image

SP-medewerker stuurt Prinsjesdagstukken naar Gmail-adres

dinsdag 16 september 2014, 14:06 door Redactie, 31 reacties
Laatst bijgewerkt: 16-09-2014, 15:49

Een medewerker van SP-Kamerlid Paul Ulenbelt heeft de Prinsjesdagstukken die vorige week onder de politieke partijen werden uitgedeeld naar een Gmail-adres gestuurd, waardoor de beveiliging die moest voorkomen dat de documenten konden worden geprint werd omzeild. Het gebruik van Gmail door ambtenaren voor het uitwisselen en opslaan van vertrouwelijke documenten werd eerder nog door GOVCERT, de voorloper van het Nationaal Cyber Security Center (NCSC), afgeraden.

De Prinsjesdagstukken werden vorige week op een beveiligde Corsair Padlock 2 USB-stick uitgedeeld. Deze USB-stick kan bestanden automatisch versleutelen en is beveiligd met een hardwarematige pincode. Pas als de correcte code op de USB-stick is ingevoerd worden de bestanden beschikbaar. "De sticks waren zo beveiligd dat printen of downloaden niet zou kunnen, maar een SP-kamerlid wist die beveiliging relatief simpel te omzeilen", zo laat de Volkskrant weten.

Waarschijnlijk gaat het hier niet om de beveiliging van de USB-stick, maar om de beveiliging van de bestanden. De Padlock 2 versleutelt namelijk alleen de bestanden, zo blijkt uit de handleiding (PDF). Het is echter wel mogelijk om bestanden te beveiligen. Zo biedt Adobe (PDF) de mogelijkheid om PDF-documenten zo te beveiligen dat printen, wijzigen en bekijken wordt beperkt, alsmede het kopiëren van informatie.

Een medewerker van Ulenbelt slaagde erin om deze beveiliging te omzeilen door de stukken naar een Gmail-adres door te sturen, waarvandaan ze geprint konden worden. "Van papier leest begroting veel beter. Ik kan het uitprinten. Volgend jaar moeten ze mijn neefje maar vragen voor beveiliging ;-)", zo laat Ulenbelt via Twitter weten. Het SP-Kamerlid is vicevoorzitter van de tijdelijke commissie ICT en overheid, die bezig is met een parlementair onderzoek naar ICT-project binnen de overheid. Volgens Ulenbelt zijn er meer Kamerleden die vandaag over papieren versies beschikten.

Reacties (31)
16-09-2014, 14:22 door Anoniem
Wel een beetje flauw. Elk document wat is te openen om te lezen kan met wat omwegen ook worden afgedrukt. Documenten zijn sowieso niet te beveiligen tegen doorsturen. Wanneer kamerleden er een sport van gaan maken om de documenten te verspreiden moeten ze maar gewoon niet meer worden uitgedeeld. Desnoods richt je een leeskamer in met de documenten achter glas en zet je bewaking in tegen het heimelijk fotograferen.
16-09-2014, 14:34 door CSO. - Bijgewerkt: 16-09-2014, 14:35
Wat een lummelig gedrag weer: moedwillig beveiligingsmaatregelen omzeilen en er nog trots op zijn ook. Strafbaar zelfs lijkt me, als het security beleid daar in het binnenhof een beetje op orde is

/edit: En dat zit dan ook nog in een ICT-overheid commissie... Treurig.
16-09-2014, 14:37 door Anoniem
Goed geschreven artikel, vooral héél duidelijk...
16-09-2014, 14:51 door Anoniem
@CSO het is belachelijk dat het moet. Gooi de boel open, scheelt een hoop geld aan nutteloze beveiliging. Dit is publieke data, dus waarom moet daar een embargo op. Ik ben juist voor zulke mensen. Je moet tegenwoordig aantonen dat iets heel duurs niet werkt, voordat men snapt dat ze geld in bodemloze put gooien.

Tevens is het altijd zo dat ICT en overheid nooit werkt en te veel geld kost. Als je iets op je beeldscherm kunt lezen, kun je ook copieren / printen etc.... given fact!

