Tientallen vertrouwelijke recherchedocumenten waren vindbaar via zoekmachines

Tientallen vertrouwelijke documenten van de recherche waren vindbaar via zoekmachines doordat de informatie op een onbeveiligde website was geplaatst, zo meldt NRC Handelsblad. Het zou gaan om politie-onderzoeken naar moordzaken, overvallen, criminele organisaties en jihadverdachten.

De politie heeft het veiligheidslek bevestigd en de documenten offline gehaald. Volgens NRC Handelsblad stonden de bestanden op een server waarop een website van een boekhouder draaide. Een familielid van de boekhouder en tevens systeembeheerder bij de politie zou de gevoelige documenten op een onbeveiligd deel van deze site hebben geplaatst. Door de naam van verdachten in te voeren in zoekmachines als Google konden de bestanden gevonden en opgevraagd worden.

In de documenten werden strafzaken beschreven waarbij verdachten door de politie geobserveerd werden, waaronder een groep jihadisten die mogelijk naar Syrië zou willen afreizen. Ook een leider van een criminele organisatie zou door onder andere de recherche gevolgd worden. In de documenten stond informatie die afkomstig was van de Criminele Inlichtingen Eenheid. Deze afdeling van de politie werkt veelal met informanten en doet zijn werk in alle stilte.

Naast de namen van geobserveerde verdachten waren er in de bestanden ook namen en adressen van rechercheurs en officieren van justitie te vinden. Volgens NRC Handelsblad controleert het OM momenteel of het veiligheidslek mogelijk gevolgen heeft voor lopende onderzoeken. Ook is de rijksrecherche een onderzoek gestart naar het incident, waarbij onder andere wordt gepoogd om na te gaan wie de documenten heeft opgevraagd. De verantwoordelijke systeembeheerder is op non-actief gesteld.

IT-banen

Reacties (111)

Neocortex-re 19 november 2014 14:33

Alvorens deze systeembeheerder collectief te verketteren lijkt het me zinvol om wat meer naar de achtergrond te kijken. Er zal een reden zijn waarom deze de informatie op een externe server heeft host. Wellicht dacht hij dat het beveiligd was of was van mening dat een hidden url goed genoeg zou zijn. Wat natuurlijk vaak ook wel een beetje zo is, totdat er bijvoorbeeld een tooltje draait dat directories indexeert en als sitemap aan Google aanbiedt.

Waarom? Weten we niet, maar een mogelijkheid zou kunnen zijn dat kennisdeling langs de officiële lijnen binnen de organisatie niet werkte. En dan is er al gauw een leidinggevende die pragmatisch zegt, regel het maar zoals het wel werkt.

ArvidWillem @Neocortex-re • 20 november 2014 12:09

je dient je leidinggevende erop te wijzen dat de pragmatische en snelle manier niet legaal is. Alvorens je iets doet, eerst vragen of hij dit even per mail bevestigd, dat jij het op de niet reguliere manier doet, en dat hij alle verantwoording neemt hiervoor.

HoppyF @Neocortex-re • 19 november 2014 16:27

Die reden kàn er gewoon niet zijn.
Vertrouwelijke documenten met dus gevoelige informatie mag nooit buiten het interne netwerk komen. Ook niet via USB sticks, CD tjes of een website die extern staat.
Het kan zijn dat de beheerder deze actie onder druk heeft gedaan, bedreiging bv door een crimineel of anders. Maar dan nog is dat geen excuus. Opdracht van een leidinggevende is ook niet voor de hand liggend, een dergelijk verzoek mag je negeren.
De mens is vaak de zwakste schakel binnen een organisatie, dat blijkt nu wel weer.

Neocortex-re @HoppyF • 19 november 2014 20:36

De mens is ook de sterkste schakel in een organisatie en in de maatschappij. Juist omdat hij zelf afwegingen kan maken.
Ik zal je een voorbeeld geven.
De regel is: winkeldiefstal is verboden. Toch kan ik me goed voorstellen dat ik iets uit een winkel pak en zonder te betalen ermee naar buiten ren.
Hoezo? Als ik in een tankstation een verbanddoos kan grijpen waarmee ik iemand kan helpen die zojuist is aangereden dan ga ik echt niet in de rij voor de kassa staan.
Uiteindelijk zijn te gefixeerde regels zelfs gevaarlijk. Dat geldt ook voor regels die in staal gegoten zijn in de vorm van poortjes bij de NS.

HoppyF @Neocortex-re • 19 november 2014 23:03

Zeker moet de mens zelf afwegingen maken maar dan wel in het voordeel van de organisatie, in dit geval de politie. Het verplaatsen van vertrouwelijke documenten valt niet onder professioneel handelen, de beheerder kan op z'n klompen aanvoelen dat het eventjes op een externe site zetten van documenten niet valt onder goed en veilig beheer.
Dat iemand in de organisatie bijvoorbeeld misschien verzocht heeft om even snel documenten ter beschikking te stellen en er daarom een creatieve oplossing is bedacht, is geen oplossing maar een lek, een veiligheidsincident. Dit schaadt de organisatie enorm ook al heeft de beheerder misschien geen kwade bedoelingen gehad met zijn actie.

Verwijderd @Neocortex-re • 19 november 2014 16:06

De persoon die dit hier neer heeft gezet heeft een grove fout gemaakt, klaar. Waarom dit proberen goed te praten?

Verwijderd @Neocortex-re • 19 november 2014 15:19

Security through obscurity is een veelgebruikt principe ... maar is zeker met dit soort materiaal gewoon niet goed te praten.

Dat laatste klinkt me bekend in de oren, of gewoon een opdracht van iemand van 'hoger hand' die al dat inloggen en RSA keyfabs maar onzin vindt ... been there ... done that

icter-tje 19 november 2014 12:32

Je zou verwachten dat de politie alleen experts in dienst heeft die niet deze fouten maken..

syl765 @icter-tje • 19 november 2014 13:07

Het heeft helemaal niets met experts te maken.
Ook experts maken fouten, het is natuurlijk heel dom om dit zo te doen. Maar misschien moest hij de documenten even beschikbaar stellen voor iemand en was dit even de snelste weg. Daarna prompt vergeten de boel weer weg te halen. Het gebeurt gewoon.
Als er achter je rug een manager staat te schreeuwen dat persoon B die documenten ASAP moet hebben dan kan het wel eens zijn dat je van de procedures afwijkt. Je weet dat je fout zit, en toch doe je het. We blijven mensen. Misschien heeft de persoon in kwestie nog wel geroepen, dit kan zo echt niet!! Maar als de persoon erboven dan roept doe maar tsja wie ben jij dan om het niet te doen.

Zonder dat je de reden weet is het lastig een oordeel te vellen buiten dat het natuurlijk stom blijft.

[Reactie gewijzigd door syl765 op 23 juli 2024 05:26]

Verwijderd @syl765 • 19 november 2014 15:49

Klinkt heel herkenbaar... helaas kun je als ICTer moeilijk weigeren dit te doen want dat zou je hoogstwaarschijnlijk je baan kosten.

StGermain @syl765 • 19 november 2014 18:44

Ik ben blij dat er toch nog tweakers zijn die beseffen dat mensen, hoe goed opgeleid ze ook zijn, fouten kunnen maken. Ik heb zelf vijfentwintig jaar ervaring en ben er mij zeer van bewust, het is dan ook een beetje choquerend hoeveel mensen er hier klaar zitten om de eerste steen te werpen...

Paffelton @syl765 • 19 november 2014 15:41

Als je dan al voor deze stompzinnige manier van vertrouwelijke informatie delen kiest, dan zorg je op zijn minst dat het niet geïndexeerd word door Google.
Als je twee van zulke fouten maakt mag je jezelf geen expert noemen wat mij betreft.

ArvidWillem @syl765 • 20 november 2014 11:55

laat die manager maar schreeuwen, lijkt mij stug dat hij mij ontslaat omdat ik niet naar hem luisterde maar er voor koos niks illegaals te doen. kom nou.

ja wie ben jij dan? een werknemer die zijn werk goed wilt doen helemaal bij overheids instellingen, elke nederlander moet zijn privacy inleveren voor beveiliging en terrorisme bestrijding, maar een of andere nitwit zet zomaar gevoelige informatie op het net...

laat hem maar een voorbeeld zijn en geef m de hoogste straffen, dit soort dingen kunnen en mogen echt niet

Verwijderd @icter-tje • 19 november 2014 12:40

Wie zegt dat het een fout was, het is heel goed mogelijk dat de systeembeheerder is omgekocht en tegen betaling de documenten beschikbaar heeft gemaakt.

