Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: Ossebol

Dinsdagavond is bij Omroep Brabant anoniem een usb-stick afgeleverd met daarop privacygevoelige informatie van minstens vijfduizend burgers. Op de stick staan onder meer rekeningnummers, adressen en handtekeningen.

De stick is afkomstig van BSOB, een samenwerkingsverband van het waterschap Aa en Maas, en verschillende gemeenten in de regio, dat de waterschapsbelasting invordert. De informatie bestaat uit vorderingen en aanslagen voor waterschapsbelastingen over het jaar 2012. Het betreft inwoners van de plaatsen Heusden, Rosmalen en Helmond, zo meldt Omroep Brabant.

Hoe de stick in verkeerde handen is gevallen, is nog niet bekend. BSOB geeft in een reactie op de website aan dat er inmiddels aangifte is gedaan van ontvreemding en dat de zaak wordt onderzocht. Op de website waarschuwt BSOB ook voor spookfacturen, maar die houden naar eigen zeggen geen verband met de 'verloren' usb-stick.

Moderatie-faq Wijzig weergave

Reacties (42)

De gemeente Uden doet ook mee aan het BSOB programma. Als de informatie op de USB stick is beperkt tot de drie genoemde plaatsen, lijkt mij dat een medewerker van een regio kantoor de gegevens heeft gelekt.

Waarschijnlijk betreft het hier de gegevens van huishoudens welke gekozen hebben om het bedrag middels 10 termijnen (automatische incasso) te voldoen..

Nu zijn de gegevens bij een krant terecht gekomen, maar een crimineel kan met deze gegevens (welke zeer waarschijnlijk ook BSN nummer bevat want belastingen) een eenvoudig fraude plegen. Hij heeft zelfs de handtekening..

Daarnaast mag het CBP ook onderzoek doen naar de beveiliging bij BSOB, want ik heb een vermoedendat iedere medewerker bij deze gegevens kan. Ook is het mogelijk dat de BSOB website zelf lek is.
Heusden en Helmond is akelig dichtbij van waar ik woon. Toch erg slordig dat dit soort informatie uit kan lekken via een USB-stickje. Vooral rekeningnummers en handtekeningen zijn erg handig voor kwaadwillenden. 'Gelukkig' is de stick afgeleverd bij Omroep Brabant en niet om het net geplempt.
Heusden en Helmond is akelig dichtbij van waar ik woon.
Ik woon er en ik betaal waterschapsbelasting via deze jongens...
'Gelukkig' is de stick afgeleverd bij Omroep Brabant en niet om het net geplempt.
De vraag blijft waar de data vandaan komt en waar de data nog meer te vinden is.

Ik ben niet blij en ga mijn rekening goed in de gaten houden.
..en niet om het net geplempt.
dat weet je natuurlijk niet zeker.
Zeker niet als het om een gefrustreerde medewerker gaat die graag verandering wil zien (iets met stok achter de deur)
of in dit geval, stick achter de deur...
Je weet niet hoeveel er gekopieerd of ge upload is.
Dat laatste is te hopen. Een kopie is zo gedeeld.
Ooit gehoord van VPN binnen de gemeente? USB sticks zijn leuk enzo maar voor grote volume's hoogstpersoonlijke data lijkt me dat alles behalve de bedoeling.
Mag wel eens iemand naar het IT beleid kijken daar.
Het kan zijn dat iemand de data op een USB gezet heeft, er is niet vermeld in het artikel dat de USB stick officieel gebruikt is door waterschap Aa en Maas.
Klopt, maar ik neem aan dat mensen dat zien...
En in grote onbeheersebare omgevingen zijn er ook zat andere oplossingen die je kan implementeren om uberhaupt het gebruik van USB sticks te voorkomen.
Je kan Windows inrichten alleen input-devices te accepteren op USB en front-usb kan je bijvoorbeeld afkoppelen als je al niet gewoon met rechten het gebruik van externe storage kan voorkomen.
Alleen is het de dag van vandaag bijna ondenkbaar om zonder USB mass storage devices te werken. Verbind je je fototoestel met je PC, kan je de fotos niet overzetten ...
Jawel, uit de link naar omroep Brabant van het artikel staat:
"Het valt koud op ons dak", zegt een woordvoerder van BSOB. "Wij betreuren het verlies van de USB-stick en we beginnen een intern onderzoek naar hoe de gegevens op straat konden belanden.
Denk dat erbij de volgende verkiezingen een Departement ICT moet komen. Die met richtlijnen moet komen die bedrijven en overheidsinstanties moeten volgen als het gaat om privacy gevoelige informatie. De wereld is zo aan het digitaliseren het verbaasd nog steeds dat er geen richtlijnen vanuit de overheid zijn opgesteld. Nu zijn de mensen die het overkomen steeds de dupe terwijl de organisaties er mee wegkomen met een simpele excuses. Denk dat het voor hackers en criminale organisaties nu een walhalla is want sommige websites met gevoelige informatie zijn voor hun een peace of cake. Met strakke richtlijnen kun je denk 90% van dit soort knullige "ongelukken" voorkomen.
Probleem met wetterlijke eisen is dat een beveiligingsinrichting voor situatie A niet per definitie werkt in situatie B. Je wil dan dus wettelijke richtlijnen gaan opstellen maar je weet van te voren niet of ze toepasbaar zijn en tot welke hoogte.
Je kan bijvoorbeeld wel een firewall eisen maar als ze uberhaupt niet aan het internet zitten is dat niet nodig en zelfs zonde geld, en zo wel dan welke firewall, hoe moet die ingesteld staan, hoe ga je om met fouten (welke natuurlijk altijd gemaakt kunnen worden), welke software mag er achter hangen of zelfs wanneer is iets veilig te noem. De een vind op een FTP een username en password voldoende, de andere wil FTP met SSL en nog weer een ander wil SSH over een VPN tunnel.

Ik denk dat het heel moeilijk is om dat wetterlijk af te dichten. Helemaal als je je als overheid weer niet te veel wil bezighouden met de IT van bedrijven want laten we wel wezen, bij overheden is het ook allemaal lang niet zo recht als het zou moeten zijn.

Men moet gewoon een situatie neerzetten en persooneel scholen of, als ze dat niet willen, personeel neerzetten die weet hoe het werkt. Dat is gewoon het euvel.
Geen enkele sysadmin die zich ook maar een beetje verantwoordelijk of begaan voelt zit te wachten op lekken in het systeem maar heeft wel de maken met vrachtwagen ladingen bureaucratie en mitsen en maren. Vooral in de overheid, maar in het bedrijfsleven net zo goed.

[Reactie gewijzigd door Alpha Bootis op 5 juni 2013 17:20]

Vaak ZIJN er wel allerlei regels en afspraken maar ligt het probleem bij de naleving, controle, handhaving en het gebrek aan sancties. Zoals bij zo'n beetje alle problemen, van foute banken tot foutparkeren.
Echt slecht hoe de overheid met dit soort informatie omgaat.
Waarom ga je er directr van uit dat het probleem bij de overheid zit? En waarom ga jij er van uit dat dit bij bedrijven niet gebeurd?

In dit geval werd het gerapporteerd door iemand die de informatie naar de media heeft verstuurd. Indien de overheid het zelf vaststeld zijn ze ook verplicht van het bekend te maken, maar op bedrijven is helemaal geen controle.
overheid? je bedoelt mensen..... want het zijn ook gewoon mensen zoals jij en ik..
Wat ik vreemd vind is dat men (na het nieuws) aangifte heeft gedaan van ontvreemding. Ik snap wel dat ze hun hachje willen redden, maar lijkt me sterk dat ze zeker kunnen zijn van ontvreemding. De usb-stick kan ook verloren zijn.
Aangifte van verlies zou dus redelijker zijn, maar daarmee is natuurlijk geen PR winst te behalen.
Niets bewijsd dat de USB stick van de organisatie is. Het is als datadrager gebruikt. Voor hetzelfde geld zijn ze "gewoon" gehacked geweest en heeft iemand een usb drive gebruikt (dat kost toch geen geld meer) om de data naar de media te versturen.
Ik neem aan dat ze nog net niet zo dom zijn om deze informatie op een USB-stick te zetten, maar dat hun database gehackt is en die informatie daarna overgezet op een USB- stick
Als inwoner van Helmond raak ik nu maar een beetje bezorgt dat ik NOG meer spam in mijn mail krijg...
Ik zou meer bezorgt zijn dat er allemaal dingen op jouw naam worden aangevraagd bij diverse instanties...
Directie hoofdelijk aansprakelijk stellen voor de schade, dat is de enige manier om organisaties en bedrijven te laten voelen dat ze gegevens beter moeten beveiligen.
Zou je niet eerst uitzoeken hoe de informatie is kunnen lekken? Voor hetzelfde geld zit het lek extern ...
En hoe komt een USB-stick met gevoelige informatie "extern" terecht?

Als er nou een ontevreden psychopatische medewerker informatie steelt, of als een lek in third-party software misbruikt terwijl die software veilig geacht mag worden, dan kun je dat nog als excuus opvoeren. Een USB-stick kwijtraken lijkt me daar toch nooit onder vallen.

