?

DigitalExorcist @theduke1989 • 24 mei 2024 11:27

Daar gebruik je een SIEM-oplossing voor. Een leuke is SecurityOnion; gratis, en gebaseerd op uitsluitend open source software. IIS-logs (of Apache of Tomcat of whatever je gebruikt) lees je in via een Elastic agent en met wat slimme filtering maak je je eigen dashboards met alle data die je wil verzamelen. Firewalls, webservers, applicaties, event viewers, netwerkverkeer in- en uitgaand, alles.

theduke1989 @DigitalExorcist • 24 mei 2024 13:43

We hebben vorige week en aankomende week CyberArk geïmplementeerd.

Dit is een login rotation oplossing om in te loggen op onze systemen. Dit wordt met SSO en alles toegepast.

Kan je dit zien als een audit oplossing? En dit is alleen inloggen op onze serverpark. In combinatie met CALs licenties.

DigitalExorcist @theduke1989 • 24 mei 2024 14:24

Logins zijn belangrijk maar je wil ook weten wat iemand daarna uitspookt..

DinX @theduke1989 • 24 mei 2024 15:50

Dat is outer Privileged Access Management. Wordt hier ook gebruikt om ettelijke tientallen leveranciers toegang te verschaffen voor support doeleinden.

Dat is geen SIEM of logging voor je systemen.
Het enige wat die doet is Vaults maken per leverancier/product/project en daar de nodige resources beschikbaar stellen met admin users met roterende wachtwoorden.
Eenmaal een sessie wordt gemaakt met je servers/resources (RDP, SSH,...) wordt dit wel allemaal opgenomen (filmpjes voor RDP, output voor SSH) en opgeslagen bij elk contact.

Dat systeem dient echter niet om te kijken welke gegevens opgevraagd zijn via, zoals in dit geval, een web site. Daar dien je extra logging voor te voorzien of bouwen. Dat ga je namelijk niet zozeer uit je apache of IIS logs halen maar eerder uit extra logging modules in je web applicatie of backend.

trayracing @wildhagen • 24 mei 2024 11:29

Het zal niet zo zijn dat hier directe query's op de BRP worden gedaan (die overigens wél altijd gelogd aka geprotocolleerd worden).

Vermoedelijk zijn die gegevens via een andere route ingelezen richting hun GIS-systeem (geo informatiesysteem) - zodat ze via GIS als een kaartlaag aan- en uitgezet kunnen worden, en dus wel/niet op de kaart zichtbaar worden, of deze (als je doorklikt) als attribuutwaarde van een geo-object kunt inzien.

Het aan- en uitzetten van kaartlagen wordt zeer zelden gelogd; dat is een normale UI-feature, waarbij niet per definitie een nieuwe gegevensset wordt gequeried.

Of dat inlezen van BSN's richting GIS ook de bedoeling is geweest (maar voor een andere toepassing), of per ongeluk, dat is de vraag.

Umbrah @trayracing • 24 mei 2024 12:19

Gezien de aard van de data gok ik eerder dat dit BRK of GeoBRK is geweest. De waterschappen kennende zijn ze redelijk transparant en eerder te voorzichtig in het toepassen van dat soort data in hun processen en geo/beheersystemen. Deze melding plaats ik dan ook eerder in de categorie: "net iets te pro-actief na de zoveelste pentest".

dinkelstefan @trayracing • 24 mei 2024 13:38

Alsnog zijn dit gewoon web requests naar bepaalde data die een normale webserver bijhoudt in een log.

The Lord @wildhagen • 24 mei 2024 11:43

Het bericht had moeten zijn:

Datalek - Drents Overijsselse Delta
23-05-2024. 08:32

In het online portaal waarin digitale kaarten zijn opgeslagen, het geo-informatieportaal van ons waterschap, is een datalek geconstateerd.

We kunnen niet uitsluiten dat er toegang is geweest tot persoonsgegevens, zoals BSN en adresgegevens. Het gaat hierbij om gegevens van kadastrale percelen en de eigenaren en gerechtigden van deze percelen in het werkgebied van ons waterschap. Deze gegevens ontvangen wij van het Kadaster en zijn via ons geo-informatieportaal ontsloten. Onbedoeld zijn de gegevens toegankelijk geweest voor onbevoegden.

Aldy @The Lord • 24 mei 2024 14:36

Dit is een prima samenvatting van het artikel, maar geeft verder geen antwoord op de opmerking van @wildhagen .

The Lord @Aldy • 24 mei 2024 14:48

Ha, ha, ja op zicht heb je gelijk aangezien ik het niet expliciet ui heb geschreven.

Maar gezien de zin "We weten niet of de gegevens daadwerkelijk gevonden en geraadpleegd zijn door onbevoegden." in het bericht van het waterschap is de aanname van @wildhagen ("gelogd danwel geaudit") in principe ontkracht. En zijn vraag ook al beantwoord.

Dan is zijn 2e aanname "dan heeft deze organisatie denk ik wel een aanzienlijk groter beveiligings/compliancy-probleem dan 'slechts' een datalek..." correct.

Dat betekent dat de berichtgeving van het Waterschap Drents Overijsselse, al dan niet bewust, onjuist is. Indirect is mijn 'correctie' van de berichtgeving namens het waterschap wel een antwoord.

P.S. <- spot de smiley en ruik het sarcasme.

Ge2rt @The Lord • 25 mei 2024 13:19

Ik had het netjes gevonden als ze hadden vermeld hoe lang het datalek heeft bestaan. Dat kan een indicatie zijn voor de kans dat er daadwerkelijk toegang is geweest.

EdwinHamers @wildhagen • 24 mei 2024 11:16

Een ziekenhuis in zuid holland is destijds veroordeelt tot een boete vanwege het 'niet actief reageren' op de logging. Volgens NEN 7510 is het een advies dat je logging hebt. De AVG, en de rechter, besloten dus dat zelfs het niet-actief reageren op de logging ook veroordeeld kan worden!

Triblade_8472 @wildhagen • 24 mei 2024 11:48

Er is een verschil tussen de kaarten openen en elk perceel aangeklikt hebben om de gegevens in te zien. Bij dit soort software is het gebruikelijk dat het eerste gelogd word, maar het tweede niet.

Aldy @Triblade_8472 • 24 mei 2024 14:39

Maar via die eerste log kun je al zien of er onbevoegden de site hebben bezocht. Als dat het geval is, kun je ervan verzekerd zijn dat er ook op percelen geklikt is. Al is het maar je eigen perceel.

DeTeraarist @wildhagen • 24 mei 2024 12:46

Klinkt alsof er niet eens autorisatie nodig was. Als dat al ontbreekt kun je logging ook wel vergeten

bzuidgeest @wildhagen • 24 mei 2024 11:22

De logging en auditing zullen (als ze er waren), keurig genoteerd hebben dan annoniempje toegang heeft gezocht, maar als je geen aanmelding vereist is uitzoeken wie annoniempje was een beetje moeilijk, hoeveel logging je ook hebt.

Logging en auditing heeft geen enkel nut als je het systeem publiek maakt.

svenk91 @bzuidgeest • 24 mei 2024 11:41

Maar je weet wel of het ingezien is.

bzuidgeest @svenk91 • 24 mei 2024 12:45

Maar dat kan ook door interne bronnen zijn die het mogen zien. Je weet niet of er anderen aan gezeten hebben. Je zou natuurlijk naar ip adressen kunnen kijken, maar als het systeem remote benaderd werd zegt dat ook niet zo veel.

The Lord @bzuidgeest • 24 mei 2024 11:50

Als het goed wordt opgezet dan kan het zeker nut hebben. Bijvoorbeeld voor aanvoeren van bewijs dat er geen data van betrokkene(n) is ingezien door onbevoegden.

bzuidgeest @The Lord • 24 mei 2024 12:47

Hoe herken je de onbevoegden? Het was voor iedereen toegestaan er in te zitten, geen aanmelding, dus geen gebruikersnaam. Als het systeem legaal ook remote werd gebruikt word het het wel heel lastig om bevoegd van onbevoegd te herkennen.

Als het goed was opgezet was er toegangscontrole geweest, maar het hele punt van het artikel is dat het publiek toegankelijk was.

