image

Gemeente Woerden: Nebu weet niet welke data is gestolen en van wie

donderdag 22 juni 2023, 15:40 door Redactie, 19 reacties

Softwarebedrijf Nebu waar criminelen toegang tot de systemen kregen weet niet welke data is gestolen en van wie, zo stelt de gemeente Woerden. Wel is bekend geworden hoe de aanval ongeveer is verlopen. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken. Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt.

Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken. Begin april waarschuwde de gemeente Woerden duizenden inwoners die meededen aan een onderzoek van marktonderzoeksbureau Dimensus voor het datalek bij softwareleverancier Nebu. Daarbij zouden mogelijk ook hun gegevens zijn gelekt. Net als Blauw maakte ook Dimensus gebruik van de software van Nebu.

"Nebu (het bedrijf dat daadwerkelijk is gehackt) heeft een onderzoek laten doen naar het datalek. Uit dat onderzoek blijkt hoe de cyberaanval ongeveer is verlopen. Het is uiteindelijk niet bekend geworden welke data is gestolen en van wie", laat de gemeente Woerden vandaag in een update over het incident weten. Volgens de onderzoekers zijn er geen aanwijzingen dat gestolen data is aangeboden op internet’. Ook is er geen losgeld geëist.

Aan de hand hiervan stellen de onderzoekers naar het datalek dat de risico's beperkt zijn. Nu het onderzoek naar is afgerond heeft de gemeente Woerden besloten de zaak te sluiten. "Het blijft onduidelijk of gegevens van Woerdenaren gestolen zijn", zo concludeert de gemeente op Twitter. Details over hoe de aanval is verlopen zijn niet door de gemeente gegeven.

Reacties (19)
22-06-2023, 16:12 door Anoniem
Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
22-06-2023, 16:29 door Anoniem
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Wat is het maximale aan vertrouwelijke informatie dat een gemeente aan een marktonderzoeker (enquêtes!) wil toevertrouwen? Niet veel; het gaat hier om vragen als "Vindt U dat U door de Gemeente beleefd te woord gestaan bent?". Misschien valt te achterhalen dat persoon x op datum d een rijbewijs heeft opgehaald. Wereldschokkend, nee!
22-06-2023, 16:29 door Anoniem
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Nee dat kunnen ze zeker niet. de wetgeving stelt dat indien er niet te achterhalen is welke informatie gelekt is alle informatie als gelekt moet worden beschouwd. In dit geval is Nebu dus in ernstige gebreken en kan aansprakelijk gesteld gaan worden.
22-06-2023, 16:56 door nnsa
Door Anoniem:
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Wat is het maximale aan vertrouwelijke informatie dat een gemeente aan een marktonderzoeker (enquêtes!) wil toevertrouwen? Niet veel; het gaat hier om vragen als "Vindt U dat U door de Gemeente beleefd te woord gestaan bent?". Misschien valt te achterhalen dat persoon x op datum d een rijbewijs heeft opgehaald. Wereldschokkend, nee!
Dan heeft U zeker nog nooit meegedaan met zo'n enquete ?

De mogelijkheid bestaat om huwelijkse staat, leeftijd, opleiding, inkomen, emailadres etc. achter te laten... niet wereldschokkend inderdaad ?
22-06-2023, 17:07 door Anoniem
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??

Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
22-06-2023, 17:13 door karma4 - Bijgewerkt: 22-06-2023, 17:14
Door Anoniem:
Nee dat kunnen ze zeker niet. de wetgeving stelt dat indien er niet te achterhalen is welke informatie gelekt is alle informatie als gelekt moet worden beschouwd. In dit geval is Nebu dus in ernstige gebreken en kan aansprakelijk gesteld gaan worden.

Niet Nebu maar de verwerkingsverantwoordelijken kunnen aangesproken worden.

Bij Nebu is de vraag of het verwijtbaar was zo niet, dan is zeer de vraag wie het risico draagt.
Niet verwijtbaar betekent vaak niet aansprakelijk .
22-06-2023, 17:20 door Anoniem
Het IT forensics onderzoeksbureau was kansloos.. eerst hebben het de IT prutser van Nebu geprobeerd schade te herstellen..
Toen alle sporen vernietigd waren mocht de IT forensics mannen aan de slag… kansloze actie.
22-06-2023, 18:36 door Anoniem
Door Anoniem:
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??

Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
Alleen valt dit niet onder de politiewwt maar onder privacy wetgeving...
22-06-2023, 18:44 door Anoniem
Vreemd dat niet bekend is welke data door een marktonderzoeksbureau gaat dat leeft van data verwerking.

Een blik op een vragenlijst moet voldoende zijn en er is een mailadreslijst aan gekoppeld.

Maar ze zetten wel een krabbel onder een verwerkings overeenkomst...
Wat kan hier nog meer misgaan.. Marktonderzoeksbureau wat data niet snapt icm met een security bureau dat geen basaal inschattings onderzoek kan doen.

Een mooie collectie prutsers.
22-06-2023, 19:28 door Anoniem
Door Anoniem: Interessant, dus als je niet kan achterhalen wat er gegraaid is en waar het rondhangt, kan je het risico laag inschalen??
Qua logica is er inderdaad ook wat mis ja.
22-06-2023, 19:42 door Anoniem
Misschien valt te achterhalen dat persoon x op datum d een rijbewijs heeft opgehaald. Wereldschokkend, nee!
Eerst onderzoek doen en dan reageren is meestal slimmer, je krijgt een link gratis.
https://www.security.nl/posting/791516/Pensioenfondsen+PME+en+PFZW+ook+getroffen+door+datalek+bij+marktonderzoeker
22-06-2023, 22:02 door Anoniem
Glas - plas - was. Wie betaalt uiteindelijk het gelag?
De graaier, die op zijn of haar handen blijft zitten,
graait dus gewoon door en komt er steeds meer weg.
Goed om in het achterhoofd te houden.
22-06-2023, 22:32 door Anoniem
Ik mag toch aannemen dat de klanten van (de klanten van) Nebu wel weten welke data ze hebben overhandigd?
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd

Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.

Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.

Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.
23-06-2023, 10:42 door Anoniem
Door Anoniem: Ik mag toch aannemen dat de klanten van (de klanten van) Nebu wel weten welke data ze hebben overhandigd?
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd

Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.

Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.

Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.

Mee eens. de maximale grootte en reikwijdte van deze hack zou te reconstrueren moeten zijn.
De opdrachtgevers (en tusssenpersonen) zouden moeten weten welke type persoonsgegevens en antwoorden op vragen er als data aan Nebu aangeleverd is.

Dat is de groep die schade van deze hack kan oplopen. (want onbekend of er iets misbruikt is of alsnog zal worden)
Deze mensen dien je uitgebreidt te informeren waar ze op moeten letten. En uitlegtgen hoe ze geholpen kunnen worden om schade te beperken dan wel schadevergoeding te krijgen voor te maken kosten.

Juridische vraag:
Wie is juridisch en financieel verantwoordelijk voor te maken kosten van deze slachtoffers. En wanneer?
23-06-2023, 10:51 door Anoniem
Risk management 101: indien het risico niet nauwkeurig te bepalen is, is dat feit an sich al minstens een medium tot hoog risico. Als je al aannames doet, is het worst-case scenario (is ook meteen het meest waarschijnlijke en realistische scenario), niet het happy-flow-gaat-u-maar-rustig-slapen-doofpot scenario.

Klinkt alsof zowel Nebu als Woerden hier laakbaar, onzorvuldig en amateuristisch gehandeld hebben ! Tijd dat iemand deze partijen met de neus op de feiten drukt en financieel aansprakelijk houdt namens de slachtoffers.
23-06-2023, 10:53 door Korund - Bijgewerkt: 23-06-2023, 10:53
In dit geval is Nebu dus in ernstige gebreken ...

Als je zo graag een verouderde naamvalsvorm wil gebruiken, doe het dan correct s.v.p.:

"In dit geval is Nebu dus in ernstigen gebreke ..."

Overigens wel eens met de conclusie.
23-06-2023, 19:39 door Anoniem
Door Anoniem: de wetgeving stelt dat indien er niet te achterhalen is welke informatie gelekt is alle informatie als gelekt moet worden beschouwd.
Kan je misschien aangeven welke wet en welk artikel dat stelt? Alvast bedankt.
24-06-2023, 13:44 door Anoniem
"Het blijft onduidelijk of gegevens van Woerdenaren gestolen zijn", zo concludeert de gemeente op Twitter.
En door de kwestie als afgehandeld te beschouwen geeft de gemeente Woerden er blijk van dat ze haar eigen hachje belangrijker vindt dan dat van de burgers om wiens gegevens het gaat. Ze verwart juridische aansprakelijkheid met morele verantwoordelijkheid. Juridisch beschouwd kan ze zichzelf vrijpleiten, moreel gezien zakt ze door de ondergrens.

Ach, een datalek meer of minder, burgers moeten er maar aan wennen dat de overheid (gemeente) ook niet meer zònder datalekken kan functioneren.
24-06-2023, 14:36 door Anoniem
Het "markttevredenheidsonderzoek" Sociale Kracht, dat de gemeente Woerden heeft laten uitvoeren door Dimensus is een onderzoek dat voor een gemeente opspoort welke (concrete?) burgers door het maatschappelijke ijs dreigen te zakken en daarmee zeer waarschijnlijk in de nabije toekomst problemen kunnen gaan krijgen, die dan weer op het bord van de gemeente terecht kunnen komen.
Het is dus een beleidstool wat inventariseert waar de "probleemburgers" in een gemeente zitten om daarop het beleid (en middelen) te kunnen afstemmen.
De inhoud van het onderzoek is in hoge mate privacygevoelig, de impact ervan voor de betrokkenen (de respondenten, degenen die aan het onderzoek mee hebben gedaan) is enigszins te vergelijken met die van de nieuwsoortige diepingrijpende vragenlijsten die in de GGZ zijn ingevoerd; dit onderzoek is a.h.w. het maatschappelijke equivalent wat door gemeenten wordt gebruikt om beleid mee te maken.

Afhankelijk van de omvang van het datalek, d.w.z. of ook de inhoud (gepseudonimiseerd?) benaderbaar is, is de potentiële schade voor de betrokken inwoners van Woerden.
Tegen deze achtergrond is de bagatelliserende opstelling van de gemeente Woerden - die ook niets weet, maar dit verder laat zitten - een cynisch dieptepunt in de relatie tussen (lagere) overheid en burger.

https://dimensus.nl/producten/gemeente-beleidsmonitor-sociale-kracht/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.