Meer controle..

Niet een beter ontwerp en betere implementatie, maar meer controle. Als Rijkswaterstaat of de Waterschappen zo zouden werken, zouden ze niet de dijken versterken, onderhouden en ophogen maar vaker langslopen om te kijken of er al water overheen komt. Als chemische fabrieken zo zouden werken, zouden ze niet hun systemen zo veilig mogelijk maken, maar meer brandmelders ophangen. Er is geen een partij in het land die op zo'n manier kan werken zonder ontzettend hard afgestraft te worden door de markt of de wet, behalve de overheid zelf.

Nee, Eelco. Die gegevens hadden er nooit moeten zijn.
Dat is nou precies het probleem! Het gebeurt overal! Het probleem dus wel kennen, maar niet onderkennen. Zo kennen we onze overheid weer!

Daarnaast had deze vogel nooit toegang moeten hebben tot persoonsnummers - heeft-ie helemaal niet nodig.

Het rammelt 'by design'. Zelf 30 jaar geleden in niet kritische toepassingen regelden wij het al beter.

Dan gewoon maar niet testen ofzo.

Er is iets wat je zelf kan doen om identiteitsfraude met je eigen gegevens te voorkomen. Namelijk geen afspraak maken met de GGD als je verkoudheidsklachten hebt. In het begin van de crisis waren er niet eens testen beschikbaar, en toch ging het toen vele malen beter als nu.

24 uur klachtenvrij en je mocht weer naar buiten zei het RIVM toen (ik heb de screenshots uit april bewaard op mijn computer).

Bijkomend voordeel is dat je DNA niet stiekem alsnog in Abu Dhabi terecht kan komen. Omdat de situatie zo nijpend is geworden dat dat organisatorisch noodzakelijk is geworden.

Of ik mij zelf zou laten testen? Dat is moeilijk. Ik wil wel graag weten of ik Covid heb gehad. Omdat het toch vrij nare schade aan je organen kan achterlaten als je niet meer zo jong bent of als je onderliggende ziektes hebt. Maar als het kan wil ik wel zo lang mogelijk uitstellen dat ik in de database van het callcenter van GGD terecht kom.

Omdat het overal in de zorg gebeurt, wil niet zeggen dat het ook goed is.
Afgelopen paar dagen waren op veel plaatsen rellen, is dat dan ook goed?
Wat is dat voor een figuur.

Hier heeft de heer De Jonge het basisprincipe niet begrepen. Het is waar dat nagenoeg iedere security control uiteindelijk met genoeg moeite en geld omzeild of doorbroken kan worden. Maar juist de hoeveelheid geld en moeite (in vaktermen de Work Factor) waartoe je naar schatting de kwaadwillende dwingt bepaalt de effectiviteit van je security control.

In de huidige situatie is in wezen zijn opmerking dat er geen kruid tegen gewassen is nogal een dooddoener, omdat met een systeem waarin iedereen read access op alles heeft, de work factor tegen dit type misdaad per definitie tot nihil is teruggebracht.

Een GGD-test kun je nog vermijden. Overigens gaan de commerciële testers nog dramatischer om met je gegevens. Straks zitten we met een indirect opgedrongen vaccin. Zonder vaccinatiebewijs uit het systeem van de overheid (dus gefaciliteerd door de overheid) kom je straks nergens meer binnen. Geen vliegtuig, geen publiek gebouw. Wat een wereld.

En die achterlijke NOS. Gisteren weer in Nieuwsuur "het vaccin is de enige uitweg", aldus de presentator. Wat een achterlijk instituut. Journalistiek. Denken ik dogma's en de hele dag ons hun wereldbeeld opleggen.

Ik dacht dat dat plannetje van het ministerie van VWS was afgeschoten, maar is het nu toch weer actueel geworden?

https://www.security.nl/posting/671730/Jouw+DNA+naar+Abu+Dhabi%3F

Kan iemand deze minister stoppen die leugen na leugen na leugen na leugen de wereld in helpt. Telkens de verantwoordelijkheid van zich af weet / probeert te praten en ondertussen met alles faalt?

Nu ik De Jonge vandaag weer hoor liegen in de kamer over het toezicht op dit systeem en weer het probleem buiten zichzelf zoekt...

Ook al vraag je personeel geheimhoudingsverklaringen te ondertekenen of VOG's te overleggen, als zo'n systeem zo achterlijk is ingericht dat iedereen alle data eruit kan trekken, dan ontstaan er van zelf corrupte medewerkers. Iedereen heeft een prijs waarbij ze overstag gaan. Zeker aangezien het risico om gepakt te worden met deze "random" controles waarschijnlijk niet heel groot is.

Wat een dom IT-systeem.

Het is echt een grof schandaal.

Helaas zijn die Kamerleden op een paar uitzonderingen na incompetent en lui. Echte controle en kritische ondervraging vindt er nauwelijks plaats. Alleen wat stoere praatjes voor de bühne.

Dit is een goed draadje op Twitter die mijn gedachten precies verwoordt:

https://nitter.net/LarsDuursma/status/1354007696727552000#m

"GGD is dan ineens het slachtoffer in dit verhaal

Maar deze discussie zóu moeten gaan over roekeloosheid GGD

En alle mensen die daar het slachtoffer van werden of nog zullen worden."

Van De Jonge word je ook misselijk ondertussen. Liegen, anderen de schuld geven, liegen, de mensen die vragen stellen proberen te diskwalificeren, nog een keer liegen, bagatelliseren, en nog maar een keer liegen.

https://nitter.net/danielverlaan/status/1354340498006274048#m

In het Vragenuur van dinsdag 26 januari werden vragen gesteld over het ontwerp "privacy by design", het "opt-in" systeem, en over het openstaan van de "exportfunctie" die pas op 25 januari werd verwijderd.
Zou het echt zo simpel zijn: USB stickje in de terminal, en dan "export all data"?
Welke audit en/of pentester heeft dit over het hoofd gezien?

Onderstaand de woordelijke weergave van het debat over deze aspecten:

Buitenweg (GL):
"De minister heeft het veel over dat de systemen veilig moeten zijn en gecontroleerd moeten worden. Maar wat hier volgens mij het belangrijkste is, is privacy by design. De minister kent dat goed, want daar hebben we het bij de corona-app ook veelvuldig over gehad. Ik denk dat de vraag is — daar had mevrouw Agema natuurlijk wel een punt — hoe het systeem nou in elkaar zit en of echt alleen de gegevens worden gevraagd die noodzakelijk zijn. Wat voor eisen zijn er gesteld aan privacy by design aan de GGD en volgt de GGD al die eisen ook op? ..."

Minister De Jonge:
..."Wat in de systemen bij de GGD gebeurt, is dat alle checks-and-balances de komende tijd opnieuw tegen het licht worden gehouden om te bekijken of ze daadwerkelijk aan de hoogste standaarden voldoen." ...

Van Esch (Partij voor de Dieren):
"Ik wil nog een vraag stellen over een ander systeem waarin volgens mij precies dezelfde cruciale privacyissues zouden kunnen ontstaan, namelijk dat opt-insysteem. Er zijn op dit moment 8 miljoen medische dossiers opengesteld; nog steeds, ondanks dat we al herhaaldelijk hebben gevraagd wanneer dat nou weer gaat sluiten. En ook hierbij kunnen mensen onbevoegd toegang hebben tot medische dossiers van mensen. Ik vind dat een zeer zorgwekkende zaak. Precies hier kan hetzelfde gebeuren als we nu hebben gezien bij dit coronasysteem. Dus wanneer zetten we nou alsjeblieft dat opt-insysteem uit? Ik zeg er "alsjeblieft" bij, voorzitter, want dit is echt een heel groot risico en hetzelfde risico als waar we nu over spreken. Ik vraag me dus af waarom we dat nog steeds openstellen; dat kan écht niet."

Minister De Jonge:
"Dit is echt een hele andere zaak, maar ik ga mevrouw Van Esch toezeggen dat ik hier schriftelijk op terugkom. Dit is echt een heel andere zaak. Ik ben er op dit moment niet tot op de laatste stand van zaken op voorbereid, maar dit gaat over het kunnen delen van medische gegevens, om een enorme opstopping in de keten te voorkomen. Dat is waar het hier om gaat. Ik zeg u toe om u de laatste stand van zaken op dat punt te laten weten."

Van Esch (Partij voor de Dieren):
"Ik wil toch nog een tweede vraag stellen. Die gaat nog steeds over die zogenoemde "exportfunctie". Die is nu stilletjes een beetje weggemoffeld uit het systeem, maar volgens mij was dat echt een van de tekortkomingen. Je moet je toch rotschrikken als er zo'n exportfunctie in zit? Daarmee kun je miljoenen dossiers zo hup, met één druk op de knop downloaden. Gaat de minister nu bijvoorbeeld een team van ethische hackers inzetten om al die systemen, al die medische systemen die we in Nederland hebben, op z'n minst op zo'n exportfunctie te laten controleren? Want het kan toch niet zo zijn dat dit soort functies zitten in Nederlandse medische systemen waar de overheid verantwoordelijk voor is?"

Minister De Jonge:
Iedere instelling is verantwoordelijk voor haar eigen omgang met data. En als er sprake is van een datalek, is iedere instelling ook verplicht om dat te melden aan de Autoriteit Persoonsgegevens, op grond van de AVG. En dat gebeurt ook. Mevrouw Van Esch heeft het over systemen die onvoldoende veilig zijn. Er worden inderdaad pentesten gedaan, maar er zijn natuurlijk duizenden instellingen met duizenden systemen, dus dat is niet een actie die je vanuit het departement kunt ondernemen. Wat doen we wél vanuit het departement? Er zijn tal van acties waarbij we helpen en ondersteunen bij de informatiebeveiliging en informatieveiligheid. Soms doen we dat gewoon door regels te maken, door wet- en regelgeving. Soms doen we dat door geld te geven, door gewoon een financiële ondersteuning om dingen mogelijk te maken. En heel vaak ook door gewoon praktische ondersteuning. Daarbij helpen we partijen en instellingen om goed om te gaan met hun dataveiligheid. En daar horen ook pentesten bij, testen om te kijken of je van buiten binnen kunt komen in een systeem. Dat deel ik zeker met mevrouw Van Esch."

(...)

Mevrouw Kuiken (PvdA):
"Ik heb toch het idee dat minister De Jonge er iets te makkelijk overheen stapt. Immers, gisteren is nog de exportfunctie eruit gehaald. Moeten we dan niet concluderen dat in ieder geval een aantal belangrijke veiligheidsmaatregelen niet zijn genomen? En ten tweede: gisteravond is er nog data aangeboden voor verhandeling. Dit is al maanden gaande. Blijkbaar was iedereen erbij, maar heeft niemand het gezien. Mijn vraag is dan ook: constateert de minister met mij dat we het simpelweg niet weten omdat er dus geen zicht is op wat er feitelijk onder de neuzen plaatsvond?"

Minister De Jonge:
"Er is juist geconstateerd dat het beveiligingsniveau omhoog kan, dus dat er hogere eisen te stellen zijn aan die veiligheid. Dat is eind vorig jaar geconstateerd. Toen is er een set aan maatregelen genomen. Een aantal van die maatregelen worden versneld doorgevoerd. Een van die maatregelen is inderdaad wat u al noemde: de exportfunctie is geschrapt, niet zozeer uit CoronIT, maar juist uit dat andere programma, HPZone. Dat is een maatregel die nu versneld wordt doorgevoerd. De komende tijd moeten we juist versneld ook al die andere beveiligingsmaatregelen doorvoeren, waarvan in december was geconcludeerd dat dat moet. Daarbovenop heeft de GGD aan een externe partij gevraagd om nog een keer te toetsen of daarmee dan echt het maximum is gedaan om de dataveiligheid te waarborgen. Want dat is inderdaad wat nodig is."

(...)

Het woordelijk verslag van dit vragenuur is hier te lezen:
https://www.tweedekamer.nl/kamerstukken/plenaire_verslagen/detail/4e04b801-48b1-4b30-ab5e-1683799e4580

Nu met klikbare link:

https://nitter.net/danielverlaan/status/1354340498006274048#m

Een goed draadje van de RTL-journalist, waarin de leugens van De Jonge eens worden uitgelegd.

voor de de jonge is meer controle ipv 1 keer per jaar kijken in een handmatige logfile die genoeg data bevat van 1 week nu 2 keer per jaar kijken...
is het ook 2 x zo veilig geworden.

De Jonge zijn verhaal aantoonbaar lulverhaal

https://www.volkskrant.nl/nieuws-achtergrond/deskundigen-uitspraken-de-jonge-over-ggd-datalek-aantoonbaar-onjuist~b20e5159/

Dat is onze vice-premier. Je weet wel, het figuur dat het land moet leiden als onze premier het niet kan (nou ja... hij kan het niet, dat is duidelijk, maar goed).

De GGD heeft ook een website laten maken waarop trackers van Google en Doubleclick staan.

https://twitter.com/uw_privacy/status/1354515109331267587?s=20

Aan al die mensen die URLs niet klikbaar maken: het is een heel kleine moeite om dat wel te doen.

Type voor het webadres [ u r l ] in en [ / u r l ] erna (zonder de spaties die ik heb tussengevoegd om te voorkomend at deze site het als klikbare URL opvat), 11 tekens meer en klaar is kees. Onder het balkje "Reageren" zie je in grijze letters "Ondersteunde bbcodes" staan. Kijk er eens naar.

Bedankt voor het plaatsen.


De directe link naar de betreffende afbeelding https://pbs.twimg.com/media/EswzCzvXMAQ6sqa?format=jpg&name=large

Overigens best ironisch dat Daniel zijn cq dit boek uitgeeft bij Das Mag https://daniel.verlaan.xyz/2020/boek-das-mag. Die site bevat 3 trackers wil je het daadwerkelijk bestellen wordt het nog 'n graadje erger qua privacy.
Niks ten nadele van hem, goed journalist. Eentje nog die tenminste echt iets uitzoekt tot op de bodem.
Mijn inziens had hij toch eventjes naar mogen kijken.