Gebrekkige logging Belastingdienst hindert onderzoek naar corrupt personeel
De Belastingdienst is niet in staat om alle acties die medewerkers op systemen uitvoeren te loggen, wat onderzoek naar corrupt personeel hindert, zo laat NRC vandaag weten. De systemen van de fiscus bevatten uitgebreide persoonsgegevens van iedereen die belasting betaalt of toeslagen ontvangt, inclusief partners en kinderen. Het betreft niet alleen informatie over inkomsten, aftrekposten en vermogen, maar ook adresgegevens.
De Belastingdienst heeft daarnaast ook koppelingen met de gegevens van andere overheidsdiensten, waaronder de database van de Rijksdienst voor het Wegverkeer, waarin geregistreerde autokentekens aan burgers zijn gekoppeld. Aan de hand van één kenteken kan zo allerlei informatie over iemand worden achterhaald. Het delen van dergelijke gegevens met derden is niet toegestaan.
Wanneer er een vermoeden is dat corrupt personeel dergelijke gegevens met bijvoorbeeld criminelen heeft gedeeld blijkt het lastig om dit te onderzoeken, aldus bronnen tegenover NRC. De Belastingdienst logt namelijk niet welke gegevens medewerkers hebben bekeken. Mutaties worden wel geregistreerd. De fiscus is daardoor niet in staat om van elke medewerker te zien welke informatie hij of zij heeft opgevraagd.
De Belastingdienst laat in een reactie weten dat het lastig is om alle raadplegingen van personeel te loggen. Wel is zichtbaar wie op welk systeem heeft ingelogd, maar niet welke informatie de betreffende medewerker heeft ingezien. Wanneer medewerker met elkaars account inloggen kan dit onderzoek echter hinderen. Eerder bleek dat uit een onderzoek bij de marechaussee op Schiphol dat medewerkers vaak elkaars account gebruiken om in te loggen.
In januari van dit jaar meldde staatssecretaris Van Rij van Financiën aan de Tweede Kamer dat de Belastingdienst het verouderde ict-landschap, dat onder andere uit 900 applicaties bestaat, dit jaar verder wil moderniseren. Daarmee wil de Belastingdienst naar eigen zeggen de problemen oplossen in de manier waarop het is omgegaan met (persoons)registraties, risicomodellen en het gebruik van persoonsgegevens. Ook gaf de fiscus aan dit jaar verder te werken aan het voldoen aan de Algemene verordening gegevensbescherming (AVG).
Reacties (19)
Het probleem met de computersystemen kwam aan het licht tijdens een onderzoek naar een Amsterdamse medewerker van de Belastingdienst die deze zomer werd aangehouden. Justitie vermoedt dat de ambtenaar in contact stond met de groep rond crimineel Ridouan T. Bij de belastingmedewerker thuis werd 920.000 euro cash gevonden.
https://nos.nl/artikel/2447764-belastingdienst-kan-zoekopdrachten-van-medewerkers-niet-terughalen
https://nos.nl/artikel/2447764-belastingdienst-kan-zoekopdrachten-van-medewerkers-niet-terughalen
Nou nou, dat komt de belastingdienst wel goed uit zeg, dat er geen ambtenaar aan de schandpaal genageld kan worden. En mocht er een eventuele boete volgen dan zal dat wel aan de dienst zelf uitbetaald worden met geld van de burger toch?. Dit probleem kwam aan het licht omdat er "mogelijk een ambtenaar in contact stond met ridouan T." ?? oh, en waar was deze belangstelling toen met de toeslagen affaire ?
Door Anoniem: Hebben ze bij de belastingdienst dan nog nooit van een SIEM gehoord?
Beslist .
Mensen die wel weten wat een SIEM is, weten ook dat een SIEM niet de tool is waarmee je valide logins en valide queries logt .
Blijf nog een tijdje op school voordat je jezelf expert waant .
10-10-2022, 11:49 door
J-QuiVidet
Door Anoniem: Hebben ze bij de belastingdienst dan nog nooit van een SIEM gehoord?
