image

Plasterk: beveiliging persoonsgegevens gemeenten in orde

zaterdag 2 april 2016, 06:52 door Redactie, 26 reacties

De beveiliging van persoonsgegevens bij gemeenten is in orde, zo heeft minister Plasterk op Kamervragen over het drown-lek in verschillende gemeentewebsites laten weten. Via drown kan een aanvaller versleutelde verbindingen kraken en zo toegang tot vertrouwelijke gegevens krijgen.

VVD-Kamerleden Veldman en De Caluwé en PvdA-Kamerlid Oosenbrug (PvdA) stelden vanwege de gevonden kwetsbaarheid Kamervragen en wilden onder andere weten of de beveiliging van persoonsgegevens bij gemeenten op orde is. "De manier waarop gemeenten in samenwerking met hun toeleveranciers de kwetsbaarheid hebben opgelost kan niet tot de conclusie leiden dat gemeenten de beveiliging van persoonsgegevens niet op orde zouden hebben", antwoordt Plasterk.

Volgens de minister nemen gemeenten, als het gaat om informatiebeveiliging en de bescherming van vertrouwelijke gegevens, hun verantwoordelijkheid. Hiervoor is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. "Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben", laat Plasterk weten (pdf).

Ssl-protocol

De Kamerleden vroegen de minister ook of gemeentewebsites niet moeten worden geüpdatet, zodat oudere versies van het ssl-protocol niet meer worden ondersteund. Plasterk merkt op dat de drown-kwetsbaarheid zich ook voordoet als ervan nieuwe versies gebruik wordt gemaakt, maar de configuratie het gebruik van het oude protocol nog toestaat. "Daarom luidt het advies om niet alleen de servers op basis van het nieuwe protocol te configureren, maar ook om gelijktijdig de oudere versie uit te schakelen. Gemeenten moeten passende maatregelen nemen om vertrouwelijke gegevens te beveiligen en beveiligd te houden."

De minister stelt verder dat informatiebeveiliging een lokale verantwoordelijkheid van gemeenten is. Wel stelt hij dat de gemeenten bij de bekendwording van de drown-kwetsbaarheid maatregelen hebben genomen om het probleem te verhelpen. Of drown bij gemeenten tot een datalek heeft geleid kan Plasterk niet zeggen. "Dat zullen deze gemeenten zelf vast moeten stellen."

Reacties (26)
02-04-2016, 08:56 door Anoniem
Hiervoor is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. "Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben"

Hier staat toch potverdikkie duidelijk dat ze BEZIG zijn om de maatregelen te implementeren. Oftewel: Er staat duidelijk dat de implementatie niet af is! Het op de agenda hebben staan zou al meetellen?
De conclusie van Plasterk dat er dus bij hem geen gemeentes bekend zijn die de beveiliging niet op orde hebben is dan ook erg zwak. Helemaal door het bijzinnetje 'bij mij bekend', oftewel: Heb niet de moeite genomen om dat te verifiëren.
02-04-2016, 09:10 door [Account Verwijderd]
[Verwijderd]
02-04-2016, 09:15 door Anoniem
Oh ja, er is nix aan de hand. De slager heeft immers zijn eigen vlees gekeurd.
02-04-2016, 10:03 door Anoniem
Los van DROWN en helemaal geen encryptie, ook nog veel gemeente websites die het zeer oude en onveilige SSL gebruiken en kwetsbaar zijn voor b.v. POODLE.
Ja hoe komt hij er op, mijn gemeente ook gewoon SSL, dit geeft weer de kennis van de politieke bewindslieden weer.
02-04-2016, 12:22 door [Account Verwijderd] - Bijgewerkt: 02-04-2016, 12:30
Dit kan ik niet serieus nemen.

Eerste proef op de som hoe het met de Web-veiligheid is gesteld op de site van mijn gemeente weerlegt al wat mijnheer Plasterk ons tracht wijs te maken.
Zie: http://i.imgur.com/nasiPMe.jpg

Uit de Netcraft rapportage blijkt dan weer dat er ook een tracker actief is op Eindhoven.nl. En dat is Twitter.
zie: http://toolbar.netcraft.com/site_report?url=https://www.eindhoven.nl (naar beneden scrollen)
Waarom deze 'vervuiling' is mij een raadsel. En ja er zal onder de trouwe lezertjes hier heus wel iemand zijn die mij dat haarfijn uit de doeken doet maar dat vind ik he-le-maal niet boeiend. Een overheidssite hoort gewoon vrij te zijn van commerciële insteken. Het lijkt anders op ordinaire belangenverstrengeling.

Ach ik ben ook slechts een domme burger onder de beschermende paraplu van mijn waakzame overheid. Toch?

(edit: URL van Netcraft site analyse rapport toegevoegd)
02-04-2016, 12:26 door Anoniem
Dan te bedenken dat Suwinet bij de meeste gemeenten niet aan de 7 standaard-eisen voldoet.
Het is dus helemaal niet veilig!
02-04-2016, 12:33 door Anoniem
Plasterk zegt nadrukkelijk niet dat de beveiliging wél op orde is, hij zegt dat op grond van wat hem bekend is niet geconcludeerd kan worden dat dat niet zo is, en (terecht) ook dat 100% veiligheid niet bestaat. De kop en de eerste zin van het artikel leggen hem dus een uitspraak in de mond die hij niet gedaan heeft. "Plasterk reageert op kamervragen drown-lek" was een betere kop geweest.
02-04-2016, 12:57 door Anoniem
Door iDennis: Ik heb nu al tientallen voorbeelden welke laten zien dat nu (2-4-2016) heel veel gemeente websites kwetsbaar voor de DROWN-attack. Nog veel erger, er zijn zelfs websites waarbij formulieren met persoonsgegevens zoals BSN moeten worden ingevuld ZONDER encryptie, dus voor iedereen in te zien.
Als jij gegevens hebt die aantonen dat dat *vandaag* niet in orde is dan hoop ik dat je de overheid, NSCS én minstens een oppositiepartij die daar graag een punt van maakt op de hoogte stelt.

Maar goed, we hebben BIG..... en dus is alles veilig:-(

Plasterk neem je werk serieus!!!!! Dit kan echt niet, voor mij een motie van wantrouwen!
Denk je dat een minister alles zelf uitvoert? Of zelfs de rijksoverheid? De BIG is opgesteld door VNG en KING (Vereniging Nederlandse Gemeenten en Kwaliteitsinstituut Nederlandse Gemeenten), en de gemeenten zijn zelf verantwoordelijk voor het goed toepassen ervan. Een minister is verantwoordelijk voor een hoop maar niet helderziend, hij moet het doen met de informatie die hij krijgt van anderen, en als die informatie er goed uitziet kan hij dat moeilijk negeren.

Maar jij zegt andere informatie te hebben. Doe er wat mee, en meer dan het zonder onderbouwing hier te posten, geef concrete informatie door aan bevoegde instanties, oppositie en als dat niets oplost aan de media. Als Plasterk informatie achterhoudt moet dat boven tafel komen, als ergens in de informatiestroom aan hem informatie wordt achtergehouden ook.
02-04-2016, 13:23 door beert
Ach als ik dit soort (s)linkse uitspraken lees gaat het m'n ene oog in en het andere oog weer uit.
Deze regering neem ik toch al niet serieus in zijn leugenuitspraken, dus ik ik ga weer over op de orde
van de dag.
02-04-2016, 14:18 door Anoniem
"Alle gemeenten implementeren momenteel de maatregelen en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben"

De eerste vraag als volksvertegenwoordiger op dit antwoord zou moeten zijn hoe het toepassen van ondeugdelijke encryptie of geen encryptie bij verwerken van persoonsgegevens rijmt met de bewering dat er door het implementeren van de BIG er geen gemeenten bekend zijn die de beveiliging van persoonsgegevens niet op orde hebben en hoe dit zich verhoud tot het naleven van de Wet Bescherming Persoonsgegevens.

De BIG omschrijft maatregelen en normen om te komen tot een gewenst niveau van beveiliging.
De BIG voorziet niet in een voldoende kennisniveau van de personen die de maatregelen of normen doorvoeren, controles hierop bedenken of controle uitvoeren.
Het implementeren van de BIG omvat een overeenkomst, effectief een belofte, om de BIG na te leven.
Het implementeren van de BIG geeft geen uitsluitsel of je als gemeente voldoet aan de wet bescherming persoonsgegeven.
Het feit dat alle gemeenten een belofte doen om de BIG na te leven zegt niets over het risico door gebrek aan kennis over beveiliging op strategisch, tactisch en operationeel gebied.

Op papier is het daardoor heel goed mogelijk om aan de BIG te voldoen terwijl er in de praktijk geen controle mogelijk is of niet wordt uitgevoerd op het onbevoegd inzien van persoonsgegevens en maatk het mogelijk dat er al jaren zeer zwakke implementatie tot geen encryptie bestaat bij het verwerken van persoonsgegevens.

