Virus vrij spel in databank telecomgegevens
Nederlandse internet- en telefonieaanbieders moeten dagelijks hun volledige klantenbestand uploaden naar een databank van de overheid, het CIOT. Het ministerie van Veiligheid en Justitie brengt elk jaar een rapport uit over het functioneren van het CIOT. Dat hebben we gelezen en wat blijkt: niet alleen is opnieuw de reikwijdte van het rapport beperkt, ook zijn weer een deel van de aanbevelingen van vorig jaar niet opgepakt, kloppen de cijfers uit het jaarverslag mogelijk niet en is de beveiliging van de computers waarmee de databank beheert wordt niet op orde.
Onvolledig
Een jaar eerder was het rapport beperkt tot de verbeterpunten uit het 2008, waardoor nieuwe misstanden over het hoofd werden gezien. Dat kwam de minister op veel kritiek te staan. Dit jaar is het nauwelijks beter. Het nieuwe rapport behandelt behalve de aanbevelingen uit 2009 ook een selectie van de normen waar het CIOT in 2008 wel aan voldeed. De onderzoekers besteden geen aandacht aan de opsporings- en inlichtingendiensten die de databank bevragen, omdat daar al een verbeterproces loopt. Dat lijkt ons juist een goede reden om daar wel goed naar te kijken. Ook internet- en telefonieaanbieders worden overgeslagen, omdat ‘de risico’s er beperkt zijn‘.
Kanttekeningen bij de juistheid
Opsporings- en inlichtingendiensten raadplegen het CIOT elk jaar meer dan 2,6 miljoen keer. Uit het nieuwe rapport blijkt dat de cijfers over het aantal bevragingen van de databank mogelijk niet betrouwbaar zijn. De aantallen in het jaarverslag komen overeen met de aantallen in het systeem, maar de onderzoekers ‘plaatsen kanttekeningen bij de juistheid en volledigheid‘ van die aantallen. De juistheid moet gecontroleerd worden bij het in gebruik nemen van een nieuwe versie van het systeem. De onderzoekers constateren dat het verslag van die controle ‘geen informatie over de inhoud van de uitgevoerde tests [bevat]‘. Wat er dan wél in stond, is niet bekend.
Aanbevelingen weer niet overgenomen
De onderzoekers stellen vast dat drie van de zes aanbevelingen uit 2009 blijven staan. Het gaat over de afspraken met de opsporings- en inlichtingendiensten, het maken van veiligheidskopieën en het beheer van softwareprogramma’s. Dat is slordig, want sommige aanbevelingen zijn een jaar eerder ook al eerder gedaan. Het verbeteren van de rampzalige situatie bij het CIOT blijkt overal moeizaam te verlopen.
Beveiliging niet op orde
Maar het schokkendste is dat het CIOT de virusscanners op haar computers slecht bijwerkt. Dat doet ze slechts één keer per week en dan ook nog eens met de hand. Is de beheerder ziek of met vakantie dan worden de updates gewoon niet uitgevoerd. Dat valt niet op, want er wordt niet bijgehouden wanneer een update uitgevoerd is. Schandalig natuurlijk, want de computers worden gebruikt voor het beheren van een databank met de identificerende gegevens van 16 miljoen Nederlanders. Eén van de tips om veilig te internetten van diezelfde overheid: zet de automatische updatefunctie van je virusscanner aan.
Het rapport werd openbaar na een verzoek op grond van de Wet openbaarheid van bestuur van Bits of Freedom. Het rapport is inmiddels ook op de website van overheid gepubliceerd.
Jeroen
Ik ben benieuwd hoe het dan met updates van het besturingssysteem zelf zit. Dat lijkt me nog veel belangrijker dan de virusscanner.
HD
Handmatig virusscanner updaten? Toen ik het las dacht ik aan een misplaatste 1 april grap…
Arie bakker
Te gek voor woorden gewoon.
Erik
Het zal n.a.w. niet om een online systeem gaan, gezien de vertrouwelijkheid van de data. Derhalve is er geen internet connectie en geen online update mogelijkheid. Dit zou jullie toch moeten aanspreken:-)
Daarnaast is het in ICT-beheer gebruikekijk om patches eerst te testen zodat de beschikbaarheid van je systeem niet in gevaar komt. Er kunnen immers applicaties zijn die onderuit kunnen gaan agv zo’n update.
Thijs Coesel
Dit is toch te droevig voor woorden. Je mag toch hopen dat er bij zo’n organisatie wel enige IT/telecom-kennis in huis is, maar nee dus. Ook droevig dat er weer een WOB-verzoek voor nodig is. Voor we de overheid vragen bedrijven een meldplicht op te leggen moeten we dat misschien eerst voor de overheid zelf proberen in te voeren.
@Erik: Ik zou er niet blind van uit gaan dat dit een offline-systeem betreft (wat uiteraard beter zou zijn, maar niet zaligmakend). Op pagina 17 lees ik bijv. dat Tele2 de verbinding monitort ‘waarmee o.a. het FTP proces wordt gefaciliteerd,’ Bovendien wordt dagelijks door de Nederlandse internet- en telefonieaanbieders hun volledige klantenbestand ge-upload. Als er al geen virusscanners worden bijgewerkt, zou er dan wel elke dag iemand met een USB-stick de data van het online- naar het offline-systeem overzetten? En dan staan ze alsnog (tijdelijk) op het online-systeem.
Ik hoop dat de database in ieder geval niet op een windows-systeem draait als ze zo laks met virus-bescherming zijn.
ozymandrias
Op Radio 1 wordt er nu een uitzending aan gewijdt
Bert
Is er in de geschiedenis ooit een dictatuur geweest die meer middelen tot zijn beschikking had?
Macht corrumpeert en veel macht corrumpeert veel.
Hawick
2,6 miljoen opvragingen per jaar. Met welk doel [statistiek per doel graag] ? Wat is de doelmatigheid? Hoeveel mensen worden opgespoord?
Met zo’n 12 miljoen mensen die over een telefoon beschikken: is dit niet een pietsje veel?
Hoeveel unieke telefoonnummers werden bevraagd?
Hoeveel verschillende mensen werden bevraagd?
Er moet een harde sanctie [bij wet door de rechter en niet meer via overheid te beinvloeden] zoals **verplicht** ontslag en beroepsverbod volgen bij weigering op dit soort punten publieke verantwoording af te leggen.
Als we er niet in slagen om een NORMALE cultuur bij de overheid te doen ontstaan,
dan is in feite bij de ambtenaren een totalitaire cultuur ontstaan.
Dat vind ik dood-eng!!!
Ik ben met Bert eens dat er kennelijk sprake van een gecorrumpeerde overheid.
Nederland lijkt steeds meer een schijndemocratie waar de ambtenaren
een antidemocratische speler met grote macht zijn geworden.
Dat er dingen geheim moeten blijven snap ik. Dat er speciale bevoegdheden nodig zijn
snap ik ook. Daar ben ik totaal niet op tegen. Maar de wijze waarop een groot deel van het overheids-
apparaat al decennia inmiddels actief verzet pleegt en massaal de wet overtreedt en zich onttrekt
aan redelijke en proportionele controle vind ik ergen nog dan stuitend.
Als tot overmaat van ramp blijkt dat ze naief / incompetent / onprofessioneel / stompzinnig
omgaan met zaken als privacy en beveiliging, dan vind ik dat ook de Tweede Kamer ernstig
in gebreke is geweest.
Het is in die sector tijd voor een ‘system-reset’; een herstel van normen en waarden.
Ze hebben al bevoegdheden genoeg. Dat is het punt niet.
Dat soort gejammer is niet nodig. Daar kunnen ze mij niet mee overtuigen.
Misschien is een landelijke politie zelfs wel een verbetering. Misschien dat we ook
het Openbaar Ministerie ook moeten laten aanpakken.
Die cultuur moet om. En snel!
Dat is een taak voor de politiek.
We stemmen op hen om het land te besturen en DUS dit soort dingen te doen.
Het is al een schande dat ik dit soort dingen moet posten onder pseudoniem.