Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

De Britse regering is opnieuw in ernstige verlegenheid gebracht door het verlies van persoonsgegevens. Ditmaal is een bedrijf, dat voor de overheid werkt, een usb-stick kwijtgeraakt met de gegevens van 84.000 gedetineerden.

Usb-stickDe fout is gemaakt door PA Consulting, dat in opdracht van het ministerie van Binnenlandse Zaken werkt. Hoe de gegevensdrager precies is kwijtgeraakt, is niet bekend. Wel is duidelijk dat er op de usb-stick onversleutelde namen, adressen en geboortedata staan van tienduizend zware criminelen, dertigduizend personen die meer dan zes keer in de fout zijn gegaan, en 84.000 mensen die op dit moment in een Britse cel zitten. Ook zouden de gegevens van deelnemers aan een afkickprogramma op de usb-stick zijn opgeslagen.

De gegevens zijn afkomstig van een beveiligde politiecomputer die valt onder het Jtrack-programma. Met dit systeem poogt de Britse justitie veelplegers beter in kaart te brengen. Toegang tot Jtrack is voorbehouden aan een beperkt aantal geautoriseerde personen, maar PA Consulting was betrokken bij het project. Scotland Yard is inmiddels een onderzoek naar de zaak gestart.

Het verlies van de informatie kan verstrekkende gevolgen hebben, mocht deze in verkeerde handen vallen, zo schrijft de Times. Niet alleen lopen politie-informanten het risico slachtoffer te worden van wraakacties, maar ook kunnen gedetineerden rechtszaken aanspannen wegens het schenden van hun privacy, wat de Britse overheid een fortuin aan schadevergoedingen zou kunnen kosten.

De Britse oppositie roept om harde maatregelen, omdat de regering Brown al eerder strenge richtlijnen had toegezegd om dergelijke incidenten te voorkomen. De Britten zijn ondertussen al bijna gewend aan het onzorgvuldige gedrag van overheidsinstanties. Zo werd vorige maand bekend dat het ministerie van defensie honderden laptops is kwijtgeraakt, terwijl vorig jaar november de Britse belastingdienst nog twee cd-roms met de verzekerings- en bankgegevens van 25 miljoen burgers uit het oog verloor. Bovendien is uit onderzoek gebleken dat het ministerie van Justitie structureel fouten met gegevensbeveiliging maakt.

Moderatie-faq Wijzig weergave

Reacties (34)

Al deze voorbeelden geven aan waarom het fundamenteel een slecht idee is om al maar meer gegevens van mensen te bewaren. Toch gaan Europese regeringen ťn parlementen steeds verder in wetgeving die het bewaren van gegevens (vliegverkeer, telefoonverkeer, internetverkeer) vastlegt. Het is een zekerheid dat die gegevens ergens een keer kwijtraken en/of misbruikt worden. Niemand maakt de afweging of het doel van het bewaren het wel waard is. "Omdat de gegevens toch veilig bewaard worden". Niet dus. In de afweging voor het nemen van dergelijke maatregelen moet ook de schade worden meegenomen die bij verlies of openbaarwording ontstaat. Want je wťťt dat dat een keer gaat gebeuren.
Te gemakkelijk gesteld. Het is erg prettig om te weten wie er in het neergestorte toestel zaten. Of met welke vlucht de terrorist het land is ingekomen of juist ontvlucht. Of wie jou toch telkens snachts wakker belt en dan niks zegt. Of wie die site met radicale teksten onderhoudt. Het lijdt geen twijfel dat die gegevens bewaard moeten worden om een veilige maatschappij te kunnen hebben. Het is alleen de vraag hoe lang en hoe zorgen dat het gebruik van deze gegevens gerechtigd is.
Ik bestrijd niet, dat al die zaken nuttig zijn. Het gaat om de afweging.

Lang voordat de huidige veelomvattende databases werden opgezet, was het al mogelijk om te achterhalen wie jou bedreigde over de telefoon. Politie of justitie ging met een gerechtelijk bevel naar het telefoonbedrijf en die moest het dan opzoeken. Eveneens was het ook vroeger al prima mogelijk om te weten wie er in het neergestorte vliegtuig zat.

