Nieuws

De Jonge maakt risicoanalyse GGD-systemen vooralsnog niet openbaar

maandag 29 maart 2021, 15:53 door Redactie, 11 reacties

Demissionair minister De Jonge van Volksgezondheid maakt de risicoanalyse van de GGD-systemen vooralsnog niet openbaar, zoals gevraagd door de Tweede Kamer. Daarnaast blijkt dat de GGD de eigen systemen "grotendeels automatisch" op misbruik monitort. Eerder stelde De Jonge nog dat dit "volautomatisch" zou gebeuren. Dat blijkt uit een brief die de minister over de digitale ondersteuning bij de coronabestrijding naar de Tweede Kamer stuurde.

De Jonge liet vorig jaar een een risicoanalyse uitvoeren naar de it-systemen en gegevensuitwisseling in de test- en traceerketen van de GGD. "Dit om te beoordelen of en waar een versteviging, uitbouw en – waar nodig – herontwerp van de onderliggende ict-infrastructuur verstandig is", aldus de minister eind december. De risicoanalyse legde enkele kwetsbaarheden bloot, onder meer op het gebied van informatiebeveiliging, it-continuïteit, datakwaliteit en toekomstbestendigheid.

De Tweede Kamer vroeg vervolgens om de openbaarmaking van deze risicoanalyse. Vorige maand maakte de minister duidelijk dat hij de analyse niet openbaar ging maken, omdat dit teveel risico's met zich zou meebrengen. "De analyse bevat overzichten en beschrijvingen van informatiestromen en benoemt daarnaast ook de zwakke plekken in de systemen. Zo kan de risicoanalyse als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte aanval te plaatsen op deze zwakke plekken", stelde de minister.

D66-Kamerlid Verhoeven en PVV-Kamerlid Agema vroegen De Jonge vervolgens om opheldering. "Deze kwetsbaarheden zijn inmiddels toch opgelost en vormen daardoor toch geen bedreiging meer?" Daarop stelt de minister dat er mitigerende maatregelen zijn genomen waarmee de eerder gevonden kwetsbaarheden tot het minimum zijn gereduceerd. Om alle kwetsbaarheden op te lossen zullen enkele applicaties echter moeten worden vervangen.

"Bent u bereid de risicoanalyses alsnog openbaar te maken zodat de Kamer op basis van zo volledig en transparant mogelijke informatie haar taak kan uitvoeren?", vroegen Agema en Verhoeven verder. "Zowel het NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn" antwoordt De Jonge.

De Kamerleden van D66 en de PVV wilden verder weten of er inmiddels ‘volcontinu’ en ‘volautomatisch’ wordt gecontroleerd op misbruik van de GGD-systemen, zoals De Jonge eerder had aangegeven. "Ja, er wordt continu en grotendeels automatisch gemonitord op misbruik van de GGD systemen. Indien er afwijkingen worden geconstateerd, vindt hier direct een afgewogen actie op plaats", reageert de minister (pdf).

Verdachte die phishingpanels aan criminelen verkocht blijft langer vast

Knab hoeft slachtoffer WhatsAppfraude geen 2600 euro te vergoeden

Reacties (11)

29-03-2021, 16:06 door Anoniem

minister De Jonge functie elders ? na zoveel keer falen maar nee functie elders is alleen voor klokkenluiders hier in NL

29-03-2021, 16:21 door Anoniem

Ik ben er nog niet uit of DEMI De Jonge gewoon te snel antwoord wil geven of opzettelijk halve waarheden vertelt.
En of die halve waarheden dan komen omdat hij zelf half geinformeerd wordt door staatssecretarissen en hoge ambtenaren die hun handen ipv in 70% alcohol in onschuld willen wassen of dat hij de juiste informatie wel weet maar opzetelijk niet door geeft aan de organisatie waar hij verantwoording aan dient af te leggen.

De vragen zijn ook te niet-specifiek voor de digitale wereld... Waardoor de vragen zeker door iemand die net iets meer van de digi wereld begrijpt deze gemakkelijk kan wegpoetsen met halve waarheden...

Immers, 'er wordt gemonitoord'.... Voor de ene is dat 1 keer per maand 5 minuten besteden aan het doorlopen van een logfile, voor de andere is dat elke minuut een update ontvangen van de gigamon/splunk/SIEM oplossingen.

En "grotendeels automatisch" is voor de ene een automatisch gegenereerd raportje, en voor de andere een CTRL-C/CTRL-V van een solarwinds logfile in een excelsheet.

29-03-2021, 16:24 door Anoniem

De Jonge weet blijkbaar donders goed dat security by obscurity geen security is.

Als dat de reden van niet-openbaar maken is - daar lijkt het op - zegt hij feitelijk dat de boel rammelde, nog steeds rammelt en dat blijkbaar ook gaat blijven doen. We mogen het alleen niet weten.

29-03-2021, 16:46 door Anoniem

Door Anoniem: minister De Jonge functie elders ? na zoveel keer falen maar nee functie elders is alleen voor klokkenluiders hier in NL

340 Verkoopmedewerker Schoenen vacatures

https://nl.indeed.com/Verkoopmedewerker-Schoenen-vacatures

29-03-2021, 23:18 door Anoniem

Als een redteam zegt dat openbaarmaking te veel risico kent wil dat een van de volgende zaken zeggen.

1. Nog niet alle maatregelen zijn doorgevoerd en daarme heeft de minister dan gelogen.
2. Alle maatregelen zijn doorgevoerd echter het framework en project is gebruikt als template voor andere diensten die hierdoor nog een risico lopen bij openbaarheid.
3. Het onderzoek is nog niet afgerond of er is nog herbeoordeling gaande.

Ik vermoed scenario 2 sinds dit niet ongebruikelijk is bij onze lieftallige overheid.
Het wordt hoe dan ook eens tijd voor vertegenwoordigers die snappen wat ze wel en niet moeten zeggen op deze crucicale post.

30-03-2021, 08:29 door Anoniem

De Jonge is alleen transparant met de data van burgers richting criminelen.

30-03-2021, 13:32 door Anoniem

De WOB (Wet Openbaar Bestuur) wordt in Nederland met een baal zout genomen. WOB verzoeken worden veel te laat gehonoreerd (waarvoor de overheid een boete moet betalen), of helemaal niet gehonoreerd.
Als je WOb verzoek gehonoreerd wordt dan is 80% van de info zwart gemaakt en niet leesbaar.
In dit land hebben we een transparatie van matglas, dus het zal mij niet verbazen als De Jonge nooit met deze info over de brug komt. Functie elders is hier wel van topassing.

30-03-2021, 14:40 door Anoniem

De Jonge liegt en bedriegt met een stalen gezicht voor zijn master, Klaus Schwab om het gepeupel in het gareel te houden voor de great reset.
We weten het, tegen 2030 heeft niemand van het gepeupel meer prive bezit heeft en we zijn dolgelukkig erom volgens herr Klaus Schwab. Ik weet het niet maar dat riekt verdacht veel naar communisme of heet dat nu tegenwoordig socialisme?
Het plan zal en moet doorgedrukt worden ongeacht hoe of wat en een morrend volk wordt in bedwang gehouden door een steeds meer terroriserende politie die helemaal opgaat in 'Wappie-rammen', wat een tijden wat een tijden.
Wie had dat ooit gedacht in 2019 toen alles nog als vanouds was?

30-03-2021, 19:31 door Anoniem

Politici denken dat ze ook kunnen 'besturen' dat ze CEO. Politici krijgen baantjes als CEO of whatever maar hebben hun leven lang nooit de ervaring opgedaan. Pure machtspolitiek, Zalm, Rouwvoet en noem ze maar op, Nederland kent geïnstitutionaliseerde corruptie en incompetente politici/bestuurders. Het gaat er niet om wat je kunt maar wie je kent.

31-03-2021, 16:26 door Anoniem

Daarmee zegt de Jonge dus ofwel dat de GGD zwaar achterop loopt als het gaat om de risico's op orde hebben ofwel dat hij niet gelooft in de louterende werking van transparantie als het gaat om je huiswerk op orde hebben als zelfstandig bestuursorgaan of adviesorgaan voor het ministerie.

Zowel het NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn

Wat "zo transparant mogelijk zijn" wel/niet is moet de Jonge natuurlijk niet met Dick Cheney en NSA achtige rookgordijn-technieken gaan faken.
De Jonge weet ook dat er gremia zijn binnen de 2e kamer om die transparantie met behoud van iets minder publieke openheid wel te laten beoordelen.
Hij moet daar als schoolmeester natuurlijk niet voor gaan liggen met blokken en afhoud antwoorden maar constructiever meedenken met zijn collega 2e kamer leden.
Hij is immers van we moeten het samen doen en ik verwacht van iedereen een constructieve opstelling.

31-03-2021, 16:51 door Anoniem

Voor de vervanging van HPZone zijn bij GGD GHOR Nederland meerdere alternatieven (en combinaties van alternatieven) in beeld. Eén daarvan is het systeem go.data dat onder verantwoordelijkheid van de WHO is ontwikkeld. De WHO geeft aan dat de broncode van deze toepassing niet openbaar is maar de toepassing wel beschikbaar is voor alle lidstaten.

