image

Canadese tiener niet vervolgd voor downloaden overheidsdocumenten

dinsdag 8 mei 2018, 12:21 door Redactie, 6 reacties

Een Canadese tiener die werd opgepakt voor het downloaden van onbeveiligde overheidsdocumenten wordt niet vervolgd. Dat heeft het bestuur van Halifax bekendgemaakt, de hoofdstad van de Canadese provincie Nova Scotia. Nova Scotia biedt burgers via het "FOIPOP-portaal" allerlei documenten.

De Freedom of Information and Protection of Privacy Act (FOIPOP) is de Canadese tegenhanger van het Wob-verzoek. Door 5 dollar te betalen krijgen burgers en journalisten toegang tot de documenten van het portaal. Alle documenten zijn voorzien van een nummer-id. De tiener ontdekte dat als hij dit nummer wijzigde hij ook andere documenten kon downloaden.

In totaal downloadde hij op deze manier meer dan 7.000 documenten. Veruit het grootste deel van de documenten was ook voor het publiek bedoeld. 250 documenten bevatten echter persoonlijke informatie, zoals geboortedata, adresgegevens en verzekeringsnummers. De provincie had deze documenten echter niet beveiligd en bij de publieke documenten opgeslagen.

De politie deed met 15 agenten een inval in het huis van de jongen en de Canadese premier beschuldigde hem van het "stelen" van informatie. Het optreden van de Canadese overheid zorgde voor een golf van kritiek. Experts en burgerrechtenbewegingen stelden dat de overheid de documenten had moeten beveiligen en de tiener niets strafbaars had gedaan. Nu meldt Halifax dat de politie het onderzoek naar het "gemelde datalek" heeft afgerond en de politie heeft vastgesteld dat er geen gronden zijn om de jongen te vervolgen.

Reacties (6)
08-05-2018, 13:09 door Anoniem
In totaal downloadde hij op deze manier meer dan 7.000 documenten. Veruit het grootste deel van de documenten was ook voor het publiek bedoeld. 250 documenten bevatten echter persoonlijke informatie, zoals geboortedata, adresgegevens en verzekeringsnummers. De provincie had deze documenten echter niet beveiligd en bij de publieke documenten opgeslagen.

Het is dan ook de fout van de provincie, dat er op een server met publieke documenten per abuis bestanden zitten die *niet* publiek behoren te zijn. Typische overreactie van een overheid, die geen verantwoording neemt voor de eigen fouten. De inval had nimmer moeten plaatsvinden.
08-05-2018, 13:33 door Briolet
Gaat de politie nu het hoofd IT arresteren wegens het publiceren van persoonlijke informatie? Die jongen deed niet veel fout, maar de IT afdeling wel.
08-05-2018, 15:28 door Anoniem
Door Briolet: Gaat de politie nu het hoofd IT arresteren wegens het publiceren van persoonlijke informatie? Die jongen deed niet veel fout, maar de IT afdeling wel.
Nee, want dat is een Ambtenaar.

Overigens zal het wellicht meer zo gegaan zijn van "hier een systeem om WoB-documenten te publiceren" en dat daar dan ook niet-zo-heel-publieke documenten mee gepubliceerd worden want het systeem is er toch al. En dan moet je gaan graven wie dat bedacht heeft, wie er wat wist, en wie er aan de bel had moeten trekken. En dat tussen verschillende afdelingen vol met Ambtenaren die allemaal expert zijn in "CYA" en de bal doorschuiven. Want verantwoordelijk is er echt niemand in zo'n organisatie. Kom nou.

