Nieuws

Wiebes: Wel logging en monitoring bij Belastingdienst

donderdag 9 februari 2017, 12:39 door Redactie, 9 reacties

Bij de 'Broedkamer' van de Belastingdienst vindt wel logging en monitoring plaats, zo heeft staatssecretaris Wiebes van Financiën aan de Tweede Kamer laten weten. Vorige week stelde het televisieprogramma Zembla dat de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven niet goed waren beveiligd bij de Belastingdienst.

Volgens Wiebes klopt het geschetste beeld dan ook niet. "Er werd en wordt minimaal gelogd wie wanneer iets doet, wat iemand doet en welke directories, bestanden en databasetabellen worden gebruikt", aldus de staatssecretaris. Hij heeft nu de opdracht gegeven om de beschikbare loggegevens te onderzoeken, zodat kan worden vastgesteld of getracht is daadwerkelijk gegevens van belastingplichtigen buiten de Belastingdienst te brengen. Tevens is de opdracht gegeven om het gegevensgebruik van de Broedkamer en zijn voorgangers nader te onderzoeken. De Broedkamer is een afdeling van de fiscus die zich met data-analyse bezighoudt.

Wiebes stelt verder dat de bewering van Zembla, dat de Belastingdienst in maart 2015 voor een beveiligingslek zou zijn gewaarschuwd, niet klopt. Het televisieprogramma zou zich op een document hebben gebaseerd waarin observaties en aanbevelingen worden gedaan voor een organisatieonderdeel op het gebied van data-analyse. "Op beveiliging gaat het document niet in, noch bevat dit waarschuwingen over informatiebeveiligingsrisico’s" laat de staatssecretaris weten.

Afsluitend stelt Wiebes dat de aantijgingen van Zembla serieus onderzocht moeten worden, maar dat er bij de door Zembla genoemde afdeling, na onderzoek naar de ict-beveiliging, geen acute beveiligingsproblemen zijn. "Dat laat onverlet dat nader onderzoek naar de periode voor de start van Data & Analytics (D&A) gewenst is", merkt de staatssecretaris op. Zodra het onderzoek van de Autoriteit Persoonsgegevens, het eigen onderzoek naar de informatiebeveiliging en het forensisch onderzoek naar de aanbesteding zijn afgerond zal hij de Tweede Kamer opnieuw informeren.

Belgische overheid ziet geen Russische cyberaanvallen

Ernstig lek in F5-apparaten laat aanvaller deel geheugen uitlezen

Reacties (9)

09-02-2017, 13:02 door Anoniem

Aan wie heeft hij nu de opdracht gegeven om de loggegevens te laten onderzoeken?

09-02-2017, 14:38 door Anoniem

Objectief gezien het zou zo maar kunnen dat de imagoschade en de gevolgen te groot zijn en er voor de tactiek ontkenning gekozen. Doorgaans volgt later dan ook bagatalisering.

Het is opmerkelijk, dat:
- De accenture medewerkers uit de broedkamer vervangen zijn door vaste medewerkers.
- Beide websites (Zemble en belastingdienst) op dezelfde datum exact het tegenoverstelde beweren en beide websites op dezelfde datum gewijzigd waren.

1) Ik zou wel eens het bewijs willen zien van de datum van inwerkingstelling van die audit instellingen en welke instellingen dit precies waren. Dit kan namelijk heel snel "spontaan" gewijzigd zijn. Ik durf te wedden dat ze dat niet kunnen bewijzen..of dat die gegevens ineens weg zijn.

2) Wie verrichte het onderzoek? Welke onafhankelijke partij was dit. Als de overheid dit onderzoekt is het toch de slager k"l"eurt zijn eigen vlees?

3) Als er gelogged en gemonitord is op bestanden, directoriesen en tabellen laat ze dan maar eens bewijzen dat dit minstens voor en tijdens het bestaan van de broedkamer ook daad werkelijk gebeurd is. iets met WOB. Ik geloof er echt helemaal niets van.

4) Normaliter als er dit soort aantijgingen zijn hoor je de boel te bevriezen en mag er niemand meer aan komen totdat alle bewijs is verzameld.

5) Als Accenture zelf niet kon bewijzen dat haar medewerkers data hadden meegenomen en beweert haar medewerkers te vertrouwen krijg ik er een onprettig gevoel bij. Dus dit zal hard aangetoond moeten worden.

Pas als die vragen minstens beantwoord zijn...zou het wat vertrouwen kunnen scheppen. Maar goed ze zijn er dus deels mee bezig...maar het mag wel iets scherper..

Oja check ook even op virusbesmettingen. de afgelopen jaren. Durf te wedden dat ze dat ook niet onder controle hadden.

09-02-2017, 16:19 door Anoniem

Vraag je ook eens af wie er in het verleden aantoonbaar een bepaalde 'informatiekwaliteit' heeft toegepast in uitspraken, en wat nu de belangen zijn van de betrokken partijen om een woordvoeringslijn te gebruiken...

09-02-2017, 17:30 door Anoniem

Aanbeveling 10 in dat document:

Organiseer Data Governance binnen BIA en de bedrijfsvoering waardoor zorgvuldige omgang met gegevens wordt geborgd met afdoende aandacht voor beveiliging en een auditeerbare situatie ontstaat.

