image

Onderzoekers hekelen beveiliging Suwinet

dinsdag 10 februari 2015, 10:47 door Redactie, 5 reacties

Eén van de systemen die de overheid gebruikt voor het uitwisselen van gegevens bevat kwetsbaarheden die tot privacyrisico's kunnen leiden, zo hebben onderzoekers vastgesteld. De onderzoekers deden in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid onderzoek naar Suwinet.

Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Vorig jaar werd bekend dat ambtenaren in het jaar daarvoor 146 keer zonder geldige reden de privégegevens van bekende Nederlanders via het systeem hadden opgevraagd.

Kwetsbaarheden

Uit het onderzoek blijkt dat er de afgelopen jaren een aantal samenhangende kwetsbaarheden zijn ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden. Deze kwetsbaarheden bevinden zich voornamelijk op het gebied van beveiliging, transparantie en verantwoording, en governance en toezicht. Op het gebied van beveiliging zijn daarbij twee grote problemen ontdekt.

Zo is er een mismatch tussen risicoprofiel en beveiligingsmaatregelen. Het risicoprofiel van de over Suwinet uitgewisselde gegevens is fors toegenomen. De beveiliging van de gegevens heeft daar niet op alle punten gelijke tred mee gehouden. Het gaat dan met name om de methoden voor authenticatie en autorisatie van gebruikers. Deze is te laag waardoor de toegang tot de gegevens onvoldoende kan worden afgeschermd en medewerkers niet kunnen ontkennen dat zij bepaalde handelingen hebben verricht omdat hun identiteit met onvoldoende zekerheid is vastgesteld.

Verder blijkt dat informatiebeveiliging bij gemeenten te wensen overlaat. "Veel gemeenten vormen een (veel te) zwakke schakel binnen de beveiliging in Suwinet", aldus de onderzoekers. Die stellen verder dat de ontdekte kwetsbaarheden kunnen leiden tot onbevoegd en oneigenlijk gebruik van gegevens waardoor de privacy van klanten in het geding komt en partijen in de keten of Suwinet zelf reputatieschade kunnen oplopen.

Aanbevelingen

De onderzoekers doen verschillende aanbevelingen, waaronder het gebruik van sterkere authenticatie-oplossingen en het ontwikkelen van beveiligingsbeleid voor nieuwe ontwikkelingen zoals het nieuwe werken, maar ook het implementeren van goede logging en monitoring en het verzwaren van de aansluitvoorwaarden. Verder wordt er in de verbeterpunten op gewezen dat de mens de zwakke schakel blijft. "Dit vereist vanuit beveiligingsperspectief continu aandacht." Het rapport (pdf) werd vorig jaar april opgeleverd, maar is nu pas openbaar gemaakt.

Reacties (5)
10-02-2015, 11:47 door Anoniem
medewerkers niet kunnen ontkennen dat zij bepaalde handelingen hebben verricht omdat hun identiteit met onvoldoende zekerheid is vastgesteld.

Ik denk dat ze door die onzekerheid juist wel kunnen ontkennen dat zij bepaalde handelingen hebben verricht. Als ik weet dat anderen misbruik kunnen maken van mijn account, kan ik altijd naar die anderen wijzen.

Peter
10-02-2015, 11:57 door Anoniem
Privacy Impact Assessment. Het document is via Internet op te halen.
In het Colofon staat "TOEGANGSRECHTEN Vertrouwelijk".

Wat klopt er niet in bovenstaande?
10-02-2015, 15:04 door Seekje
Oud nieuws, maar dat terzijde, wat u schrijft is ook niet juist:

Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen.

Suwinet is geen database maar een service en er worden persoonsgegevens uitgewisseld tussen overheden:

Via Suwinet Services kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen. Door gegevens binnen de overheid te delen kunnen burgers sneller en beter worden geholpen en hoeven zij geen gegevens te verstrekken die de overheid al heeft. Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook andere overheidsorganisaties gebruik van Suwinet Services.
10-02-2015, 17:13 door Anoniem
Door Anoniem:
medewerkers niet kunnen ontkennen dat zij bepaalde handelingen hebben verricht omdat hun identiteit met onvoldoende zekerheid is vastgesteld.

Ik denk dat ze door die onzekerheid juist wel kunnen ontkennen dat zij bepaalde handelingen hebben verricht. Als ik weet dat anderen misbruik kunnen maken van mijn account, kan ik altijd naar die anderen wijzen.

Peter

Dat lijkt inderdaad een schrijffout te zijn, bedoeld zal inderdaad zijn wat je schrijft : dat door onvoldoende authenticatie medewerkers _kunnen_ ontkennen handelingen gepleegd te hebben.

Overigens zou ik (naast authenticatie) vooral graag een proces zijn waarbij bij het opvragen van data een link naar de reden gegeven moet worden.
Volgens mij kan dit type bevragingen eigenlijk alleen gestart worden als iemand een vraag of dossier heeft waar de gegevens voor nodig zijn. Als je dat moet invullen geeft dat m.i. een behoorlijke drempel voor 'fun' , 'vriendendienst' of 'nieuwsgierigheid' bevragingen.
Het is op die manier ook simpel te auditen, en red flags als de reden 'misc' of 'dossier 1' is, of iemand die opvalllend veel dossiers 'verwerkt' haal je er automatisch uit voor verdere analyse .

Zo iets is trouwens ook een heel goed voor CIOT of andere politie-databases.
Het aantal bevragingen ervan afgezet tegen oplossingspercentage is zwaar teleurstellend , en zorgelijk.
10-02-2015, 21:09 door Eric-Jan H te D
Toch knap dat ze die stoute ambtenaren hebben opgespoord. Ik zie namelijk SuwiLog of SuwiAccounting service op de Suwi-site.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.