image

Belastingdienst gaat beleid voor usb-sticks verder aanscherpen

vrijdag 1 september 2023, 10:10 door Redactie, 12 reacties

De Belastingdienst gaat het beleid voor het gebruik van usb-sticks deze maand verder aanscherpen, zo heeft demissionair staatssecretaris Van Rij van Financiën aan de Tweede Kamer laten weten. Afgelopen juni werd bekend dat de fiscus personeel twaalfhonderd keer een ontheffing heeft gegeven voor het gebruik van usb-sticks. Standaard zijn usb-poorten op laptops van de Belastingdienst uitgeschakeld, waardoor ook usb-sticks niet zijn te gebruiken. Het usb-beleid werd ingevoerd vanwege de problemen met de veiligheid van gegevens bij de fiscus.

Begin 2017 stelde toenmalig staatssecretaris Wiebes dat ontheffingen voor het gebruik van usb-sticks alleen in "uiterste gevallen" werden verleend. Dat bleek niet te kloppen. Ontheffingen worden "ruimhartig" door de fiscus aan het eigen personeel verleend. Volgens Van Rij zijn er situaties waarbij het niet mogelijk is om data via e-mail of File Transfer uit te wisselen. Naar aanleiding van het aantal ontheffingen vroeg het CDA aan de staatssecretaris of er geen veiligere methodes voor digitale informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd kan worden, dan met een usb-stick.

"In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer en als dat niet mogelijk is, gebruik te maken van e-mail", reageert Van Rij (pdf). "Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen of de organisatie waar de informatie ligt), niet aangesloten is op het internet."

Het gaat dan bijvoorbeeld om een kassasysteem dat alleen een usb-poort heeft om de informatie die in de kassa opgeslagen is, uit te kunnen lezen. "Juist om de veiligheid van het gebruik van een usb-stick te verhogen, heeft de Belastingdienst als maatregel ingevoerd dat informatie die op een usb-stick geplaatst wordt, automatisch versleuteld wordt", legt de staatssecretaris uit.

Binnen de Belastingdienst wordt een usb-ontheffing standaard voor de duur van één jaar verstrekt en in de systemen vastgelegd. Daarna moet de ontheffing opnieuw worden aangevraagd. Deze standaardtermijn is wel in te korten tot een kortere periode, maar niet te verlengen buiten de één jaar. Medio deze maand voert de Belastingdienst een aangescherpt beleid voor usb-ontheffingen in, meldt Van Rij. De aanscherping ziet met name op een concretere beschrijving van de taken en verantwoordelijkheden van de manager en het toezicht op de juiste uitvoering van de werkzaamheden.

Reacties (12)
01-09-2023, 10:18 door Anoniem
gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer
Is dat zo'n MOVEit Transfer server?
01-09-2023, 11:18 door Anoniem
Het enige beleid zou moeten zijn geen USB-sticks. Achterhaald en te grote kans dat iemand een stick vol gevoelige gegevens verliest.
01-09-2023, 12:04 door Erik van Straten - Bijgewerkt: 01-09-2023, 12:11
Door Anoniem:
gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer
Is dat zo'n MOVEit Transfer server?
Nee, IBM Aspera Connect - waarvoor je, in een deel (welk?) van de gevallen, hartstikke lekke clientsoftware moet installeren (en, bij sommige antivirus producten, op z'n minst een deel van de functionaliteit moet uitschakelen - zie https://filetransfer.belastingdienst.nl/info/pages/transferissues.html.nl?ver=3.1).

De client-software die je moet installeren voegt een https server toe op jouw PC, waarmee jouw browser kan communiceren, met links zoals https://local.connectme.us:43003/v5/connect/info/version.

De "lol" is dat een DNS-lookup local.connectme.us als antwoord 127.0.0.1 zou moeten geven. Echter, de betrokken nameservers ondersteunen niet eens DNSSEC: https://internet.nl/site/local.connectme.us/2304759/#sitednssec.

Gaat https je dan redden? Nee. Aanvankelijk werd elke client (de serversoftware daarin) met dezelfde private key uitgeleverd, met als gevolg dat die private key werd gepubliceerd en het certificaat werd ingetrokken (https://crt.sh/?id=2311240538).

Ik heb geen zin om opnieuw uit te zoeken welke gore truc ze momenteel uithalen om https zonder foutmeldingen te laten werken. Maar het zou mij niet verbazen als er een rootcertificaat aan je PC wordt toegevoegd (met eigen CA) of dat een browser-plugin nodig is die je belazert waar je bij staat.

Dit is amateuristich gepruts, IBM onwaardig (ze zullen Aspera vast voor veel geld hebben ingelijfd).

Ben je gedwongen om deze junk te gebruiken, voeg dan in elk geval toe aan de hosts file:
127.0.0.1 local.connectme.us
::1 local.connectme.us
En deïnstalleer de software meteen na gebruik.

Eerder schreef ik hier ook al over: https://www.security.nl/posting/788626/Kritiek+lek+in+IBM+Aspera+Faspex+gebruikt+voor+ransomware-aanvallen#posting788650 en, uitgebreider, in https://www.security.nl/posting/646927/IBM+Aspera+Connect+security

Of dit veiliger is dan USB-sticks, waag ik te betwijfelen...
01-09-2023, 13:33 door Anoniem
Door Erik van Straten:
Nee, IBM Aspera Connect

Wat een leipe shit is dat zeg! Bij veel andere overheidsinstellingen gebruiken ze https://pleio.nl/
Maar goed, de BD staat erom bekend dat ze honderden legacy apps hebben draaien, waar ze maar niet vanaf komen.

Moet die club niet eens opgeheven worden en vanaf de grond opnieuw gebouwd? Er heerst ook een zeer giftige bedrijfscultuur, weet ik van veel collega's die daar hebben gewerkt.
01-09-2023, 14:44 door Anoniem
Door Anoniem:
Door Erik van Straten:
Nee, IBM Aspera Connect

Wat een leipe shit is dat zeg! Bij veel andere overheidsinstellingen gebruiken ze https://pleio.nl/
Maar goed, de BD staat erom bekend dat ze honderden legacy apps hebben draaien, waar ze maar niet vanaf komen.

Moet die club niet eens opgeheven worden en vanaf de grond opnieuw gebouwd? Er heerst ook een zeer giftige bedrijfscultuur, weet ik van veel collega's die daar hebben gewerkt.
Breek me de mond niet open over legacy apps. De overheid in algemeen is applicatie verslaafd. Als er ook maar 1 functie niet direct wordt ondersteund vanuit de interface in het reguliere pakket dan werdt er wel weer een Java applicatie voor geschreven.

Kan me nog een voorbeeld herrineren uit mijn tijd als IT manager bij een joint project met een niet nader te noemen gemeente waarbij ze het nodig vonden een applicatie te schrijven omdat er in een van de citrix geleverde programma's geen knop zat voor printen en men te lui was om CTRL + P in te drukken. Instead hadden ze er een app gemaakt waar je document in sleepte en dan werdt het geprint of opgeslagen als pdf. Tot .docx en .docm om de hoek kwam kijken en de boel direct uiteraard liet crashen en het terug naar de tekentafel kon.
01-09-2023, 17:42 door Anoniem
Blijkbaar heeft de belastingdienst en de minister nooit van usb sticks gehoord met hardware encryptie.
01-09-2023, 20:46 door Anoniem
De goede oude Rubber Ducky. (-;
Soms vinden ze zo'n ding weleens in de gang op buiten bij de ingang, dan vind men het zo zielig dat ze hem wel moeten adopteren.
Even voeden met behulp van de laptop, en dat arme ding is er weer helemaal bovenop.
01-09-2023, 22:09 door Anoniem
Als volksvertegenwoordigers, die ook de belastingwetten moeten maken, hun neus optrekken en twee middelvingers opsteken naar neveninkomsten. Wat maakt het dan nog uit of ze daar USB sticks gebruiken of niet. De dijken hebben altijd al gelekt. Alleen de vis wordt duur betaald. Maar dan moet je maar binnen de dijken blijven, die hebben al geld genoeg gekost.
02-09-2023, 13:49 door Anoniem
Door Anoniem: Blijkbaar heeft de belastingdienst en de minister nooit van usb sticks gehoord met hardware encryptie.

Wat een pretentie van iemand die nog geen drie alinea's kan lezen :
Uit het artikel wat je niet gelezen hebt maar waar je wel op reageert :

"Juist om de veiligheid van het gebruik van een usb-stick te verhogen, heeft de Belastingdienst als maatregel ingevoerd dat informatie die op een usb-stick geplaatst wordt, automatisch versleuteld wordt", legt de staatssecretaris uit.
02-09-2023, 19:22 door karma4
Wat een vooruitgang, commerciele fieltransfer omdat er geen informatieprocessen zijn waarmee het in de verwerkingsstroom zin. De volgende ellende is voorspelbaar: datalek via de fiiletransfer
02-09-2023, 22:03 door Anoniem
Rubber ducky moet naar de 'ductor'.;)
06-09-2023, 14:39 door Anoniem
Misschien een keer een workshop data diodes volgen : https://github.com/vrolijk/osdd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.