Development

Security
Snelheid zat security GGD-systemen in de weg

Snelheid zat security GGD-systemen in de weg

In begin van coronacrisis is gestuurd op zo snel mogelijk in lucht krijgen van ICT-systemen.

3 februari 2021

In begin van coronacrisis is gestuurd op zo snel mogelijk in lucht krijgen van ICT-systemen.

Bij de ontwikkeling van de systemen CoronIT en de opschaling van het systeem HPZone is vooral geconcentreerd op de functionaliteit van de systemen. De aandacht voor privacy en dataveiligheid was er, maar onvoldoende. Dat schrijft minister Hugo de Jonge van VWS in een brief aan de Tweede Kamer. De Jonge reageert op het datalek bij de GGD dat vorige week door RTL Nieuws werd onthuld.

De Jonge schrijft dat in het begin van de coronacrisis is gestuurd op het zo snel mogelijk in de lucht krijgen van ICT-systemen die de bestrijding van het virus konden ondersteunen. “Daarbij lag de focus primair op de functionaliteit van het systeem: doet het wat we nodig hebben? Daarnaast zijn voortdurend verbeteringen aangebracht om de functionaliteit (o.a. opschaling, meten van doorlooptijden), de bedrijfscontinuïteit (voorkomen van storingen) en gebruikersvriendelijkheid (online testafspraak maken, zelf contacten doorgeven) te verbeteren. Daarbij was steeds ook aandacht voor privacy en dataveiligheid, maar naar nu blijkt onvoldoende”, aldus de minister.

In zijn brief legt hij uit dat er wel risico-analyses of audits zijn gemaakt, maar dat gebeurde vaak achteraf of na een incident. Zo werd nadat het datalek bekend was een red team ingeschakeld. “Gebleken is dat het team er in is geslaagd om zich toegang te verschaffen tot documenten die niet beschikbaar zouden moeten zijn. Het team continueert zijn werkzaamheden en zodra er meer zicht is op de feiten en de opvolging daarvan zal ik uw Kamer informeren.” Ook voor de maatregelen die zijn genomen bij het toegang geven van medewerkers tot het systeem is wel een analyse gedaan, maar schrijft de minister, “er is bij het opstellen van de analyse geen audit gedaan op bestaan en werking van de maatregelen.”

Printknop 

In de brief zegt de minister dat niet alle medewerkers toegang hebben tot alle systemen. “Door middel van rollen en hieraan gekoppelde rechten wordt toegang verschaft.” Dat meldde De Jonge ook al eerder in een debat. Hij schrijft dat hij aan GGD-GHOR heeft gevraagd nog eens zeer kritisch tegen het licht te houden wat echt nodig is ten aanzien van deze functionaliteit voor het uitvoeren van testen en vaccineren. Experts zeiden eerder tegen AG Connect dat ze de manier van inregelen bij de GGD niet onlogisch vinden. Maar dat medewerkers ook mogelijkheden tot export hadden met een printknop, dat was een actie die onnodig was. De Jonge laat weten dat deze functionaliteit inmiddels is verwijderd, zowel in CoronIT als in HPZone.

De Jonge schrijft dat “de vraag wie toegang heeft tot systemen waarin persoonsgegevens worden verwerkt, begint bij de screening van medewerkers”. Experts zeiden eerder tegen AG Connect dat de data in de systemen leidend moet zijn wie er toegang toe zou moeten hebben.

Structurele steekproefsgewijze controle

In de brief gaat De Jonge ook in op de monitoring, iets waarvan de experts zei dat het onmisbaar is bij goed toegangsbeheer. De GGD logde de zoekopdrachten met een steeksproefsgewijze controle. Dat bleek onvoldoende, zegt de minister. “GGD GHOR Nederland heeft besloten dat op korte termijn geautomatiseerde controle mogelijk wordt.” Tot die geautomatiseerde controle er is, worden de logs handmatige gecontroleerd door Fox-IT, liet de GGD eerder al weten. De Jonge schrijft dat door de – wat hij noemt - structurele steekproefsgewijze controle van logbestanden op onrechtmatige toegang de afgelopen tijd circa 30 mensen zijn ontslagen. Voor de datahandel die RTL Nieuws aan het licht bracht zijn inmiddels drie mensen opgepakt.

De minister neemt nog enkele andere korte termijnacties. Het gebruik van HPZone wordt beperkt tot een selecte groep specialisten. De rest van de onderzoekers stapt over van HP Zone Lite naar een nieuwe voorziening. Daarnaast wordt er een kernteam samengesteld dat de GGD GHOR expertise gaat leveren om ondersteuning te bieden bij de uitwerking van de te nemen maatregelen en de implementatie daarvan.

Lees meer over
Lees meer over Development OP AG Intelligence
5
Reacties
Bop 09 februari 2021 23:37

Nee, die olifant in de kamer in de vorm van een export- of afdrukknop, daar kijken we maar even niet naar.
Druk-druk-druk!

Bop 09 februari 2021 23:35

'Zukkurritie' is een soort veiligheid/beveiliging, zeg maar.

Jos de Weerdt 05 februari 2021 21:02

@Mattthijs Groen: je suggestie om met een aantal 'niet raketwetenschap' dingen, zoals een autorisatiematrix gaan opstellen juich ik van harte toe.
En in aanvulling op je 'non functional requirements' : de 'AVG' zou je tegenwoordig 'gewoon 'standaard' op deze lijst moeten zetten. Je zou het als ProductOwner het gewoon op je backlog moeten zetten, of iemand anders uit het scrum team zorgt dat het er op komt!

Mathijs Groen 05 februari 2021 13:04

Een simpele acties van het opstellen van (1) functieprofielen/rollen, en (2) een authorisatiematrix, en (1) en (2) aan elkaar koppelen en deze functionaliteit door een FUNCTIONELE tester (geen technische tester/testautomatiseerder) laten valideren/testen (uiteraard voor life-gang) had dit hele drama kunnen voorkomen....

Helaas worden IT/IV systemen steeds meer "lean en mean", a-la Agile/scrum ontwikkeld en gebouwd, waarbij focus ligt op snelheid, opleveren binnen "de sprints", en wordt functioneel testen/valideren en uiteraard documenteren (waar deze autorisatiematrix onder valt), "vergeten"/weggelaten/als overhead beschouwd.

1 en 1 is 2. Hard werken is goed, maar doe wel nog steeds de juiste dingen, in de juiste volgorde en met de juiste van aandacht... Dat wordt tegenwoordig meer en meer vergeten....

Wat bij mij de wenkbrauwen doet fronsen: Zo'n autorisatiematrix/functie/rol matrix opstellen is echt geen "rocket science". Iedere informaticus leert hoe dit te doen... Of een developer dit ook leert, dat betwijfel ik... Is er wel een informatie analyse traject/informaticus bij betrokken geweest?

@Jos de Weerdt: eens met uw bewering dat 'moderne agile / scrum aanpak geen garantie biedt dat het wel goed gaat', sterker nog: dat biedt in mijn ogen eerder garantie dat het fout gaat, in de strekken van dat er belangrijke 'non functionals', worden vergeten. Documentatie en het testen van de opgeleverde functionaliteit, maar dus zeker ook van de 'non functionals' worden in deze moderne aanpakken vaak achterwege gelaten.
Laat dit nu eens een les zijn dat het zo niet langer kan!!

Off topic:
NB:
Teleurstellend dat AGConnect geen overzicht oplevert van de nieuws/discussies waar je op gereageerd hebt. Dat zie je bij ieder forum. Denk ook aan mailtje krijgen als je er een nieuwe reactie geplaatst is... Zo kan het wel WERKEN om online discussies/gesprekken onder nieuwsberichten te voeren... Nogmaals, teleurstellend.

Jos de Weerdt 03 februari 2021 21:50

Laat dit het zoveelste voorbeeld zijn waar één les uit moet blijven hangen: Security en Privacy moet vanaf dag 0 bij de ontwikkeling van nieuwe informatiesystemen op het vizier van de 'opdrachtgever' staan. Gebeurt dat niet, dan zit je vroeger of later met een stel gebakken peren..

Overigens levert het gebruik van moderne technologie zoals, 'de cloud', 'low-code platforms', robots, etc en een moderne agile / scrum aanpak geen enkele garantie dat het dan wel goed gaat. Security en Privacy 'op orde' krijgen zit in mijn beleving nog te weinig 'in de genen' van alle mensen die een rol spelen bij de ontwikkeling van iets...

Het feit dat je een kastje met één inbussleutel in elkaar kan zetten maakt je nog geen meubelmaker...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.