Cybercriminelen hebben bij een cyberaanval op een ict-leverancier van de provincie Gelderland de personeelsdossiers van 1400 ambtenaren buitgemaakt. Daarin staan ook paspoortgegevens. Om identiteitsfraude te voorkomen, adviseert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de ambtenaren om een nieuw paspoort aan te vragen.
Bij een aanvraag van een nieuw paspoort komen de gestolen paspoortgegevens in een register met ingetrokken identiteitsbewijzen terecht, meldt een woordvoerder.
Eerder werd bekend dat rond 18 augustus de provincie Gelderland slachtoffer is geworden van een hack bij een extern ict-bedrijf. De provincie wil de naam van die leverancier niet noemen. Wel is de samenwerking is opgezegd en de beschikbaar gestelde dossiers zijn door de leverancier zijn vernietigd.
Het ict-bedrijf werkte aan het aanpassen van 1400 digitale personeelsdossiers. Naast de gegevens van de provincie zouden ook andere data zijn ontvreemd. Eerder vermoedden experts dat de buitgemaakte bestanden ‘bijvangst’ waren van een grotere hack. Ook omdat er niet direct een losgeldbedrag voor de dossiers werd geëist bij de provincie. Inmiddels is achterhaald dat de dossiers daadwerkelijk zijn gedownload door een hackersgroep uit het buitenland.
Incident response team
‘Door deze hack zijn we ons nog meer bewust van onze kwetsbaarheid van het werken met derden’, meldt gedeputeerde Jan Markink, verantwoordelijke voor personeel en organisatie. Volgens hem zijn er op dit moment geen signalen dat er gegevens uit de personeelsdossiers in de openbaarheid zijn gekomen.
De provincie heeft na de hack een incident response team opgericht. Dat monitort alle ontwikkelingen rondom de hack en is een vraagbaak voor het personeel. Een woordvoerder kon nog niet zeggen hoeveel medewerkers kosteloos een nieuw paspoort hebben aangevraagd.
Gedeputeerde Jan Markink is ook een gedupeerde?
Is dit een gevalletje ‘supply chain’ hack of zien we dit anders? En er zal vast een valide reden voor zijn waarom een externe ICT leverancier beschikking heeft over de personeelsdossiers van provincie Gelderland maar had het ook anders gekund? En zo heb ik nog wel wat organisatorische vragen want verhaal lezend krijg ik namelijk een déjà vu gevoel naar de tijd dat ook medische dossiers ter beschikking werden gesteld aan allerlei leveranciers als ’testmateriaal’ zonder enige anonimisering. De samenwerking met ICT-leverancier is nu wel beëindigd en er wordt van uitgegaan dat de beschikbaar gestelde dossiers zijn vernietigd maar als hackers deze kunnen downloaden dan zouden er weleens meer kopieën rond kunnen slingeren. Ik lees dus vooral een opgepoetst verhaal dat aan alle kanten rammelt omdat er weer eens te laat aan informatiebeveiliging gedacht wordt. Als er geen signalen zijn dat gegevens uit de personeelsdossiers in de openbaarheid zijn gekomen dan kunnen we ook wel op de kosteloze aanvraag van een nieuw paspoort bezuinigen, gelijke monniken gelijke kappen zullen we maar zeggen want hoeveel gedupeerde burgers worden gecompenseerd als er weer eens gegevens door de overheid gelekt worden?
In gesprekken over informatiebeveiliging halen bestuurders nog opmerkelijk vaak hun schouders op omdat ze gewoon niet weten welke (classificatie) informatie er binnen de processen verwerkt wordt, door wie (autorisatie) deze informatie verwerkt wordt en waarom (rechtmatigheid) deze informatie verwerkt wordt. En zoals al gezegd kan sommige informatie achterwege (data minimalisatie) blijven omdat je echt niet altijd met productiedata hoeft te testen dus de provincie moet nog maar even de richtsnoeren van AP lezen om te begrijpen dat ze vooral wat uit te leggen hebben aan de belastingbetaler want kosteloos een paspoort aanvragen bestaat niet doordat gemeenten hiervoor ‘schijfkosten’ in rekening brengen. Verder ben ik benieuwd of ieder ook een nieuw burgerservicenummer krijgt en een ander adres. Maar meest prangende vraag ligt toch wel in de reden tot het aanpassen van 1400 digitale personeelsdossiers, de opdracht hiervoor zal toch niet als ‘mondkapjes deal’ van Sywert zijn?