'Europese signalementendatabase SIS II had duizenden beveiligingskwetsbaarheden'

Het Europese Schengeninformatiesysteem II bevatte 'duizenden' cybersecuritykwetsbaarheden, die volgens de European Data Protection Supervisor kritiek waren. Dat schrijft Bloomberg op basis van een onderzoek in samenwerking met productiebureau Lighthouse Reports.

Met het Schengeninformatiesysteem II kunnen autoriteiten in Schengenlanden, zoals de politie en grenswachters, signalementen met elkaar uitwisselen over mensen van wie toegang of verblijf is geweigerd, vermiste personen of gezochte personen. Het gaat onder meer om foto's en biometrische data als vingerafdrukken. De persoonsgegevens die in dit systeem worden opgeslagen, waren echter niet goed beveiligd. Dat blijkt uit e-mails en interne auditrapporten van de European Data Protection Supervisor die Bloomberg en Lighthouse Reports in handen kregen.

De Europese privacytoezichthouder zou de afgelopen jaren 'duizenden' beveiligingskwetsbaarheden hebben gemeld, die met een 'hoog ernstigheidsniveau' werden geclassificeerd. Het systeem was onder meer vatbaar voor ddos-aanvallen en aanvallen waarmee onbevoegden toegang konden krijgen tot de database. Daarnaast zou een 'overdreven aantal' accounts adminrechten hebben voor het systeem, waardoor het veiligheidsrisico nog verder werd verhoogd.

Er is volgens Bloomberg geen bewijs dat onbevoegden toegang hadden tot de gegevens in de database. Dat komt mogelijk doordat SIS II momenteel op een afgeschermd netwerk werkt. Wel is het de bedoeling dat het systeem in de toekomst onderdeel wordt van het nieuwe Europese elektronische grenssysteem, het Entry/Exit System. Die database, die automatisch biometrische data moet verzamelen van alle niet-Europese bezoekers aan de EU, is wél verbonden met het internet. De EDPS waarschuwt volgens het persbureau dat dit het makkelijker maakt voor hackers om toegang te krijgen tot de gegevens in de SIS II-database.

Sopra Steria, het bedrijf dat verantwoordelijk is voor de beveiliging van SIS II, werd op de hoogte gesteld van de kwetsbaarheden. Dat bedrijf zou er tussen de acht maanden en vijfenhalf jaar over hebben gedaan om de problemen op te lossen, terwijl Sopra Steria in eerste instantie zou hebben beloofd om dergelijke kritieke kwetsbaarheden binnen twee maanden te repareren.

Het Schengeninformatiesysteem, dat sinds 2013 wordt gebruikt, is al vaker in opspraak geraakt. Zo bleek in 2023 dat de Nederlandse Nationale Politie onvoldoende controleerde of signaleringen juist en compleet in het systeem werden aangeleverd. Ook bleven gegevens langer dan toegestaan bewaard in de database.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 03-07-2025 11:10 39

03-07-2025 • 11:10

Lees meer

Politie mag meer openbare data verzamelen om ordeverstoringen tegen te gaan

Politie mag meer openbare data verzamelen om ordeverstoringen tegen te gaan Nieuws van 5 juli 2025

Nederlandse politie bewaarde te lang persoonsgegevens in Schengeninfosysteem

Nederlandse politie bewaarde te lang persoonsgegevens in Schengeninfosysteem Nieuws van 20 december 2023

Nederlandse politie monitort toegang tot Schengensysteem nog steeds niet goed

Nederlandse politie monitort toegang tot Schengensysteem nog steeds niet goed Nieuws van 21 december 2018

AP vordert dwangsom bij politie wegens gebrekkige bescherming gegevens

AP vordert dwangsom bij politie wegens gebrekkige bescherming gegevens Nieuws van 20 september 2018

Meer producten en artikelen

Beveiliging en antivirus Cybersecurity Europa Europese unie

Reacties (39)

Yzord 3 juli 2025 11:53

Wat kan er toch mis gaan in de toekomst als alles over is op digitaal? Het pusht alles maar met een noodvaart die kant op, maar het is allemaal zo lek als een mandje. Ik hou me hart vast voor de meest epic hacks die onze samenleving gaan verstoren.