Een datalek vormt op zichzelf niet direct aanleiding tot het opleggen van een sanctie.
door de Autoriteit Persoonsgegevens.

Dus zelfs als je zo onbekwaam bent om te bedenken dat je encryptie moet toepassen bij het verwerken van persoonsgegevens, of het je als eigenaar niets kan schelen dat die encryptie zo zwak is dat je eigenlijk niet meer van bescherming kan spreken, dan maakt dat in Nederland nog steeds niets uit totdat iemand een keer naar de rechter stapt om je recht te behalen. Als je al kan bewijzen dat je schade hebt ondervonden door de onbekwaamheid van de eigenaar en zijn of haar gevolg. Bescherming via de BIG of WBP is een behoorlijke wassen neus voor de slachtoffers.
02-04-2016, 16:47 door [Account Verwijderd]
[Verwijderd]
02-04-2016, 19:28 door karma4
Door Anoniem:
Maar jij zegt andere informatie te hebben. Doe er wat mee, en meer dan het zonder onderbouwing hier te posten, geef concrete informatie door aan bevoegde instanties, oppositie en als dat niets oplost aan de media. Als Plasterk informatie achterhoudt moet dat boven tafel komen, als ergens in de informatiestroom aan hem informatie wordt achtergehouden ook.
In het voordeel van het wantrouwen richting Plasterk spreekt dit VNG verhaal uit okotber jl. https://vng.nl/onderwerpenindex/werk-en-inkomen/suwinet/nieuws/gemeenten-afsluiten-van-suwinet-moet-worden-voorkomen En dat zou allemaal ineens in een paar maandjes opgelost zijn waar het eerst "jaren" in een lade heeft gelegen, dat is onwaarschijnlijk. Wat raar is.... sinds die tijd niets nieuws te vinden wat ontwikkelingen betreft.
02-04-2016, 19:32 door Anoniem
Door Aha: Dit kan ik niet serieus nemen.

Eerste proef op de som hoe het met de Web-veiligheid is gesteld op de site van mijn gemeente weerlegt al wat mijnheer Plasterk ons tracht wijs te maken.
Zie: http://i.imgur.com/nasiPMe.jpg

Uit de Netcraft rapportage blijkt dan weer dat er ook een tracker actief is op Eindhoven.nl. En dat is Twitter.
zie: http://toolbar.netcraft.com/site_report?url=https://www.eindhoven.nl (naar beneden scrollen)
Waarom deze 'vervuiling' is mij een raadsel. En ja er zal onder de trouwe lezertjes hier heus wel iemand zijn die mij dat haarfijn uit de doeken doet maar dat vind ik he-le-maal niet boeiend. Een overheidssite hoort gewoon vrij te zijn van commerciële insteken. Het lijkt anders op ordinaire belangenverstrengeling.

Ach ik ben ook slechts een domme burger onder de beschermende paraplu van mijn waakzame overheid. Toch?

(edit: URL van Netcraft site analyse rapport toegevoegd)

• Secure connected bij profiel registratie
https://www.eindhoven.nl/mijn-eindhoven/Profielregistratie.htm
- Script
http://platform.twitter.com/widgets.js

• Homepage
https://www.eindhoven.nl/home.htm
- Script
http://platform.twitter.com/widgets.js
- XML Request
http://www.eindhoven.nl/home.htm?ajax=true&cachetimeout=-1&presentationid=1111880

• Ghostery found 3 trackers
www.eindhoven.nl

- BlueConic Analytics

Detected tracker source URLs:
https://eindhoven.blueconic.net/frontend/static/javascript/blueconic/blueconic.min.js

- Google Analytics Analytics, Analytics

Detected tracker source URLs:
https://www.google-analytics.com/analytics.js

- Twitter Button Widgets, Social

Detected tracker source URLs:
http://platform.twitter.com/widgets.js
http://platform.twitter.com/widgets.js
02-04-2016, 19:41 door Anoniem
Door iDennis: Dit laat helaas zien dat het erg slecht is gesteld met de awareness op gebied van Informatiebeveiliging binnen dit kabinet en de gemeentes.


Ik heb nu al tientallen voorbeelden welke laten zien dat nu (2-4-2016) heel veel gemeente websites kwetsbaar voor de DROWN-attack. Nog veel erger, er zijn zelfs websites waarbij formulieren met persoonsgegevens zoals BSN moeten worden ingevuld ZONDER encryptie, dus voor iedereen in te zien.

Los van DROWN en helemaal geen encryptie, ook nog veel gemeente websites die het zeer oude en onveilige SSL gebruiken en kwetsbaar zijn voor b.v. POODLE.


Start een forumtopic op forum met een overzichtslijst van de gemeenten die je zegt te hebben zodat we ernaar kunnen kijken en kunnen zien of wat je beweert ook waar is.
Die gemeenten weten het vast zelf al wel en houden het misschien onder de pet.
Wij hebben recht om te weten hoe veilig gemeenten zijn.
Een publieke security discussie over een openbare lijst met onveilige gemeenten kan de actiebereidheid van gemeenten wat vergroten en ons waar dat nodig is doen besluiten geen gebruik van onveilige websites te maken.
02-04-2016, 20:19 door Anoniem
Iedereen kan ook zelf even zijn gemeente testen en dit melden bij de gemeente. Volgens mij kun je op de onderstaande site de test zelf uitvoeren:

https://www.ssllabs.com/ssltest/
02-04-2016, 20:40 door Anoniem
Door Anoniem: Plasterk zegt nadrukkelijk niet dat de beveiliging wél op orde is, hij zegt dat op grond van wat hem bekend is niet geconcludeerd kan worden dat dat niet zo is, en (terecht) ook dat 100% veiligheid niet bestaat. De kop en de eerste zin van het artikel leggen hem dus een uitspraak in de mond die hij niet gedaan heeft. "Plasterk reageert op kamervragen drown-lek" was een betere kop geweest.

Sorry, maar dat 100% veiligheid niet bestaat is een dooddoener in dit geval, en gezien de reacties op - zeg - terrorisme bovendien een weinig consequente dooddoener.
Er is genoeg bekend uit incidenten (de privacy organisaties houden er staatjes van bij) om een gegrond vermoeden te hebben dat er nogal wat aan te merken valt aan de wijze waarop overheid in het algemeen en gemeenten in het bijzonder zelfs maar met de basisprincipes van gegevensbescherming om gaan. Een onderzoek naar 'luchtvaart' maatstaven zou dit ongetwijfeld genadeloos aan het licht brengen. 100% is hierbij een wrang getal als er gegronde reden is van een onvoldoende uit te gaan.

Ik vind het bovendien niet handig van de heer Plasterk om er op dit punt omheen te gaan draaien. Mooie woordkeuzes hoor, voortreffelijk Haagsch, maar ik weet niet wat ik erger vind, dat bescherming van mijn gegevens (met het risico geKowsolead, gestalked o.i.d. te worden) onvoldoende beschermd worden, dat de verantwoordelijk minister zich er niet toe kan brengen daarover de waarheid, de hele waarheid en niets dan de waarheid te spreken, of dat deze me blijkbaar als dom genoeg inschat dat ik wel in zijn doorzichtige woordgrapjes te trappen...
03-04-2016, 07:10 door Anoniem
Plasterk zegt echt wel dat het in orde is: Mij zijn dus geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben.

Als ik zeg geen open deuren te zien, dan zeg ik dus dat de deuren dicht zijn. En het tegenovergestelde van niet op orde is volgens mij in orde. En last but not least, hij is als minister eind verantwoordelijke. Hij hoort dus te weten of het wel of niet op orde is.....
03-04-2016, 07:45 door [Account Verwijderd] - Bijgewerkt: 03-04-2016, 07:48
[Verwijderd]
03-04-2016, 09:43 door [Account Verwijderd]
Relativerend aan een vergelijking zegt Plasterk:
Ik zit in mijn huiskamer en mij is niet bekend dat er elders in het huis een waterkraan open staat (het lekt)

Dus wat weet Plasterk niet?
Dat er wel eens een waterkraan open zou kunnen staan.

Dus waar is Plasterk zeker van?
Dat er wel eens een waterkraan open zou kunnen staan.

Tsjonge jonge, hoe moeilijk kan het zijn om te lezen wat er staat!
03-04-2016, 11:25 door Anoniem
Gelukkig... pfff... Alles is in orde. Gaat u maar rustig slapen, Plassterk waakt over u.
03-04-2016, 13:39 door Anoniem
Door Anoniem: Dan te bedenken dat Suwinet bij de meeste gemeenten niet aan de 7 standaard-eisen voldoet.
Het is dus helemaal niet veilig!
Oh ja, Suwinet. Dat is waar de Inspectie SZW een eigen interpretatie van de GeVS norm voor heeft ontwikkeld die ze niet met gemeenten hebben gecommuniceerd maar ze deze wel op afrekenen? Zo is het gemakkelijk scoren natuurlijk. Stel dat er morgen een inspectie langskomt, die een eigen vertaling van de ISO norm heeft gemaakt en daar bedrijven op gaat toetsen. Ik garandeer dat er geen enkel bedrijf of organisatie meer aan de norm zal voldoen en dan kan er ook in de krant worden gezet dat 90% van de bedrijven een puinhoop van hun beveiliging hebben gemaakt.
Tja, maar voor het plebs bekt het natuurlijk erg lekker dat gemeenten hun beveiliging niet op orde hebben. Hoeveel incidenten waren er ook alweer met persoonsgegevens bij gemeenten het afgelopen jaar? Als het echt zo slecht gesteld zou zijn dan zou de AP overuren moeten draaien, maar helaas voor de gemeente haters is dat niet het geval dus zou het gezeur over Suwinet misschien niet een hele grote storm in een glas water zijn? Ik maak me als burger veel meer zorgen over het bedrijfsleven waar allerlei persoonsgegevens worden verwerkt en waar de meeste bedrijven geen enkele interesse hebben om daar kritisch naar te kijken.
03-04-2016, 21:10 door Ron625 - Bijgewerkt: 03-04-2016, 21:14
Door Anoniem:Oh ja, Suwinet. Dat is waar de Inspectie SZW een eigen interpretatie van de GeVS norm voor heeft ontwikkeld die ze niet met gemeenten hebben gecommuniceerd maar ze deze wel op afrekenen?
Een groot aantal dingen spreek voor zich, en vallen gewoon onder de ICT richtlijnen.

Zo gaan Norm 1.3, Norm 1.4, Norm 1.5 over het Informatiebeveiligingbeleid en het beveiligingsplan.
Wie hieraan niet voldoet, heeft m.i. een verkeerde bedrijfsvoering op ICT gebied.

Norm 2.2 gaat over taken, verantwoordelijkheden en bevoegdheden en dan met name over:
Operationeel beheer, Functioneel beheer, Technisch beheer, Aansturing ICT leveranciers, Veiligheids persoon, Autorisatie beheer en Eigenaarschap.
Dit gaat dus over de bedrijfsvoering op het gebied van ICT, dat hoort gewoon al jaren geregeld te zijn.

Norm 2.3 en verder gaat hier verder op in.

Dit zijn allemaal dingen die in 2014 (of eerder) al bekend waren en eind 2015/begin 2016 dus geïmplanteerd horen te zijn.
Zeker, omdat het toch redelijk voor de hand ligt, even een paar voorbeelden:
De ambtenaar die over paspoorten (of ID bewijs) gaat, hoeft geen inzage te hebben in het inkomen.
De ambtenaar die gaat over bouwvergunningen, heeft niets te maken met het geslacht en/of de nationaliteit van de aanvrager.
In deze gevallen heeft dat namelijk niets met de aanvraag te maken.
Van de hele database (want dat is het) moet gewoon per veld bepaald zijn, wie (of welke functie) dit mag inzien en hetzelfde voor wie (of welke functie) dat veld mag muteren.
05-04-2016, 10:19 door Anoniem
Ja hier geloof ik dus helemaal niets van. Ik heb vorig jaar een onderzoek gedaan bij de grotere gemeentes uit Nederland, om te kijken of zij bekend zijn met de term 'ransomeware'. Van de secretaresses had ik dit niet verwacht, maar zelfs de IT'ers van de gemeente keken me stomverbaasd aan, geen idee waarover ik het toen had. Als ze zelfs zulke algemeen bekende termen in de IT afdeling van grote gemeentes niet kennen, hoe moeten ze dan weten wat Drown is? Of dat oude versies van SSL uberhaupt niet meer gebruikt mogen worden? Plasterk lult maar weer uit zijn nek, heeft of totaal geen idee wat er bij gemeentes omgaat of probeert zijn eigen hachje te redden.
05-04-2016, 12:07 door Johnoed
Ik geloof Plasterk direct. Haha. Eigenlijk ook wel weer treurig.
05-04-2016, 12:55 door Ron625 - Bijgewerkt: 06-04-2016, 10:54
Door Anoniem 10:19:IT'ers van de gemeente keken me stomverbaasd aan, geen idee waarover ik het toen had.
Vorig jaar heb ik een IT'er van een gemeente moeten uitleggen, dat een OpenStandaard, OpenSource en OpenData niet hetzelfde zijn.
ICT en overheden ............
26-04-2016, 10:58 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.