Atomsk @Verwijderd • 19 november 2014 13:04

Dan zet je die documenten op een usbstickje lijkt me, of je stuurt ze via mail / dropbox door. Verplaatsen naar een niet beveiligde map is ongeveer net zo onopvallend als een archiefkast uit een politiebureau naast de ingang zetten.

Gomez12 @Atomsk • 20 november 2014 01:27

In wezen is copieren naar een niet beveiligde map 100% secure op internet.

Ik ken geen enkele bot / spider die random urls gaat proberen. Dus zolang je geen incoming link hebt vind/ziet niemand het.

tricksel @Gomez12 • 20 november 2014 12:05

Nee. dat is pertinent níet secure. Het feit dat iets niet via de "standaard" manier te vinden is, wil zeker niet zeggen dat iets secure is.

Jouw wachtwoord "12345" is natuurlijk ook verre van secure. Niemand zal vantevoren weten dat dat jouw wachtwoord is als je ze dat niet verteld hebt, maar wil je dat ook echt secure noemen om die reden?

Atomsk @Gomez12 • 20 november 2014 17:45

Het punt is: wanneer je vertrouwelijke documenten kopieert naar een usbstick, ben je voor die paar minuten dat dat duurt kwetsbaar. Verplaats je ze naar een onbeveiligde map en laat je dat wekenlang zo staan, ben je die hele tijd aanwijsbaar als degene die dat gedaan heeft. Dat maakt het IMO wat onwaarschijnlijk dat er met opzet is gelekt.

Daarnaast is het zo'n typische reflex hier om ieder overduidelijk geval van incompetentie te bestempelen als een sinistere criminele samenzwering.

tricksel @Atomsk • 20 november 2014 12:03

Ja, mail. Heel veilig...:
http://www.mauritsreijnou...-is-een-groot-gapend-gat/

Verwijderd @icter-tje • 19 november 2014 12:38

Kan je hier nog wel van een "fout" spreken dan? Opzettelijk vertrouwelijke documenten op een server van een derde plaatsen en dan ook nog eens onbeveiligd. Zelfs een systeembeheerder van het laagste niveau weet volgens mij dat je daarmee 3 keer fout zit. Zaken als autorisatie, authenticatie en permissies zijn dagelijks kost voor een systeembeheerder.

mgizmo @Verwijderd • 19 november 2014 12:42

In de tekst staat niet dat de server van een derde was. Misschien draaide ie wel de website van de boekhouder op een overheidsserver

Verwijderd @mgizmo • 19 november 2014 12:48

Onwaarschijnlijk, maar zou inderdaad kunnen. Hoe dan ook: kwalijk en verwijtbaar gedrag.

trisje @Verwijderd • 19 november 2014 17:51

lijkt me meer onwaarschijnlijk dat hij vertrouwelijke stukken van de politie op een server van derde plaats. het is maar de vraag of hij de gene is die verwijtbaar is. die server kan door meerdere mensen zijn beheerd zijn geweest. een voor de website en een voor bijvoorbeeld files. die via een bepaalde manier bereikbaar moesten zijn.
Wij weten gewoon eigenlijk niets van wat de opzet van de hele server is geweest. waarom de files daar stonden.

Gomez12 @trisje • 20 november 2014 01:26

Maar Google die laat zijn bots ook niet zomaar random filenamen gokken.

Ergens moet er dus een linkje naar die documenten hebben gestaan, hence iemand moest ervan afweten.

Lijkt me trouwens wel een goede om eens aan google te vragen (ik weet niet of ze hierin faciliteren maar goed), waar komen de incoming links vandaan op basis waarvan google de hele boel gespiderd heeft.

TheTeek @icter-tje • 19 november 2014 13:14

Ironisch genoeg staat er bij mij boven het artikel reclame van de overheid "het Nederland van nu zoekt ICT'ers"....

Iblies @icter-tje • 19 november 2014 13:18

Je zou verwachten dat de politie alleen experts in dienst heeft die niet deze fouten maken..

Dit soort fouten zullen blijven voorkomen. Justitie en politie is een organisatie met 1000den mensen.
Wat je mist, en dat gebeurt bij meerdere organisaties, dat hun systemen niet systematisch worden doorgelicht. Onderhoud, installatie wordt vaak grote partijen ingeschakeld die zich netjes aan de opdracht houden, alleen de zwakke punten aanhalen en aanpakken blijft achterwege.

Verwijderd @icter-tje • 19 november 2014 13:40

Ik zie vrij regelmatig recruitment advertenties voorbijkomen, voor wat ze bieden krijg je niet de snelste konijntjes uit het bos aan boord.

Verwijderd @icter-tje • 19 november 2014 16:27

Hoezo fout.
Dit lijkt me gewoon opzet.
Je moet wel een aardig bizar scenario bedenken om dit als een gewone fout te verklaren

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:26]

RGAT @Azerion • 19 november 2014 12:38

Welk deel van de overheid en ICT past bij de beschrijving 'goedkoop'

Azerion @RGAT • 19 november 2014 12:42

Dat het ook daadwerkelijk goedkoop is heb ik het niet over, maar tijdens aanbestedingen (en dus ook personeels inhuur) mag het niets kosten, hierdoor heb ze veel personeel in dienst die niet volledig geschikt zijn voor hun functie, maar ze waren tijdens het inhuur process wel goedkoop, uiteindelijk zijn ze duur omdat ze meer mensen nodig hebben om hetzelfde uit te voeren.

WPN @Azerion • 19 november 2014 13:32

Nou ik kan je vertellen dat je opmerking niet berust op ervaring...

Enige jaren geleden heb ik een beheerder gesproken bij een HP event en die vertelde dat ze gestandaardiseerd waren qua hardware beleid. Ook sateliet locaties waar een server moest staan werd een bladechassie naar binnen gereden. En dat is NIET goedkoop....

trisje @gwie • 19 november 2014 17:52

Gaat dat bij jullie bedrijf dan ook zo?

WPN 19 november 2014 13:36

Ik vraag mij af

Waarom heeft de systeembeheerder toegang tot (geheime) documentatie van (lopende) onderzoeken?
Gezien ik geen SENIOR voor zijn functie zie staan ga ik er vanuit dat hij sowieso niet op een fileserver in data mag kijken ook niet om storingen op te lossen. Senior kan ik nog bij voorstellen dat hij vanuit dat aspect bij data komen die regulier niet voor hem toegankelijk hoort te zijn.
Doen ze ook geen toegangauditing?

Waarom heeft hij uberhaupt de kopie uitgevoerd?
Als het een legitieme reden is: WAAROM naar een prive server.....
ALs het niet ligitiem is:
- Stoer doen bij familielid
- Geheime informatie lekken naar criminelen c.q. spionage.

[Reactie gewijzigd door WPN op 23 juli 2024 05:26]

TonnyTonny @WPN • 19 november 2014 17:13

Je kunt normal gesproken geen file-server beheren ZONDER toegang te hebben tot de data.
Tenminste niet in gangbare Operating Systems en ze gebruiken gewoon Windows bij de politie.

En sinds wanneer heeft de naam van de funktie (al dan niet SENIOR) ook maar enige relatie met wat iemand uit hoofde van zijn funktie al dan niet aan rechten zou moeten hebben ?
Over het algemeen: Hoe "hoger" de funktie hoe minder rechten iemand juist nodig heeft.
Want: Ik doe geen koelie-werk: Daar heb ik ondergeschikten voor.

trisje @TonnyTonny • 19 november 2014 18:34

@WPN
Natuurlijk heeft de systeembeheerder daar toegang toe, en zijn team leider meestal niet, hij is tenslotte ook de gene die het mag oplossen als het mis gaat en niet de Senior. Nou ja misschien echt alles plat ligt, dat hij zijn hulp aanbied.
Men kan heel goed een file server beheren zonder dat je de documenten kan openen. Technisch gezien kan je de toegang altijd veranderen en ja je kan ze ook kopiëren, maar of je dat met behoud van baan kan blijven doen.

TonnyTonny @trisje • 19 november 2014 20:37

Een fileserver beheren zonder documenten te kunnen openen ?

In theorie kan het. Ook in Windows. Maar praktisch gesproken is het zo'n nachtmerrie dat te onderhouden dat ik het nog nooit ben tegengekomen tijdens mijn bijna 20 jaar ervaring als systeembeheerder.
Voor een paar folders/shares gaat het nog wel, maar het scaled heel gauw niet meer als her er meer worden.
Sowieso gaat heel veel software dan over zijn nek omdat het dergelijke getruucte permissies niet begrijpt.

Dat een beheerder zich netjes gedraagt en niet gaat rondneuzen is een ander verhaal.
Kwestie van moraal en fatsoen, maar dat lijkt, vandaag de dag, soms behoorlijk afwezig te zijn bij veel mensen.

