Politie krijgt systeem dat misbruik politiegegevens proactief detecteert
De politie krijgt een systeem dat misbruik van politiegegevens en politiesystemen proactief moet detecteren. Dat heeft minister Grapperhaus van Justitie en Veiligheid laten weten op vragen van de CDA en het PvdA. Aanleiding voor de vragen is het Encrochat-onderzoek naar versleuteld berichtenverkeer tussen criminelen, waarbij de politie ook is gestuit op signalen van ambtelijke corruptie. Politiegegevens zouden naar criminelen zijn gelekt.
CDA-Kamerleden Van Dam en Van Toorenburg en PvdA-Kamerlid Kuiken wilden onder andere van Grapperhaus weten tegen welke privacywetgeving de politie aanloopt bij de uitrol van software waarbij verdacht zoekgedrag door politiemensen binnen de systemen automatisch wordt opgemerkt. Volgens de minister moet misbruik van informatie voorkomen worden. "Daarnaast moet informatie beschikbaar blijven en niet door technische bedreigingen (bijvoorbeeld een virus of malware) beschadigd worden of onbeschikbaar raken", voegt Grapperhaus toe.
Om dit te realiseren is de politie vorig jaar een pilot gestart waarmee stapsgewijs een systeem en werkwijze wordt ontwikkeld om misbruik van politiegegevens en politiesystemen proactief te herkennen en hier adequaat op te reageren. De pilot wordt in het eerste kwartaal van 2021 afgerond. Daarna volgt de evaluatie en zal het systeem en de werkwijze landelijk worden uitgerold. "Deze monitoring op atypische signalen is gefocust op datagebruik en niet in de eerste plaats op individuele politiemedewerkers", merkt de minister op.
Grapperhaus liet eerder al weten dat het proactief signaleren van atypisch gebruik van informatie een preventieve werking heeft. "Door in een vroeg stadium met medewerkers in gesprek te gaan kan een misverstand uit de weg worden geruimd, een probleem worden opgelost, misbruik worden voorkomen en gedrag tijdig worden aangepast. Signalen van (mogelijk) ongeoorloofd raadplegen van informatie tijdens de pilot worden opgevolgd."
De minister stelt verder dat alle politiesystemen zullen worden aangesloten op de Logging as a Service (LaaS) omgeving, om zo zicht op het gebruik van systemen te houden. Door middel van de LaaS-omgeving wordt bijgehouden wie welke informatie heeft geraadpleegd. Door alle systemen hierop aan te sluiten wordt de manier van logging geüniformeerd. "De maatregelen zijn erop gericht om corruptie vroegtijdig te herkennen en te voorkomen. Vertrouwen blijft het uitgangspunt, daar hoort monitoren en controleren ook gewoon bij als waarborg", aldus Grapperhaus.
Dat Logging as a Service niet standaard is ingebouwd vind ik vreemd, zeker bij gevoelige informatie.
Het moet een koud kunstje zijn om een viewer te bouwen die per gebruiker de queries toont, en of de gebruiker plotseling meer queries doet dan voorheen. Maar IMHO is het altijd nog mensen-werk om te interpreteren of hier dan sprake is van corruptie.
Nou, mensen met ervaring met de politie hebben dat vertrouwen dus niet meer en gezien de miljoenen ervaringen die dat onderbouwen lijkt vertrouwen niet het uitgangspunt moeten zijn.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Er is altijd iemand die jou de rechten kan geven als het nodig is, maar zeg nu eerlijk, de politie werkt zo langzaam dat als dat een maand duurt er nog steeds geen dooien vallen.
Eerst zal er toch iets geregeld moeten worden met wie wat wanneer mag zien.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Mijn stelling is dat een surveillerende politieagent niet van tevoren weet welke toegang hij/zij moet hebben tot de politiedatabases. Je weet niet wie je bij een toevallige controle tegenkomt. Een systeem van "vooraf aanvragen" werkt dus niet; dan blijft een systeem van "achteraf controleren" over.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Mijn stelling is dat een surveillerende politieagent niet van tevoren weet welke toegang hij/zij moet hebben tot de politiedatabases. Je weet niet wie je bij een toevallige controle tegenkomt. Een systeem van "vooraf aanvragen" werkt dus niet; dan blijft een systeem van "achteraf controleren" over.
Ik denk dat het wel mogelijk moet zijn om bepaalde quota in te voeren op bevragingen (aan de hand van tellingen vanuit
het verleden), waarbij ik noem maar wat een agent wel kentekens opvragen maar maximaal 5 per dag. Komt ie daar boven
dan moet ie eerst een motivatie geven die wordt vastgelegd, en bij bepaalde gegevens moet er dan eerst op een toestemming
worden gewacht (niet bij kenteken WAM/APK want dat kan iedereen opvragen, maar wel bij raadplegen opsporingsregister).
Ook zou je een trigger kunnen zetten op het vaak cq door veel personen opvragen van gegevens over hetzelfde item.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Mijn stelling is dat een surveillerende politieagent niet van tevoren weet welke toegang hij/zij moet hebben tot de politiedatabases. Je weet niet wie je bij een toevallige controle tegenkomt. Een systeem van "vooraf aanvragen" werkt dus niet; dan blijft een systeem van "achteraf controleren" over.
Dat kan toch een centralist?
Het is niet vreemd dat ziekenhuizen net omgaan met dit soort dingen.
Vanuit historie hebben klinisch-physici een traditie opgebouwd om zeer zorgvuldig te werk te gaan. Dit in het belang van het aanbieden van goede zorg, en vertrouwen naar de arts en patiëntengroep.
Dergelijke aandacht voor zorgvuldig werken zie je ook bij bijvoorbeeld (medische) instrumentmakers. Ook daar is het puntjes op de i.
Heeft ook te maken met trots, maar dat is weer een andere component die niet bij alle groepen hoog in het vaandel staat.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Mijn stelling is dat een surveillerende politieagent niet van tevoren weet welke toegang hij/zij moet hebben tot de politiedatabases. Je weet niet wie je bij een toevallige controle tegenkomt. Een systeem van "vooraf aanvragen" werkt dus niet; dan blijft een systeem van "achteraf controleren" over.
Dat kan toch een centralist?
Hiermee verschuif je het probleem naar een ander persoon, en gevoelige informatie komt bij tenminste 2 personen terecht.
Hiermee verschuif je het probleem naar een ander persoon, en gevoelige informatie komt bij tenminste 2 personen terecht.
maar het is wel goed als 2 personen moeten beslissen. De een vraagt aan de ander of ie iets mag opvragen, de ander
geeft daar dan akkoord voor (en doet niet noodzakelijk ook de opvraging).
Op die manier kun je, als je workforce niet totaal verziekt is met fraudeurs en malversanten, het risico beperken.
Dat Logging as a Service niet standaard is ingebouwd vind ik vreemd, zeker bij gevoelige informatie.
Het moet een koud kunstje zijn om een viewer te bouwen die per gebruiker de queries toont, en of de gebruiker plotseling meer queries doet dan voorheen. Maar IMHO is het altijd nog mensen-werk om te interpreteren of hier dan sprake is van corruptie.
Ziekenhuizen doen dit niet proactief, maar na de hand.
Veelal zie je niets aan deze data, je kunt zien wie / wanneer / welke gegevens heeft opgevraagd. Gezien je in een ziekenhuis praktisch altijd een medisch dossier moet in kunnen zien, door welke reden dan ook.
Na aanleiding van een paar BN'ers worden die ietsje beter in de gaten gehouden.
De overige patiënten, vallen echt vrijwel niet op, terwijl die waarschijnlijk meer verwachten.
Dus ja, als je van de ene afdeling patiëntgegeven opvraagt van een andere afdeling, is er een log daarvan, maar door druk en met name de bezuinigingen op alle fronten maar zeker op belangrijke zaken (lees het MT / bestuur / raad van bestuur, steken alles in hun zak) kun je hier jaren mee doorgaan.
apart he? :-)
Nou, mensen met ervaring met de politie hebben dat vertrouwen dus niet meer en gezien de miljoenen ervaringen die dat onderbouwen lijkt vertrouwen niet het uitgangspunt moeten zijn.
Je moet gewoon nergens bij kunnen komen als je er niets te zoeken hebt.
Er is altijd iemand die jou de rechten kan geven als het nodig is, maar zeg nu eerlijk, de politie werkt zo langzaam dat als dat een maand duurt er nog steeds geen dooien vallen.
Dat vertrouwen het uitgangspunt blijft correspondeert natuurlijk met het gegeven dat het woord van een agent hoger aangeschreven staat dan dat van de rest van Nederland. Dat dit in de tijd van camera's en soortgelijke middelen een achterhaald concept is ligt voor de hand, maar niets wijst erop dat de politie dat privilege zonder slag of stoot zal opgeven. Privileges worden eigenlijk nooit opgegeven en zeker niet vrijwillig. Dat is op zichzelf dan weer een teken dat het nodig is. Iemand die verantwoordelijk met zijn privileges omgaat ziet ze vooral als noodzakelijk kwaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
