Onderzoekers hekelen beveiliging Suwinet
Eén van de systemen die de overheid gebruikt voor het uitwisselen van gegevens bevat kwetsbaarheden die tot privacyrisico's kunnen leiden, zo hebben onderzoekers vastgesteld. De onderzoekers deden in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid onderzoek naar Suwinet.
Suwinet is een speciale database waarin instanties als de Belastingdienst, de IB-groep, Kadaster, Rijksdienst Wegverkeer en het UWV hun persoonsgegevens met gemeenten uitwisselen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Vorig jaar werd bekend dat ambtenaren in het jaar daarvoor 146 keer zonder geldige reden de privégegevens van bekende Nederlanders via het systeem hadden opgevraagd.
Kwetsbaarheden
Uit het onderzoek blijkt dat er de afgelopen jaren een aantal samenhangende kwetsbaarheden zijn ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot privacyrisico’s leiden. Deze kwetsbaarheden bevinden zich voornamelijk op het gebied van beveiliging, transparantie en verantwoording, en governance en toezicht. Op het gebied van beveiliging zijn daarbij twee grote problemen ontdekt.
Zo is er een mismatch tussen risicoprofiel en beveiligingsmaatregelen. Het risicoprofiel van de over Suwinet uitgewisselde gegevens is fors toegenomen. De beveiliging van de gegevens heeft daar niet op alle punten gelijke tred mee gehouden. Het gaat dan met name om de methoden voor authenticatie en autorisatie van gebruikers. Deze is te laag waardoor de toegang tot de gegevens onvoldoende kan worden afgeschermd en medewerkers niet kunnen ontkennen dat zij bepaalde handelingen hebben verricht omdat hun identiteit met onvoldoende zekerheid is vastgesteld.
Verder blijkt dat informatiebeveiliging bij gemeenten te wensen overlaat. "Veel gemeenten vormen een (veel te) zwakke schakel binnen de beveiliging in Suwinet", aldus de onderzoekers. Die stellen verder dat de ontdekte kwetsbaarheden kunnen leiden tot onbevoegd en oneigenlijk gebruik van gegevens waardoor de privacy van klanten in het geding komt en partijen in de keten of Suwinet zelf reputatieschade kunnen oplopen.
Aanbevelingen
De onderzoekers doen verschillende aanbevelingen, waaronder het gebruik van sterkere authenticatie-oplossingen en het ontwikkelen van beveiligingsbeleid voor nieuwe ontwikkelingen zoals het nieuwe werken, maar ook het implementeren van goede logging en monitoring en het verzwaren van de aansluitvoorwaarden. Verder wordt er in de verbeterpunten op gewezen dat de mens de zwakke schakel blijft. "Dit vereist vanuit beveiligingsperspectief continu aandacht." Het rapport (pdf) werd vorig jaar april opgeleverd, maar is nu pas openbaar gemaakt.
Ik denk dat ze door die onzekerheid juist wel kunnen ontkennen dat zij bepaalde handelingen hebben verricht. Als ik weet dat anderen misbruik kunnen maken van mijn account, kan ik altijd naar die anderen wijzen.
Peter
In het Colofon staat "TOEGANGSRECHTEN Vertrouwelijk".
Wat klopt er niet in bovenstaande?
Suwinet is geen database maar een service en er worden persoonsgegevens uitgewisseld tussen overheden:
Ik denk dat ze door die onzekerheid juist wel kunnen ontkennen dat zij bepaalde handelingen hebben verricht. Als ik weet dat anderen misbruik kunnen maken van mijn account, kan ik altijd naar die anderen wijzen.
Peter
Dat lijkt inderdaad een schrijffout te zijn, bedoeld zal inderdaad zijn wat je schrijft : dat door onvoldoende authenticatie medewerkers _kunnen_ ontkennen handelingen gepleegd te hebben.
Overigens zou ik (naast authenticatie) vooral graag een proces zijn waarbij bij het opvragen van data een link naar de reden gegeven moet worden.
Volgens mij kan dit type bevragingen eigenlijk alleen gestart worden als iemand een vraag of dossier heeft waar de gegevens voor nodig zijn. Als je dat moet invullen geeft dat m.i. een behoorlijke drempel voor 'fun' , 'vriendendienst' of 'nieuwsgierigheid' bevragingen.
Het is op die manier ook simpel te auditen, en red flags als de reden 'misc' of 'dossier 1' is, of iemand die opvalllend veel dossiers 'verwerkt' haal je er automatisch uit voor verdere analyse .
Zo iets is trouwens ook een heel goed voor CIOT of andere politie-databases.
Het aantal bevragingen ervan afgezet tegen oplossingspercentage is zwaar teleurstellend , en zorgelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
