Net als de Belastingdienst scoorden wij een cyber-onvoldoende

Net als de Belastingdienst scoorden wij een cyber-onvoldoende

Magazine

Hoe weet je of organisaties jouw privacy serieus nemen? Top story


Ellen Bijsterbosch donderdag 9 februari 2017
Inhoud: 

De financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven werden mogelijk slecht beveiligd door de Belastingdienst.

Daarover heeft de Tweede Kamer vandaag staatssecretaris Wiebes ondervraagd. Dit soort nieuws lezen we tegenwoordig vaker. Maar als data voor de verandering wel goed worden beveiligd, wat houdt dat precies dan in? Hoe weet je of organisaties jouw privacy serieus nemen?

Het afgelopen jaar bouwde SETUP een database van alle Nederlanders om te onderzoeken hoe onze levens steeds transparanter worden voor overheden, bedrijven en criminelen. Op de websites van bijvoorbeeld de sportvereniging, gemeente, beroepsregister of kerk konden we veel namen, adressen en geboortedata vinden, maar een echt grote klapper maakten we met het leegtrekken van het verweesde Schoolbank.nl.

We hebben de beveiliging van ons kunstproject onlangs onafhankelijk laten toetsen. Ondanks al onze voorzorgsmaatregelen bleek dat we een essentiële verdediging over het hoofd hadden gezien. We trekken een les uit onze ervaring. Wellicht dat staatssecretaris Wiebes hier ook iets van kan leren?

© SETUP
Bouwen aan de Nationale Verjaardagskalender

Onze voorzorgsmaatregelen

We kunnen onze database-spierballen niet meten met grote datahandelaren zoals Axciom en Exerian. Toch hadden we, als we onze databank net als deze bedrijven waren gaan verkopen, ons eerstvolgende SETUP-bedrijfsuitje zeker op een tropisch eiland kunnen houden.

Omdat de Nationale Verjaardagskalender een onderzoek was naar de maatschappelijke praktijk van big data is dat bedrijfsuitje er nooit gekomen. Vanaf het begin hebben we onszelf strenge eisen opgelegd om te voorkomen dat we per ongeluk zelf privacyschenders zouden worden.

Vooraf schreven we de Autoriteit Persoonsgegevens een brief om melding te maken van het experiment en de verzamelplannen. We spraken duidelijke spelregels af met deelnemers aan de hackathons en legden die ook vast. Zo mochten er geen gegevens overblijven op hun laptops en zouden we ons uitsluitend richten op open bronnen.

Voor de Nationale Verjaardagskalender hadden we nodig: naam, geboortedatum, adres en interesses (zodat we ook een passend verjaardagscadeautje konden verzinnen). Volgens het principe van dataminimalisatie sloegen we niet meer op dan dat. Van minderjarigen zorgden we dat ze überhaupt niet in de database voorkwamen, en gevoelige gegevens over bijvoorbeeld iemands gezondheid, seksuele geaardheid of politieke voorkeur wilden we ook niet hebben.

Zelfs dit heldere uitgangspunt leidde in de praktijk tot een grijs gebied voor het opslaan van persoonlijke interesses. Hoe ga je om met iemand die graag “negermuziek” luistert of “lesbische boeken” leest? We kregen juridisch advies van the Privacy Company en namen het zekere voor het onzekere.

Naast organisatorische stappen namen we ook technische maatregelen. Met een enkele USB-stick werden de gegevens van de hackathons overgebracht op een centrale server die niet met het internet verbonden was. Op deze server werden de databronnen gecombineerd en geanalyseerd. We tekenden vooraf uit hoe de server versleuteld moest worden zodat alleen wij bij de database konden. Zo zaten we zeker goed, dat dachten we althans.

 

We hadden onze database beschermd tegen diefstal zoals de meeste mensen zich diefstal voorstellen

Specialisten vellen keihard oordeel

Een gerenommeerd IT-beveiligingsbedrijf bood onlangs aan om het beveiligingsniveau van onze server te toetsen. Vol goede moed overhandigden we ze het apparaat. Het lukte ze vervolgens de database buit te maken. Hun conclusie was niet om over naar huis te schrijven:

De boot USB-stick in combinatie met de passphrase hebben alleen nut indien ze gescheiden zijn opgeslagen en het systeem op dat moment niet aanstaat. Zodra het systeem opgestart is en de data ontsleuteld is, hebben deze geen toegevoegde waarde meer.

[...]

Doordat er geen specifieke verharding is toegepast op de database zelf is het voor een aanvaller kinderspel om de data en het onderliggende systeem over te nemen. De verharding die nu is toegepast beschermt alleen tegen data-diefstal indien het systeem is uitgeschakeld.

We hadden onze database beschermd tegen diefstal zoals de meeste mensen zich diefstal voorstellen: een paar zware jongens die ’s nachts gewapend met zaklampen het SETUP-kantoor insluipen om de server te ontvreemden. In dat geval was alle data inderdaad veilig geweest dankzij de versleutelde harde schijven. Dit was echter maar één van de scenario’s waar we rekening mee hadden moeten houden. We mochten er inderdaad vanuit gaan dat alleen wij de server op zouden kunnen starten, maar daardoor hadden we wel belangrijke andere beveiligingsstappen gemist.

Defense in depth

Bij SETUP vertrouwen we onze collega’s en daarom was er geen speciale toegangscontrole voor wie eenmaal binnen de server was. Natuurlijk gaan we graag uit van het goede in de mens, maar wat we ons niet hadden gerealiseerd is dat dat vertrouwen ook misbruikt kan worden.

Zo had met malware op een van onze laptops ook toegang verkregen kunnen worden tot de server, net zoals een enkele ransomware-infectie een heel bedrijf lam kan leggen. Daarbij moet een grotere organisatie ook rekening houden met ontevreden of jaloerse medewerkers, die motief hebben om hun toegang te misbruiken. Deze aanbevelingen kregen we hiervoor:

Er is meer controle mogelijk vanuit een abstracte applicatie laag, denk hierbij bijvoorbeeld aan een API. Hiermee worden audit-trails mogelijk, en tevens het beperken van toegang tot selectieve systemen of data […]

[…]

De beveiligingsarchitectuur moet bestaan uit meerdere lagen die wezenlijk van elkaar verschillen, zodat het doorbreken van een beveiligingsmaatregel niet automatisch leidt tot de val van het gehele systeem. 

Zeker voor databases die wel met internet verbonden moeten zijn, is een enkele verdediging onvoldoende. Je mag er namelijk vanuit gaan dat elke computer uiteindelijk te hacken is. Vergelijk het met het verdedigen van een kasteel: de veiligste ridder bevindt zich achter een combinatie van verdedigingsmechanismen. Deze methode wordt ook wel defense in depth genoemd.

De firewall vormt de buitenmuur, elke opening hierin vormt een kwetsbaarheid van je kasteel. Door het systeem niet met een netwerk te verbinden, haal je als het ware de ophaalbrug omhoog. Hiermee zaten we op het goede spoor in het beveiligen van onze server. Maar we hadden rekening moeten houden met klassieke tactieken zoals het Paard van Troje, waarmee de Grieken onverwachts binnen de stadsmuren konden komen. En natuurlijk met de trojan horse malware, diens digitale opvolger.

Daarom heeft een serieus kasteel binnenmuren of zelfs een donjon-toren in het midden waar vanuit nog verdedigd kan worden. Die kun je vergelijken met toegangscontrole en log monitoring op een server, zoals ons werd aanbevolen. Het doel is om de investering die het kost om achtereenvolgens alle lagen te doorbreken zo groot te maken dat de hackers die aan je poort rammelen zullen afdruipen.

Tegen welke dreigingsscenario's worden mijn gegevens beschermd?

Veilig-server keurmerk bestaat niet

Het zou mooi zijn als goede informatiebeveiliging te herkennen was aan een label, zoals je een koelkast uitzoekt op energiezuinigheid. In de praktijk moet je rekening houden met diverse dreigingsscenario’s van zowel buiten als binnen je organisatie. De volgende keer dat je ergens leest dat je gegevens ‘passend’ beschermd worden, vraag dan eens door: tegen welke dreigingsscenario’s worden ze precies beschermd?

De Nationale Verjaardagskalender heeft niet tot een datalek geleid. Dat had wel gekund als we de server aan hadden gesloten op het internet, of als een zeer vastbesloten aanvaller het op onze dataset voorzien had gehad.

Sta je zelf voor de uitdaging om een een veilige app of site te ontwerpen, luister dan vooral naar deze fijne podcast van Bits of Freedom over privacy by design voor startups. En gebruik het principe van defense in depth in je voordeel.

Terug naar Wiebes

De principes van informatiebeveiliging kun je ook gebruiken om te beoordelen hoe de Belastingdienst is omgesprongen met de financiële en persoonlijke gegevens van miljoenen belastingbetalers. Gedurende drie jaar mocht de afdeling die liefkozend ‘de broedkamer’ werd genoemd daarin vrijelijk grasduinen. Vorige week werd bekend dat op die afdeling ook tientallen externe consultants werkten. De Autoriteit Persoonsgegevens is een onderzoek gestart.

Van de Nationale Verjaardagskalender hebben we geleerd over het grijze gebied van big data en de moeilijkheden van privacybescherming in de praktijk. We raden staatssecretaris Wiebes aan om zijn ambtenaren voortaan de vragen te stellen die bij ons kunstproject aan de orde kwamen: Doen we aan dataminimalisatie? Hoe regelen we toegangscontrole? Kunnen we uitsluiten dat er een datalek heeft plaatsgevonden?

Staatssecretaris Wiebes mag ons natuurlijk altijd bellen.

Dit artikel is tot stand gekomen in samenwerking met: Xander Bouwman