Beveiliging en antivirus

@Yzord • 3 juli 2025 12:22

Aan de andere kant moet je ook kijken naar hoe het vroeger ging. Iedere keer als security en privacy wordt afgedwongen, zuchten duizenden administratiemedewerkers dat ze niet meer bij dingen kunnen waar ze nooit bij hadden mogen gekund.

Het papieren kantoor hield niet bij wie wanneer waarom bij welke informatie kwam, en hield je ook niet zomaar tegen tot je "verdacht" begon te worden. Wat in de computerwereld een kritieke CVE is, was vroeger kletsen met Marie van administratie bij het koffiezetapparaat. Je kunt dit ook merken bij (vroeg) nieuws over de GDPR: dingen die al jaren verplicht waren onder de AVG werden ineens als onrealistisch en onhaalbaar afgeschilderd toen men op hun plichten werd gewezen.

Het criminele circuit zit helaas al jaren diep genesteld in onze politie en opsporingsdiensten. Dossiers worden gekopieerd, informatie wordt uitgelekt, en informanten gaan jarenlang hun gang. Juist door digitalisering kunnen we nu nagaan dat een agent een hele reeks ongerelateerde dossiers heeft ingekeken, voorheen viel dat een stuk minder op.

Er zitten zeker risico's aan dit soort systemen, vooral omdat ze ook 's nachts en vanuit het buitenland te bereiken zijn als de systemen niet goed zijn afgeschermd, maar voor de maatschappij denk ik dat het maar om het even is.

[Reactie gewijzigd door GertMenkel op 3 juli 2025 12:24]

nonestpraens @GertMenkel • 3 juli 2025 13:04

'Juist door digitalisering kunnen we nu nagaan dat een agent een hele reeks ongerelateerde dossiers heeft ingekeken, voorheen viel dat een stuk minder op.'

Als IT bedrijven moeten wij audit logs en alles paraat hebben, maar een agent kan willekeurig buiten zijn need-to-know basis documenten aanvragen zonder enige consequenties. Lijkt mij niet een moeilijke implementatie om wijk-agenten of een agent vanuit Groningen toegang tot het systeem te verbieden bijv. een specifiek opsporingsteam dat opereert in Brabant.

In geen enkele situatie zou iemand van meerdere provinciën verderop toegang moeten hebben tot zulke gegevens, mochten zij dat wel nodig hebben kan je die rechten verlenen/overlaten aan het leider van het team.

Daarnaast neem ik aan dat wij ook een log hebben voor mensen die dossiers fysiek ophalen evenals camerabeelden?

Beveiliging en antivirus

@nonestpraens • 3 juli 2025 14:21

Een agent in Groningen die kan verifiëren dat een verdachte in Amsterdam gezocht wordt, lijkt me aardig wenselijk.

Natuurlijk kan die dan zijn leidinggevende bellen, die de leidinggevende uit Amsterdam belt, die een medewerker belt om een fax te sturen naar de agent in Groningen, maar zo creëer je voor iets heel simpels wel een hele hoop rompslomp. Je zou maar een naam delen met een crimineel en op dat hele riedeltje moeten wachten zodat je vingerafdrukken kunnen worden vergeleken voordat je weer wordt vrijgelaten. Daarnaast is de politie pas na de digitalisering landelijk echt verenigd, iets dat verre van soepel gegaan is.

Als het op politie aankomt, wordt er een bepaald niveau van vertrouwen verwacht. Deze mensen lopen rond met wapenstokken en in sommige gevallen vuurwapens, kunnen mensen dagenlang vastzetten, en hebben het recht om van alles en nog wat voor elkaar te krijgen dat je als normale burger niet eens mag proberen.

Ik zou niet zomaar aannemen dat we een papieren log hebben van wie welk dossier inkijkt. We zullen misschien weten wie wanneer de dossierkamer in is gegaan, maar ik geloof nooit dat accuraat is bijgehouden voor ieder dossier welke agenten er in hebben gekeken. Beveiligingsbeelden blijven maar voor een bepaalde tijd bewaard, en informatiedoorverkopen kan jarenlang gebeuren voordat men het doorheeft.

In dit specifieke geval gaat het ook nog over een internationaal systeem. Denk "politie in Groningen die informatie over een Georgiër opvraagt aan de Roemeense en Italiaanse politie". De georganiseerde misdaad zal feest vieren zodra dat systeem weer teruggaat naar papier. Telefoonnummer spoofen is triest eenvoudig, en welke Roemeen weet nou wie er wel of niet een echte politieagent is in Nederland.

Ik ben zeker geen fan van hoe het er soms aan toe gaat binnen de politiemacht, maar ik denk dat het een fout zou zijn om niet te digitaliseren. Het criminele circuit heeft het voordeel van digitalisering al lang behaald, met nu AI als volgende stap (waar de politie minder mee kan, want in tegensteling tot criminelen moet de politie wel feitelijke waarheid respecteren). Teruggaan naar het papieren kantoor lijkt me de doodssteek voor de politie die nu al met gigantische tekorten zit.

Deze uitvoering van het digitale systeem is slecht, net als de meeste digitale systemen in mijn ervaring (zowel binnen bedrijven als overheden), maar dat betekent niet dat het concept van digitaliseren slecht is, of dat het papieren kantoor beter is. Beide hebben voordelen en nadelen die je tegen elkaar moet afwegen. Digitalisering is overal ingezet om een reden, niet allesn omdat de politiemacht zich een keer op een vrijdagmiddag verveelde.

nonestpraens @GertMenkel • 4 juli 2025 09:13

Helemaal mee eens dat digitalisering onmisbaar is terug naar papier zou echt funest zijn, zeker met hoe snel criminelen zich juist digitaal blijven ontwikkelen. Als je ziet hoe traag en log de communicatie nu al soms verloopt tussen politiediensten, dan is het digitale systeem eigenlijk de enige manier om überhaupt nog bij te kunnen blijven.

Maar wat me wel zorgen baart, is dat met die digitalisering ook het risico op misbruik veel groter wordt. Eén corrupte agent met te veel toegang kan tegenwoordig in no-time bergen aan informatie doorspitten of doorsturen, zonder dat iemand het direct merkt. Het probleem zit hem dus niet in digitaliseren an sich, maar in hóé dat gebeurt. Zolang er geen goede logging is, geen duidelijke toegangsbeperkingen, en er niet actief gecontroleerd wordt wie waar in zit, blijft het systeem kwetsbaar voor misbruik van binnenuit.

GMig @nonestpraens • 5 juli 2025 10:11

Maar die goede (audit) logging en toegangscontroles enz zijn eigenlijk de Facto al industriestandaarden/ best practices. Daarom dat financiële instellingen een aantal strikte ISO-normen te volgen hebben en dat het daar wel goed loopt, enkele individuele fouten niet te na gelaten.

Maar deze ontwikkeling van Sopra steria is gewoon een schande en zou totaal niet meer moeten kunnen voor zo'n kritische projecten.

Natuurlijk ligt het soms ook aan de opdrachtgever die tegen beter weten in toch uitdrukkelijk vraagt om een gedrocht te ontwikkelen.

demianmonteverd @nonestpraens • 4 juli 2025 08:32

Audit logs verplichten voor het opvragen van gegevens (los van AIVD en de MID bijv.), en deze dan opvraagbaar maken voor klanten. Dan word het snel minder leuk om je buurman op te vragen. Dit zou ook een aantal bezwaren tegen online zorg-dossiers kunnen oplossen. Er zijn hier vast standaarden voor.

