Ruim zevenhonderd pagina’s vertrouwelijke politiedossiers over terrorisme zijn gedurende langere tijd voor iedereen toegankelijk geweest via internet. In de documenten van Europol worden 54 Europese terrorisme-onderzoeken genoemd. Tv-onderzoeksprogramma Zembla vond de stukken op een back-up-schijf van Iomega die onbeveiligd met internet was verbonden. Saillant detail: KRO-onderzoeksprogramma Reporter onthulde in 2012 al een soortgelijk datalek.
Europol is een samenwerkingsverband tussen de politiediensten van de Europese Unie en heeft zijn hoofdkantoor in Den Haag. De bestanden zijn door een medewerkster van de Nationale Politie, die tot begin dit jaar bij Europol werkte, tegen de regels in vanuit het hoofdkantoor meegenomen naar huis. Vervolgens maakte zij een back-up van de documenten op een privé-netwerkschijf van Iomega, een harddisk die zonder wachtwoord met internet was verbonden.
De Europese politiewaakhond heeft de fout toegegeven en spreekt van een ‘zeer ernstig incident’. ‘Dit raakt de vertrouwelijkheid en dat is ook de reden dat we meteen een onderzoek hebben ingesteld, om te kijken hoe dit heeft kunnen gebeuren’, aldus Wil van Gemert, adjunct-directeur van Europol in de tv-uitzending van Zembla die vanavond wordt uitgezonden.
Terrorisme
De documenten, die zijn voorzien van meerdere geheimhoudingskenmerken, bevatten analyses van terroristische groepen en honderden namen en telefoonnummers van mensen die met terrorisme in verband worden gebracht. Het betreft voornamelijk documenten uit de periode 2006 tot 2008, waaronder analyses van de Hofstadgroep, de bomaanslagen in Madrid en verijdelde aanslagen op vliegtuigen met vloeibare explosieven. Maar er worden ook tal van terrorisme-onderzoeken genoemd die nooit in de openbaarheid zijn gekomen, aldus Zembla.
Europol heeft naar aanleiding van dit lek onderzoek gedaan in acht Europese lidstaten naar de mogelijke gevolgen. De opsporingsorganisatie stelt dat het datalek geen gevolgen heeft voor lopende terrorisme-onderzoeken, maar kan niet uitsluiten dat behalve Zembla ook anderen toegang tot de netwerkschijf hebben gehad. Om geen terrorisme-onderzoeken in gevaar te brengen, zal het onderzoeksprogramma de stukken niet integraal openbaar maken en geen namen van verdachten noemen.
Lenovo, mede-eigenaar van het merk Iomega (Dell EMC is de andere), zegt in een reactie dat het beveiligen van de netwerkschijven een eigen verantwoordelijkheid van gebruikers is. De Iomega-netwerkschijven zijn tussen 2009 en 2015 geproduceerd. Alleen in het laatste jaar dat de apparaten werden gemaakt, was het instellen van een wachtwoord verplicht.
KRO Reporter
Europol leert kennelijk overigens niet van gemaakte fouten: in 2012 onthulde KRO-televisieprogramma Reporter reeds een lek bij de dienst. Toen bleek dat een ict’er van dienstverlener Orange Business Services per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet had gelekt. Hij had de informatie op een network attached storage (nas)-schijf van – jawel – Iomega opgeslagen die hij privé gebruikte. In de uitzending liet de KRO zien dat op Iomega-schijven het wachtwoord standaard staat uitgeschakeld en als dit niet wordt aangezet, een schijf via internet benaderbaar is.
Een woordvoerster van Europol bevestigt dat het gaat om twee verschillende datalekken. De Europese politie-organisatie heeft de laatste tijd wel extra geïnvesteerd in ict-beveiliging en de bestrijding van cybercrime, onder andere via het aantrekken van McAfee en Motiv als ict-partners op dit vlak.
Zembla
De uitzending van Zembla is woensdag 30 november 2016 om 21.15 uur bij de VARA te zien op NPO 2.
Krijgt Interpol nu ook die dikke boete?
Blijft echter wel belastinggeld 😉
Nee, Interpol niet! Europol denk ik ook niet…
Als bedrijf kun je zeer veel investeren in beveiliging, en hele handboeken volschrijven over hoe er met vertrouwelijke gegevens om dient te worden gegaan, als je onbekwame medewerkers hebt die deze regels aan de laars lappen, dan hebben deze regels geen zin.
Als je je mensen niet kunt vertrouwen, dan moet je dit soort zaken technisch onmogelijk maken. Dat kan door gesloten software te gebruiken, software die werkt in een sandbox op je pc, die niet kan werken met hardware buiten die sandbox (bv externe schijf). Kopiëren en plakken vanuit de sandbox naar buiten de sandbox kan niet. Niet gebruikersvriendelijk, wel veilig(er).
Of het nu bewust of onbewust bekwaam is, verbaast het me nog steeds dat organisaties het mogelijk maken dat vertrouwelijke informatie zo maar te kopiëren is.
Sterker nog bij een organisatie als Europol zou de informatie alleen op een scherm te zien moeten zijn in een afgesloten ruimte (van buiten gezien dan) met slechte mogelijkheden van scherm aflezen. De informatie staat alleen opgeslagen in het gebouw waar de medewerker werkt en die is niet fysiek niet benaderbaar via internet. En de informatie is alleen binnen een applicatie te zien en staat versleutelt op disk (zodat nieuwsgierige systeembeheerders er ook direct niet iets mee kunnen. Tenslotte is de informatie ook niet te printen.
En ja dat is misschien gebruiksonvriendelijk, maar dit soort informatie moet gewoon goed beveiligd zijn.
Eerste 2 maatregelen: medewerkster op staande voet ontslaan (bij duidelijke gebleken overtreding, staat volgens mij echt wel in de contracten, zo niet, nog triester), alle mobiele informatiedragers en internet (of ander extern)verkeer onder curatele.
Hoe incapabel kan je zijn als medewerkster van de Nationale Politie? Geeft ook wel aan dat er zaken behoorlijk fout zijn bij de Nationale politie als het op de een of andere manier nodig is om dit soort data thuis te moeten verwerken. Uiteraard zou hier ontslag op moeten volgen, niet alleen van de medewerkster maar ook van haar direct verantwoordelijken bij de Nationale politie.
De mens blijft de zwakste schakel van beveiliging.
Wat nog veel idioter is, is het feit dat de wetgever/beleidsmakers wetten en regels uitschrijven waar bedrijven en organisaties aan moeten voldoen en natuurlijk op straffe van (Datalek wetgeving) vervolgens bij het opmaken van dit soort wetten zijn zijzelf blijkbaar altijd de uitzondering op de regel, hoe kun je dan alleen al bij hen enige competentie of stimulans hier toe verwachten.
In deze situatie zouden imho de gehele ict-staf incl ict-security per direct ontslagen moeten worden.
Best een aardige uitzending hoor, die van Zembla. Maar niet al teveel diepgang. Met iets meer kennis van zaken had Zembla heel wat pijnlijker vragen kunnen stellen. Want ……….
Dat er sufferds zijn weten we, dat ongelukjes kunnen gebeuren óók. Daarvoor hebben we nu juist beveiligingsbeleid en de diverse veiligheidsonderzoeken.
Dat men bij de overheid meent eigen interpretatie van regels te mogen hanteren omdat men tot ’the good guys’ behoort is ook bekend.
Maar dat het in dergelijke hooggevoelige organisaties mogelijk is externe gegevensdragers aan te koppelen en bovendien daarmee de deur uit te komen is op zijn zachtst gezegd *stupide* en getuigt van afwezigheid van deugdelijk beveiligingsbeleid cq. implementatie daarvan. Het lijkt niet onwaarschijnlijk dat de betreffende gegevens even eenvoudig via mail of upload de digitale deur uit hadden gekund.
Maar wat het ècht erg maakt is dat dit soort hooggevoelige organisaties en passant wèl allerlei wet- en regelgeving en bevoegdheden eisen om opsporing te doen cq. persoongegevens te verzamelen, op te slaan, te verwerken, en door te geven.
Gemiste kans hoor, Zembla.