Dat is ook waarom die tiener wel opgepakt is: Dat is maar een enkele burger en dus kan'ie zich niet achter z'n mede-Ambtenaren verschuilen. Véél makkelijker om "aan te pakken".
08-05-2018, 15:47 door karma4
Door Briolet: Gaat de politie nu het hoofd IT arresteren wegens het publiceren van persoonlijke informatie? Die jongen deed niet veel fout, maar de IT afdeling wel.
Er zijn er meer eens met jouw stelling (Ik ook) . Leuker is de hele politiek rel die er nu over gaat..
https://www.nationalnewswatch.com/2018/04/13/nova-scotia-premier-rejects-tory-call-for-ministers-resignation-over-breach-2/#.WvGoNExuKUk. Gevraagd is om de betreffende minister te laten opstappen.
http://nationalpost.com/pmn/news-pmn/canada-news-pmn/police-drop-case-against-teen-in-alleged-breach-of-n-s-government-website excuses eisen en meer van de premier aan die jongen.
Het is nog niet gelopen, leuk als het gevolgd wordt
08-05-2018, 16:10 door Anoniem
Door Anoniem: Het is dan ook de fout van de provincie, dat er op een server met publieke documenten per abuis bestanden zitten die *niet* publiek behoren te zijn.
Niet eens per abuis, vrees ik. Het was een portal die met een wet te maken heeft: the Freedom of Information and Protection of Privacy act, en het was dan ook de "Freedom of Information and Protection of Privacy portal". Daar lopen twee onderwerpen door elkaar met verschillende beveiligingseisen, en alleen de lichtste was geïmplementeerd. Daar zit de fout.
Typische overreactie van een overheid, die geen verantwoording neemt voor de eigen fouten. De inval had nimmer moeten plaatsvinden.
Weet je hoe het gegaan is? De portal was uitbesteed aan Unisys, en de software waaronder die draaide was weer door een andere partij gemaakt, CSDC. Een werknemer van de provincie ontdekte door een typefoutje dat hij zomaar gegevens op kon vragen waar hij niet bij hoorde te kunnen. De provincie liet de website offline halen en startte een onderzoek. Unisys nam als beheerder van dat spul natuurlijk zijn deel voor zijn rekening en meldde dat iemand 7000 documenten had opgevraagd. "Dat is geen spelerij meer", dacht een verantwoordelijke bij de provincie die zonder IT-kennis niet inzag dat zoiets een scriptje van niks vergt dus ook niet dat het makkelijk spelerij kan zijn, en er werd aangifte gedaan bij de politie. De politie, die een andere organisatie vormt dan de provinciale overheid en op het moment dat ze in actie komen echt geen compleet inzicht in de zwakte van de beveiliging heeft, behandelde het als computercriminaliteit en arresteerde de jongen.

Je hebt dus de provincie, twee IT-bedrijven en de politie. Wie heeft wat precies fout gedaan? Ik weet niet of het een blunder bij CSDC is dat de software dit lek bevat of een configuratiefout die Unisys heeft gemaakt bij het inrichten ervan. Je mag aannemen dat een provincie zoiets uitbesteed om niet zelf de kennis in huis te hoeven hebben, dus ergens bij die IT-bedrijven rust wat mij betreft een zware verantwoordelijkheid om dit goed ingericht te krijgen. De reactie van de provincie komt voort uit het gebrek aan IT-kennis. Is het wel zo verwijtbaar dat die iets verkeerd hebben ingeschat waar ze zelf geen verstand van hebben? Ze hadden dat nou juist uitbesteed aan partijen die zich als deskundig verkopen. Had Unisys moeten verzwijgen dat er 7000 documenten waren gedownload? En moet de politie bij een aangifte van een misdrijf eerst diepgaand gaan onderzoeken of het slachtoffer wel snapt waar die het over heeft of verwacht je dat ze zich op het opsporen van de dader richten?

De arrestatie van die jongen vind ik net als jij onterecht, maar van al die betrokkenen snap ik dat ze zo hebben gereageerd. Het probleem is dat geen enkele partij het totaalplaatje zag, de kennis van de situatie was verspreid over te veel verschillende partijen. En dat is echt niet uniek voor de overheid, je ziet bij bouwprojecten door al die onderaannemers ook dingen misgaan, bijvoorbeeld.

Ik vind wel dat dat lek om te beginnen niet in het systeem had mogen zitten, en dat kan je de betrokken IT-bedrijven verwijten omdat het hun expertise is om dat te voorkomen.
09-05-2018, 12:23 door karma4
De reactie van de provincie komt voort uit het gebrek aan IT-kennis.
Er is nog een derde optie. De niet openbaar bedoelde wob documenten dus als geheim/intern geklassicificeerd horen daar helemaal niet terecht te komen. Die zijn daar wel degelijk bewust neergezet.
Het duidt op ontbrekende of moeilijke functionaliteit waarvoor ambtenaren een hack gevonden hebben door deze portal te gebruiken. Het zou zelf met medeweten van bestuurders gebeurd kunnen zijn omdat dan zo handig thuis bij die documenten kunnen. Dat laatste is gezocht ik heb dat soort insteken wel meegemaakt. Gat het mis dan weet ineens niemand dat meer, zeer specifiek spontaan geheugenverlies.

En moet de politie bij een aangifte van een misdrijf eerst diepgaand gaan onderzoeken of het slachtoffer wel snapt waar die het over heeft of verwacht je dat ze zich op het opsporen van de dader richten?
Niet diepgaand maar wel zo ver dat ze overtuigd zijn dat het niet goed zit. Dus zeker niet op de aangifte klakkeloos dat als bewijs zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.