Gemeente Arnhem lekt gevoelige persoonsgegevens tientallen inwoners
De gemeente Arnhem heeft van tientallen inwoners gevoelige persoonsgegevens gelekt. De data werd gestolen bij een ransomware-aanval op een ict-leverancier van de gemeente. Een deel van de buitgemaakte gegevens is eind januari op internet gepubliceerd. Dat heeft burgemeester Marcouch deze week in een brief aan de gemeenteraad laten weten.
"Zodra het datalek bekend werd, heeft onze ict-leverancier de hackers direct uit het systeem gezet en technische maatregelen genomen. We hebben dit datalek opgenomen in ons datalekkenregister en bij de Autoriteit Persoonsgegevens gemeld, de organisatie die toezicht houdt op bescherming van persoonsgegevens. De Informatiebeveiligingsdienst van de VNG heeft mede namens de gemeente Arnhem aangifte gedaan bij de politie", aldus de burgemeester.
Marcouch stelt dat de gemeente de door de aanvallers aangeboden bestanden heeft gedownload. "Vanwege de instabiliteit van de website heeft het ons tijd gekost om bestanden veilig te downloaden en helder te krijgen welke gegevens precies zijn gepubliceerd." Hoe de aanval mogelijk was laat de burgemeester niet weten. "Helaas zijn hackaanvallen aan de orde van de dag, en kunnen zelfs de best beschermde systemen geraakt worden. Het is een realiteit waaraan het moeilijk wennen is. Samen kunnen wij ons verweren."
De gemeente heeft inwoners van wie de gegevens zijn gepubliceerd én de inwoners van wie gegevens niet zijn gepubliceerd maar van wie mogelijk gegevens zijn gezien en/of gestolen, geïnformeerd en hulp aangeboden mochten zij last gaan ondervinden van het datalek, merkt Marcouch op. Om wat voor soort persoonsgegevens het gaat is niet bekendgemaakt.
Zodat gemeentes nooit meer aangesproken kunnen worden op hun miserabele databeveiliging, want, ach, de best beschermde systemen...
De burger kan zich op géén enkele wijze verweren tegen identiteitsfraude die door de o.a. door u genormaliseerde datalekken ("de best beschermde systemen...") elke dag dichterbij komt.
Het gebazel van deze burgemeester -plaatsvervangend voor elke andere- leidt tot het normaliseren van het structureel bedreigen van levens van burgers door het faciliteren van identiteitsfraude met als laatste argument: "ja, internet, hè, we weten allemaal hoe zwak dat in elkaar zit, niks aan te doen, we moeten er maar mee zien te leven want zònder kunnen we ook niet."
Alsof de staat haar hele administratie op internet moet zetten.
Lafaards, geen enkele ruggengraat, die staat.
Dus de leverancier heeft zelf niets gemerkt van de hack.
Dat geeft me vertrouwen in de toekomst. Hoeveel meer hacks hebben ze in de tussentijd niet gemerkt.
Wie zou het zijn? Iemand enig idee?
Was het argument voor uitbesteden naar de cloud (of aan professionele ICT-leveranciers) niet dat dat veiliger was, omdat ze door oa. de schaalgrootte meer expertise in huis zouden hebben dan een gemeente.
Tel uit je winst.
Of is dit weer een Hof van Twente debacle?
De eerst belangrijkste hulp zou het veranderen van het burgerservicenummer; voorheen het sofi-nummer zijn maar dat is een schier onmogelijke taak.(*) Bij mij doet dat de volgende vraag rijzen: Is er wel toekomstgericht over nagedacht in de jaren voorafgaande aan de invoering in 1987 toen de plannen ontstonden voor het aanvankelijke sofi-nummer, hoe onveilig het toewijzen van het numeriek ID was indien er misbruik van wordt gemaakt en vooral hoe, in onverhoopt geval, met zo weinig mogelijk rompslomp dit nummer te veranderen is?
Ik vermoed niet want het digitale tijdperk, met name het world wide web, bestond in 1989, hoewel al explosief expanderend, nog maar in rudimentaire vorm.
(* Daar werd in 2021 bijvoorbeeld aandacht aan besteed met uitleg van een IT deskundige waarom dit zo problematisch is:
https://www.maxmeldpunt.nl/recht/ik-wil-mijn-bsn-veranderen-kan-dat/)
De eerst belangrijkste hulp zou het veranderen van het burgerservicenummer; voorheen het sofi-nummer zijn maar dat is een schier onmogelijke taak.(*) Bij mij doet dat de volgende vraag rijzen: Is er wel toekomstgericht over nagedacht in de jaren voorafgaande aan de invoering in 1987 toen de plannen ontstonden voor het aanvankelijke sofi-nummer, hoe onveilig het toewijzen van het numeriek ID was indien er misbruik van wordt gemaakt en vooral hoe, in onverhoopt geval, met zo weinig mogelijk rompslomp dit nummer te veranderen is?
Ik vermoed niet want het digitale tijdperk, met name het world wide web, bestond in 1989, hoewel al explosief expanderend, nog maar in rudimentaire vorm.
(* Daar werd in 2021 bijvoorbeeld aandacht aan besteed met uitleg van een IT deskundige waarom dit zo problematisch is:
https://www.maxmeldpunt.nl/recht/ik-wil-mijn-bsn-veranderen-kan-dat/)
Degenen die het toen doordrukten wilden niet over de risico's nadenken, want de oorlog was verleden tijd en zou nooit meer terugkomen dus daar hoefden ze niet over na te denken, vonden ze zelf. Diegenen die nu van alles doordrukken willen ook niet over de risico's nadenken, want digitalisering moet. Data = welvaart, data = God. Zoiets speelt zich in hun hoofdjes af en hun portemonneetjes spreken ook een driftig woordje mee.
Data = deugd, data = woke. Data = wat je bent.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Help organisaties cyberweerbaar maken en werk aan uitdagende securityprojecten bij BMGRIP, part of Kader Group.
- Hybride werken
- Salaris €4.000 - €5.500
- Leaseauto en volop groeimogelijkheden
Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?