Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Aspirant Agentje in opleiding verkoopt informatie uit Politie Systemen

05-03-2019, 22:01 door Anoniem, 34 reacties
Hoe is het in hemelsnaam mogelijk dat een aspirant agentje een jaar lang politiesystemen kan bekijken, en informatie daaruit doorverkoopt? Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.

Godsgeklaagd ... !
Reacties (34)
06-03-2019, 10:07 door [Account Verwijderd]
Door Anoniem: Hoe is het in hemelsnaam mogelijk dat een aspirant agentje een jaar lang politiesystemen kan bekijken, en informatie daaruit doorverkoopt?

Dat is niet goed hè...

Door Anoniem: Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.

Aan wie anders? Aan de 'roverheid'?
06-03-2019, 10:29 door MathFox
Door Anoniem: Hoe is het in hemelsnaam mogelijk dat een aspirant agentje een jaar lang politiesystemen kan bekijken, en informatie daaruit doorverkoopt? Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.
Het is lastig te voorspellen welke records een agent over vijf minuten nodig heeft (en dan heeft hij ze binnen een minuut nodig), dus is er geen toegangscontrole vooraf. (Een vergelijkbaar argument geldt voor patiëntengegevens in ziekenhuissystemen.) Achteraf kan er via de logging gecontroleerd worden of de opvragingen relevant waren voor de taak waar de medewerker mee bezig was; kennelijk gebeurt dat steekproefsgewijs; en kunnen er maatregelen genomen worden tegen een zich misdragende medewerker.

In dit geval heeft het controlesysteem gewerkt... Interessante vraag is "Waarom is deze gast er in de sollicitatieprocedure niet uitgevist?"

En als je vindt dat er een technische controle moet plaatsvinden voordat een specifieke agent toegang krijgt tot bepaalde records, vertel maar eens hoe je de balans tussen effectief politiewerk en bescherming van gegevens wil bewaren.
06-03-2019, 12:20 door Anoniem
Nou, dat is mogelijk omdat je als medewerker van elke soort organisatie toegang hebt tot gevoelige informatie, die niet zomaar op straat hoort te belanden. Voordat je medewerker wordt (ook bij de politie) word je gescreend, en er is actieve controle op medewerkers om specifiek dit soort gevallen er uit te vissen.

In dit geval heeft een medewerker van de politie verkeerd gehandeld. Hij is daarop betrapt en gaat nu waarschijnlijk voor een paar jaar de cel in. Dus dit is het systeem zoals het hoort te werken.

Vind je dat agenten niet de toegang zouden moeten hebben om hun werk te doen?
06-03-2019, 12:25 door Anoniem
Door Anoniem: Hoe is het in hemelsnaam mogelijk dat een aspirant agentje een jaar lang politiesystemen kan bekijken, en informatie daaruit doorverkoopt? Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.

Godsgeklaagd ... !

Bron is misschien wel gemakkelijk?

Daarnaast.... Wij weten het natuurlijk allemaal veel beter. Als "wij" eens in control zouden zijn, zou de wereld echt een stuk beter af zijn.

Zonder details is er eigenlijk weinig over te zeggen. Speculatie is natuurlijk wel mogelijk. Dat is altijd lekker gemakkelijk zonder alle feiten exact te weten.
06-03-2019, 13:18 door [Account Verwijderd]
Door Anoniem: Hoe is het in hemelsnaam mogelijk dat een aspirant agentje een jaar lang politiesystemen kan bekijken, en informatie daaruit doorverkoopt? Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.

Godsgeklaagd ... !