Schade claimen, klinkt wel mooi. Probleem is dat je zelden concrete schade kunt aanwijzen. Als je nu spam krijgt, of er wordt ineens gefraudeerd, hoe bewijs je ooit dat dat hierdoor kwam? Richtlijnen hiervoor zouden mooi zijn, zodat het lekken van gegevens op zich al wat waard is. Want als het op internet terecht komt komt het er nooit meer af, bij wijze van spreken.

[Reactie gewijzigd door bwerg op 5 juni 2013 20:12]

Als je een extern bedrijf hebt dat bijvoorbeeld de boekhouding doet? En dit is misschien de standaard procedure om gegevens uit te wisselen?

BSOB geeft in een reactie op de website aan dat er inmiddels aangifte is gedaan van ontvreemding

Waarom merkt men dit niet eerder op? Echt een super slechte zaak en ik hoop dat de verantwoordelijke passend gestraft wordt. Bij ambtenaren zal dat dus gebak of een saussijzenbroodje voor de afdeling worden....
Eerlijk gezegd zou ik NOOIT, noch privé noch in werk-gerelateerde situaties, met een USB-stick over straat gaan waarop privé-gegevens van zoveel burgers te vinden zijn. Zelfs als het encrypted is zou ik me hopeloos verantwoordelijk voelen als ik het kleinood verlies of wanneer het ontvreemd wordt.

Als het bedrijf waarvoor ik werk dat van me vraagt, dan weiger ik en haast me om een andere werkgever te zoeken. Uiteindelijk kun je maar voor 1 persoon (moreel) verantwoordelijk zijn, en dat is voor jezelf.
extern of niet, de beveiliging daar schort het aan.
erg triest dit, hopelijk is het gewoon een gevalletje usb stick laten vallen in de trein, maar dan nog zou ik dat liever ge-encrypt zien...

dan is nog de vraag is dit alle info of alleen een deel,
is die info gekopieerd,
en zit er geen malware op die USB stick die zoekt naar meer van dit soort dingen....

enge situatie dit.
Daar zit wel wat in. In elk geval moeten er serieuze consequenties zijn voor een organisatie als er zoiets lekt. Het enige is dit: als een directeur hoofdelijk aansprakelijk is, heeft hij een extreem sterke motivatie om het lek stil te houden en te verbergen. Dat lijkt me ook niet goed. Aan de andere kant heeft hij nu ook al redenen genoeg om het stil te willen houden. Misschien een straf op stilhouden? Ik vind dit echt een erg lastig probleem, en ik kan geen oplossing bedenken die organisaties op de juiste wijze stimuleert om lekken zowel te voorkomen als te openbaren.
Directie hoofdelijk aansprakelijk stellen voor de schade
De schade is ongeveer.... 1 usb stick? Alle andere schade is amper aan te tonen als er al sprake is van schade.
Daarnaast zijn het gewoon IT-ers die hier volle bak aan het prutsen zijn, de directie is hier amper bij betrokken. Overigens kan de overheid ook een keer fatsoenlijke regels invoeren om te voorkomen dat dit soort gegevens zo makkelijk lekken. (Bankrekeningnr's nooit meer plain-tekst opslaan, etc.)

Zullen we dan trouwens ook meteen artsen die fouten maken 'op dezelfde manier'-benadelen? Lekker terug naar de middeleeuwen... "Hoofd eraf" :+
Daarnaast zijn het gewoon IT-ers die hier volle bak aan het prutsen zijn, de directie is hier amper bij betrokken.
De gemiddelde directie wordt goed betaald "omwille van de verantwoordelijkheid die ze hebben". Ik wil niet de rode rakker uithangen en zeggen dat dat onterecht is, maar een directie heeft inderdaad een verantwoordelijkheid om te weten wat er gebeurt, eventueel door de juiste tussenpersonen aan te stellen tussen het directieniveau en het uitvoerend niveau.

Het feit dat er op veel plaatsen IT-ers volle bak aan het prutsen zijn, heeft te maken met het feit dat IT door directie en aandeelhouders vooral gezien wordt als een te drukken kostenpost.

En je kan hier wel wetten voor maken, maar hoe ga je die ooit controleren...
Dus in plaats van op het schavot gaan staan gaan ze met de vinger wijzen?
vrij sneu dat dit nog kan gebeuren...
nou hopen we maar allemaal dat de gegevens niet zijn uitgelekt. anders hoop ik wel dat eventuele schade gecompenseert word.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True