Ik kan me best voorstellen dat het fijn is om te kunnen achterhalen hoe een terrorist het land binnen is gekomen. Ik denk zelfs, dat er ook (pak m beet) 10 jaar geleden al redelijk wat bijgehouden werd door de douane. De politiek maakt op dit punt de afweging 'hoeveel privacy moeten de mensen inleveren en wat kunnen we er mee winnen'. Wat ik echter aangeef, is dat die afweging zou moeten luiden 'hoeveel privacy moeten de mensen inleveren, wat kunnen we ermee winnen, en wat zijn de gevolgen als deze informatie op straat komt te liggen'.

Ik denk namelijk dat als je in de afweging er per definitie van uitgaat dat de opgeslagen gegevens alleen maar door de juiste autoriteiten gebruikt zullen worden, dat je dan een fout maakt. Je zult dan te snel kiezen voor het opslaan. Stel dat je bij het ontwerp van een internet-verkeer-monitoring-database er rekening mee houdt dat er (bijvoorbeeld) een kans van van 1% is dat de gegevens binnen 10 jaar per ongeluk openbaar worden, door hacken of verliezen. Als je de gegevens van 10 miljoen Nederlanders daarin opslaat, betekent het dus dat je ook moet bedenken of je het belang van het gemakkelijker onderzoeken van criminaliteit/terrorisme op vindt wegen tegen het gevaar van misbruik van de gegevens van 100.000 Nederlanders ergens in de komende 10 jaar.

Persoonlijk denk ik dat de statistische kans van dat misbruik misschien wel een groter risico voor de maatschappij vormt, dan het minder makkelijk vangen van die criminelen. En die afweging wordt nu dus niet gemaakt!
Persoonlijk denk ik dat de statistische kans van dat misbruik misschien wel een groter risico voor de maatschappij vormt, dan het minder makkelijk vangen van die criminelen.
Dat denk ik dan weer niet . Maar dat het zoekraken of publiek raken van die gegevens in de risico evaluatie moet worden meegenomen en dat ook openbaar gemaakt moet worden is inderdaad iets er nu ernstig aan schort.
Waar ik me altijd over verbaas bij dit soort zaken is waarom die data Łberhaupt op usb-stick staat. Kan dit niet beter gewoon ergens op een beveiligde netwerk locatie worden opgeslagen?
Wat ik las op BBC.COM is dat een externe medewerker van een extern bedrijf de gegevens gedownloaded had naar een USB-stick. Unencrypted.
en die USB-stick is hij kwijtgeraakt.

Ik stel echt grote vraagtekens bij het feit dat:
1) Beveiligde data zomaar door een externe gedownloaded kon worden
2) Deze data zonder beveiliging gedownloaded kon worden
3) Dat de externe data kon downloaded.

Kortom betekent dat er totaal geen fatsoenlijke veiligheidsprocedures zijn of dat deze niet volledig geimplementeerd zijn..... Grote schande natuurlijk.
Als er door onvoldoende beveiliging een heel stel gevangen ontsnappen dan kost dat (behalve in Belgie) meestal wel een minister de kop....
Sowieso de mogelijkheid om USBsticks en dergelijke te gebruiken op zulke 'beveiligde' netwerken is raar.

Waar ik werk zijn USBsticks uit den boze en kunnen alleen mensen met toegang die gebruiken waar het thin clients betreft. Wel zo veilig.
Ja inderdaad, wel heel erg raar dat zoiets kan gebeuren. Zoveel toevalligheden..


Wat ik dan denk is: "Toevalligheden"? is het wel "Kwijtgeraakt"? of is het weggegeven? ;)
Het staat ook op een beveilgde locatie, maar er zal wel een backupje van gemaakt zijn om wat tests van een nieuw te ontwikkelen systeem of mudule op uit te voeren.

Als er door dit soort blunders een stel verlinkers opgeruimd worden en daardoor de instroom van nieuwe verklikkers opdroogt zal justitie zich misschien eens achter de oren krabben en wat meer aan beveilging gaan doen.
Hoe kan het toch zijn dat in deze tijd dit soort dingen nog steeds onbeveiligd opgeslagen worden. Natuurlijk kan zo'n beveiliging gekraakt worden, maar iemand die nu zo'n ding vind weet meteen wat het is en kan het gaan verkopen. Iemand die een USB-stick vind met daarop alleen een onleesbaar bestand denkt er niet bij na, en verwijdert het bestand om zelf de stick te gebruiken.
Sommige mensen zullen een gevonden memory stick zelfs probeeren terug te geven aan de eigenaar of hem aan de politie overhandigen maar goed die mensen lijken steeds zeldzamer te worden.