Een SIEM moet je voeden met oa. logs, en bij de belastingdienst is elk SIEM ziende blind, er zijn alleen logs van mutaties.
Dat soort dingen doe je toch van hogeraf implementeren?
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Ik kan snappen dat, gezien het aantal systemen, het mogelijk erg moeilijk is om logging correct in te stellen. Maar de Belastingsdienst moet zich ook bewust zijn van haar positie binnen de samenleving. Als deze instantie al dit niet meer doet, dan denken vele wellicht dat logging mogelijk bij hun organisatie ook niet hoeft.
10-10-2022, 13:04 door
Erik van Straten
Uit https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Den-Haag/Nieuws/Paginas/Geen-strafrechtelijke-vervolging-van-de-Belastingdienst-in-de-Kinderopvangtoeslagenaffaire.aspx:
De officier van justitie [...] was bovendien van mening dat de Belastingdienst strafrechtelijke immuniteit geniet
Waarom zou je iets aantrekken van bijv. ISO 27001 / 27002 / BIR als je boven de wet staat?
10-10-2022, 13:09 door
spatieman
die zijn toch allemaal corrupt !
Door Anoniem: Dat soort dingen doe je toch van hogeraf implementeren?
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Op zich hoop je dat ze bij de BD ook budgetten hebben.
Wat ze blijkbaar niet hebben zijn logs van *alle* bevragingen door *iedereen* .
Ik denk dat die keuze gewoon praktisch gemaakt is toen iemand uitrekende hoeveel storage dat kost - (die beslist intern verrekend wordt met allerlei budgetten) , en het besef dat je daar paranoia genoeg moet zijn om dat te willen hebben vanwege corrupte interne medewerkers.
Ik vraag me af wie van de betweters hier _zelf_ op een beslissende stoel gezeten heeft van een vrij grootschalig platform met enigszins interessante data en toen besloot : "we gaan gewoon _alles_ loggen wat _iedereen_ doet en die kosten verdedig ik" .
Ook al heeft de BD als organisatie misschien een beeld dat ze "onbeperkt geld" hebben, ik denk dat de diverse afdelingen nog steeds een budget hebben en moeten verantwoorden wat ze _echt_ nodig hebben. Op zich te prijzen , want als je ITers echt "geld speelt geen rol" laat bouwen is de sky the limit, en als belastingBETALER wil ik dat niet stimuleren.
Door Erik van Straten: Uit https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Den-Haag/Nieuws/Paginas/Geen-strafrechtelijke-vervolging-van-de-Belastingdienst-in-de-Kinderopvangtoeslagenaffaire.aspx:
De Belastingdienst heeft strafrechtelijke immuniteit, maar dit geldt niet voor de individuele belastingambtenaar die gewoon vervolgd kan worden voor corruptie. Dus houd die twee wel even gescheiden a.u.b.De officier van justitie [...] was bovendien van mening dat de Belastingdienst strafrechtelijke immuniteit geniet
Waarom zou je iets aantrekken van bijv. ISO 27001 / 27002 / BIR als je boven de wet staat?Door Anoniem:
Op zich hoop je dat ze bij de BD ook budgetten hebben.
Wat ze blijkbaar niet hebben zijn logs van *alle* bevragingen door *iedereen* .
Ik denk dat die keuze gewoon praktisch gemaakt is toen iemand uitrekende hoeveel storage dat kost - (die beslist intern verrekend wordt met allerlei budgetten) , en het besef dat je daar paranoia genoeg moet zijn om dat te willen hebben vanwege corrupte interne medewerkers.
Ik vraag me af wie van de betweters hier _zelf_ op een beslissende stoel gezeten heeft van een vrij grootschalig platform met enigszins interessante data en toen besloot : "we gaan gewoon _alles_ loggen wat _iedereen_ doet en die kosten verdedig ik" .