Volgens mij staat daar dat er nog heel veel niet geregeld was. Dat blijkt ook uit andere punten. Aanbeveling 4 bijvoorbeeld, over het robuust en volwassen maken van processen, eindigt met de opmerking dat daarbij ook reproduceerbaarheid en tracability van groot belang zijn. Er wordt niet zozeer een specifiek beveiligingslek genoemd, er staat dat er zoveel nog niet geregeld is dat er sprake is van een gapend gat in de beveiling. Een gapend gat is ook een lek.

Wiebes zelf citeert in zijn brief beveiligingsvoornemens van D&A:

Voor beperking van fysieke toegang (zie 3.6 Huisvesting) en nadere inperking van de logische toegangsbeveiliging om data voor medewerkers af te schermen, zijn gedachten aanwezig zoals toegangspasjes om op de afdeling te komen, logging en monitoring. Deze maatregelen zijn nog niet geëffectueerd.

Zembla heeft hieruit geconcludeerd dat logging en monitoring niet plaatsvonden, Wiebes schrijft dat dit onterecht is (het zou gaan om aanscherpen) en dat er wel degelijk werd gelogd. Als ik lees wat hij citeert lijkt er toch echt te staan dat toegangspasjes, logging en monitoring nog niet geëffectueerd zijn, ik kan me goed voorstellen dat Zembla dat dan ook zo heeft geïnterpreteerd.

De broedkamer was een pilot, en als je ergens aan begint dat heel anders van opzet is dan je verder aan systemen hebt is het op zich begrijpelijk dat er van alles nog opgetuigd moet worden. Als die pilot met privacygevoelige gegevens van alle Nederlanders en Nederlandse bedrijven werkt dan is dat helaas niet goed genoeg, illegaal zelfs.

Er wordt zo te zien trouwens wel goed op gereageerd, er wordt op verschillende manieren onderzocht wat er gebeurd is, en het is ook goed dat men wel degelijk op zijn minst een aanzet maakte om het beter in te richten. De betrokken dataset is alleen iets waar je ook niet tijdelijk onnodige risico's mee moet lopen, en daar gaat de herrie over.

10-02-2017, 01:12 door Anoniem

Een pilot is geen vrijbrief om risicos te lopen met de data van 11 miljoen burgers punt.

Ik zou zoiets direct hebben afgekeurd en met een voorstel zijn gekomen,

Een pilot doe je maar met dummy data

10-02-2017, 07:40 door Anoniem

Dhr Wiebes heeft gewoon gelijk. De controle binnen de Belastingdienst is gewoon goed verder. Dat Zembla daar weer een Telegraafverhaal "Hier is een verhaaltje, verzin er eens wat feiten bij" van maakt, tja. Kijkcijfers? Ego strelen? De sancties die de belastingdienst heeft zijn zeer zwaar en bij het kenbaar maken van dit soort gegevens kunnen zware boetes en straffen opgelegd worden. En ik heb er gewerkt, de beveiliging is echt onder controle. Wellicht dat sommige medewerkers zich niet aan de afspraken hielden en oneigenlijk gebruik maakten van hun rechten...
Dat Accenture mw vervangen worden lijkt me eerder een budgetkwestie dan dat dit verband houdt met deze zaak...vind ik....<einde>

10-02-2017, 10:32 door Anoniem

Door Anoniem: Dhr Wiebes heeft gewoon gelijk. De controle binnen de Belastingdienst is gewoon goed verder.

Verder, schrijf je. Dat geloof ik. Het gaat hier nou net niet over hoe het verder is bij de belastingdienst maar over wat er bij de broedkamer gebeurd is. Voldeed dat ook aan het regime dat jij hebt meegemaakt? Als het verhaal wél klopt dan is een aantal medewerkers van de belastingdienst ermee naar buiten getreden juist omdat het daar níet volgens de normen ging die daar horen te gelden.

Het wordt nader onderzocht, onder meer door de AP, en dat is goed. Of dit een storm in een glas water is of dat het werkelijk niet deugde zal nog wel blijken. Ik vind vooralsnog niet dat Wiebes gewoon gelijk heeft, ik interpreteer de informatie die hij zelf aandraagt anders dan hij hem kennelijk interpreteert. Als ik het lees krijg ik de indruk dat de broedkamer de beveiliging nog lang niet rond hadden in hun wereldje, en kennelijk werkten ze in die onaffe opzet al wel met zeer gevoelige gegevens.

Wiebes gaat er overigens verder wel goed mee om, hij heeft onderzoeken laten starten en houdt wel degelijk de mogelijkheid open dat er wel dingen mis zijn gegaan.

10-02-2017, 12:22 door Anoniem

Geloven doen we in de kerk. Het gaat om de feiten.

10-02-2017, 12:55 door Anoniem

Organiseer Data Governance binnen BIA en de bedrijfsvoering waardoor zorgvuldige omgang met gegevens wordt geborgd met afdoende aandacht voor beveiliging en een auditeerbare situatie ontstaat.

Niet onder controle dus. punt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer