Verlopen wachtwoorden schadelijker voor UWV dan virus
Verlopen wachtwoorden zorgden voor langere verstoringen bij het UWV dan maatregelen om het Dorifelvirus buiten te houden. Dat laat Minister Asscher van Sociale Zaken en Werkgelegenheid op vragen van SP- en VVD-Kamerleden weten. De verstoringen hadden betrekking op 'MijnUWV', wat een onderdeel van UWV.nl is waar gebruikers hun gegevens kunnen inzien.
Het gaat dan om zaken als het volgen van een WW-aanvraag, het bekijken van de betaalspecificaties en jaaropgaaf van de uitkering, het bekijken van het arbeidsverleden en de mogelijkheid om zich beter te melden.
Verstoringen
MijnUWV kende in 2012 46 verstoringen, waardoor de dienst 156 uur niet beschikbaar was. 14 netwerkverstoringen waren met 58,5 uur voor de grootste downtime verantwoordelijk, gevolgd door acht DigiD-verstoringen die bij elkaar 33 uur bedroegen. Op het gebied van beveiliging waren er drie verstoringen te vermelden, die bij elkaar 28,5 uur in beslag namen.
Zo was er 8,5 uur nodig voor de maatregelen om het Dorifelvirus buiten te houden. Het virus wist vorig jaar bij de overheid pc's en servers van verschillende ministeries te infecteren.
De grootste 'schadepost' in de categorie beveiliging werd echter door verlopen wachtwoorden veroorzaakt. Hierdoor was mijnUWV 20 uur onbereikbaar, aldus Asscher.
sneller geworden is. Ik zou toch wel graag willen weten of dit een gevolg is van eigen brak programmeerwerk
of dat dit een oorzaak vindt in een of ander framework of systeem onderdeel, want ik zou niet graag geconfronteerd
worden met hetzelfde als we binnenkort onze database server vervangen. Is daar info over?
Die van die verlopen wachtwoorden is ook wel leuk, vooral ook omdat er ook staat dat de boel een tijd down was
omdat batchjobs niet draaiden. Eerst het wachtwoord verlopen, toen veranderd, en daardoor werkten de batch
jobs niet meer? Was em dat?
Daar zitten wij ook mee. Je kunt het wachtwoord van het account waaronder je batchjobs draaien vrijwel niet
veranderen want dan moet je handmatig alle plekken langs waar batchjobs staan om daar het wachtwoord weer
twee keer in te tikken. Een foutgevoelig klusje, reden waarom het verleidelijk is om het "never expires" vinkje
maar aan te zetten. Het is het een of het ander.
Peter
Er gaan brieven de deur uit met fout gespelde mail adressen en URL's.
Als de klanten die dan gaan gebruiken dan komt hun mail niet aan of ze kunnen niet op de website komen.
Ook intern heeft men bij UWV kennelijk geen adres autocompletion, en komt het vaak voor dat mensen
mail sturen naar verkeerde adressen.
(wat ook tot lekken van vertrouwelijke informatie kan leiden)
Er gaan brieven de deur uit met fout gespelde mail adressen en URL's.
Als de klanten die dan gaan gebruiken dan komt hun mail niet aan of ze kunnen niet op de website komen.
Ook intern heeft men bij UWV kennelijk geen adres autocompletion, en komt het vaak voor dat mensen
mail sturen naar verkeerde adressen.
(wat ook tot lekken van vertrouwelijke informatie kan leiden)
Als we mail willen sturen naar een collega en we tikken de naam in dan wordt het e-mail adres er automatisch bijgezocht en in de mail gezet.
Als een nieuwe medewerker in dienst komt dan wordt er een account aangevraagd en als hij/zij inlogt dan staat in het mailprogramma de naam van de medewerker en het mail adres al geconfigureerd, ipv dat deze die gegevens zelf moet intypen en dan weer fouten kan maken in bijvoorbeeld het mailadres.
Dit soort faciliteiten heeft men bij het UWV kennelijk niet. Dat heeft met kabinetten en reorganisaties weinig te maken, dat is gewoon de inrichting van de IT omgeving.
Als je de medewerker zelf dit soort dingen laat doen dan zit er een percentage fouten in en gaan er onvermijdelijk mails en brieven naar klanten met niet werkende afzender adressen, worden klanten verwezen naar sites met spelfouten.
Geen wonder dat die klanten dan roepen "de mail bij UWV werkt niet" of "de website van UWV is onbereikbaar".
Die van die verlopen wachtwoorden is ook wel leuk, vooral ook omdat er ook staat dat de boel een tijd down was
omdat batchjobs niet draaiden. Eerst het wachtwoord verlopen, toen veranderd, en daardoor werkten de batch
jobs niet meer? Was em dat?
Daar zitten wij ook mee. Je kunt het wachtwoord van het account waaronder je batchjobs draaien vrijwel niet
veranderen want dan moet je handmatig alle plekken langs waar batchjobs staan om daar het wachtwoord weer
twee keer in te tikken. Een foutgevoelig klusje, reden waarom het verleidelijk is om het "never expires" vinkje
maar aan te zetten. Het is het een of het ander.
Hier zijn mooie tools voor om dit te regelen, service account manager bv.
http://www.liebsoft.com/Service_Account_Manager/
Zou dit bij de UWV een issue zijn, is dit i.i.g niet nodig, slechts een kwestie van goed plannen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