Whatsappgroepjes met honkbalknuppels dan? Ku Klux Klan deed het ook goed. Aan welke duivel wil jij onze ziel dan verkopen voor onze veiligheid? of heb je het slechts over je eigen - egoïstische - veiligheid?
Zoek een gemakkelijke stoel slik een Ritalinnetje, wacht twintig minuten tot het in de bloedstroom is opgenomen en herhaal de mantra Ooohm 100 keer...
Corruptie is van alle eeuwen, en alle naties die enige vorm van beschaving kennen sinds het ontstaan van de meest primitieve regeringsvormen pakweg 6000 jaar geleden.
Als je denkt dat corruptie met wortel en tak is uit te roeien sla je de spijker totaal mis.
Zelfs kleuters, die nog niets van doen hebben met een 'roverheid' - die door topintelligente minkukels die hier in bijna elk draadje opduiken wordt opgehoest - hebben al de neiging tot corruptie. vraag een pedagoog (opvoedkundige)
Verder dan het zoveel mogelijk signaleren en eventueel tackelen zul je nooit komen. En troost je: zolang er voldoende overwicht blijft in de samenleving van het goede in de mens en het kwade - daar reken ik zelfs het zich als een pestilentie verspreidende egocentrisme toe - als immoreel wordt gezien èn er daarnaar wordt gehandeld, zal corruptie zoals in de haven van Napels* voorlopig een nachtmerrie blijven in Nederland i.p.v. toekomstscenario.

(*) Gomorra, auteur: Roberto Saviano. https://nl.wikipedia.org/wiki/Gomorra_(boek)
06-03-2019, 19:47 door Anoniem
Ach. De vader van een ex van mij, uit een ver verleden, was hoofdcommissaris van politie. En we waren op zoek naar een huis. Dat keek pappie ook even in de kaartenbak als we wat op het oog hadden. Wat toen trouwens wel netter gebeurde dan nu. Geen details, maar wel advies: in die straat beter niet, en zeker niet vlak bij die hoek. Verder werd er netjes met de prive van de hele straat omgegaan.

Tippen is van alle tijden. Niks nieuws aan. Gebrek aan toezicht, en vooral van geweten. Dat is nieuwe tijd. Met een grote mening maar ervaring die je achterop een postzegel kunt schrijven en dan hou je nog zat plek om al je memoires neer te pennen ook.
06-03-2019, 20:55 door Anoniem
Ja kom op zeg, jullie reutelen maar onzin.
Dit was een aspirant agentje in opleiding....
Die hou je toch juist goed in de gaten, of ben ik nou gek?
06-03-2019, 21:06 door Anoniem
Ja en......elke agent in Nederland heeft een Android telefoon.... er zijn toch meerdere manieren te bedenken (big data, Google, andere landen) om te tracken wat elke agent precies doet en waar hij is in Nederland. P2000 is "dicht" tegen afluisteren maar aan de telefoons zie je al genoeg op een kaart.

De informatie in hun systemen zelf zijn goed beveiligd met logins, thin clients, wachtwoordbeheer, firewalls en intranet maar de mobiele toegang is een zeer zwak punt voor alle politiediensten.
06-03-2019, 21:35 door Anoniem
Door Anoniem: Ja kom op zeg, jullie reutelen maar onzin.
Dit was een aspirant agentje in opleiding....
Die hou je toch juist goed in de gaten, of ben ik nou gek?

Te weinig personeel. De maffia (Mocro maffia, Italianen en "witte mannen") betalen meer of ze betalen niet en hebben een omerta. De politie zelf klaagt over de organisatie en vertrouwt de organisatie niet meer (Poll) maar dit kan ook liggen aan de komende CAO stemmingen. Korpsbaas Erik Akerboom probeert de "menselijke maat" terug te brengen in de organisatie zei hij onlangs maar de Politie Nederland is op sterven na dood. Te weinig middelen en vreemde stress zoals in Frankrijk waar vorig jaar veel officieren naar hun dienstwapen grepen om er een punt achter te zitten.
06-03-2019, 21:50 door MathFox
Door Anoniem:Dit was een aspirant agentje in opleiding....
Die hou je toch juist goed in de gaten, of ben ik nou gek?
Op een bepaald moment heeft een student zijn basisopleiding gehad en wordt het tijd om te kijken hoe hij/zij zijn vaardigheden in de praktijk toepast. Fouten maken hoort erbij, waarbij een fout voor de meeste aspiranten een leerervaring is. Sommigen maken fouten waaruit blijkt dat ze niet geschikt zijn voor het vak (en worden op een ander carrièrepad gestuurd).

Dit soort crimineel gedrag is zeldzaam bij politieagenten, maar komt voor. Terecht dat ze aangepakt worden. En het laat ook zien dat ook bij een goede screening je problemen nooit 100% kunt voorkomen. Wie van jouw collega's is het volgende datalek van de afdeling? (kijk daarbij ook in de spiegel!)
07-03-2019, 07:14 door Anoniem
Ik ben bezorgder over het misbruik dat niet gemeld wordt. Waar politiemensen de systemen naast hun reguliere taak ook gebruiken om informatie over hun buurtgenoten te achterhalen.
07-03-2019, 07:17 door Anoniem
Door Anoniem: Ja kom op zeg, jullie reutelen maar onzin.
Dit was een aspirant agentje in opleiding....
Die hou je toch juist goed in de gaten, of ben ik nou gek?
Hoe zie je dat voor je? Moet bij elk moment dat een nieuwkomer achter een beeldscherm zit iemand over zijn of haar schouder meekijken? Iemand die dan niet meer aan zijn of haar eigen werk toekomt in een organisatie die toch al last heeft van een chronisch capaciteitsgebrek? En dat een jaar lang?

Zo'n aspirant-agent komt niet volledig uit de lucht vallen maar (het is al door anderen gezegd) is gescreend en heeft een basisopleiding bij de Politieacademie achter de rug. De Politieacademie is, voor de duidelijkheid, onderdeel van de Nationale Politie. De aspirant-agent is op een bureau een nieuwkomer maar bij die politie als geheel inmiddels niet meer.

@topicstarter: kan je nog een link plaatsen naar waar je dit voorval bent tegengekomen?
07-03-2019, 07:27 door Anoniem
Door MathFox:
Door Anoniem:Dit was een aspirant agentje in opleiding....
Die hou je toch juist goed in de gaten, of ben ik nou gek?
Op een bepaald moment heeft een student zijn basisopleiding gehad en wordt het tijd om te kijken hoe hij/zij zijn vaardigheden in de praktijk toepast. Fouten maken hoort erbij, waarbij een fout voor de meeste aspiranten een leerervaring is. Sommigen maken fouten waaruit blijkt dat ze niet geschikt zijn voor het vak (en worden op een ander carrièrepad gestuurd).

Dit soort crimineel gedrag is zeldzaam bij politieagenten, maar komt voor. Terecht dat ze aangepakt worden. En het laat ook zien dat ook bij een goede screening je problemen nooit 100% kunt voorkomen. Wie van jouw collega's is het volgende datalek van de afdeling? (kijk daarbij ook in de spiegel!)

Klopt, 100% veiligheid zal nooit te bieden zijn. Het blijft mensenwerk. De monitoring schiet echter wel zwaar tekort als ik de krantenartikelen lees. Als ik de artikelen mag geloven, heeft deze agent duizenden en duizenden queries uitgevoerd, mede op onderwerpen en personen waar hij als aspirant agent geen inzage in hoefde te hebben of zou moeten hebben. Dat geeft aan dat least privilege niet op orde is. Het is dat een anonieme tip binnen kwam, anders was hij nog steeds doorgegaan met de verkoop van gevoelige gegevens. Dus zijn criminele gedrag werd niet eens gedetecteerd. Niet alleen lees- of schrijftoegang zou moeten worden gemonitored, ook de hoeveelheid raadplegingen, tijdstip van raadplegingen, locatie van raadplegingen e.d. geven een goed beeld wat er gaande is. En dat is dus overduidelijk niet op orde, zoals wel meer in de IT niet op orde is bij de politie.

