Wiebes: Bij fiscus ontdekte datalekken werden niet gemeld
De datalekken bij de Belastingdienst waar staatssecretaris Wiebes van Financiën de Tweede Kamer afgelopen vrijdag over informeerde zijn niet via klokkenluiders aan het licht gekomen. Dat laat Wiebes op aanvullende vragen over het onderzoek naar het gegevensgebruik bij de afdeling Data & Analytics (D&A) weten.
Bij de Belastingdienst hebben zich tien gevallen voorgedaan waarbij persoonsgegevens op een ongeoorloofde manier de fiscus hebben verlaten, schreef de staatssecretaris in zijn brief aan de Tweede Kamer. De vaste commissie voor Financiën vroeg Wiebes aanvullend of mensen anoniem, of met klokkenluidersbescherming, melding konden doen. Wiebes antwoordt dat alle gevonden datalekken voortkomen uit het onderzoek dat werd ingesteld naar aanleiding van een uitzending van het televisieprogramma Zembla in februari van dit jaar.
"Deze zijn niet aan het licht gekomen als gevolg van meldingen. Medewerkers die kennis hebben van gevallen waarin er gegevens van belastingplichtigen, belastingschuldigen of toeslaggerechtigden buiten de Belastingdienst zijn gebracht, kunnen dat melden via de gebruikelijke meldpunten en procedures voor integriteit, datalekken en vertrouwenspersonen", aldus de staatssecretaris.
Hij herhaalt verder dat de voorlopige resultaten laten zien dat voor wat betreft de monitoring bij de afdeling D&A onvoldoende invulling is gegeven aan de richtlijn informatiebeveiliging. "Dit bleek een papieren werkelijkheid", merkt Wiebes op. De staatssecretaris hoopt voor het einde van het zomerreces de onderzoeksrapporten naar de datalekken naar de Tweede Kamer te sturen.
Welke afdeling van gebruikers moet zijn eigen ict zaken op die manier zelf doen dat is toch een ict taak met een soc center gebeuren.
Nu vragen ze om miljoenen alleen maar om hun vriendjes bij de NSA te helpen de EU economie om zeep te helpen door belangrijke informatie van EU bedrijven aan hun Amerikaanse concurenten door te spelen.... Airbus->Boeing/Lockheed-Martin en wat nog erger is... ze gebruiken de nationale NSA voor hun vieze werk... en als die het mag of kan of wil doen, gebruiken ze de NSA van hun buurlanden.
Zo zijn Europeessche bedrijven al miljarden misgelopen omdat de Amerikaanse concurenten van te voren al wisten hoe hoog het bod moest zijn om in aanmerking te komen voor een bid, welke mensen chantabel waren en dus 'aangepast' konden worden...
afspraken en procedures en richtlijnen en iso normen ten spijt, de realteit is weerbastiger. elke keer weer. typisch management probleem: we hebben afgesproken en een besluit genomen -> alles is instantaan opgelost en onmogelijk.
laat dit een duidelijke les zijn voor de reaguurder van deze site die weer eens aan komt met 'maar de afspraak was' en 'hadden ze maar beleid moeten doen' en 'daar zijn best practises voor' etc. etc. etc.
efin, er is wel vaker en meer onzin op papier geschreven in het verleden die niets met de fysice werkelijkheid te maken heeft, maar waar wel heilig in geloofd wordt.
https://en.wikipedia.org/wiki/Empirical_evidence
Welke afdeling van gebruikers moet zijn eigen ict zaken op die manier zelf doen dat is toch een ict taak met een soc center gebeuren.
Je kunt een SOC niet de schuld geven van dit soort lekkages. De applicatie ontwikkeling zou veel beter in de gaten moeten worden gehouden. Helaas wordt security altijd als een non-functional gezien. Agile ontwikkeling heeft hier niet erg bij geholpen, daar ik vermoed dat security niet veel verder komt dan Could en in worst case "would not this time" (MOSCOW priority)
Je kunt een SOC niet de schuld geven van dit soort lekkages. De applicatie ontwikkeling zou veel beter in de gaten moeten worden gehouden. ...
"Dat betreur ik. Logging heeft wel plaatsgevonden, actieve monitoring niet." Nu is de vraag wat jij onder applicatieontwikkeling verstaat. Zijn dat het neerzetten van de tools (SAS Teradata) de DWB met het internet en mail. En als als mail er bij hoort als applicatie en internet, dan zijn het toch zaken die niet op de afdeling thuishoren maar bij de ICT.
Big data (excel en zo) is het pielen met gegevens door de betreffende verantwoordelijke.
Als het met mail naar buiten gegaan is dan is dat voa SOC monitoring. Als het via de tools (SAS / Teradata) naar buiten gegaan is dan is het de ICT voor de inrichting. Het blijft een probleem als iemand toegang tot gegevens heeft en dat gaat delen. Een smartphone foto maken en die whatsappen zou er ook onder vallen.
Ik heb rare zaken meegemaakt. Een programmeur / business analist had geen toestemming tot de data. Opmerking: marketing krijgt het wel dan ga ik het daar wel halen. Of we snappen onze data niet we sturen alles wel op een paar CD-tje per post naar onze grote dienstverlener, die kan er vast wel wat mee (niet dus). Dat zijn gevallen van ca 25 jaar terug waar ik me aan ergerde (grote organisatie). Alles staat of valt met de betreffende persoon.
Vergeet overigens niet de dan NL belastingdienst een van de meest complexe en betrouwbare is ter wereld en dat het hier reuze meevalt t.o.v. andere landen zoals USA, FR.
O, ik heb er 9 jaar gewerkt, er gaat meer goed dan fout trouwens... Dit is dan misschien iets waarvan we zeggen; "Mja, niet handig". Maar de belastingdienst zit in de hoek van de kijkers, elk mineur dingetje wordt opgeblazen tot epische proporties. Het is wat het is.
heel nederland is doordrongen van 2e rangs midde management met een vlotte babbel, tot aan de politiek aan toe. dit land is kapot gemanged en we hebben echte vak lui die wel kunnen presteren en produceren, in de zorg, in de IT, in het onderwijs etc. etc. etc. ondergewaardeerd en de man met das en vlotte babbel te veel overgewaardeerd. hier het resultaat en verwacht van dit soort organisaties en types geen echte oplossing, that ship has sailed!
Zowel deze afdeling als de FIOD zijn partijen die niet transparant zijn over hun beveilgiing en hun werkwijze. Instelling: "wij zijn onze eigen baas en wij bepalen het".
Dit is geen fout/schuld door IT medewerkers, maar door het management.
https://www.computable.nl/artikel/opinie/overheid/6056388/1509029/bit-liquideert-de-brp.html
Dit is geen fout/schuld door IT medewerkers, maar door het management.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
