Vastgoedregister Kadaster kampt met ernstige ict-veiligheidsrisico’s. ‘Discontinuïteit’ en ‘ongeautoriseerde toegang’ zijn de twee grootste oorzaken hiervan. Een groot probleem vormen de te ruime SAP-authorisaties. De situatie is zo ernstig dat de kans bestaat dat het Kadaster uit de lucht gaat of dat hackers toegang hebben tot informatie als onroerendgoedbezit, hypothecaire onderpanden en beslagen. Dit blijkt naar aanleiding van interne veiligheidsrapporten van het Kadaster, waarover het FD heeft geschreven.
‘Het risico bestaat dat Kadasterdiensten onveilig zijn voor klanten of dat informatie toegankelijk of muteerbaar is voor personen die hier geen toegang toe mogen hebben,’ meldt de directie van het de landelijke organisatie voor het registreren en verstrekken van vastgoedgegevens in de interne stukken waar de krant de hand op heeft gelegd.
SAP-authorisaties
Wat het FD niet meldt, maar wat uit de stukken blijkt dat een belangrijke oorzaak van de veiligheidsproblemen de te ruime SAP-authorisaties bij de overheidsinstelling zijn. Zo zijn er veel beheeraccounts, ongebruikte accounts en hebben werknemers teveel rechten. In 2014 is hier een speciale ‘Taskforce SAP’ voor opgericht.
Een aantal verbeteringen die deze groep moest doorvoeren, zijn nog steeds niet opgepakt. Het gaat hierbij onder andere om de implementatie van de zogenaamde blacklist, die te maken heeft met kritische transacties. Ook moeten nieuwe autorisaties voor it-beheer worden ingericht en developer keys en debug in productie vermeden worden. Dit laatste houdt in dat rechtstreekse updates op productie voorkomen moeten worden. Ten slotte moet er logging en periodieke review van SAP-toegangsrechten plaats gaan vinden.
Dat de beveiliging van oudere SAP-systemen kwetsbaar is, is een vraagstuk dat al een tijd bekend is in de it-industrie. Er zijn zelfs bedrijven, zoals ERP Security, Onapsis en ERPscan die hun brood verdienen met het analyseren en oplossen ervan.
ICT-veiligheid al langer in geding
In het meest recente interne veiligheidsrapport van 24 november 2016 wijzen directie en het managementteam van het Kadaster erop dat de gebrekkige ict-veiligheid ‘substantiële’ en ‘hoge risico’s’ oplevert. Die zijn zo groot dat ze ‘buiten de risicoacceptatie’ vallen. Zo stelt het rapport: ‘Als gevolg van onvoldoende sturing is er (…) mogelijk (tijdelijk) geen beschikbaarheid van digitale dienstverlening en onjuistheid en onvolledigheid van data.’ Het Kadaster worstelt bovendien al jaren met de veiligheid van zijn ict, zo blijkt uit de tweede rapportage uit het vierde kwartaal van 2015. ‘Dit heeft gevolgen voor zeer veel andere diensten die via MijnKadaster ontsloten worden,’ waarschuwt het meest recente rapport.
Volgens het FD stelt de woordvoerder van het Kadaster dat de krant twee ‘zeer kritische’ stukken van de directieraad van de overheidsdienst in bezit heeft. Het oplossen van de gerapporteerde veiligheidsissues heeft bij het register ‘zeer hoge prioriteit’. Eind van het eerste kwartaal 2017 moet driekwart van de zwaarste problemen zijn teruggebracht naar beheersbare proporties.
Vijf datalekken in 2016
Vorig jaar had het Kadaster ‘11.000 aanvallen per maand’ te verduren van onder meer hackers. ‘Geen enkele daarvan resulteerde in inbreuken of aantasting van onze systemen’, aldus de woordvoerder tegen de krant. Het Kadaster registreerde in 2016 ‘achttien gevallen van een mogelijk datalek’. Daarbij bleek het in vijf gevallen om een daadwerkelijk lek te gaan. ‘Twee hiervan, beide uit januari 2016, waren zodanig van aard en omvang dat ze bij de Autoriteit Persoonsgegevens zijn aangemeld, maar betroffen geen ict-datalek.’ Om wat voor lek het dan wel ging, wordt niet duidelijk. Wel hebben de lekken volgens het Kadaster geen schade aangericht.