Ook al heeft de BD als organisatie misschien een beeld dat ze "onbeperkt geld" hebben, ik denk dat de diverse afdelingen nog steeds een budget hebben en moeten verantwoorden wat ze _echt_ nodig hebben. Op zich te prijzen , want als je ITers echt "geld speelt geen rol" laat bouwen is de sky the limit, en als belastingBETALER wil ik dat niet stimuleren.
Door Anoniem: Dat soort dingen doe je toch van hogeraf implementeren?
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Uit dat het niet doorgevoerd en niet gechecked is zou je kunnen concluderen dat corruptie niet alleen op het niveau van de simpele medewerkers zit.
Op zich hoop je dat ze bij de BD ook budgetten hebben.
Wat ze blijkbaar niet hebben zijn logs van *alle* bevragingen door *iedereen* .
Ik denk dat die keuze gewoon praktisch gemaakt is toen iemand uitrekende hoeveel storage dat kost - (die beslist intern verrekend wordt met allerlei budgetten) , en het besef dat je daar paranoia genoeg moet zijn om dat te willen hebben vanwege corrupte interne medewerkers.
Ik vraag me af wie van de betweters hier _zelf_ op een beslissende stoel gezeten heeft van een vrij grootschalig platform met enigszins interessante data en toen besloot : "we gaan gewoon _alles_ loggen wat _iedereen_ doet en die kosten verdedig ik" .
Ook al heeft de BD als organisatie misschien een beeld dat ze "onbeperkt geld" hebben, ik denk dat de diverse afdelingen nog steeds een budget hebben en moeten verantwoorden wat ze _echt_ nodig hebben. Op zich te prijzen , want als je ITers echt "geld speelt geen rol" laat bouwen is de sky the limit, en als belastingBETALER wil ik dat niet stimuleren.
Self-followup : een plausibele (ex) insider meldt dat er wel degelijk heel uitgebreide logging is of was:
https://twitter.com/ReneJanV/status/1579429226016825345
Ook bekend van het lange UWV feuilleton
https://www.geenstijl.nl/5149693/nieuw-op-gs-uwv-kroniek-van-een-faalfabriek/
Door Erik van Straten: Uit https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Den-Haag/Nieuws/Paginas/Geen-strafrechtelijke-vervolging-van-de-Belastingdienst-in-de-Kinderopvangtoeslagenaffaire.aspx:
De officier van justitie [...] was bovendien van mening dat de Belastingdienst strafrechtelijke immuniteit geniet
Waarom zou je iets aantrekken van bijv. ISO 27001 / 27002 / BIR als je boven de wet staat?Misschien moet je je klacht eens gaan richten aan de 2e kamer. Zij maken de wetten die de Belastingdienst uitvoert en ook zij maken het mogelijk dat de Belastingdienst blijkbaar zo'n beschermde status heeft. De politiek zelf is de schuldige van de toelsagen affaire door te strigente wetten aan te nemen en niet te controleren of deze wetten uberhaupt wel werken of dat deze ongewenste bij effecten met zich meedragen. PDCA is bij de huidige politiek volledig afwezig want ze doen maar wat daar, met alle gevolgen van dien. En zelfs met de gevolgen van hun eigen falen doen ze niets dus hoezo krijgt de Belastingdienst daar de schuld van?
Oh ja, iedere ambtenaar heeft inderdaad een moreel oordeelskader meegekregen maar helaas is befehl ist befehl nog steeds een ding bij veel ambtenaren. Als de directie zegt, we gaan linksaf maar we zien allemaal dat daar een afgrond is gaan we toch allemaal linksaf want befehl ist befehl.
Je zou bijna tot de conclusie komen dat knevelarij niet heeft bestaan noch discriminatie bij de toeslagenaffaire.
Voorlopig blijven alle deksels op alle beerputten. De media voegt zich hiernaar en de rest zwijgt. Alles blijft bij het oude en de 'gratie G*ds".
Voorlopig blijven alle deksels op alle beerputten. De media voegt zich hiernaar en de rest zwijgt. Alles blijft bij het oude en de 'gratie G*ds".
We beginnen met een paar computers , daarna een netwerk, token-ring, jeweetwel, daar knopen we wat printers aan en een fileserver.
'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
Door Anoniem:
Beslist .
Mensen die wel weten wat een SIEM is, weten ook dat een SIEM niet de tool is waarmee je valide logins en valide queries logt .
Blijf nog een tijdje op school voordat je jezelf expert waant .
Door Anoniem: Hebben ze bij de belastingdienst dan nog nooit van een SIEM gehoord?
Beslist .
Mensen die wel weten wat een SIEM is, weten ook dat een SIEM niet de tool is waarmee je valide logins en valide queries logt .
Blijf nog een tijdje op school voordat je jezelf expert waant .
Ah, u bent natuurlijk de expert op dit gebied. Ik zou bijna denken dat dat door jaren ervaring bij de belastingdienst komt. Ongemerkte data-exfiltratie, leuker kunt u het niet maken, wel makkelijker.
Door Anoniem: We beginnen met een paar computers , daarna een netwerk, token-ring, jeweetwel, daar knopen we wat printers aan en een fileserver.
'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
Het is een manier van werken wat in veel bedrijven voorkomt. Dit systeem is lastig te onderhouden, maar heeft als voordeel dat malware niet gelijk overal bij kan komen. Kan zo zijn dat hele stukken van de IT-structuur/spaghetti onbereikbaar is voor malware. Zeker als medewerkers een soort prive-backup van hun eigen sofware en data hebben. Cruyff zou zeggen: "Ieder nadeel hep z'n voordeel"'De' ontwikkelingen gaan door en knopen de ene na de andere nieuwe, handige tool daaraanvast , past het niet, dan maken we een tussen-interface om de boel te converteren en het passend te maken. Goto 'De' ... ifthenelse Goto 'De'
En nu hebben ze onderliggend hun IT-architectuur een grote spagettibende, of mss een Zuuuuuuur-koolbende of een mix van spagetti en zuurkool , waar -de omschrijving verraad het al- niemand meer kan zeggen waar die éne interface ook al weer voor diende of wat deze blackbox ook-al-weer voor inputs nodig heeft voor een betrouwbare output.
Mss als we dan dit knoopje met dit knoopje verbinden dan kunnen we deze interface er aan knopen en voíla we hebben ..... een grotere knoop.
En nee, we kunnen niet van scratch af aan beginnen , mede omdat we een aantal jaar geleden de ambtenaren die enigzins nog de architectuur-kennis in hun hoofd hebben(/hadden) met een gouden handdruk hebben weg-bezuinigd (achteraf gezien is dat bezuinigd niet het juiste woord, eerder het tegenovergestelde).
En omdat er dus geen volledige IT-architectuur -betreffende álle inputs, outputs, interfacejes en andere knopen- op papier -danwel digitaal- gedocumenteerd is en daarmee afwezig is , moeten we maar verder blijven knopen en dan testen (in de live omgeving , aangezien er geen testomgeving met diezelfde knopen aanwezig is) we om te zien of we het gewenste output-resultaat zien.
En nu is de wens om er logging aan toe te voegen , of eigenlijk was de wens er al , maarja met zoveel knopen ....
Nu de banken nog (vooral door blijven knopen jongens) !
Door Anoniem:
Gaan we doen, zodra we naar die langverwachte aflevering van Boos gaan kijken.Door Erik van Straten: Uit https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Den-Haag/Nieuws/Paginas/Geen-strafrechtelijke-vervolging-van-de-Belastingdienst-in-de-Kinderopvangtoeslagenaffaire.aspx:
De Belastingdienst heeft strafrechtelijke immuniteit, maar dit geldt niet voor de individuele belastingambtenaar die gewoon vervolgd kan worden voor corruptie. Dus houd die twee wel even gescheiden a.u.b.De officier van justitie [...] was bovendien van mening dat de Belastingdienst strafrechtelijke immuniteit geniet
Waarom zou je iets aantrekken van bijv. ISO 27001 / 27002 / BIR als je boven de wet staat?Vooralsnog "lijkt" het alsof De Belastingdienst dat verschil niet wenst te maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