TimToady @nonestpraens • 4 juli 2025 18:11

Ik had laatst dat ik een klant ophing en ik ging verder maar was iets vergeten. Had de klant records snel even geopend om aan te vullen zonder de klant aan de lijn.

Volgende dag een auto heads up mail om geen customer search te doen zonder active call, want wordt geflagged en bij trends onderzocht als privacy issue...

n4m3l355 @GertMenkel • 3 juli 2025 14:32

Dat data vroeger wellicht makkelijker benaderbaar was en minder veilig kan, maar men had geen kaartenbak met tientallen zo niet honderden miljoenen gebruikers laat staan dat die even allemaal gecopieerd werde zoals we nu regelmatig met gigantische databases zien.

Daarnaast dat er de mogelijkheid bestaat dat data veiliger en beter wordt opgeslagen kan maar hier zien we toch wel even het tegenovergestelde, sterker nog zoveel gaten was niet eens mogelijk op de oude manier.

Ik vraag me nog steed af of dit soort databases wenselijk zijn en if die op termijn nog waarde hebben. Wat heeft een overheid aan mijn veilig geachte data als iedereen onwillend toegang tot heeft. Wat betekend bij onderzoek op termijn "bewijs" wanneer iedereen toegang heeft tot data zoals vingerafdrukken, dna enz. Wat stelt data in een database voor als die wellicht gewijzigd is, en misschien niet maar toon dat maar eens aan.

Triblade_8472 @GertMenkel • 3 juli 2025 17:26

Daarentegen kan letterlijk de hele wereld nu bij onbeschermde data waar een papieren systeem er iemand toch echt fysiek bij moet kunnen. Al dan niet onbevoegd, maar wel op cctv. Vaak via een afgetekende intekenlijst.

Ookal zijn er negatieve vergelijkingen, staat dat nog niet gelijk aan beter.

Bender @Yzord • 3 juli 2025 13:48

Maar dan stel je dat analoog beter was? Want dat heeft net zo goed risico's (diefstal, brand, water, kwijtraken, log en omslachtig, etc)

Djerro123 3 juli 2025 11:36

“Duizenden”…

Ben ik de enige die hier sceptisch over is? Ik maak mij geen illusies over de competentie die ingezet wordt op overheids IT projecten, maar duizenden kritische beveiligingsissues klinkt gewoon onmogelijk.

Als in, zo complex kan deze software ook weer niet zijn, en je moet een enorme codebase hebben om tientallen kritische vulnerabilities weten te maken. Ik denk dat er misschien duizenden accounts waren met onnodig veel rechten misschien? Dat zou logischer klinken.

wiseger @Djerro123 • 3 juli 2025 11:43

Als je veel open source components gebruikt maar jatenlang die componenten nooit meer bijwerkt naar nieuwere versies, dan kan het hard gaan.

Beveiliging en antivirus

@wiseger • 3 juli 2025 13:26

Klopt. Dat houdt niet meteen in dat ieder van die duizenden kwetsbaarheden daadwerkelijk te misbruiken is in de specifieke situatie waarin het systeem gebruikt wordt. Wel is het een signaal dat men dit niet goed op het vizier heeft. Onder de duizenden zullen voldoende kwetsbaarheden zijn die wel uit te buiten zijn.

Je moet je middleware (ook) op orde hebben. De tijden van een systeem ergens enkel neerzetten en nooit er meer naar omkijken zijn nu al zo'n 25 jaar voorbij. Systemen zonder (regelmatig getoetst) onderhoudsplan moet men simpelweg niet in gebruik nemen.

ThinkPad @Djerro123 • 3 juli 2025 11:47

Als het bijv. nog op Server 2012 of een verouderde Linux-server ofzo draait welke al jaren niet gepatched is en je trekt daar iets van een Nessus vulnerability scan overheen dan zal er een aardige lijst uit komen hoor.

Beveiliging en antivirus

@Djerro123 • 3 juli 2025 12:08

Het ligt er een beetje aan hoe je het ziet. Als je honderd man met onnodige superuserpermissies hebt, is dat dan één probleem of honderd problemen? Hoe dan ook moet je voor honderd man of meer de policies evalueren en misbruik proberen te vinden in de audit logs.

Daarnaast is het heel makkelijk duizenden problemen te vinden die als "kritiek" worden gemeld. Een stukje Javascript-frontend dat je een jaar of vijf niet bijwerkt kan honderden risico's bevatten, een Java-backend trekt ook redelijk makkelijk tientallen per jaar aan als je niet je hele systeem vanaf de grond af opbouwt (dan heb je de tientallen risico's nog steeds, alleen zul je ze zelf moeten opsporen). Voeg daar alle risico's van een server die op CentOS7 of een dode Windows Server draait daar aan toe, en je zit in zo'n internationals systeem zo aan duizenden kritieke risico's.

Niet alle risico's zullen direct misbruikbaar zijn. Zo heb je in de Javascript wereld iedere maand wel een prototype pollution bug die, als je net de verkeerde functie verkeerd aanroept, het triviaal maakt om sessies over te nemen en code te injecteren. Helaas is code complex genoeg dat je dit niet direct automatisch kunt bepalen, dus voor ieder belangrijk probleem zou iemand het bugrapport moeten nalezen en in de code moeten kijken of het een risico is of niet (als gewoon updaten niet het probleem al oplost). Als je dat structureel doet is dat geen enkel probleem, maar als je niet zoveel naar kwetsbaarheden kijkt is het na een paar jaar bijna onmogelijk om alle code nog door te spitten.

Ik denk dat één keer alle dependencies updaten de meeste van deze kwetsbaarheden doet verdwijnen, maar dan moet wel iedereen die meedoet aan het systeem dat doen.

morphje @Djerro123 • 3 juli 2025 12:18

Dat valt best mee hoor. Neem een willekeurige container met java spullen, draai een CVE detector eroverheen en je wordt niet zo aangenaam verrast met een enorme lijst aan kwetsbaarheden. Idem voor bijvoorbeeld NPM, dat is ook zo'n draconische database van componenten waarvan duizenden CVE's bekend zijn.

Een CVE hoeft ook niet perse daadwerkelijk te betekenen dat je er last van hebt. Destijds met dat hele Log4J verhaal. Ik beheerde een applicatie die dat component ook in zich had, maar de aanwezigheid van het component wilde niet perse zeggen dat je er gebruik van maakt of dat je daadwerkelijk kwetsbaar was. (wat gelukkig in mijn geval ook niet zo was).

Omgekeerd kan het net zo goed zijn dat je tussende bomen van CVE's niet meer het bos ziet en je alleen maar aan het jagen bent. Dan kan je lijst van duizend CVE's daadwerkelijk een probleem vormen. En als je een jaartje of meer je systemen niet goed patched, dan lopen de CVE's heel snel op. (zoals het genoemde voorbeeld van een java/tomcat container)

bzuidgeest @Djerro123 • 3 juli 2025 12:49

Ik denk dat laatste, een gevalletje makkelijk tellen. Elke persoon met te veel rechten is een apart incident in plaats van dat het incident is dat een groep mensen te veel rechten heeft.

Die discussie is bij ons op de zaak ook eeuwig. Registreer je elk geval apart (hoog incident aantal) of als 1 enkel probleem (laag aantal incidenten). Beide heeft zijn problemen.

Wij neigen typisch naar het als groep registreren. Want het heeft allemaal dezelfde oorzaak en dezelfde oplossing, het is 1 probleem. Maar de andere kant kan ook. Maar dan kom je in de problemen met tijdregistratie en rapportage. Verdeel je de besteedde tijd over alle incidenten of is 1 heel lang en de rest heel kort, wat weer vragen oplevert bij mensen die niet technisch zijn of de klant...., Hoe je registreert kan ook gevolgen hebben voor afrekening en contracten etc etc....

Ja er zijn voor al drie vraagtekens oplossingen, maar dan maak je de zaak soms weer zo complex in admin dat je met andere dingen in aanraking komt.

[Reactie gewijzigd door bzuidgeest op 3 juli 2025 12:50]

Kees BOFH @Djerro123 • 3 juli 2025 17:54

Ben ik de enige die hier sceptisch over is? Ik maak mij geen illusies over de competentie die ingezet wordt op overheids IT projecten, maar duizenden kritische beveiligingsissues klinkt gewoon onmogelijk.

Nee, zelfs halverwege het artikel ben ik al sceptisch:

onder meer vatbaar voor ddos-aanvallen

Dat is zo'n beetje elk systeem dat aan het internet hangt..

Dat komt mogelijk doordat SIS II momenteel op een afgeschermd netwerk werkt.

Dus een ddos aanval moet dan sowieso van 'binnenuit' komen, wat het risico enorm verlaagt. Dat klinkt als een vulnerability willen ontdekken.

rvt1 @Djerro123 • 3 juli 2025 14:04

Ik ik zo naar onze checkmarx en prisma scans kijk, en dan nog eens alle ons connecties meeneem dan zie ik ook bijna +1000 problemen. Ik denk dat ze eens die code base terug uit het buitenland hebben gekregen en daarvwat scanner overheen hebben gezet…

Want ik kan mij zelf ook nauwelijks voorstellen dat het puur op code is of het systeem zelf, dan heb je het wel behoorlijk verpruts… of%3 hebben toch die goedkoopste aanbieder gehad…?

Muncher 3 juli 2025 11:21

Sopra Steria, het bedrijf dat verantwoordelijk is voor de beveiliging van SIS II, werd op de hoogte gesteld van de kwetsbaarheden. Dat bedrijf zou er tussen de acht maanden en vijfenhalf jaar over hebben gedaan om de problemen op te lossen, terwijl Sopra Steria in eerste instantie zou hebben beloofd om dergelijke kritieke kwetsbaarheden binnen twee maanden te repareren.

Hoe kan dit zo uiteenlopen? Lijkt alsof niemand een SLA/SLO heeft opgesteld of druk heeft gezet om die na te leven.

wooha @Muncher • 3 juli 2025 11:35

Omdat ze last hadden van een (D)DOS van securitymeldingen? Duizenden problemen los je niet zomaar op als je er maar af en toe één verwacht.

Muncher @wooha • 3 juli 2025 12:49

Ik begrijp je reactie niet helemaal. Ja, er zijn heel veel meldingen gedaan en die waren ook terecht als ik onderstaande lees.

Het systeem was onder meer vatbaar voor ddos-aanvallen en aanvallen waarmee onbevoegden toegang konden krijgen tot de database. Daarnaast zou een 'overdreven aantal' accounts adminrechten hebben voor het systeem, waardoor het veiligheidsrisico nog verder werd verhoogd.

Nou begrijp ik wel dat niet elke kwetsbaarheid even kritiek is en niet elke kwetsbaarheid even makkelijk te verhelpen is. Maar twee maanden afspreken en daar in het "beste" geval 4x zo lang over doen (8 maanden) met een uitloop tot vijfenhalf jaar, dat vind ik echt heel bijzonder.

wooha @Muncher • 3 juli 2025 13:28

Mijn punt is dat ze waarschijnlijk niet voorbereid waren op zoveel terechte herstelwerkzaamheden in korte tijd, bijvoorbeeld omdat ze geen idee hadden van de slechte kwaliteit van het systeem of dat negeerden. Je kan niet altijd op korte termijn mensen aannemen om problemen op te lossen, bijvoorbeeld vanwege inwerktijd of überhaupt beschikbaarheid van personeel in de markt.