Hoezo is dit opeens een alternatief?
De minister zou zorgen dat ALLE software openbaar is die in kader van virusbestrijding wordt gebruikt.
Dan moet je in het voortraject van nog weer een nieuw stuk software wel zorgen dat die broncode WEL openbaar wordt!

Mij is gemeld dat de print- en exportfunctie van HPZone (Lite) zijn uitgeschakeld bij alle GGD’en. In CoronIT is de printfunctie eveneens uitgeschakeld of slechts toegankelijk voor een selecte groep specialisten infectieziektebestrijding. Tijdens het debat van 3 februari kwam aan de orde dat er voor een aantal medewerkers in twee GGD-regio’s nog toegang was tot deze functies. Deze uitzonderingen zijn inmiddels opgelost.

Hoe dan? Is die functie uit de software verwijderd of zijn slechts schrijfrechten op doelmedia via netwerken geblokkeerd en kan de export functie dus door derden met schrijfrechten voor lokale opslag alsnog gewoon worden geëxploiteerd.
Dus is het achterdeurtje nou enkel op slot of is die helemaal verwijderd uit het bouwsel (de gegevens verwerking delen plus de GUI)?

Toegang en zoekmogelijkheden
De zoekmogelijkheden binnen CoronIT en binnen HPZone sterk zijn beperkt vanaf 4 februari jl. Medewerkers van de callcenters voor testen en vaccineren hebben alleen nog toegang tot gegeven van personen die getest/gevaccineerd zijn of moeten worden als zij beschikken over een aantal specifieke (systeemnummer, patiëntnummer of BSN) of combinaties van gegevens.

Het "of moeten worden als zij ...." inzake medewerkers van callcenters voldoet dus niet aan de eisen van privacy richtlijn waarborgen volgens Ferd Grapperhaus.
Ten eerste moet het sowieso al volgens Ferd Grapperhaus mensen in dienst / ingehuurd en dus onder dagelijkse leiding en aansturing binnen een uitvoerende organisatie van de overheid zijn. Het kunnen dus geen medewerkers zijn die bij private partijen hun werkzaamheden uitvoeren.
Ten tweede moeten de geregelde machtigingen volgens Ferd Grapperhaus sowieso ook geen schuivende doelpalen zijn.
Binnen het geheel van groene paspoorten, e-vaccinatie infrastructuur en aanpalende ontwikkelingen die de Europese Comissie permanent wil inbedden in een extra gegevens monitoring van medische status van mensen.
Omdat dit allemaal stoelt op "pandemie beleid" in plaats van covid-19 tot een bepaalde datum is dit dus een kwestie van termijnen die oneindig op te schuiven zijn.
En dus in strijd met de beginselen van goede specifieke en controleerbare machtigingen voor functionarissen die dicht op de macht van de overheid zitten.
En in geval van eventuele hacken of moedwillig/onbewust ombuigen van mandaten en afspraken - volgens Ferd Grapperhaus - zelf dus een onoverkomelijk probleem zijn voor een overheid die betrouwbaarheid moet aantonen.
En bovendien zijn veel van deze zaken die de Jonge nu introduceert - volgens Ferd Grapperhaus' geuite beleid invulling voor privacy en gegevens beveiliging een no-go als het al is geregeld.
En dubbelop betekende volgens Ferd Grapperhaus die daarvoor de analen van EU juristerij erop na had laten slaan ook in strijd met de efficiency richtlijnen van de EU zelf. Het is volgens Ferd Grapperhaus evident dat wat je al geregeld hebt als overheid je niet dubbel moet gaan regelen.

Logging en monitoring verdacht gedrag
De gespecialiseerde interne en externe teams zijn dagelijks bezig met het herkennen van verdachte patronen en het opvolgen van verdacht gedrag. Dit blijven zij doen tot en met de implementatie van automatische en continue monitoring eind maart.

Misschien houd de Jonge zich hier meer op de vlakte, maar deze beperkte uitleg lijkt iets meer conform wat geboden is qua privacy, security en overheidsrichtlijnen die Ferd Grapperhaus deelde.
Punt van zorg volgens Ferd Grapperhaus is alleen wel hoe een automatische monitoring dan geregeld wordt.
Juist automatische systemen hebben bijsturing van mensen nodig zo legde Ferd Grapperhaus daarbij uit.
Zelfs ook de moderne auto's met afstand sensoren hebben niet voor niets rempedalen zo benadrukte Ferd Grapperhaus.
En het sturen doet de bestuurder ook nog altijd zelf.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer