De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen. Hierdoor zijn circa driehonderdduizend personeelsdossiers met medische gegevens vrij eenvoudig toegankelijk te maken. Onder andere de gegevens van de spelers van FC Twente liggen hierdoor op straat, constateert het televisieprogramma Zembla. Het programma besteedt op 20 april 2012 aandacht aan het lek.
VCD levert Humannet al zeven jaar. Het wordt onder andere gebruikt voor het bijhouden van verzuimgegevens van medewerkers van de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action. Door het lek hadden redacteuren van Zembla toegang tot medische gegevens, maar ook telefoonnummers en adressen van medewerkers van bedrijven en organisaties die de toepassing gebruiken.
In de Zembla-uitzing komt onder andere hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen aan het woord. Volgens hem gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis: ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt mensen hiermee chanteren.'
Ook directeur Sjouke Kuindersma komt in de uitzending aan het woord. Hij zegt dat Humannet niet lek is, maar dat Zembla gebruik heeft gemaakt van gestolen wachtwoorden. Dat wordt tegengesproken door hoogleraar Jacobs, die zelf het systeem binnen is gekomen.
Politie
Aanvankelijk wilde VCD volgens de makers van het programma niets van de kwetsbaarheid van het systeem weten. Toen een Zembla-redacteur van het programma de vondst in Groningen wilde toelichten, besloot het bedrijf zelfs de politie te bellen.
Volgens eigen zeggen is VCD met Hummannet marktleider op het gebied van webbased verzuimapplicaties in Nederland. Via de applicatie worden preventie, verzuim, herstel en re-integratie van honderdduizenden werknemers accuraat gevolgd. De klant heeft op elk gewenst moment en vanaf elke locatie inzicht in , toezicht op en overzicht over hun verzuimproces.
Een folder op de website van VCD meldt dat bij de ontwikkeling gebruik werd gemaakt van . Net en Ajax. Over de beveiliging van de webapplicatie meldt het stuk niets.
De firma VerzuimReductie is ook een beetje pissig op VCD. Niet alleen vanwege een beetje domme fout waar zij slachtoffer van is geworden, maar ook op de wijze waarop zij als klant aan het lijntje wordt gehouden. Op haar website staat aangegeven “De applicatie Humannet Starter is vanwege een veiligheidsprobleem nog steeds niet beschikbaar.
Jongstleden donderdag hebben wij de leverancier VCD Humannet de opdracht gegevens om onze databases uit de lucht te halen, vanwege concrete aanwijzingen van geslaagde inbraakpogingen.
Met de leverancier is vervolgens de afspraak gemaakt dat zij door een gerenommeerde derde partij een veiligheidsaudit op de Humannet Starter omgeving zouden laten uitvoeren. Het resultaat van een eerste audit door een derde partij was, zo is ons door de leverancier medegedeeld, dat een drietal beveiligingslekken is geconstateerd.
VCD Humannet heeft ons zondagavond medegedeeld dat de veiligheid van Humannet Starter het afgelopen weekend is onderzocht en getest. Men zegt er van overtuigd te zijn dat Humannet Starter aan de daaraan in alle redelijkheid te stellen eisen van informatiebeveiliging voldoet.
VCD Humannet is echter terug gekomen op de eerder gedane toezegging dat wij kennis zouden mogen nemen van een algemeen verslag van de auditbevindingen.
Voordat wij weer “live” gaan willen wij zeker weten dat de applicatie nu wel veilig is. Hiertoe dienen wij te beschikken over een verklaring van een onafhankelijke auditor dat de applicatie voldoet aan de redelijkerwijs te stellen eisen rond de beveiliging. VCD Humannet heeft die verklaring nog steeds niet verstrekt.
Deze vervelende situatie heeft verregaande gevolgen voor de goede dienstverlening aan onze klanten. Deze gevolgen moeten wij afwegen tegen het belang van de adequate bescherming van de privacy van uw werknemers. Dat laatste belang weegt zo zwaar, dat wij nu niet het besluit kunnen nemen om weer “live” te gaan.
Uiteraard doen we er alles aan om deze situatie zo kort mogelijk te laten duren.
Voor het opgetreden ongemak bieden wij u onze verontschuldigingen aan.
Wij zullen u op de hoogte houden van de ontwikkelingen.”
Zie: http://www.verzuimreductie.nl/humannet_niet_beschikbaar/
Iedereen maakt wel eens een fout, soms ook een hele stomme, soms ook hele grote. Maar waarom gaat VCD er zo omheen draaien. Zo maakt men het alleen erger. Wees eerlijk en deel de zorgen met de klant. Die klant maakt ook wel eens fouten met vergaande consequenties. Dat geldt ook voor VerzuimReductie zelf, die de privacy van vele mensen geschonden had. Maar ze willen niet nog een keer de dupe zijn van slechte communicatie van de commercieel verantwoordelijken van VCD. Dat is toch begrijpelijk.
“De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen”
Dit is niet een kwestie van slechte beveiliging, maar van slecht programmeren…. De data die je aan je back office database aanbiedt, dien je altijd te valideren.
– de reputatie van VCD is naar de kloten!
– erg arrogant de manier waarop de directie van VCD reageerde
– neem iemand serieus die wat te melden heeft en U benadert voor een gesprek.
En zo krijgt het woord verzuim in ene een heel andere betekenis
AL vanaf het begin dat Ab Klink bezig is gegaan met iets wat het EPD moest worden, uiteraard ook zijn voorgangers, heb ik op verschillende manieren de toenmalige minister erop gewezen dat wat men aan het optuigen was, ondoordacht, technisch niet haalbaar en volkomen voor rekening zou komen van de belastingbetaler wanneer het debacle uiteindelijk een moloch zou worden.
Reden dit kenbaar te maken in deze bewoording was namelijk dat de ‘bouwers’ van dat EPD, geen enkel benul bleken te bezitten van keten opbouw, overduidelijk niets hebben begrepen van de meest basale IT procesketens, pilot of implementatie. Ik heb het dan ook nog niet eens over onvermogen beveiliging en bemensing te garanderen. Immers, een dergelijk systeem dient uiteraard aan een aantal voorwaarden te voldoen voordat je überhaupt zou moeten denken aan implementatie.
In eerdere openbare reacties heb ik steevast gegarandeerd dat de huidige staat van inzet IT professionals, en de wijze waarop recruitment/HR/P&O/Headhunting/Cowboytje spelen, aanzienlijke gevolgen zou hebben en dat we daa steevast van zouden gaan horen.
Het is een beetje jammer hier te moeten constateren dat ik daarin jammer genoeg gelijk heb gekregen.
Ik heb het nieuws gevolgd, allerlei politici domme uitspraken horen doen over wat er zou moeten gebeuren en dat toch vooral het CPB niet alleen zo moeten kunnen ‘blaffen’ neen, die zou ook moeten kunnen bijten. Ik vind dat een zeer wrange constatering. Deze organisatie heeft zichzelf, net als eerder bijvoorbeeld Diginotar, volkomen onmogelijk gemaakt en het is juridisch nu aan de klanten van VDC een stap te zetten.
Mijn punt tegen het EPD is altijd geweest dat a. de betreffende patiënt gewoon het alleen recht over de betreffende data zou mogen hebben, iets wat in het EPD noch hier in deze applicatie het geval, b. ook hier is het overduidelijk dat er aan de meest basale criteria van implementatie kwalitatief geen enkele zorg of aandacht is besteed.
Mijn beste lezer, u mag kritisch zijn en kritiek spuien. Beter zou het zijn te realiseren hoe onnadenkend en infantiel er word omgesprongen met de materie IT en de IT professionals.
Daar waar IT productie zou moeten vergemakkelijken en ondersteunen, doen commerciële praatjes, amateurisme en winstbejag de reputatie en kracht van IT en professionals een bedenkelijk licht krijgen.
Dames en heren politici, zwijg! Want ik beloof u dat we gewoon kunnen wachten op de volgende Fail. Ik hoop dat mensen zich nu achter de oren gaan krabben en realiseren dat de spastische idiotie door ‘crisis’ in gegeven veel meer zullen kosten dan de cosmetische besparing die men dacht te bewerkstelligen.
‘If you pay peanuts you’ll get monkees. You know what? A monkey doesn’t care, as long he gets peanuts.’
Als jezelf geen knowhow hebt, geef je in het volste vertrouwen een opdracht aan diegene, die zegt het beste en tegen de beste prijs kan doen. Dit legt een zeer grote verantwoordelijkheid op de schouders van de “uitvoerder”. En zeker in dit geval, waar gevoelige gegevens worden vastgelegd. Ontbreken van enige zelfreflectie en misplaatst superioriteitsgevoel leiden tot dit soort uitwassen als de onderhavige.
VCD is ONGEVRAAGD verplicht de veiligheid van haar systeem te garanderen. Nu zij dit bewijsbaar NIET heeft gedaan is zij ernstig tekort geschoten en heeft zij een wanprestatie geleverd. Overigens komt dit heel vaak in de IT-wereld voor.
Hoe moeilijk is het nou om vooraf dit soort systemen te laten testen door een erkend security bedrijf en uiteraard een procedure om bij iedere wijziging dit te herhalen.
Ben verder benieuwd naar de inhoud van het programma vanavond.
Wordt het niet eens tijd dit per wet te laten regelen? Bedrijven reageren nu niet (pro)actief, maar wachten af totdat hun systeem “aan de beurt is”.
Hacken mag niet, maar verzekeraars keren bijvoorbeeld ook niet zomaar meer uit als je je auto onafgesloten op een vaag terreintje achterlaat met je laptop op de passagierstoel…
Wijs bedrijven op hun verantwoordelijkheid en laat ze aansprakelijk zijn voor geleden schade. Het kwaad is in dit geval alweer geschied, rest een gang naar de rechter per individu of collectief of tenminste aangifte van overtreding wet op persoonsgegevens.
VCD is goed in het realiseren van technische oplossingen en het ontsluiten van gegevens, daarover zal je mij niet horen.
Veiligheid en beveiliging heeft er echter nooit hoog in het vaandel gestaan.
Bij de installatie van standaard software van Business Objects enkele jaren terug werden bijv. de standaard accounts niet aangepast en de standaardwachtwoorden niet ingesteld met de klant. Men deed daar nogal schouderophalend over toen ik dat meldde. Beveiliging is iets voor de klant zelf, daar gingen ze niet over! Er is in de afgelopen jaren kennelijk niets aan die houding verandert. Beveiliging hoort deel uit te maken van de implementatie van ieder systeem dat over het web beschikbaar is. Ik heb meer voorbeelden en hoop maar dat dit de firma wakker schudt en dat VCD ook qua veiligheidsbeleid in de 21e eeuw toetreedt.
Waarom maak je een dergelijke applicatie met medische data web based vraag ik me af?