Gebrekkige logging Belastingdienst hindert onderzoek naar corrupt personeel
De Belastingdienst is niet in staat om alle acties die medewerkers op systemen uitvoeren te loggen, wat onderzoek naar corrupt personeel hindert, zo laat NRC vandaag weten. De systemen van de fiscus bevatten uitgebreide persoonsgegevens van iedereen die belasting betaalt of toeslagen ontvangt, inclusief partners en kinderen. Het betreft niet alleen informatie over inkomsten, aftrekposten en vermogen, maar ook adresgegevens.
De Belastingdienst heeft daarnaast ook koppelingen met de gegevens van andere overheidsdiensten, waaronder de database van de Rijksdienst voor het Wegverkeer, waarin geregistreerde autokentekens aan burgers zijn gekoppeld. Aan de hand van één kenteken kan zo allerlei informatie over iemand worden achterhaald. Het delen van dergelijke gegevens met derden is niet toegestaan.
Wanneer er een vermoeden is dat corrupt personeel dergelijke gegevens met bijvoorbeeld criminelen heeft gedeeld blijkt het lastig om dit te onderzoeken, aldus bronnen tegenover NRC. De Belastingdienst logt namelijk niet welke gegevens medewerkers hebben bekeken. Mutaties worden wel geregistreerd. De fiscus is daardoor niet in staat om van elke medewerker te zien welke informatie hij of zij heeft opgevraagd.
De Belastingdienst laat in een reactie weten dat het lastig is om alle raadplegingen van personeel te loggen. Wel is zichtbaar wie op welk systeem heeft ingelogd, maar niet welke informatie de betreffende medewerker heeft ingezien. Wanneer medewerker met elkaars account inloggen kan dit onderzoek echter hinderen. Eerder bleek dat uit een onderzoek bij de marechaussee op Schiphol dat medewerkers vaak elkaars account gebruiken om in te loggen.
In januari van dit jaar meldde staatssecretaris Van Rij van Financiën aan de Tweede Kamer dat de Belastingdienst het verouderde ict-landschap, dat onder andere uit 900 applicaties bestaat, dit jaar verder wil moderniseren. Daarmee wil de Belastingdienst naar eigen zeggen de problemen oplossen in de manier waarop het is omgegaan met (persoons)registraties, risicomodellen en het gebruik van persoonsgegevens. Ook gaf de fiscus aan dit jaar verder te werken aan het voldoen aan de Algemene verordening gegevensbescherming (AVG).
https://nos.nl/artikel/2447764-belastingdienst-kan-zoekopdrachten-van-medewerkers-niet-terughalen
Beslist .
Mensen die wel weten wat een SIEM is, weten ook dat een SIEM niet de tool is waarmee je valide logins en valide queries logt .
Blijf nog een tijdje op school voordat je jezelf expert waant .
Een SIEM moet je voeden met oa. logs, en bij de belastingdienst is elk SIEM ziende blind, er zijn alleen logs van mutaties.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Op zich hoop je dat ze bij de BD ook budgetten hebben.
Wat ze blijkbaar niet hebben zijn logs van *alle* bevragingen door *iedereen* .
Ik denk dat die keuze gewoon praktisch gemaakt is toen iemand uitrekende hoeveel storage dat kost - (die beslist intern verrekend wordt met allerlei budgetten) , en het besef dat je daar paranoia genoeg moet zijn om dat te willen hebben vanwege corrupte interne medewerkers.
Ik vraag me af wie van de betweters hier _zelf_ op een beslissende stoel gezeten heeft van een vrij grootschalig platform met enigszins interessante data en toen besloot : "we gaan gewoon _alles_ loggen wat _iedereen_ doet en die kosten verdedig ik" .
Ook al heeft de BD als organisatie misschien een beeld dat ze "onbeperkt geld" hebben, ik denk dat de diverse afdelingen nog steeds een budget hebben en moeten verantwoorden wat ze _echt_ nodig hebben. Op zich te prijzen , want als je ITers echt "geld speelt geen rol" laat bouwen is de sky the limit, en als belastingBETALER wil ik dat niet stimuleren.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Op zich hoop je dat ze bij de BD ook budgetten hebben.
Wat ze blijkbaar niet hebben zijn logs van *alle* bevragingen door *iedereen* .
Ik denk dat die keuze gewoon praktisch gemaakt is toen iemand uitrekende hoeveel storage dat kost - (die beslist intern verrekend wordt met allerlei budgetten) , en het besef dat je daar paranoia genoeg moet zijn om dat te willen hebben vanwege corrupte interne medewerkers.
Ik vraag me af wie van de betweters hier _zelf_ op een beslissende stoel gezeten heeft van een vrij grootschalig platform met enigszins interessante data en toen besloot : "we gaan gewoon _alles_ loggen wat _iedereen_ doet en die kosten verdedig ik" .
Ook al heeft de BD als organisatie misschien een beeld dat ze "onbeperkt geld" hebben, ik denk dat de diverse afdelingen nog steeds een budget hebben en moeten verantwoorden wat ze _echt_ nodig hebben. Op zich te prijzen , want als je ITers echt "geld speelt geen rol" laat bouwen is de sky the limit, en als belastingBETALER wil ik dat niet stimuleren.
Self-followup : een plausibele (ex) insider meldt dat er wel degelijk heel uitgebreide logging is of was:
https://twitter.com/ReneJanV/status/1579429226016825345
Ook bekend van het lange UWV feuilleton
https://www.geenstijl.nl/5149693/nieuw-op-gs-uwv-kroniek-van-een-faalfabriek/
Misschien moet je je klacht eens gaan richten aan de 2e kamer. Zij maken de wetten die de Belastingdienst uitvoert en ook zij maken het mogelijk dat de Belastingdienst blijkbaar zo'n beschermde status heeft. De politiek zelf is de schuldige van de toelsagen affaire door te strigente wetten aan te nemen en niet te controleren of deze wetten uberhaupt wel werken of dat deze ongewenste bij effecten met zich meedragen. PDCA is bij de huidige politiek volledig afwezig want ze doen maar wat daar, met alle gevolgen van dien. En zelfs met de gevolgen van hun eigen falen doen ze niets dus hoezo krijgt de Belastingdienst daar de schuld van?
Oh ja, iedere ambtenaar heeft inderdaad een moreel oordeelskader meegekregen maar helaas is befehl ist befehl nog steeds een ding bij veel ambtenaren. Als de directie zegt, we gaan linksaf maar we zien allemaal dat daar een afgrond is gaan we toch allemaal linksaf want befehl ist befehl.
Voorlopig blijven alle deksels op alle beerputten. De media voegt zich hiernaar en de rest zwijgt. Alles blijft bij het oude en de 'gratie G*ds".
'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
Beslist .
Mensen die wel weten wat een SIEM is, weten ook dat een SIEM niet de tool is waarmee je valide logins en valide queries logt .
Blijf nog een tijdje op school voordat je jezelf expert waant .
Ah, u bent natuurlijk de expert op dit gebied. Ik zou bijna denken dat dat door jaren ervaring bij de belastingdienst komt. Ongemerkte data-exfiltratie, leuker kunt u het niet maken, wel makkelijker.
'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
Vooralsnog "lijkt" het alsof De Belastingdienst dat verschil niet wenst te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
