Snelheid zat security GGD-systemen in de weg
De Jonge schrijft dat in het begin van de coronacrisis is gestuurd op het zo snel mogelijk in de lucht krijgen van ICT-systemen die de bestrijding van het virus konden ondersteunen. “Daarbij lag de focus primair op de functionaliteit van het systeem: doet het wat we nodig hebben? Daarnaast zijn voortdurend verbeteringen aangebracht om de functionaliteit (o.a. opschaling, meten van doorlooptijden), de bedrijfscontinuïteit (voorkomen van storingen) en gebruikersvriendelijkheid (online testafspraak maken, zelf contacten doorgeven) te verbeteren. Daarbij was steeds ook aandacht voor privacy en dataveiligheid, maar naar nu blijkt onvoldoende”, aldus de minister.
In zijn brief legt hij uit dat er wel risico-analyses of audits zijn gemaakt, maar dat gebeurde vaak achteraf of na een incident. Zo werd nadat het datalek bekend was een red team ingeschakeld. “Gebleken is dat het team er in is geslaagd om zich toegang te verschaffen tot documenten die niet beschikbaar zouden moeten zijn. Het team continueert zijn werkzaamheden en zodra er meer zicht is op de feiten en de opvolging daarvan zal ik uw Kamer informeren.” Ook voor de maatregelen die zijn genomen bij het toegang geven van medewerkers tot het systeem is wel een analyse gedaan, maar schrijft de minister, “er is bij het opstellen van de analyse geen audit gedaan op bestaan en werking van de maatregelen.”
Printknop
In de brief zegt de minister dat niet alle medewerkers toegang hebben tot alle systemen. “Door middel van rollen en hieraan gekoppelde rechten wordt toegang verschaft.” Dat meldde De Jonge ook al eerder in een debat. Hij schrijft dat hij aan GGD-GHOR heeft gevraagd nog eens zeer kritisch tegen het licht te houden wat echt nodig is ten aanzien van deze functionaliteit voor het uitvoeren van testen en vaccineren. Experts zeiden eerder tegen AG Connect dat ze de manier van inregelen bij de GGD niet onlogisch vinden. Maar dat medewerkers ook mogelijkheden tot export hadden met een printknop, dat was een actie die onnodig was. De Jonge laat weten dat deze functionaliteit inmiddels is verwijderd, zowel in CoronIT als in HPZone.
De Jonge schrijft dat “de vraag wie toegang heeft tot systemen waarin persoonsgegevens worden verwerkt, begint bij de screening van medewerkers”. Experts zeiden eerder tegen AG Connect dat de data in de systemen leidend moet zijn wie er toegang toe zou moeten hebben.
Structurele steekproefsgewijze controle
In de brief gaat De Jonge ook in op de monitoring, iets waarvan de experts zei dat het onmisbaar is bij goed toegangsbeheer. De GGD logde de zoekopdrachten met een steeksproefsgewijze controle. Dat bleek onvoldoende, zegt de minister. “GGD GHOR Nederland heeft besloten dat op korte termijn geautomatiseerde controle mogelijk wordt.” Tot die geautomatiseerde controle er is, worden de logs handmatige gecontroleerd door Fox-IT, liet de GGD eerder al weten. De Jonge schrijft dat door de – wat hij noemt - structurele steekproefsgewijze controle van logbestanden op onrechtmatige toegang de afgelopen tijd circa 30 mensen zijn ontslagen. Voor de datahandel die RTL Nieuws aan het licht bracht zijn inmiddels drie mensen opgepakt.
De minister neemt nog enkele andere korte termijnacties. Het gebruik van HPZone wordt beperkt tot een selecte groep specialisten. De rest van de onderzoekers stapt over van HP Zone Lite naar een nieuwe voorziening. Daarnaast wordt er een kernteam samengesteld dat de GGD GHOR expertise gaat leveren om ondersteuning te bieden bij de uitwerking van de te nemen maatregelen en de implementatie daarvan.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee