Door Anoniem: Het is dan ook de fout van de provincie, dat er op een server met publieke documenten per abuis bestanden zitten die *niet* publiek behoren te zijn.
Niet eens per abuis, vrees ik. Het was een portal die met een wet te maken heeft: the Freedom of Information and Protection of Privacy act, en het was dan ook de "Freedom of Information
and Protection of Privacy portal". Daar lopen twee onderwerpen door elkaar met verschillende beveiligingseisen, en alleen de lichtste was geïmplementeerd. Daar zit de fout.
Typische overreactie van een overheid, die geen verantwoording neemt voor de eigen fouten. De inval had nimmer moeten plaatsvinden.
Weet je hoe het gegaan is? De portal was uitbesteed aan Unisys, en de software waaronder die draaide was weer door een andere partij gemaakt, CSDC. Een werknemer van de provincie ontdekte door een typefoutje dat hij zomaar gegevens op kon vragen waar hij niet bij hoorde te kunnen. De provincie liet de website offline halen en startte een onderzoek. Unisys nam als beheerder van dat spul natuurlijk zijn deel voor zijn rekening en meldde dat iemand 7000 documenten had opgevraagd. "Dat is geen spelerij meer", dacht een verantwoordelijke bij de provincie die zonder IT-kennis niet inzag dat zoiets een scriptje van niks vergt dus ook niet dat het makkelijk spelerij kan zijn, en er werd aangifte gedaan bij de politie. De politie, die een andere organisatie vormt dan de provinciale overheid en op het moment dat ze in actie komen echt geen compleet inzicht in de zwakte van de beveiliging heeft, behandelde het als computercriminaliteit en arresteerde de jongen.
Je hebt dus de provincie, twee IT-bedrijven en de politie. Wie heeft wat precies fout gedaan? Ik weet niet of het een blunder bij CSDC is dat de software dit lek bevat of een configuratiefout die Unisys heeft gemaakt bij het inrichten ervan. Je mag aannemen dat een provincie zoiets uitbesteed om niet zelf de kennis in huis te hoeven hebben, dus ergens bij die IT-bedrijven rust wat mij betreft een zware verantwoordelijkheid om dit goed ingericht te krijgen. De reactie van de provincie komt voort uit het gebrek aan IT-kennis. Is het wel zo verwijtbaar dat die iets verkeerd hebben ingeschat waar ze zelf geen verstand van hebben? Ze hadden dat nou juist uitbesteed aan partijen die zich als deskundig verkopen. Had Unisys moeten verzwijgen dat er 7000 documenten waren gedownload? En moet de politie bij een aangifte van een misdrijf eerst diepgaand gaan onderzoeken of het slachtoffer wel snapt waar die het over heeft of verwacht je dat ze zich op het opsporen van de dader richten?
De arrestatie van die jongen vind ik net als jij onterecht, maar van al die betrokkenen snap ik dat ze zo hebben gereageerd. Het probleem is dat geen enkele partij het totaalplaatje zag, de kennis van de situatie was verspreid over te veel verschillende partijen. En dat is echt niet uniek voor de overheid, je ziet bij bouwprojecten door al die onderaannemers ook dingen misgaan, bijvoorbeeld.
Ik vind wel dat dat lek om te beginnen niet in het systeem had mogen zitten, en dat kan je de betrokken IT-bedrijven verwijten omdat het hun expertise is om dat te voorkomen.