Een SLA afdwingen leidt dan tot compensatie, eventueel tot aan faillissement toe, maar leidt niet noodzakelijkerwijze tot een oplossing binnen de afgesproken termijn.

Mijn (D)DOS analogie was dat de leverancier overbelast raakte door onverwacht grote vraag om problemen op te lossen, waardoor die haar taken niet meer naar behoren uit kon voeren. Zelfs al was die vraag in dit geval niet kwaadwillend en in zekere mate veroorzaakt door de gebrekkige kwaliteit. Misschien was een smiley daarbij op z'n plaats geweest.

PS: Acht maanden als beste geval is wel vreemd. Jammer dat ik de genoemde auditrapporten en e-mails nergens kan vinden, bijvoorbeeld op de EDPS website.

[Reactie gewijzigd door wooha op 3 juli 2025 14:03]

Lord Anubis @wooha • 3 juli 2025 16:16

De acht maanden is zonder de bureaucratie

. Het bestaat ten slotte uit meerdere systemen - Centrale eenheid, Nationale kopieën (N-SIS II): en SIRENE-bureaus.

Denk dat Sopra Steria het te positief bracht en het verder onderschatte.

Ik weet, van horen zeggen door een DICT ( Odijk geloof ik ) medewerker, dat de NL-Politie iets niet veranderd wilde hebben want het zou een beperking geven voor hen, weliswaar enkel jaren geleden maar toch.

webhalla @Muncher • 3 juli 2025 12:45

Urgentie kan ook verschillen aangezien het een systeem op een afgesloten netwerk betreft. Anoniem een sql-injectie doen is er dan niet bij.

Er is volgens Bloomberg geen bewijs dat onbevoegden toegang hadden tot de gegevens in de database.

Kan ook komen doordat iedereen met adminrechten de logs mag schonen.

bzuidgeest @Muncher • 3 juli 2025 12:54

Ten eerste: overheid. Tem tweede: SLA is geen wonder middel. Laat staan dat het word afgedwongen.

Laat zeggen dat je een SLA met boete clausules hebt en die afdwingt. Het volgende project of wat voor rekening ook gaat gewoon hoger zijn om te compenseren. Je kan natuurlijk proberen naar een ander te gaan.... Maar overheid en dan heb je aanbestedingen, lange dure trajecten, waar je rustig weer met dezelfde maar nu duurdere leverancier eindigt. Zolang ze maar de criteria halen. En de concurrenten gaan echt niet goedkoper zijn als ze horen dat je makkelijk boete clausules afdwingt.

CPV 3 juli 2025 11:21

"Duizenden"? Die kan meedoen met: wie heeft de meeste?

Niemand_Anders @CPV • 3 juli 2025 11:42

Kan ook zijn dat het 300 keer een sql injection betreft oid. Waarschijnlijk geen controle/schoonmaak van input. Naast het core systeem heb je dan natuurlijk ook de de adaptor systemen welke het core systeem met de systemen van de verschillende lidstaten laat praten. In dat geval ben je ook afhankelijk van derde partijen voordat je bepaalde bug officieel hebt opgelost vooral als dus de interface een wijziging nodig heeft.

Weet echter niet of je de bouwer verantwoordelijk kunt houden dat iedereen admin rechten heeft in het systeem. Voelt alsof men wel authorisatie in het systeem heeft, maar dat de beheerders het te lastig vonden om voor elke persoon uit te zoeken welk rechtenprofiel zij precies nodig hadden en daarom maar iedereen gewoon admin maakt. Beetje zoals in sommige bedrijven iedereen een windows administrator is.

par4 3 juli 2025 11:25

terwijl Sopra Steria in eerste instantie zou hebben beloofd om dergelijke kritieke kwetsbaarheden binnen twee maanden te repareren.

Klaarblijkelijk geen security minded iemand aanwezig geweest bij het opstellen van de overeenkomst.. Als dit je ambitieniveau is..

Maargoed.. Zeer kwalijk dit.

[Reactie gewijzigd door par4 op 3 juli 2025 11:26]

oef! @par4 • 3 juli 2025 12:03

Het lijkt erop dat iedereen hier heeft liggen slapen. Hoe kun je als Europese privacytoezichthouder duizenden meldingen doen waar vervolgens geen opvolging aan wordt gegeven? Dat escaleer je op een gegeven moment naar de maan. Daarnaast lijkt het er sterk op dat zowel de eigenaar van het systeem als Sopra Steria een wanprestatie hebben geleverd.

bzuidgeest @oef! • 3 juli 2025 12:57

De toezichthouder doet alleen meldingen. Maar heeft waarschijnlijk niemand om naar te escaleren, mogelijk zelfs geen straffende mogelijkheden. Dat is dan weer aan de wetgever of zo...

En vergeet niet, was het 1 incident waarin 1000 mensen te veel toegang hadden, of 1000 incidenten voor dezelfde situatie. Die dan vervolgens opgelost is. In het nieuws klinkt het nog al anders. Maar ja er zal vast wel hoe dan ook wat goed mis zijn geweest.

Beveiliging en antivirus

@par4 • 3 juli 2025 12:11

Ik vermoed dat de eerste tien rapporten wel het idee zal hebben bestaan dat het met de volgende release of de release daarop het probleem opgelost zou worden.

Als je dan vervolgens duizenden rapporten binnenkrijgt, wordt dat ineens een stuk lastiger.

Met zo'n hoeveelheid klinkt het eigenlijk alsof de basis gewoon niet goed was, of de software nooit is onderhouden, en dan zal het oplossen van die problemen ook veel langer gaan duren.

3 juli 2025 11:27

Er is volgens Bloomberg geen bewijs dat onbevoegden toegang hadden tot de gegevens in de database

Omdat dat bewijs misschien gewist kon worden, want "duizenden" beveiligingskwetsbaarheden.
Dan zijn er nog veel te veel admins die dus mogelijk ook toegang kunnen verlenen via een legalere manier.

GoodGuy 3 juli 2025 13:17

Wat mij dan weer verbaasd is dat er e-mails en interne auditrapporten van de European Data Protection Supervisor lekken naar Bloomberg en Lighthouse Reports.

Dat klinkt bij mij toch als een ernstig lek bij een organisatie gespecialiseerd in Data Protection.

boner 3 juli 2025 11:19

[sarcamse]Sjeemig, da's onverwacht. Gebeurt anders nooit hoor..[/sarcasme]

cracking cloud 3 juli 2025 13:23

Die database klinkt als de natte droom van elke NSDAP functionaris, als die nu zouden bestaan (en gezien wat er in amerika gebeurt is dat niet denkbeeldig)

DrWaltman @cracking cloud • 3 juli 2025 16:56

Nee hoor, die willen systemen met alle burgers, zoals ze nu in amerika gebeurt. Dit systeem is alleen voor :

signalementen met elkaar uitwisselen over mensen van wie toegang of verblijf is geweigerd, vermiste personen of gezochte personen. Het gaat onder meer om foto's en biometrische data als vingerafdrukken.

Pinkys Brain 3 juli 2025 15:22

"Dat komt mogelijk doordat SIS II momenteel op een afgeschermd netwerk werkt."

Hier zien we dus het verschil tussen klassieke compartmentalisatie en moderne zero trust. Zelfs met bijzonder weinig competentie, werkt de klassieke manier nog steeds goed. De moderne methodes kunnen op duizenden manieren fout.

Om te kunnen reageren moet je ingelogd zijn