Waar ik je gelijk in geef is dat het toch te gek voor worden is dat een streng beveiligd systeem als zo als dit schijnbaar geen regels/beperkingen heeft waarneer het gaat om het kopieren van data naar externe media zo als USB sticks.
Maar goed iedereen die in de IT werkt weet dat als het op beveiliging aankomt over het algemeen gedacht wordt dat het allemaal zo'n vaart niet zal lopen. Mensen lijken nog steeds niet in te zien dat er zeer veel geld te verdienen is met het omzeilen/kraken van computer beveiligingen en de data die daarmee verkregen kan worden.

De britse overheid zal waarschijnlijk niet veel kunnen veranderen aan die situatie, het gaat niet om gewoon wat regeltjes extra hier en daar het gaat om een andere manier van denken en projecten op zetten. En dat is niet iets dat een regering zo maar even kan regelen ze zullen mensen moeten ontslaan en zelfs waar mogenlijk vervolgen als zij na laten dit soort dingen goed te regelen alleen dan zal deze bewustwording een stukje sneller gaan dan nu.
Hoe kan het toch zijn dat in deze tijd dit soort dingen nog steeds onbeveiligd opgeslagen worden.
Sja, in de UK gebeuren wel vreemdere dingen.
Tis meer een 3e wereld eiland.
Een korte tijd geleden werd er iemand ontslagen bij The Home Office in Londen (IND zeg maar) en op zijn laatste dag ging ie nog even wat data branden ... gevoelge data dus.
Mijn vriendin (ja ik ben trots) stak er een stokje voor en hij werd gearresteerd.
Maar dat kan daar dus zomaar.

[Reactie gewijzigd door ASS-Ware op 24 augustus 2008 17:06]

En iedere keer als ik zeg dat iedere registratie een risico in houdt zijn er weer mensen die roepen dat ze niets te verbergen hebben.

Dit is dus waarom ik tegen alles registreren ben. Misschien vertrouw je de mensen die de registratie doen wel, maar je weet nooit wie het nog meer in handen krijgt. En alle 'garanties' van de overheid zijn een wassen neus. Ze kunnen niets garanderen en dat hebben ze meer dan eens bewezen.
Belachelijk, Het kan toch niet normaal zijn dat een overheid regelmatig in het nieuws te vinden is omdat er belangrijke gegevens zijn kwijtgeraakt?
Hier is heel eenvoudig wat aan te doen door in alle overheidsinstanties alle Laptops en USB Sticks te voorzien van een encryptie systeem zoals Truecrypt. Daar is heel makkelijk mee te leren werken en ik denk niet dat er erg veel extra werk zal zijn voor systeembeheerders.
Dat dit nog mogelijk is. Dit soort dingen zet je toch niet onversleuteld op een USB stick (bij voorkeur zet je dit niet op een datadrager die compleet onafhankelijk bruikbaar is). Daarbij snap ik niet hoe je zo'n ding zomaar 'kwijt' kan zijn. Als je dit soor tbelangrijke dingen meeneemt dan zorg je toch dat je die nooit uit het oog verliest.
Dat is ook niet echt de eerste keer hť, kun je nagaan hoeveel gegevens er zo onbeveiligd worden opgeslagen, gezien het feit dat je nou ook niet dagelijks zo'n stick verliest.

En er zullen uiteraard ook wel heel wat gevalletjes in de doofpot verdwijnen.
Wel netjes dat ze dit wel steeds, zelf (!), in het nieuws brengen. Ben benieuwd hoe vaak zoiets in NL gebeurd.
Is wel een leuke stick als je een drugs dealer bent of wat 'zware jongens' wilt inhuren. :P
Ja, of iemand die de straf van een gedetineerde nog niet voldoende vond. Alle data om een wraakactie o.i.d. op te zetten.
Als je een truecrypt ultra beveiligde virtuele HDD maakt met zowel een keyfile, password en alle mogelijk encrypties, dan denk ik niet dat dit snel gekraakt wordt...
Voor bestanden als dit is dat niets teveel gevraagd denk ik.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True