Verwijderd @TonnyTonny • 20 november 2014 09:42

In de praktijk kan het ook gewoon. Kwestie van de systeembeheerder geen rechten geven. En je kunt prima een dusdanig hierarchie van berechtingen geven dat dat ook in de praktijk geen problemen levert.

Voor noodsituaties kun je altijd ownership claimen en daarmee alsnog toegang verkrijgen. Maar dát wordt gelogged, en is niet ongedaan te maken, en dus niet te verbergen.

Andere mogelijkheid is om het admin account dat dergelijke toegang heeft via een meerdere-persoon authenticatie of wachtwoorden delen in een kluis, waarbij niet-IT-ers de sleutel van de kluis hebben. Met dat soort regelingen kun je zorgen dat bij noodgevallen er een super admin mogelijkheid is, maar tegelijk dat het niet misbruikt kan worden.

trisje @Verwijderd • 20 november 2014 21:35

Nou zo ingewikkeld is het allemaal niet hoor en ook geen nachtmerrie. Heb je wel is gekeken naar advanced. Rechten. U kan gewoon de rechten blijven zetten op folders en bestanden alleen niet de bestanden openen. Folders en filters hebben ook verschillende rechten.

geenstijl

19 november 2014 12:33

Dit lijkt mij gewoon ontslag op staande voet, zeer kwalijke zaak.

Er zijn m.i. twee situaties mogelijk:
1) Politie heeft een externe server staan, waar de systeembeheerder de site voor zijn familielid bij gezet had
2) Systeembeheerder heeft de documenten mee naar huis genomen en daar op een eigen server gezet, waar dan ook de site van de boekhouder op draaide.

Kortom, in beide gevallen willens en wetens fout geweest.
Ik ga voor optie 1.

In het verleden ook meegemaakt, iemand werkte bij een gerechtelijke instantie op de ICT-afdeling en hostte een porno-site vanaf zijn werk-machine. (Dat is gelukkig > 10 jaar geleden).

[Reactie gewijzigd door geenstijl op 23 juli 2024 05:26]

Rutix @geenstijl • 19 november 2014 12:42

Wat ik sowieso raar vind is hoe die systeembeheerder bij de documenten kon komen. Ik weet namelijk uit ervaring bij andere onderzoeksinstanties dat zulke documenten altijd beveiligd zijn en er dus alleen mensen bij kunnen die er ook autorisatie voor hebben. De vraag is dan dus ook wie heeft die documenten aan de systeembeheerder gegeven en vooral waarom. Ik krijg namelijk een beetje een omkoop gevoel hierbij.

[Reactie gewijzigd door Rutix op 23 juli 2024 05:26]

ITsEZ @Rutix • 19 november 2014 12:59

Lijkt me best logisch dat je als systeembeheerder toegang hebt tot "het systeem" dat is namelijk het werk van een systeembeheerder over het algemeen. Er moet toch iemand zijn die kan regelen wie er bij de bestanden kan, dat gaat de persoon die er bij moet kunnen echt niet zelf doen. Bij een omkoop gevoel zou ik toch zeggen dat je de bestanden niet op de server van een boekhouder zet maar gewoon op een usb stick oid

trisje @ITsEZ • 19 november 2014 18:05

Veelal kan je de rechten op bestanden veranderen, maar die rechten kan je ook zo zetten dat jij als systeem beheerder die bestanden niet kan lezen. terwijl je de rechten wel kan aanpassen. Dit wordt veel al ook weer gemonitord of wel gelogd. wie wat doet op die bestanden.

ITsEZ @trisje • 19 november 2014 23:01

Uiteraard kan je als systeembeheerder instellen dat je de bestanden zelf niet kan lezen maar zoals je aangeeft kan de systeembeheerder deze rechten ook zelf aanpassen, uiteindelijk heeft de systeembeheerder dus altijd toegang tot de bestanden.

trisje @ITsEZ • 20 november 2014 21:40

Nee dat heeft ie dus officieel niet, en dat wordt ook gemonitord, dat hij dat ook niet heeft. Daar moet je niet te ligt overdenken.

Rutix @ITsEZ • 19 november 2014 20:05

Wie zegt dat deze systeembeheerder toegang had tot dat systeem? Daarnaast lijkt het mij helemaal niet logisch. Ik mag geen namen noemen maar bij een andere misdaad onderzoek organisatie hebben ze een soort document management systeem waar de documenten in leven. Systeembeheerders kunnen wel bij de files maar hebben daar niks aan omdat het encrypte files zijn (ze kunnen niet eens zien wat de file extensie is). Systeembeheerders kunnen en mogen niet eens autorisaties uitgeven dat moesten "security officers" doen. En daarnaast werd er zelfs bijgehouden wie de bestanden opent, wie de autorisaties uit geeft, ect.

[Reactie gewijzigd door Rutix op 23 juli 2024 05:26]

Verwijderd @Rutix • 19 november 2014 15:13

Ik weet als ICTer dat vaak 'gemak' vaak boven beveiliging gaat, dat begint al bij wachtwoorden/wachtwoordsterkte.

Voor een klant (semi overheid) had ik een systeem zo ingericht dat er periodiek sterke wachtwoorden gegenereerd werden , uiteraard moest er toen een optie komen om het wachtwoord te wijzigen want deze wachtwoorden waren 'te moeilijk'. Daarna gingen uiteraard ook de restricties op de wachtwoordsterkte, de restrictie op een uniek wachtwoord en als laatste de restrictie op het aantal karakters van het wachtwoord.

Dit is nog maar een klein voorbeeld maar de gemiddelde persoon, met name degene die de hogere posities hebben, boeit het geen @(#)!(, zolang ze ook maar in de file op hun iPad van thuis de beveilige documenten kunnen bekijken.

ninjazx9r98 @Verwijderd • 20 november 2014 09:51

En ik weet als ICTer dat dergelijke beveiliging vaak opgedrongen wordt aan het voetvolk en dat ICTers vaak van mening zijn dat strenge wachtwoordregels en dergelijke voor hun niet gelden. Gevolg is gebruikers die elke X dagen/weken een wachtwoord moeten wijzigen wat aan allerlei voorwaarden moet voldoen terwijl root/administrator en user accounts van ICTers al meer dan 10 jaar exact hetzelfde zijn en worst case ook nog eens heel eenvoudig. Onderscheid in overheid en de commerciele sector zie ik daarin overigens niet. Op tweakers wordt vaak gescholden op overheid en het niveau van systeembeheerders die daar werken maar in de dagelijkse praktijk zie ik daar weinig tot geen verschil in, ook bij commerciele bedrijven wordt geblunderd op soortgelijke gebieden.

Verwijderd @Verwijderd • 19 november 2014 15:31

Ach, dezelfde rant krijg je ook vanaf de andere kant te horen. Dat ICT'ers alleen aan zichzelf denken, hoe het zo makkelijk mogelijk voor hen is, en daarbij totaal vergeten dat het ook werkbaar moet zijn voor degenen die er mee bezig zijn. Periodieke wachtwoord wijzigingen zijn zo iets dat alleen averechts werkt. Je kunt simpelweg niet zoveel unieke en sterke passwoorden maken en onthouden. En dus zal de wijziging uit weinig meer bestaan dan een index nummer erachter.. Niks veiliger dus.

trisje @Verwijderd • 19 november 2014 18:14

Periodieke wachtwoord wijziging lijkt averechts te werken, zeker als je het te kort doet maar e paswoord wijzigen, voorkomt echt dat andere toegang krijgen tot je gegevens. Vele collega's op de werkvloer weten elkaars paswoord. ook gaan collega's wel is naar een nadere afdeling of erger naar een andere werkgever. Alleen daarvoor is het al verstandig om dit regelmatig te doen. Dat het lastig is om weer een nieuw paswoord te leren ja dan maar zo. Overigens zijn die die index nummer paswoord heel makkleijk af te vangen tegenwoordig.

Verwijderd @trisje • 20 november 2014 09:35

Als collega's elkaar wachtwoord kennen, dan is er iets goed mis met de organisatie van je authenticatie systeem... Het moet dusdanig ingericht zijn dat iedereen altijd alleen met zijn eigen (admin) account inlogt, en nooit dat het voor de gebruiker nodig of handig is om iemands anders zijn account gegevens te weten. Kwestie van zorgen dat user account de juist rechten hebben. Er is niemand bij ons die andermans password weet.
Daarmee zijn jouw gesignaleerde problemen ook gelijk afgelopen. Als iemand naar een andere afdeling gaat, kan hij zijn password behouden... maar de rechten van zijn account om op zijn vorige afdeling te kijken kunnen onmiddellijk afgenomen worden.
Ik sta er verbaasd van dat dit nog als 'probleem' gesignaleerd wordt... Ga me niet vertellen dat er bij jullie nog algemene passwords zijn?!

Dat mijn opmerking over de werkbaarheid voor de gebruiker t.o.v. het gemak voor de ICT beheerder als ongewenst wordt afgedaan, geeft trouwens prima aan wat er vaak mis is bij ICT afdelingen....

trisje @Verwijderd • 20 november 2014 22:07

Sorry maar je zegt steed jouw ??? Waar in mijn bewoording zeg ik dat het bij ons zo gaat ? Admins weten elkaars wachtwoorden niet. Ook nooit gezegd. Gebruikers daar in tegen doen dat wel is. Dat gebeurd gewoon overal. Ook zonder dat de admin het weet. Het is gewoon de realiteit. Overigens is het in het geheel geen probleem waar ik mee zit. Ik gebruik het als voorbeeld meer niet. Wat bedoel je met algemene password ? Ik vind mijn paswoord vrij algemeen, het is een combinatie van cijfers en letters. Is dat dan niet juist ?. Je moet mijn bericht niet zo lezen dat het ook letterlijk bij ons zo is, maar meer algemeen.

Verwijderd @Verwijderd • 19 november 2014 15:43

Extra beveiliging implementeren is naar mijn mening alles behalve 'het zo makkelijk mogelijk maken'. Overigens was in mijn verhaal dit aanvankelijk een vereiste vanuit de organisatie zelf.

Ik snap dat dingen ook werkbaar moeten zijn maar er moet een goede balans zijn tussen beveiliging en gemak.

kimborntobewild @Verwijderd • 19 november 2014 17:26

Die balans hangt van 't bedrijf / de instelling af.
M.i. had moet wat deze gegevens betreft trouwens standaard minimaal 2-weg indentificatie plaatsvinden. En dan geen RSA-tokens want RSA is omkoopbaar voor de NSA gebleken.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 05:26]

ArvidWillem @Verwijderd • 20 november 2014 12:02

denk dat je hier een middenweg in moet vinden.

maar klopt wel, als t maar op de ipad te lezen is, interreseert het ze niet.
maargoed, dat betekend dat je een manier moet vinden, om het (veilig) naar die laptop te krijgen... hoe hard mensen ook zeuren

RGAT @Rutix • 19 november 2014 12:58

Ik vermoed toch, dat als die systeembeheerder het al op een server van een derde propt, of zoals geenstijl suggereert de data van een derde op een overheidsserver host, dat deze of geen enkele interesse in veiligheid heeft, en dus vrijwel niets toepast wat betreft rechten op bestanden enz. en iedereen intern overal bij kan, of dat de systeembeheerder een beheeraccount heeft gebruikt om wat rechten aan te passen.
Kan ook zijn dat de systeembeheerder onder druk van collega's snel dit heeft opgezet en dan ook gelijk van collega's de bestanden kreeg, ik kan me niet voorstellen dat je die zelf gaat halen... Maar ik kan me ook niet voorstellen dat je ooit data zomaar ergens op gooit, dus wat betreft verwachtingen...

Verwijderd @geenstijl • 19 november 2014 12:51

Ontslag is eigenlijk niet voldoende. Dit soort gevallen zou ergens geregistreerd moeten worden, juist omdat het geen fout is maar moedwillig handelen. Mocht er bij ons iemand solliciteren binnenkort dan weet ik het wel: "bij de politie gewerkt zie ik; toevallig een boekhouder in de familie?".

kzin

@geenstijl • 19 november 2014 14:28

Mogelijkheid drie: Iemand die wel toegang had tot die documenten heeft het buiten weten van de systeembeheerder op een website geplaatst.

trisje @Verwijderd • 19 november 2014 18:16

nee dat zou natuurlijk nooit in een bedrijf buiten de overheid kunnen gebeuren.
Wist u dat de overheid veelal mensen inhuurt, die bij die alles beter wetende bedrijven werken

mgizmo 19 november 2014 12:40

Dit is toch te absurd, en dan vinden ze het vreemd dat ik niet aan het EPD wil en nog meer van de gecentraliseerde database oplossingen. Ik probeer zoveel mogelijk me te behoeden van dit soort oplossingen, maar er zijn ook gegevens van mij bij instanties bekend waar ik geen controle over kan hebben.
Ik als freelancer wordt gevraagd door bureau's om een kopie paspoort af te geven zodra de opdracht wat verder komt in de procedure van aannemen. En men vindt het maar vreemd dat ik die gegevens niet verstrek. Laatst had ik een freelancer gesproken, die werkte bij een instantie, waar ze doodleuk een open share gebruikte waar alle kopie paspoorten in te vinden waren.

Franckey @mgizmo • 19 november 2014 14:04

De overheid heeft zelf gezegd dat je geen kopie van je id mag maken en die aan anderen geven. Het vreemde is wel dat dezelfde overheid pas een app heeft gemaakt om een kopie van je id te kunnen maken.

mgizmo @Franckey • 19 november 2014 14:08

Ja die app heb ik ook gezien. Kopie mag je wel verstrekken, zolang je maar je identiteitzaken eruit haalt. Dat 'doet' de app op een aantal fronten.

Thystan @mgizmo • 19 november 2014 14:40

Je mag het BSN nummer afschermen

Edit: Niet altijd, maar ik zou het gewoon proberen

[Reactie gewijzigd door Thystan op 23 juli 2024 05:26]

mgizmo @Thystan • 19 november 2014 19:27

Ze (bureaus) hebben geen kopie paspoort nodig. Ze willen een identificatie toetsing doen, prima. Ik zal het paspoort tonen.... BSN nummer afschermen heeft geen nut. Het BTW nummer van een eenmanszaak is het BSN nummer

Moartn 19 november 2014 12:42

Dit lijkt me geen fout maar gewoon een bewuste actie van die systeembeheerder. Waarschijnlijk had hij niet als doel om ze via Google vindbaar te maken, maar puur het feit dat hij bestanden naar een server van een derde partij kopieert lijkt me al iets wat normaal gesproken niet mag.

Franckey @Moartn • 19 november 2014 14:07

Iets wordt pas vindbaar door Google als er een link naar is vanaf een andere pagina die al vindbaar is.

trisje @Franckey • 19 november 2014 18:21

ja ook, maar men kan er ook een texb bestandje opgooien die voor de zoek machine is bedoeld, waar in je verteld waar ie mag zoeken en waar niet. robot.txt

demokert 19 november 2014 12:51

Ik vraag me vaak toch weer af hoe het mogelijk is dat dit soort dingen kunnen gebeuren. Ik neem gemakshalve aan dat niet het ICT personeel deze documenten "gepubliceerd" hebben maar "gewone" medewerkers?

Mocht een van de ICT medewerkers hier verantwoordelijk voor zijn mag ik toch hopen dat het niet bij een uitbrander van zijn leidinggevende blijft, dit is in mijn ogen echt not done...

trisje @demokert • 19 november 2014 18:22

nou ik kan je vertellen dat het niet alleen een uitbrander is geweest, in het artikel is namelijk te lezen dat ie even niet meer hoeft te komen.

SPee @trisje • 19 november 2014 21:16

Extra vakantie? Of toch wat zwaardere acties...

rookie no. 1 19 november 2014 12:43

Een boekhouder is geen adminstrator en webdeveloper. Dit verwacht je eigenlijk alleen bij MKB bedrijfjes met een paar man personeel

nuveo 19 november 2014 13:17

Bijzonder dat zulke gevoelige documenten überhaupt onversleuteld "at rest" bestaan. Tegen iemand die moedwillig informatie uitlekt kan je natuurlijk nooit 100% beveiligen, maar er zijn wel zoveel maatregelen te bedenken die tegen dit soort stomme fouten hadden kunnen beschermen..

Franckey 19 november 2014 14:16

Ik ben benieuwd naar de uitkomst van het onderzoek. Ik denk dat het of opzet is of die systeembeheerder is totaal niet geschikt voor die functie. In beide gevallen kan die daar niet blijven zitten denk ik.

Maar er valt niet alleen die systeembeheerder iets te verwijten. Want waarom kon hij bij die bestanden? Niet alle systeembeheerders hoeven overal bij te kunnen lijkt mij. En waarom waren die bestanden zelf niet versleuteld?

trisje @Franckey • 19 november 2014 18:36

niet alles hoeft versleuteld te zijn, men kan men rechten alles prima afdekken. Bovendien al eerder verteld, kan men prima files beheren zonder de rechten te hebben om deze te openen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (111)

Sorteer op:

Weergave: