Datalek bij jeugdzorgbedrijf nadat systeembeheerder intranet online zet
Jeudgzorgbedrijf Samen Veilig Midden Nederland heeft opnieuw te maken gekregen met een groot datalek nadat een systeembeheerder per ongeluk het intranet vanaf het internet toegankelijk maakte. Volgens de organisatie zijn er geen cliëntgegevens gelekt. Wel gaat het om persoonlijke gegevens van medewerkers, zoals telefoonnummers en e-mailadressen, persoonlijke verhalen en wachtwoorden, zo meldt RTV Utrecht.
De zender laat verder weten dat er nog steeds vertrouwelijke dossiers naar verkeerde personen worden gestuurd. Samen Veilig handelt onder de namen Save Jeugdbescherming en Veilig Thuis Utrecht. In 2019 kwam het jeugdzorgbedrijf al in het nieuws vanwege een groot datalek dat werd veroorzaakt door een verlopen domeinnaam. Daardoor lekten dossiers van duizenden kinderen, alsmede interne e-mails en zo'n tweehonderd voicemailberichten.
Een bron deelde de duizenden pagina's van het intranet met RTV Utrecht. Volgens deze bron is het datalek veroorzaakt door een systeembeheerder die wilde testen met een nieuwe versie van het intranet. De medewerker maakte een kopie van het intranet en plaatste die op een eigen webpagina. Deze kopie was naar verluidt onvoldoende afgeschermd. Daarnaast werd de kopie na de test niet verwijderd. Samen Veilig bevestigt dat het datalek met het intranet te maken heeft, maar geeft geen verdere details.
Op de intranetpagina's waren onder andere gedeelde wachtwoorden te vinden, waaronder het interne wachtwoord voor het wifi-netwerk voor medewerkers. Hoewel dit wachtwoord elke maand wordt gewijzigd is het eenvoudig te herleiden, de uitleg staat erbij, aldus RTV Utrecht. Verder bevatten de gelekte intranetpagina's persoonlijke verhalen, zoals het verhaal van een directielid die ingaat op het plotselinge overlijden van haar 19-jarige dochter.
Ouder datalek
Ook wordt er informatie aangetroffen over een eerder datalek in 2017 dat volgens RTV Utrecht veel groter blijkt te zijn. De zender besloot destijds van publicatie af te zien omdat het om een klein incident zou gaan. Dat blijkt niet het geval. "Zeer recent (eind juni) vond een zeer groot datalek plaats bij Samen Veilig", staat erop de intranetpagina's. "Een medewerker had netjes de laptop en mobiel uit de auto meegenomen maar wel twee tassen met papieren gegevens onder de achterklep laten liggen. De auto werd (ondanks het niet aanwezig zijn van digitale apparatuur) opengebroken en de tassen zijn ontvreemd."
Bij deze diefstal zijn gegevens van ruim driehonderd cliënten gestolen, anonieme melders, mensen uit het netwerk van een cliënt en andere jeugdzorgprofessionals. Samen Veilig geeft geen verdere details over dit datalek uit 2017.
Menselijk handelen
"Wij betreuren het zeer dat met dit datalek opnieuw onze betrouwbaarheid en geloofwaardigheid naar cliënten, samenwerkingspartners en opdrachtgevers ter discussie komt te staan. Wij begrijpen dat dit incident en de datalekken uit het verleden vragen oproepen over onze informatieveiligheid", zo laat Samen Veilig Midden-Nederland in een reactie op de eigen website weten.
Volgens de bestuurders van het jeugdzorgbedrijf hebben ze zich de afgelopen jaren ingespannen om informatieveiligheid binnen de organisatie beter te borgen. "Toch is het ons niet gelukt om dit datalek te voorkomen. Wij hebben geconstateerd dat, ondanks aangescherpte procedures, menselijk handelen een belangrijke rol speelt bij het ontstaan van datalekken. Per direct intensiveren we onze acties binnen het programma informatieveiligheid en zullen daarin extra investeringen plegen." De bestuurders melden verder dat het datalek bij de Autoriteit Persoonsgegevens is gemeld.
Zo gaat dat vaker: als de pleuris losbarst en de journalisten op de stoep staan lukt het erg goed om informatiebeveiliging hoger op de agenda te krijgen en er budget voor vrij te maken. Al te vaak gezien, bij de overheid, semi-overheid en het bedrijfsleven.
Zo gaat dat vaker: als de pleuris losbarst en de journalisten op de stoep staan lukt het erg goed om informatiebeveiliging hoger op de agenda te krijgen en er budget voor vrij te maken. Al te vaak gezien, bij de overheid, semi-overheid en het bedrijfsleven.
Als op het werk een goede testinfrastructuur is ingericht, en als testen niet een bezigheid van een systeembeheerder alleen is maar iets waar ook de ontwikkelaars en de functionele beheerders van de nieuwe intranetsite bij betrokken zijn, dan maakt een systeembeheerder het zichzelf alleen maar lastig door zo te werken als hier gebeurd is. Dat het toch is gebeurd kan erop duiden dat het niet zo best gesteld is met hoe die organisatie het testen heeft ingericht, zowel qua middelen als qua inspanning van betrokkenen. Kan het zijn dat de systeembeheerder uit frustratie over de beperkte mogelijkheden op het werk maar eigen middelen is gaan inzetten? Als dat zo is dan hebben de bestuurders met het aanscherpen van de procedures niets opgelost maar het balletje over de schutting gegooid, en moeten ze de hand in eigen boezem steken.
Alleen, waarom werkt een systeembeheerder zo? Waarom gaat die om iets voor werk te testen, ondanks aangescherpte procedures, eigen middelen inzetten?
Als op het werk een goede testinfrastructuur is ingericht, en als testen niet een bezigheid van een systeembeheerder alleen is maar iets waar ook de ontwikkelaars en de functionele beheerders van de nieuwe intranetsite bij betrokken zijn, dan maakt een systeembeheerder het zichzelf alleen maar lastig door zo te werken als hier gebeurd is.
Je moet niet vergeten dat het geen IT bedrijf is maar een organisatie waar IT maar een bijzaak is.
Die hebben vaak niet "een goede testinfrastructuur ingericht". En waar je vroeger nog dit soort dingen allemaal on-premise had staan ("een server voor intranet" die op je LAN zit) is het tegenwoordig hip om dat allemaal "in de cloud" te doen waarbij je medewerkes op de een of andere manier geautenticeerd zijn om daar bij te kunnen.
Dergelijke omgevingen zijn vaak niet zo makkelijk even te verdubbelen, of dat kost meteen weer extra.
Dan is het (kennelijk) verleidelijk om het even op een andere manier te regelen.
Bovendien heeft die organisatie al een hele historie van domme IT beslissingen, wellicht ofwel door diezelfde beheerder genomen ofwel symptomatisch voor de positie van IT in de organisatie.
Bedenk dat het soort mensen wat bij een dergelijke organisatie werkt en de leiding heeft meestal totaal geen affiniteit heeft met alles wat ruikt naar techniek.
Zo gaat dat vaker: als de pleuris losbarst en de journalisten op de stoep staan lukt het erg goed om informatiebeveiliging hoger op de agenda te krijgen en er budget voor vrij te maken. Al te vaak gezien, bij de overheid, semi-overheid en het bedrijfsleven.
Heb ik ook ook meegemaakt. Tsja... het verdronken kalf in de put is onuitroeibaar.
Jaren aaneen waarschuwde ik ervoor dat het verouderde alarmsysteem - dus géén inbraakmeldsysteem - dat je (ook nog) met een sleutelschakelaar moest aan/uit zetten, een flink risico was.
Tevergeefs. Werd zelfs weggewuifd met: "Wat valt er nou bij ons te halen?"
Pas nadat de tering uitbrak door een inbraak en veel schade door diefstal van o.a de afstortkluis waar - hoe stom waren ze - bijna FL 8000,- (gulden) in zat, kwamen ze tot bezinning en kwam er een modern inbraakmeldsysteem met PIN gebruikersbediening met achterhangende eerst seperate ISDN, later VOIP meldkamer en uiteraard opvolging. (anders schiet het nog niet op)
a) de systeembeheerder heeft het intranet (letterlijk) tussen zijn huwelijksfoto's gezet op een prive domein en dat had hij als hoeder van dataveiligheid nooit moeten doen of zelfs maar overwegen. Het dan onbeveiligd 10 maanden laten staan is een brevet van onvermogen.
b) De organisatie wist ervan, maar handelde niet zoals van een goed bestuurder verwacht mag worden; oa door het datalek drie weken onder de pet te houden
c) Uit het datalek volgt, dat deze organisatie medewerkers in de kou zet, hun opdrachtgevers onjuist geïnformeerd heeft en medewerkers onjuist instrueert over de AVG en dataveiligheid.
Alleen bestaan datalekken ook buiten die context. "Datalek" is samengesteld uit "data" en "lek", het is een lek van data, en voor alle soorten gedekte data is het even legitiem om dat woord te gebruiken. Als een bedrijfsgeheim is uitgelekt waar geen persoonsgegeven in voorkomt is dat een datalek. Als wachtwoorden zijn gelekt is dat ook een datalek, want wachtwoorden zijn ook data, en als ze gelekt worden is er nou eenmaal een lek.
Dat in de context van de AVG met "datalek" een "inbreuk in verband met persoonsgegevens" wordt bedoeld wil niet zeggen dat we voor andere soorten datalekken maar andere woorden moeten gaan verzinnen. In de context van een fiets wordt met "wiel" een fietswiel bedoeld, geen autowiel, treinwiel of een wiel van een winkelwagentje. Toch blijven we het woord "wiel" voor alle soorten wielen gebruiken en levert dat geen misverstanden op, omdat we er simpelweg fiets-, trein- etc. voor kunnen zetten als dat nodig is. Laten we dat met datalekken ook doen. Als de context het niet al duidelijk maakt dan kan je met "AVG-datalek" of bijvoorbeeld "gelekte persoonsgegevens" duidelijk aangeven wat je bedoelt. Dan hoeven we geen gekunstelde termen te gaan verzinnen als andere soorten data dan persoonsgegevens worden gelekt.
Eens maar zo werkt het wel. Bij vrijwel elk klein MKB bedrijf (en zelfs bij grote retailers, ik noem geen namen) is IT ondergeschikt aan de primaire bedrijfsprocessen ook al zijn ze cruciaal voor die processen. Dit is omdat veel bedrijven IT zien als een kostenpost ook al helpt het mensen om hun werk te kunnen doen (wat zou moeten resulteren in lagere kosten).
IT is bij dat soort bedrijven een van de eerste plekken waarop bezuinigd word waardoor investeren in verbeteringen erg lastig is om rond te krijgen. Pas als de boel crasht of data op straat ligt word er ineens geld in gestoken.
In dit geval lijkt het om een domme actie van de beheerder te gaan, maar het kan dus goed zijn dat zijn werkgever niet wil investeren in een fatsoenlijke thuiswerk omgeving en/of OTAP straat. Maar omdat men moet thuis werken en er wellicht deadlines aan zijn upgrade hangen, heeft hij met wat knutselwerk er voor gezorgd dat hij zijn werk kan doen,
Nee, juist niet.
Die maakt die fout nooit weer.
Wel berispen, loonsverlaging en verplicht op security cursussen sturen.
In bepaalde setups wellicht wel (omdat alle bedrijfsprocessen web-based zijn en het intranet als een startpagina voor alles dient), maar in veel setups is het intranet alleen een electronische versie van het bedrijfskrantje en -vademecum.
Dan heeft het met de bedrijfsprocessen op zich (in dit geval het verwerken van informatie rond kinderen) niet veel te maken.
Dat lijkt hier ook het geval te zijn. Er stond een telefoonlijst op en wat intern nieuws waaronder een gevoelig verhaal, maar niets over de clienten. Bij eerdere datalekken was daar wel info over naar buiten gekomen, en als dat hier het geval was dan was dat zeker door de journalist gemeld. Gaan we er dus maar van uit dat daar geen info over op intranet stond.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