Belastingdienst
De tekortschietende ict-veiligheid van Het Kadaster volgt kort op de onthullingen van het onderzoeksjournalistieke tv-programma Zembla waaruit blijkt dat de Broedkamer, de latere data- en analyticsafdeling van de Belastingdienst, in de periode van 2013 tot 2016 onvoldoende was beveiligd. Tegenover het FD stelt de woordvoerder dat een vergelijking van de problemen van het Kadaster met het fiasco bij de Belastingdienst ‘niet op zijn plaats’ is. Als reden hiervoor geeft het vastgoedregister dat het Kadaster openbare gegevens registreert. De fiscus werkt volgens de organisatie met meer privacygevoelige gegevens, wat de situatie bij de Belastingdienst erger zou maken.
Belangrijkste ict-veiligheidsproblemen Kadaster
Uit de twee interne rapporten met betrekking tot de ict-veiligheid van het Kadaster komen de volgende zaken naar voren:
- De toegangscontrole voor belangrijke systemen is ‘zeer beperkt’.
- ‘Er is nog te vaak onduidelijk wat wel en niet kan/mag en wie verantwoordelijk is’.
- Onbevoegden hebben toegang tot kerntaken en kunnen sleutelfuncties van de ict aanroepen.
- De technische infrastructuur is kwetsbaar. De kans is ‘substantieel’ dat de netwerkbeveiliging niet voldoet.
- Het Kadaster tast in het duister over de consequenties die de overgang naar het nieuwe digitale archiveringssysteem heeft voor ‘authenticiteit en integriteit van het archief’.
- Het Kadaster kan niet aantonen dat het voldoet aan de internationale norm voor informatiebeveiliging.
- De beveiliging is niet toegerust voor medewerkers die via mobiel of de cloud werken.
- Op DDOS-aanvallen had het Kadaster tot minimaal eind 2015 geen antwoord.
Je ziet bij organisaties zoals het Kadaster, Belastingdienst – toch wel benoemen -, juridische macht (deze drie waren de afgelopen week in het nieuws) en andere publieke organisaties vaak dat naar aanleiding van een rapport snel wordt gegrepen naar een IT beveiligingspil, het aanschaffen en implementeren van tooling en klaar is Kees.
Want inderdaad, SAP heeft talloze mogelijkheden om autorisaties goed te regelen. En zo zijn er andere prima producten op de markt verkrijgbaar. Echter, waar het om gaat (zoals de politici dat noemen in een tussenzin) is dat de IAM wordt geborgd in de organisatie. Natuurlijk gebruik makend met de juiste middelen/tooling. En niet de applicatie centraal stellen waarvan het meeste gebruik wordt gemaakt, maar de informatiestromen die door de gehele organisatie gaan, van en naar alle applicaties en gebruikers.
Uiteindelijk zal elke grotere organisatie het IAM integraal willen organiseren, rekening houdend met onderstaande vier aspecten:
1. het request & approval proces te organiseren,
2. het overzicht houden op het organisatie/rollen model,
3. een sluitend provisioning proces op bovenstaande twee punten,
4. om vervolgens in staat te zijn overzicht te houden op de data governance
Het Kadaster zal mijn inziens dus eerst het IAM proces moeten adapteren om daarna met een totaaloplossing voor IAM aan de slag te gaan.
Uiteindelijk zijn acht van de negen punten direct herleidbaar naar manco’s in het bovenstaande, er is nog veel te doen.
Boele Ter Wisch
Intragen
@Boele Ter Wisch
De meeste SAP Basis consultants horen te weten dat het authorisatiemechanisme van SAP op tientallen verschillende manieren compleet te omzeilen is via kwetsbaarheden in de infrastructuur (operating system, database, SAP applicatielaag en stukjes netwerk). Dus ook de infrastructuur meenemen in het plaatje.