Softwareleverancier VCD IT heeft een externe beveiliger ingeschakeld voor de permanente bewaking van zijn online verzuimregistratiesysteem Humannet Starter. Actualiteitenprogramma Zembla toonde 20 april 2012 in een uitzending hoe het toegang kreeg tot persoonlijke gegevens uit zo’n driehonderdduizend verzuimdossiers. Een audit van het programma door twee externe partijen heeft volgens VCD IT drie zwakke plekken opgeleverd. Het softwarebedrijf heeft volgens eigen zeggen maatregelen genomen.
Als antwoord op de onduidelijkheid rondom veiligheid van het online verzuimregistratiesysteem Humannet Starter heeft VCD IT het systeem beveiligd met een zogeheten intrusion detection system. Bovendien wordt alle verkeer naar het systeem door een externe partij realtime bewaakt en geanalyseerd met zo'n zelfde systeem. Dit moet er voor zorgen dat er direct tegen eventuele aanvallen kan worden opgetreden.
Twee externe partijen die Humannet Starter op verzoek van VCD IT doorlichtten, ontdekten volgens de onderneming drie zwakke plekken in het systeem. Maatregelen om de kwetsbaarheid op te heffen zijn inmiddels door het bedrijf genomen. Bovendien zijn extra beveiligingsmaatregelen genomen. Zo heeft VCD IT alle inlogwachtwoorden van klanten gereset.
In een uitzending van actualiteitenprogramma Zembla toonde softwareontwikkelaar André de Jong hoe op een verouderde inlogpagina via zogeheten sql-injectie toegang tot het verzuimregistratiesysteem kon worden gekregen. Met het achterhaalde wachtwoord en password van de systeembeheerder van een klant konden alle dossiers van deze onderneming worden ingezien.
Boete
In de uitzending zegt voorzitter Jacob Kohnstam van het College Bescherming Persoonsgegevens dat zijn organisatie graag hard tegen dit soort lekken zou optreden. Nu kan het college slechts een gele kaart uitdelen en als na drie maanden geen maatregelen zijn getroffen een bescheiden boete opleggen. Kohnstam vertelde dat de Europese Unie werkt aan wetgeving die het mogelijk maakt ondernemingen boetes op te leggen tot 2 procent van de jaaromzet van de betrokken onderneming.
Passende stappen gegeven de omstandigheden. Het blijft hoe dan ook illustratief voor deze stappen die voor implementatie hadden moeten zijn genomen i.p.v. nu. Het is namelijk een standaard onderdeel van een dergelijk proces.
Wat hier nodig is is een toetsing vooraf door bijvoorbeeld het CBP of er aan de meest basale criteria is voldaan wanneer het gaat om systemen waarbij persoonlijke gegevens worden gehanteerd. Laat er dan maar een overheidsinstantie zijn die voor dit soort zaken kan optreden en simpelweg een implementatieverbod kan opleggen.
Een dergelijke stap geeft natuurlijk ook niet de 100% garantie die men graag zou willen maar voorkomt wel veel. Men zou uiteraard zelf ook jaarlijks kunnen opteren een hacker in te huren en een penetratietest van buitenaf uit kunnen voeren.
Men kan niet schermen dat dit soort triviale systemen het niet waard zou zijn.
Weer wat geleerd zullen we maar zeggen. Nu de eigen verantwoording voor uitvoeren nog.
Laten we blij zijn dat we vrije pers hebben die dit soort zaken tot op het bot uitzoekt en de maatschapij wakker maakt/houdt.
Het geld voor de openbare omroep blijkt in goede handen.
Europese wetgeving t.a.v. de beveiliging van gegevens lijkt me een stuk belangrijker dan de vervolging van hackers, waarmee je de criminaliteit een voorsprong geeft.
Ik zit nog eens naar de uitzending te kijken en vraag me het volgende af.
Stel dat je ontdekt dat er een lek zit in een applicatie, zoals deze André de Jong. Je eerste stap is dan kennelijk om naar de media te stappen en niet naar het bedrijf in kwestie? Hij is wel IT’er, maar professional? Daar valt over te twisten.
Tweede punt. Stel dat er een lek zit in een applicatie en je wil dat aantonen. Hoeveel dossiers moet je dan lichten om je punt te maken? Een dossier is niet genoeg; kan toeval zijn. Twee ook nog. Drie wordt al minder aannemelijk, dus drie zou genoeg kunnen zijn. Stel dat je op safe wil spelen en je bekijkt vier, okee vijf dossiers. Ach, whatever, stel je bekijkt TIEN dossiers. Dan heb je toch echt je punt wel gemaakt.
Waarom vindt Zembla het dan nodig om TIENTALLEN dossiers te bekijken? Hoezo ethisch?
Fytze, je stelt een goede vraag over de ethiek van de betrokken IT’er (en de Zembla journalisten). Ik weet niet in hoeverre er rondgeneusd is, dan wel noodzakelijk onderzoek is gedaan om erger te voorkomen. Men had wellicht beter enkele betrokken clienten kunnen laten controleren in hoeverre hun dossier te bekijken is. Maar als je strikt aan de wet houdt en je krijgt geen medewerking, dan kan je vaak niks bewijzen. En VCD was duidelijk bezig om alles in de doofpot te stoppen.
Ik heb het Zembla programma ook gezien en VCD wilde lange tijd niet luisteren naar mogelijke gevaren voor hun klanten en hun klanten/medewerkers. Na de politie te hebben gehaald, moeten ze zich gerealiseerd hebben, dat de politie door Zembla er van op de hoogte was dat er een groot lek zou zijn en dat VCD nalatig zouden zijn als de daar niks mee zouden doen. En toen wilde men pas luisteren. VCD had de lekken veel eerder kunnen en moeten dichten.