The Lord @bzuidgeest • 24 mei 2024 14:38

Je stelt: 'Logging en auditing heeft geen enkel nut als je het systeem publiek maakt.'

Als onweerlegbaar aan te voeren is dat er geen toegang tot de [privacygevoelige] gegevens is geweest dan heeft het wel degelijk nut.

Voordat er een discussie komt over nut en noodzaak een casus waar ik bij betrokken was. Informatieverwerker (platform waar o.a. BSN's in verwerkt worden) werd betrokken bij onderzoek naar een 'hack' bij gebruiker. Er bleek in die tijd wel degelijk data te zijn geraadpleegd, maar het veld met (sterk gepseudonimiseerde) BSN's niet. Daarmee kon worden uitgesloten dat er (in deze casus) sprake was van een datalek (van de data bij de informatieverwerker).

edit:
Gezien de aard van de 'hack' was elke toegang tot de informatie vanuit het oogpunt van de informatieverwerker 'publiek' en onbevoegd.

[Reactie gewijzigd door The Lord op 23 juli 2024 14:16]

bzuidgeest @The Lord • 24 mei 2024 15:35

Maar als het veld wel was geraadpleegd, hoe vertel je dan of het een bevoegde of onbevoegde gebruiker was? Je kan op zijn hoogst zeggen dat het ingezien is, dus een mogelijk lek, maar niet meer zekerheid vast te stellen. Geen logging of auditing verandert daar iets aan en daar ging mijn comment over, jou comment spreekt dat ook niet tegen.

Killer @wildhagen • 24 mei 2024 20:27

Dat zou je denken, maar ik vermoed zomaar dat dat niet het geval is, gezien het statement.

KornoPoning

@wildhagen • 25 mei 2024 14:44

Ik heb even gekeken naar het portal en het is een ArcGIS Online omgeving. Ik weet niet of je daar op IP niveau kan zien wie de data benaderd heeft gezien de omgeving extern gehost wordt. Bij de gemeente waar ik werk zorgen we voor Apache en Tomcat logging om dit soort zaken inzichtelijk te krijgen binnen de Geo omgeving. Deze zaken zijn met de Functionaris Gegevensbescherming besproken.

n4m3l355 24 mei 2024 11:12

We weten niet of de gegevens daadwerkelijk gevonden en geraadpleegd zijn door onbevoegden.

Loggen ze geen traffic bij het waterschap? Het lijkt me toch als iemand meerdere queeries maakt dat deze waarschijnlijk onbevoegd was? Of op z'n minst moeten ze toch wel in staat zijn dat ze bevoegde en onbevoegde uit elkaar kunnen halen? Het is dan ook lastig voor te stellen gezien dat ze dit niet eens weten, dat ze de zaken verder wel op orde hebben . . .

Robru1 24 mei 2024 11:15

De gegevens waren alleen toegankelijk voor mensen met kennis van ons geo-informatieportaal en de technische kennis om de gegevens te kunnen vinden.

Dan is er ook geen sprake van een datalek, als het eventueel om eigen personeel gaat.

J_van_Ekris @Robru1 • 24 mei 2024 11:20

Dan is er ook geen sprake van een datalek, als het eventueel om eigen personeel gaat.

Als die mensen hun functie toegang tot die informatie niet noodzakelijk maakt, is het nog steeds een datalek. Als pragmatisch voorbeeld: een VIP die in het ziekehuis ligt en waar medewerkers zonder behandelrelatie (en dus medische noodzaak) een patientendossier openen, is gewoon een datalek.

mjtdevries @Robru1 • 24 mei 2024 11:27

De spindocter bij het waterschap heeft zijn doel bereikt.
Jij denkt blijkbaar dat daar staat dat alleen eigen personeel die informatie had kunnen zien.
Maar dat is niet het geval. Als je de tekst goed leest, zie je dat een willekeurig extern persoon de data had kunnen zien.

Dus is er wel degelijk sprake van een datalek. En ook niet van een "mogelijk" datalek.
Op het moment dat data openbaar heeft gestaan en je kunt niet vast stellen of iemand die data heeft gezien, dan heb je een datalek.

Wellicht is de kans heel klein dat iemand het heeft gezien. Maar het blijft een datalek.

digibaro 24 mei 2024 11:48

Het houdt niet op en het lijkt zelf gevoelsmatig exponentieel toe te nemen. Dit jaar mijn gegevens al door 2 inbraken gelekt. Je kan als privé persoon alles netjes dichtspijkeren op het thuis netwerk, systemen en eindapparatuur maar dat beschermd je niet tegen inbraken bij andere partijen. Mijn inziens wordt beveiliging en de dreiging nog onvoldoende serieus genomen om het grootschalig anders te doen. We lezen de berichten en scrollen weer door. Pleisters plakken.

[Reactie gewijzigd door digibaro op 23 juli 2024 14:16]

Memori 24 mei 2024 13:17

Wordt het niet eens tijd voor een haveibeenpwned, maar dan voor onze persoonlijke gegevens? Ik zou graag inzicht willen hebben met onbepertke geschiedenis bij wie en wanneer mijn gegevens zijn gelekt.

sircampalot 24 mei 2024 13:26

Die meldplicht van datalekken vind ik goed, hiermee staat een organisatie toch wel te kijk als ze een lek hebben.

Echter: wat kan ik als burger nou met de informatie dat mijn bsn gelekt zou kunnen zijn?
Ik bedoel: een nieuwe aanvragen gaat niet, me beter beschermen tegen fraude ook niet.

Wat moet ik ermee?

ard-e @sircampalot • 24 mei 2024 14:55

Misschien krijg jij binnenkort een bevestiging dat je creditcard wordt opgestuurd, dan zal er vast een belletje bij jou gaan rinkelen.

dion_b Moderator Harde Waren 24 mei 2024 13:31

Zoveelste voorbeeld van (met name lagere) overheden die hun ICT niet op orde hebben. Steeds meer dingen worden om goede redenen online toegankelijk gezet en er worden steed hogere eisen gesteld aan hoe dat gebeurt, maar het aantal mensen met kennis om dit op een verantwoorde manier in te richten daalt eerder dan dat het stijgt - ik zat gisteren in een zaal vol netwerktechneuten en een van de weinige aanwezige relatief jonge (en vrouwelijke) personen vatte het bot samen in een presentatie: "face it guys, you're getting old". Het idee van alles aanbesteden en vervolgens aan de markt overlaten klinkt de economen en boekhouders als muziek in de oren, maar betekent dat versnippering optreedt en veel te vaak gekozen wordt voor de goedkoopste optie, zonder te begrijpen of en zo ja wat je dan mist en evenmin de risico's daarvan in te zien.
Het is hoog tijd om massaproductie in te richten: standaardsystemen waarmee alle overheden kunnen en moeten werken die een keer - goed - ontworpen kunnen worden en vervolgens overal eenvoudig uitgerold. Ja, keerzijde is dat dit star en inflexibel wordt, maar een waterschap is geen startup en hoeft niet met een andere waterschap te concurreren. De behoefte om kadastrale gegevens in te zien in Drents Overijsselse Delta is niet anders dan die behoefte bij andere waterschappen waar ze (voorzover we weten) niet dezelde open deur hadden. Omgekeerd, alle waterschappen innen belastingen, er is geen enkele reden dat Waternet een volledig eigen systeem moest proberen te maken en daarbij falen, met als gevolg dat belastingen jaren niet geincasseerd konden worden en vervolgens forse kosten gemaakt moesten worden, ten laste van de belastingbetalers uiteraard, belastingbetalers die niet de keuze hebben om bij een andere waterschap te betalen. Er is bij overheid geen concurrentie, dan zou dat er ook niet moeten zijn bij dit soort basale digitale voorzieningen voor diezelfde overheden. Het zou niet alleen blunders als bij Waternet en Drents Overijsselse Delta voorkomen, het zou ook stukken goedkoper zijn dan dat iedere waterschap, ieder gemeente, iedere GGD etc allemaal het wiel opnieuw uit moeten proberen te vinden, inclusief gepruts door digibete bestuurders van organisaties die te klein zijn om eigen digitale beleidskennis te hebben.

uncle_sjohie 24 mei 2024 13:45

"alleen toegankelijk voor mensen met kennis van ons geo-informatieportaal en de technische kennis om de gegevens te kunnen vinden". Klinkt als niet zo erg, maar ik ken zo al 50 collega's met deze (GIS) kennis die dit zouden kunnen, en er zijn duizenden vergelijkbare professionals in Nederland. Wereldwijd zijn het er nog wel wat meer ook.

Blijkbaar heeft iemand een dataset daar gepubliceerd die niet zo ontsloten had mogen worden.

Gé Brander 25 mei 2024 21:50

Wat ik mij nog afvraag is waar een waterschap bsn nummers voor nodig heeft... Volgens mij wordt er water geleverd op een adres, daar wonen meerdere personen, welk bsn hebben ze waardoor nodig?

Umbrah @Gé Brander • 27 mei 2024 10:14

Goede vraag. BSN's zijn voor een hoop zaken nodig, omdat er via de BRP en BRK namelijk vaak ook op een bepaald gebied iemand moet worden aangeschreven. Een waterschap levert overigens geen water, maar beheerst de dijken, de stroom van water, grondwater, en de kwaliteit van oppervlaktewater.

Je betaalt bijvoorbeeld waterschapsbelasting, hier is BSN voor nodig, maar soms moet ook gesnoeid of gebaggerd worden langs de waterloop, hier is BRK voor nodig (waar persoonsgegevens in staan over de eigenaar van de grond), die vervolgens weer met handelsregister en brp gekoppeld worden om de juiste persoon aan te schrijven om bijvoorbeeld een vergoeding aan te bieden dat gebaggerd slib uit de waterwegen (een van de taken van een waterschap) op land wordt gelegd. Veel grootgrondbezitters kunnen van hun waterschappen een behoorlijk bedrag ontvangen per kuub bagger op hun terrein, en daar zijn deze gegevens voor nodig.

Waterschappen hebben ook een handhavende taak, mocht iemand langs een waterloop enorm gaan vervuilen, of de watergang dicht laten groeien, dan kan een waterschap bijvoorbeeld een boete uitdelen. Ook hier zijn deze gegevens voor nodig.

synoniem @Verwijderd • 24 mei 2024 11:20

Ja commerciële bedrijven hebben nooit datalekken en worden nooit slachtoffer van ransomware dat gebeurt echt alleen bij overheidsorganen. /s

kodak

Datalek
Privacy

@Verwijderd • 24 mei 2024 13:29

Stellen dat bedrijven net zo goed gebrekkige beveiliging en datalekken hebben is een feit die je er op wijst dat selectief klagen te makkelijk is. Bij een datalek bij een bedrijf kan je dus net zo goed het 'verbazend' vinden dat een bedrijf de IT niet op orde heeft. En aangezien veel overheidsorganisaties juist gebruik van bedrijven en bedrijfsmatig ingehuurd personeel maken om bijvoorbeeld dit soort producten of beveiliging te leveren en onderhouden (zie bijvoorbeeld nieuws: AddComm getroffen door ransomware, leverde aanslagen van waterschapsb... en nieuws: Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwe..., ) zijn de bedrijven hierbij dus juist niet te negeren om selectief verbaasd te zijn.

YellowCube @Verwijderd • 24 mei 2024 11:38

Leg eens uit wat jij bedoelt met: "ze hebben het nog nooit op orde gehad"
Elk, maar ook echt elk, systeem wat ze hebben is lek/stuk/functioneert niet?

Je zult een beetje moeten onderbouwen waar je uitspraak vandaan komt.
Want als het alleen is op basis van dit soort berichten (die in tegenstelling tot goed werkende IT systemen van de overheid, nieuws zijn), kan ik (of @synoniem) ook stellen dat commerciële bedrijven hun IT nog nooit op orde gehad heeft.

YellowCube @Verwijderd • 24 mei 2024 11:44

jij komt met de claim en nu moet ik gaan zoeken. Maargoed, het maakt niet uit, je geeft al aan dat niet alles lek is of te hacken valt, dus de claim is niet zo zwart wit kennelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: