Data 1400 ambtenaren provincie Gelderland gestolen bij extern ict-bedrijf
Digitale personeelsdossiers van veertienhonderd ambtenaren van de provincie Gelderland zijn bij een inbraak op de systemen van een extern ict-bedrijf gestolen, zo heeft de provincie vandaag bekendgemaakt. De provincie heeft de samenwerking met het niet nader genoemde ict-bedrijf stopgezet.
"Hackers hebben een fors volume aan digitale data bij het bewuste ict-bedrijf ontvreemd, waaronder de Gelderse gegevens. Nu is achterhaald dat de personeelsdossiers daadwerkelijk zijn gedownload, eerder was dat nog onduidelijk", aldus de provincie. Naast het stopzetten van de samenwerking met het ict-bedrijf zijn alle eerder beschikbaar gestelde gegevens aan het bedrijf vernietigd.
"We werken continu aan het verbeteren van onze informatiebeveiliging. Door deze hack zijn we ons nog meer bewust van onze kwetsbaarheid van het werken met derden. Intern is deze diefstal zeer serieus opgepakt. We staan open voor alle vragen van ons personeel", zegt gedeputeerde Jan Markink. Alle medewerkers zijn inmiddels geïnformeerd. Volgens de provincie zijn er vooralsnog geen signalen dat er gegevens uit de personeelsdossiers openbaar zijn gemaakt.
Reacties (17)
1998 vs 2021
Data laten beheren,bij ons ben je veilig.
We leren van onze fouten
who is next?
Data laten beheren,bij ons ben je veilig.
We leren van onze fouten
who is next?
Die gegevens zijn dan niet openbaar gemaakt, maar wel in handen van derden gevallen, wat m.i. even erg is.
Heel interessant dit. De it-uitbesteding was omstreden omdat de provincie over een goedwerkende afdeling Informatievoorziening & Automatisering (I&A) beschikte. Volgens het provinciebestuur zou deze afdeling echter niet toegerust zijn om de snelle digitale ontwikkelingen in de komende tijd bij te houden. De markt - lees OGD - zou dat beter en goedkoper kunnen . https://www.computable.nl/artikel/nieuws/outsourcing/5929467/250449/provincie-gelderland-besteedt-ict-uit-aan-ogd.html
Zie hier nu het wrange resultaat. Linux servers moesten weg? Een professioneel windows ecosysteem werd uitgerold met Microsoft Azure en voila gehakt hebben ze er van gemaakt. Personeelsdossiers op straat. De gebruiker zal ongetwijfeld de schuld krijgen, niet de grote gelegenheidsverschaffer want daar verdienen ze hun geld mee.
De ontslagen I&A oudmedewerkers lachen in hun vuistje. Hahaha
Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Zie hier nu het wrange resultaat. Linux servers moesten weg? Een professioneel windows ecosysteem werd uitgerold met Microsoft Azure en voila gehakt hebben ze er van gemaakt. Personeelsdossiers op straat. De gebruiker zal ongetwijfeld de schuld krijgen, niet de grote gelegenheidsverschaffer want daar verdienen ze hun geld mee.
De ontslagen I&A oudmedewerkers lachen in hun vuistje. Hahaha
Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
30-08-2021, 20:20 door
karma4
Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcinghttps://www.computable.nl/artikel/nieuws/outsourcing/5714734/1276946/provincie-gelderland-zet-itaanbesteding-stop.html Het idee was de hele uitvoering van ICT de deur uit te doen, gewoon alles (2016).
Werkplek automatisering en servicedesk daarvoor is OGD genoemd. Makkelijk te vinden dus deze zijn het waarschijnlijk niet.
Dat is ook niet iets wat je achteloos kunt stoppen.
Het is net een flipperkast: https://www.emerce.nl/wire/provincie-gelderland-gunt-icthardware-infotheek
HR diensten en daarbij deeldiensten en derden is veel waarschijnlijker. Het is geen kernactiviteit een standaard markt en kun je vrij snel laten overzetten. Personeelsdossiers zijn een onderdeel van HR diensten. Wat denk je dat ze daarvoor gebruiken?
De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
https://rekenkameroost.nl/uploads/gelderland_-_nota_van_bevindingen_informatieveiligheid.pdf
Nog bedankt, ik het nazoeken van flaming beweringen en wat er werkelijk speelt gemist. Een fact-check is best leuk.
Door karma4:
https://www.computable.nl/artikel/nieuws/outsourcing/5714734/1276946/provincie-gelderland-zet-itaanbesteding-stop.html Het idee was de hele uitvoering van ICT de deur uit te doen, gewoon alles (2016).
Werkplek automatisering en servicedesk daarvoor is OGD genoemd. Makkelijk te vinden dus deze zijn het waarschijnlijk niet.
Dat is ook niet iets wat je achteloos kunt stoppen.
Het is net een flipperkast: https://www.emerce.nl/wire/provincie-gelderland-gunt-icthardware-infotheek
HR diensten en daarbij deeldiensten en derden is veel waarschijnlijker. Het is geen kernactiviteit een standaard markt en kun je vrij snel laten overzetten. Personeelsdossiers zijn een onderdeel van HR diensten. Wat denk je dat ze daarvoor gebruiken?
De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
https://rekenkameroost.nl/uploads/gelderland_-_nota_van_bevindingen_informatieveiligheid.pdf
Nog bedankt, ik het nazoeken van flaming beweringen en wat er werkelijk speelt gemist. Een fact-check is best leuk.
Je hebt de link van walmare niet gecheckt. Die is nieuwer dan die van jouw en er staat dat het OGD is gegund. Het gaat om een contract voor minimaal vier jaar en maximaal acht jaar. Loopt dus dit jaat af met nog max 4 jaar. Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcinghttps://www.computable.nl/artikel/nieuws/outsourcing/5714734/1276946/provincie-gelderland-zet-itaanbesteding-stop.html Het idee was de hele uitvoering van ICT de deur uit te doen, gewoon alles (2016).
Werkplek automatisering en servicedesk daarvoor is OGD genoemd. Makkelijk te vinden dus deze zijn het waarschijnlijk niet.
Dat is ook niet iets wat je achteloos kunt stoppen.
Het is net een flipperkast: https://www.emerce.nl/wire/provincie-gelderland-gunt-icthardware-infotheek
HR diensten en daarbij deeldiensten en derden is veel waarschijnlijker. Het is geen kernactiviteit een standaard markt en kun je vrij snel laten overzetten. Personeelsdossiers zijn een onderdeel van HR diensten. Wat denk je dat ze daarvoor gebruiken?
De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
https://rekenkameroost.nl/uploads/gelderland_-_nota_van_bevindingen_informatieveiligheid.pdf
Nog bedankt, ik het nazoeken van flaming beweringen en wat er werkelijk speelt gemist. Een fact-check is best leuk.
Zoals het er nu naar uit ziet is OGD de sjaak en die hebben het ook gegund gekregen in Amsterdam. Zou daar ook een luchtje aan zitten net als in Gelderland?
Door karma4:
...
Wat denk je dat ze daarvoor gebruiken?
De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
...
Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcing...
Wat denk je dat ze daarvoor gebruiken?
De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
...
Verbijsterend! Die dunning-krugers die mensen die er écht verstand van hebben (zoals walmare) de les denken te kunnen lezen.
OGD lijkt hier niets mee te maken te hebben, uit https://www.gelderlander.nl/home/buitenlandse-hackers-plegen-digitale-megadiefstal-gegevens-1400-medewerkers-provincie-gelderland-gestolen~aa88c78f/:
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Onlangs werd bekend dat Gelderland midden augustus slachtoffer was van een mogelijke hack bij een extern ICT-bedrijf uit Noord-Brabant, dat bezig was de personeelsdossiers toegankelijk te maken voor provinciemedewerkers. De firma deed aangifte bij de politie.
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.
Door Erik van Straten: OGD lijkt hier niets mee te maken te hebben, uit https://www.gelderlander.nl/home/buitenlandse-hackers-plegen-digitale-megadiefstal-gegevens-1400-medewerkers-provincie-gelderland-gestolen~aa88c78f/:
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Het zou kunnen dat een specialistisch bedrijf (centric?) die dossiers als applicatiebeheerder wilde delen. Dan nog heeft OGD dit gefaciliteerd. Grote vraag is hoe? webbased, via RDP, SMB. We weten het niet. Het wordt tijd dat die Gelderlanders hun mondje open doen.Onlangs werd bekend dat Gelderland midden augustus slachtoffer was van een mogelijke hack bij een extern ICT-bedrijf uit Noord-Brabant, dat bezig was de personeelsdossiers toegankelijk te maken voor provinciemedewerkers. De firma deed aangifte bij de politie.