TheYOSH
16-09-2014, 15:00 door Anoniem
Door CSO.: Wat een lummelig gedrag weer: moedwillig beveiligingsmaatregelen omzeilen en er nog trots op zijn ook. Strafbaar zelfs lijkt me, als het security beleid daar in het binnenhof een beetje op orde is

De vraag is: Is een annotatie, dat iets niet uitgeprint mag worden, echt een beveiligingsmaatregel? Is het kunnen uitprinten uberhaupt een beveiligingsprobleem?

Wat is het doel?

Lekken tegen gaan? Dat werkt sowieso niet. Als je het kunt zien, kun je foto's ervan maken en kun je het dus doorsturen. Dan moet je alle mensen die het mogen lezen alleen onder gecontroleerde omstandigheden toegang toe geven, maar dan nog kunnen die mensen zelf de inhoud (deels) reproduceren.

Als het doel is dat het tijdens transport niet ontvreemd, verloren of anderzins onbedoeld bij derden komt die er iets mee kunnen? Dan was die USB-stick al een prima beveiling. Die uitprint policy verandert daar niets aan.

Als het doel is dat mensen niet een (geprinten/gekopieerde/..) versie van het document kunnen laten rondslingeren? Dan moet je er voor zorgen dat het document herleidbaar is tot een persoon (bijvoorbeeld door middel van: zichtbare en onzichtbare fingerprinting van documenten). Je geeft mensen documenten in alle vertrouwelijkheid en met alle middelen dat ze er verantwoord mee werken kunnen, vanaf dat punt zijn zij zelf verantwoordelijk dat zij er ook daadwerkelijk verantwoord mee werken. En zo niet, dan kun je ze er gericht op aanspreken.
16-09-2014, 15:04 door Preddie - Bijgewerkt: 16-09-2014, 15:05
Goed signaal naar de burger.... wel grappig om te horen dat de man denkt dat hij wat gekraakt heeft ;) overigens triest dat een dergelijke persoon onderdeel uitmaakt van ICT en overheid, verklaard natuurlijk ook de grote successen die worden gehaald door overheidsprojecten op het gebied van IT
16-09-2014, 15:04 door perplex0
Wat een prima gedrag weer: moedwillig aantonen hoe lummelig de 'beveiligingsmaatregelen' zijn, en er dus trots op zijn ook. Voorbeeldig lijkt me, als het security beleid daar op het Binnenhof een beetje tekort schiet.

En gelukkig zit dat (!) dan ook nog in een ICT-Overheids Commisie...Hulde.
16-09-2014, 15:15 door CSO.
Door bravenewworld: Wat een prima gedrag weer: moedwillig aantonen hoe lummelig de 'beveiligingsmaatregelen' zijn, en er dus trots op zijn ook. Voorbeeldig lijkt me, als het security beleid daar op het Binnenhof een beetje tekort schiet.

En gelukkig zit dat (!) dan ook nog in een ICT-Overheids Commisie...Hulde.

En ik hoor een papegaai!!
16-09-2014, 15:19 door Anoniem
Door CSO.: Wat een lummelig gedrag weer: moedwillig beveiligingsmaatregelen omzeilen en er nog trots op zijn ook. Strafbaar zelfs lijkt me, als het security beleid daar in het binnenhof een beetje op orde is

/edit: En dat zit dan ook nog in een ICT-overheid commissie... Treurig.
De begroting geheimhouden is pas treurig, ze proberen niet eens de illusie te wekken dat we een democratie zijn.
16-09-2014, 15:48 door Mysterio
En o was is de SP boos dat de cijfers gelekt zijn en nu blijkt dat één uit hun gelederen daar verantwoordelijk voor is. Stelletje huichelaars met hun grote bek en overdreven geblaat. Nog een partij op mijn zwarte lijst. Er blijven er weinig over. :(

http://nos.nl/artikel/696535-oppositie-boos-over-lekken.html
16-09-2014, 15:49 door CSO.
Door Anoniem: De begroting geheimhouden is pas treurig, ze proberen niet eens de illusie te wekken dat we een democratie zijn.

Ben ik helemaal met je eens, maar dat is een andere discussie.
16-09-2014, 16:56 door Anoniem
Is een beveiling tegen afdrukken ook een beveiliging tegen het maken van screenshots???
16-09-2014, 17:28 door perplex0
Door CSO.:
Door bravenewworld: Wat een prima gedrag weer: moedwillig aantonen hoe lummelig de 'beveiligingsmaatregelen' zijn, en er dus trots op zijn ook. Voorbeeldig lijkt me, als het security beleid daar op het Binnenhof een beetje tekort schiet.

En gelukkig zit dat (!) dan ook nog in een ICT-Overheids Commisie...Hulde.

En ik hoor een papegaai!!
Dan hoor je toch iets niet goed...
16-09-2014, 17:47 door Anoniem
Door bravenewworld: Wat een prima gedrag weer: moedwillig aantonen hoe lummelig de 'beveiligingsmaatregelen' zijn, en er dus trots op zijn ook. Voorbeeldig lijkt me, als het security beleid daar op het Binnenhof een beetje tekort schiet.

En gelukkig zit dat (!) dan ook nog in een ICT-Overheids Commisie...Hulde.
Ik ben het voor een deel met je eens, behalve dan deze stukken gratis en voor niets aan Google overhandigen toch echt "een beetje dom" is, vraag ik me toch wel af wat zo iemand in een ICT commisie doet...
16-09-2014, 17:55 door Anoniem
Een duidelijk signal waar het mis gaat.
De ICT beveiliging wordt niet gezien als een hulpmiddel om het doel van lekken van de informatie te voorkomen.
Het wordt gezien als een lasting technisch iets dat het gebruik dwars zit. Als je er op een handige manier langs kan dan is dat geen enkel probleem, dan had die techneut het maar beter moeten doen.

Zo ga je het nooit lukken om beveiliging op orde te krijgen.
Hoog tijd voor een goede onderlinge afstemming tussen de gebruikers en de ICT techneuten.
16-09-2014, 18:08 door Anoniem
Dit had je kunnen zien aankomen. Ik kan er dan ook niet wakker van liggen. Echt niet. Denk maar na. We hebben het hier over gerommel in de marge en een zwakke poging DRM te gebruiken voor het "oplossen" van een "probleem" wat eigenlijk geen probleem mag zijn. Te beginnen met dat hier een mensenprobleem met technologie wordt bestreden, en dat werkt niet. Daarnaast is het weer eens pure symptoombestrijding. Het is nergens voor nodig ook nog.

Het probleem is namelijk niet dat de oppositie lekt. De regering zelf is al weken aan het lekken, en de oppositie was het terecht zat (maar dacht net zo goed alleen maar aan zichzelf en pakte niet door) dat ze moedwillig op achterstand gezet werden. Dit is dus gewoon een exponent van een politiek spelletje wat de regering zelf begonnen is.

Het probleem is dan ook dat er vooral misselijke politieke spelletjes gespeeld worden zonder dat er nog enigszins geregeerd wordt. Ze zijn daar onder de ivoren kaasstolp niet voor het land bezig. Kijk maar.
16-09-2014, 18:44 door spatieman
moet iemand van ons eens proberen, dan staan we op straat.
die pik zal alleen een streng vingertje zien, en dat niet eens.
16-09-2014, 19:20 door perplex0
Door spatieman: die pik zal alleen een streng vingertje zien

Die van mij is verziend, kan dus niet veel kwaad
16-09-2014, 20:14 door CSO.
Door bravenewworld:
Door CSO.:

En ik hoor een papegaai!!
Dan hoor je toch iets niet goed...

Gast, lees mijn bericht van 14:34u eens even na, qua strekking en woordkeuze. Toeval?
17-09-2014, 01:31 door Anoniem
Fucking idiot.
Er staat gewoon in de wet dat je niet moet lekken. Ook al kan je dat.

Stem geen SP meer.
17-09-2014, 08:11 door Anoniem
Beveiliging zodat dingen niet meer kunnen leidt tot omzeiling gedrag, waarbij de security vaak helemaal wegvalt. Het is vaak beter niet tot het uiterste te gaan om te zorgen dat het materiaal niet naar een onbeveiligde omgeving verdwijnt. Het is net het echte leven: alles met mate.
17-09-2014, 09:05 door Anoniem
Door CSO.:
Door bravenewworld:
Door CSO.:

En ik hoor een papegaai!!
Dan hoor je toch iets niet goed...

Gast, lees mijn bericht van 14:34u eens even na, qua strekking en woordkeuze. Toeval?
"Gast," als je het bericht van bravenewworld eens "even na leest", dan zie je dat de zinsopbouw gelijk is, maar de strekking/betekenis van het verhaal precies tegengesteld is.

Toeval? Hoogstwaarschijnlijk niet nee. Papegaaiengedrag? Dat zeker niet.
17-09-2014, 09:10 door Anoniem
Informatiebeveiliging is niet alleen puur technisch van aard, maar gaat voor een belangrijk deel ook over procedures en gedrag, en mensen zich bewust van maken van hun handelen. Klaarblijkelijk waren de procedures voor Paul Ulenbelt niet duidelijk, dat valt toch tegen voor iemand die in een commissie ICT en overheid zit. Het is te hopen dat die commissie hier een wijze les uittrekt: ook al zorg je nog voor de mooiste en duurste technische veiligheidsmaatregelen, de mens en zijn gedrag vormt toch de zwakste schakel. Het is van uiterst belang veel effort te steken in heldere procedures en de mensen bewust te maken, en ook de mensen te wijzen op sancties als zij zich niet aan de procedures houden.
17-09-2014, 10:35 door perplex0
Door Anoniem:

Toeval? Hoogstwaarschijnlijk niet nee. Papegaaiengedrag? Dat zeker niet.

Anonieme gast: u slaat de spijker op zijn bolletje
17-09-2014, 11:30 door Anoniem
Ondergesneeuwd in de reacties bij het nieuws

Betreffende parlementariër probeerde gewoon zijn werk te doen, namelijk stukken goed lezen! Dat zouden er meer moeten doen.
Stukken doornemen gaat voor velen beter nog steeds het beste op papier, beter te lezen, strepen en aantekeningen maken.

Wat achterlijk, belachelijk, flauw, etc., etc. is dat er een ict team op beveiliging zit dat, zoals 'wel vaker' het geval is, vanaf een geïsoleerd eiland, autoritaire maatregelen zit te bedenken en per decreet uitvaardigt, zonder rekening te willen houden met de dagelijkse werkbare praktijk.

Betreffende parlementariër vond een oplossing om zijn werk goed te kunnen doen, niet om te lekken, en deed dat tegen onwerkbare maatregelen in die hem dat goed functioneren onmogelijk probeerde te maken.
Kom er nog maar eens om zo'n 'doorzettende houding', een ander had het lezen uit stil protest wellicht al wat eerder voor gezien gehouden.

Verder lijkt hier weer sprake van de aanwezige zeer vaste harde kern bij wie het andersoortig rood voor de ogen kleurt als de naam SP maar voorbij komt, met steeds weer als gevolg dat helder denken en argumenteren niet meer mogelijk is.
Dat is dan weer jammer, vervelend opzichtig, nogal doorzichtig en kortzichtig.
Discussiëren doe je met goede ter zake doende argumenten, probeer het eens, maakt het een stuk interessanter.

Over de door de parlementariërs gekozen vorm van de publiciteit zoeken rond het 'kraken' van de beveiliging kan je twisten. Responsible disclosure was natuurlijk veel beter geweest, bellend in de wacht bij ict, om te melden "weten jullie wel dat .."?
Misschien was dat teveel gevraagd bij de ergernis die veel starre eenrichtingsverkeer ict regimes oproepen onder 'werknemers'.

Over gebruik van Gmail, tja, zullen we Google Docs en Google Drive ook meenemen in de algemene Google discussie en daarbij inventariseren welk percentage van het bedrijfsleven daar gebruik van maakt en permanent jouw en mijn gegevens ongevraagd 'ter analytics grabbel gooien'?
Vergat ik de Office cloud en gebruik van Dropbox nog te vermelden.

Uiteindelijk heeft ict hier gefaald, in het verzinnen van een werkbare oplossing en in de uitvoer van die oplossing.
Zoals wel vaker het geval is met ict en overheid.

Boterzachte verontwaardiging allemaal
(lunchpauze tussenuurtje?)
17-09-2014, 11:30 door CSO.
Door bravenewworld:
Door Anoniem:

Toeval? Hoogstwaarschijnlijk niet nee. Papegaaiengedrag? Dat zeker niet.

Anonieme gast: u slaat de spijker op zijn bolletje

Excuus, de ironie was me volledig ontgaan en blijkbaar moet ik wat beter begrijpend leren lezen....

Overigens lopen hier in de discussie m.i. 2 dingen door elkaar. Ik ben het volkomen eens dat een staatsbegroting zo transparant mogelijk tot stand moet komen en beveiligingsmaatregelen om dat te voorkomen in feite censuur zijn.

Maar als er dan beveiliging is bepaald (in dit geval door onze fijne overheid) dan is het natuurlijk niet de bedoeling om daar omheen te gaan. Zeker niet door zo'n kamerlid met ICT betrokkenheid en een voorbeeldfunctie.
17-09-2014, 16:34 door Anoniem
Door Anoniem: Uiteindelijk heeft ict hier gefaald, in het verzinnen van een werkbare oplossing en in de uitvoer van die oplossing.
Zoals wel vaker het geval is met ict en overheid.
Eerder dat de regering het alleen al geprobeerd heeft. Het is een zelfveroorzaakt achterhoedegevecht. Ze hebben het morele gelijk al weken geleden verspeeld.


Door CSO.: Maar als er dan beveiliging is bepaald (in dit geval door onze fijne overheid) dan is het natuurlijk niet de bedoeling om daar omheen te gaan. Zeker niet door zo'n kamerlid met ICT betrokkenheid en een voorbeeldfunctie.
Hoezo? De beste man werd gehinderd in zijn werk. Eerst door niet tijdig de stukken te zien te krijgen die de regering al wel uitgebreid zelf selectief liet lekken, en daarna door in naam de stukken wel te krijgen maar alsnog getraineerd te worden in het lezen van die stukken.

Het is de regering die zichzelf hier te kijk zet met domme technische restricties die menselijk gedrag moeten afdwingen wat ze zelf niet na wensen te leven. Een chef beveiliger zou moeten snappen waarom dit vroeg of laat mis moet gaan.
18-09-2014, 15:27 door Anoniem
Bij deze beveiligingsmaatregel is te veel vanuit technisch ICT standpunt naar oplossing gekeken en getracht de boel zoveel mogelijk dicht te timmeren. Waarschijnlijk met de gedachte als het technisch dichtstaat, dan hebben we het beste beveiligingsniveau. Echter er is niet of te weinig aandacht geschonken aan de mens en zijn gedrag. Merendeel van de mensen leest uitgebreide stukken toch liever vanaf papier, zodat men ook aantekeningen er bij kan maken. En dan kan je er op aan dat mensen andere wegen gaan zoeken om dat voor elkaar te krijgen, en daarmee de beveiliging omzeilen. Had men van te voren rekening gehouden met het feit dat mensen die stukken liever op papier willen hebben, dan had men van te voren duidelijk een richtlijn kunnen uitgevaardigen ten aanzien van papieren versies van deze stukken.

Valt me overigens wel tegen dat Paul Ulenbelt die in de commissie ICT en overheid zit dit op deze manier gedaan heeft.......tenzij hij juist aandacht wil vragen voor het feit dat men bij beveiliging breder moet kijken dan ICT. Dan had hij dat van mij veel krachtiger en duidelijker mogen verwoorden: beveiliging dien je vanuit oprationeel risico perspectief te benaderen, rekening houdend met zowel mensen, processen, systemen en externe factoren, en daarbij alle relevante stakeholders betrekken, niet alleen ICT.
18-09-2014, 20:47 door Anoniem
Toch blijft het iets kinderachtigs dat je via beveiliging af moet dwingen dat men zich aan de geheimhouding houdt. En dat er triomfantelijk verteld wordt dat het gelukt is die beveiliging te omzeilen.

Binnen een bedrijf zou ik mijn werknemer toch een aardige schrobbering geven voor zulk gedrag. Regels overtreden = disciplinair gestraft worden. Maakt niet uit hoe moeilijk of makkelijk het was om die regels te overtreden.

Het is erg makkelijk om bejaarden te beroven, ook maar niet strafbaar stellen dan?
22-09-2014, 23:14 door Anoniem
Door Predjuh: wel grappig om te horen dat de man denkt dat hij wat gekraakt heeft ;)
Afgaande op wat ik gelezen heb is het de Volkskrant die het zo noemt, niet Ulenbelt.
26-09-2014, 15:12 door Anoniem
Wat een gestuntel... AD RMS had een hoop gezeik kunnen voorkomen.
Doorsturen had het dan wel voorkomen kunnen worden. Het document was dan door te sturen geweest maar was op elk ander device onbruikbaar geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.