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
31-08-2021, 07:31 door
spatieman
gewoon facebook in de gaten houden, als de slachtoffers FB hebben zullen ze opeens heel veel adds voor hun neus krijgen, hihi
31-08-2021, 07:51 door
Korund
Door Anoniem: Die gegevens zijn dan niet openbaar gemaakt, maar wel in handen van derden gevallen, wat m.i. even erg is.
Wettelijk gezien is het ook hetzelfde, evenals wanneer de gegevens vernietigd zouden zijn.Door Anoniem: Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.
Hoe weet jij of de ambtenaren van wie de info op straat is komen te liggen de drammers zijn? Niet iedereen bij een verzekeringsmaatschappij is schuldig aan een woekerpolis. Niet iedereen bij de ING is schuldig aan gebrekkige controle op witwassen. Niet iedere douanier in de Rotterdamse haven is corrupt en laat drugs door. En niet iedere ambtenaar houdt zich bezig met automatiseringsplannen. Het zullen je gegevens maar zijn, en je zult maar in de problemen komen door identiteitsfraude. De verhalen zijn bekend. Een beetje compassie kan geen kwaad.
Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.
Werkgevers zijn (op basis van Wet Loonbelasting) verplicht om van hun werknemers een kopie van een ID-bewijs in hun administratie te bewaren.
Door Anoniem:
Hoe weet jij of de ambtenaren van wie de info op straat is komen te liggen de drammers zijn? Niet iedereen bij een verzekeringsmaatschappij is schuldig aan een woekerpolis. Niet iedereen bij de ING is schuldig aan gebrekkige controle op witwassen. Niet iedere douanier in de Rotterdamse haven is corrupt en laat drugs door. En niet iedere ambtenaar houdt zich bezig met automatiseringsplannen. Het zullen je gegevens maar zijn, en je zult maar in de problemen komen door identiteitsfraude. De verhalen zijn bekend. Een beetje compassie kan geen kwaad.
Ach je weet het toch. Aso's achter een toetsenbord, die zich vervelen! Is gewoon niet serieus te nemen. Zelfde verhaal met de fanboy's, die kost wat kost hun willen promotenDoor Anoniem: Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.
Hoe weet jij of de ambtenaren van wie de info op straat is komen te liggen de drammers zijn? Niet iedereen bij een verzekeringsmaatschappij is schuldig aan een woekerpolis. Niet iedereen bij de ING is schuldig aan gebrekkige controle op witwassen. Niet iedere douanier in de Rotterdamse haven is corrupt en laat drugs door. En niet iedere ambtenaar houdt zich bezig met automatiseringsplannen. Het zullen je gegevens maar zijn, en je zult maar in de problemen komen door identiteitsfraude. De verhalen zijn bekend. Een beetje compassie kan geen kwaad.
31-08-2021, 22:36 door
karma4
Door Toje Fos: Verbijsterend! Die dunning-krugers die mensen die er écht verstand van hebben (zoals walmare) de les denken te kunnen lezen.
Inderdaad verbijsterend dat jullie denken te weten hoe het zit.Zoek eens verder en lees begrijpend. De teksten her en der geven een verhelderend duidelijk verhaal.
Er is aan een extern ict bedrijf de opdracht verleend om de digitale personeelsdossiers op te schonen / verbeteren.
Bij dat externe ict bedrijf lag de boel open. Dat is niet in de rest van het ict gebeuren van de provincie. Met citrix toegang is prima extern beperkt toegang te verlenen tot een zeer gelimiteerd deel. Dst is een standaard oplossing.
Als je het rekenkamerrapport had gelezen en kan begrijpen dan zie je de opmerkingen over een idee van verantwoordelijkheden bij uitbesteden.
In jouw beperkte wereld van een os strijd ben je totaal verblind voor wat er gebeurt. Dat is een probleem waar de beslissers bin uitbestedingen weer last van hebben.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