Daarnaast, hij verkocht de gegevens aan familie die zich bezig hield met drugshandel. Dit dient in een screening naar voren te komen, waarna dient te worden besloten dat hij niet welkom is bij de politie. Die screening is er niet voor niets.
"Ja hallo, mijn neven dealen drugs, maar ik wil graag bij de politie."
"Oh tuurlijk, kom binnen. Hier is een systeem waar je alles mee kunt raadplegen. We monitoren niet. Veel succes in je nieuwe baan."
07-03-2019, 08:47 door Anoniem
Je kunt het ook omdraaien. Op alle niveaus werken rotte appels. Door het goed blijven monitoren van systeemgebruik detecteer je dit. Het lijkt er (als ik kijk naar de afgelopen maanden aan nieuwsberichten) op dat Interne Zaken bij de politie daar goed mee bezig is en duidelijk rotte appels eruit pakt. Volgens mij hebben ze de boel daar flink aangescherpt na de politie mol van een paar jaar terug.

Ik maak mij al tijden zorgen over het gebruik van bijvoorbeeld ziekenhuissystemen om medische gegevens te bekijken voor eigen gewin. Zo kwam in het verleden pas na een tip naar boven dat het halve ziekenhuis in Den Haag in de medische gegevens van Barbie had gekeken. Volgens mij komt dit net zo vaak voor (misschien wel meer) als agenten die zonder zakelijke aanleiding kijken in politiesystemen. Hetzelfde geld voor het ongeoorloofd op rekeningen kijken door medewerkers van banken.
07-03-2019, 09:11 door Anoniem
Door Anoniem:Vind je dat agenten niet de toegang zouden moeten hebben om hun werk te doen?

Ik ken een aantal bedrijfstakken waarin "Need to know" bepaald volwassener is dan "Alles of niets". Je krijgt die toegang die daadwerkelijk nodig is om aan je specifieke cases te werken, en geen letter meer. Bovendien is er bij de meer gevoelige situaties vaak ook nog sprake van een vier (soms meer) ogen en/of dual (soms meer) key principe, om toezicht te houden en/of fouten van elkaar te compenseren. Feit is dus dat de processen bij de politie relatief onvolwassen zijn ingericht.

Door Anoniem: Hoe veilig zijn gegevens bij de Politie? Moeten wij onze veiliheid toevertrouwen aan de Overheid.

Deze vraag is terecht, te meer daar we hier over een monopolist praten. De voorwaarde dat een en ander een toonbeeld van volwassenheid is, mag gesteld worden. Indien men daaraan niet kan of wil voldoen, is er geen verplichting om het werk met de bijbehorende verantwoordelijkheid te blijven doen.
07-03-2019, 11:09 door MathFox
Door Anoniem:
Door Anoniem:Vind je dat agenten niet de toegang zouden moeten hebben om hun werk te doen?

Ik ken een aantal bedrijfstakken waarin "Need to know" bepaald volwassener is dan "Alles of niets". Je krijgt die toegang die daadwerkelijk nodig is om aan je specifieke cases te werken, en geen letter meer.
Als je bij een politieagent kunt voorspellen welke informatie hij nodig heeft, dan is dat te implementeren. Je zult al snel zien dat een agent toegang moet hebben tot behoorlijk wat gegevens om zijn werk te doen; bij een aanhouding voor een verkeersovertreding: Kentekengegevens (is de auto verzekerd, als gestolen opgegeven), Persoonsgegevens en rijbewijsgegevens van de bestuurder (Is rijbewijs gestolen, ingetrokken? Staat arrestatiebevel uit?), enz.
Daarna na een ruzie in een woning... (Echtelijke ruzie? Crimineel conflict?) Met goede informatie kan de agent daar effectiever optreden.

Maak maar een "need to know" dataset voor de straatagent en je komt waarschijnlijk op 80% van alles.
07-03-2019, 11:24 door Anoniem
Door Anoniem: Ik ken een aantal bedrijfstakken waarin "Need to know" bepaald volwassener is dan "Alles of niets". Je krijgt die toegang die daadwerkelijk nodig is om aan je specifieke cases te werken, en geen letter meer.
Hoe goed werkt dat als nu nog niet voorspeld kan worden wat je over een paar minuten nodig gaat hebben?
07-03-2019, 11:36 door Anoniem
Ik stel voor dat we verkeerd gedrag gewoon verbieden. Want het kan natuurlijk niet zo zijn dat we in ons leven geconfronteerd worden met verkeerd gedrag van anderen. Daar moet toch echt iets tegen gebeuren. Wetgeving gaat zeker helpen.

Een andere optie is om te kijken welke groepen het meest de fout in gaan (in dit specifieke geval van lekkende agenten waarschijnlijk werkende mannen tussen de 18 en de 60). Als we daarvan nou preventief 50% ruimen dan hebben we daarmee toch al gauw 50% van de verkeerde daden verhinderd.

Soms moet een maatschappij praktische keuzes maken.
07-03-2019, 11:51 door Anoniem
Politie-agenten dienen net zo goed voldoende in de gaten te worden gehouden als burgers:
het zijn immers mensen, en mensen zijn feilbaar.

Maar het kan in een vrij land niet zo zijn dat altijd alles voor de volle 100% wordt gecontroleerd.
Daarvoor kun je beter naar China verhuizen.
07-03-2019, 12:08 door Anoniem
Door Anoniem: Je kunt het ook omdraaien. Op alle niveaus werken rotte appels. Door het goed blijven monitoren van systeemgebruik detecteer je dit. Het lijkt er (als ik kijk naar de afgelopen maanden aan nieuwsberichten) op dat Interne Zaken bij de politie daar goed mee bezig is en duidelijk rotte appels eruit pakt.

Sorry, maar de feiten geven geen enkele reden om aan te nemen dat de politie goed bezig is. Het was een anonieme tip die binnen kwam. Hij heeft een jaar lang ongestoord zijn gang kunnen gaan, zonder dat er een haan naar kraaide. Er is dus ook geen enkele reden om aan te nemen dat SIEM goed is ingericht. Het is al jarenlang een grote zooi bij de politie op gebied van IT. Als die anonieme tipgever zijn mond had gehouden, was deze crimineel gewoon doorgegaan met geld verdienen door in systemen te zoeken. De middelmaat regeert op dit punt.
07-03-2019, 12:36 door karma4
Door Anoniem:
Ik ken een aantal bedrijfstakken waarin "Need to know" bepaald volwassener is dan "Alles of niets". Je krijgt die toegang die daadwerkelijk nodig is om aan je specifieke cases te werken, en geen letter meer. ...
Je zult eerst moeten zien te achterhalen of wat in het nieuws gebracht is niet zwaar overdreven is op een manier dat het niet meer de waarheid is. Met jouw alles of niets zit je er al naast, gewoon omdat er genoeg andere berichten zijn waaruit blijkt dat men de informatie niet kon raadplegen omdat het elders bij een andere instantie zit of anderszins afgeschermd is bij de functie. Een signaleringsysteem waar ze tegen aan kunnen lopen lijkt me vanzelfsprekende om raadpleegbar te houden.

Het alternatief zou zijn dat je gaat voorspellen welke informatie voor welke agent wanneer relevant wordt. Je hebt dan de voorspelling nodig wie wanneer iets fouts gaat doen. Ik dacht de ontwikkeling naar een "minority report" achtig iets nou niet bepaald gewenst is.
07-03-2019, 12:45 door karma4
Door Anoniem: ….
Ik maak mij al tijden zorgen over het gebruik van bijvoorbeeld ziekenhuissystemen om medische gegevens te bekijken voor eigen gewin. Zo kwam in het verleden pas na een tip naar boven dat het halve ziekenhuis in Den Haag in de medische gegevens van Barbie had gekeken. Volgens mij komt dit net zo vaak voor (misschien wel meer) als agenten die zonder zakelijke aanleiding kijken in politiesystemen. Hetzelfde geld voor het ongeoorloofd op rekeningen kijken door medewerkers van banken.
Als je dat verhaal van Haga gevolgd had dan had je de overdrijving van de situatie gezien.
Wat anders in die hoek, heel Nederland wet nu dat Holleeder (naam bekend) veroordeeld is en De Vries informatie heeft aangeleverd. Dat is natuurlijk in die zelfde lijn een AVG privacy schending waarbij de heren flinke claims kunnen gaan indienen. Waar dacht je dat bekende Nederlanders mee te maken krijgen (zie roddelbladen).

Wat je noemt aan medische gegevens etc. Hoe dacht je dat de overheid alle gegevens voor beleidszaken binnen krijgt. Denke je echt dat bijvoorbeeld het CBS de detailrecords niet in handen krijgt. Algemeen belang betekent vaak ook individuele bekendheid.
07-03-2019, 14:03 door Anoniem
Door Anoniem: Sorry, maar de feiten geven geen enkele reden om aan te nemen dat de politie goed bezig is. Het was een anonieme tip die binnen kwam. Hij heeft een jaar lang ongestoord zijn gang kunnen gaan, zonder dat er een haan naar kraaide. Er is dus ook geen enkele reden om aan te nemen dat SIEM goed is ingericht. Het is al jarenlang een grote zooi bij de politie op gebied van IT. Als die anonieme tipgever zijn mond had gehouden, was deze crimineel gewoon doorgegaan met geld verdienen door in systemen te zoeken. De middelmaat regeert op dit punt.
Ben jij de topicstarter? Je bent al een paar keer gevraagd of je naar de bron van de informatie kan linken. Zou je die moeite even willen nemen? Het praat echt makkelijker als wij zelf kunnen lezen wat jij gelezen hebt.
07-03-2019, 14:13 door Anoniem
Door karma4:
Door Anoniem:
Ik ken een aantal bedrijfstakken waarin "Need to know" bepaald volwassener is dan "Alles of niets". Je krijgt die toegang die daadwerkelijk nodig is om aan je specifieke cases te werken, en geen letter meer. ...
Je zult eerst moeten zien te achterhalen of wat in het nieuws gebracht is niet zwaar overdreven is op een manier dat het niet meer de waarheid is. Met jouw alles of niets zit je er al naast, gewoon omdat er genoeg andere berichten zijn waaruit blijkt dat men de informatie niet kon raadplegen omdat het elders bij een andere instantie zit of anderszins afgeschermd is bij de functie. Een signaleringsysteem waar ze tegen aan kunnen lopen lijkt me vanzelfsprekende om raadpleegbar te houden.

Sowieso hoort het ook bij volwassen processen dat de organisaties een deugdelijke Root Cause analyse er op nahouden waarbij zij zelf dit soort punten analyseren en die niet crowdsourcen. Waar is die Root Cause Analyse.

Door karma4:Het alternatief zou zijn dat je gaat voorspellen welke informatie voor welke agent wanneer relevant wordt. Je hebt dan de voorspelling nodig wie wanneer iets fouts gaat doen. Ik dacht de ontwikkeling naar een "minority report" achtig iets nou niet bepaald gewenst is.

Leer eerst maar eens wat Need to Know is, want dat heb je niet begrepen (https://en.wikipedia.org/wiki/Need_to_know : "Under need-to-know restrictions, even if one has all the necessary official approvals (such as a security clearance) to access certain information, one would not be given access to such information, or read into a clandestine operation, unless one has a specific need to know" (cursief door ondergetekende). Minority report is niet van toepassing, want het gaat er om of je voor een specifieke zaak überhaupt toegang nodig hebt tot specifieke informatie. Of je er goed of kwaad mee wenst te doen is niet van toepassing voor need to know, maar minder informatie beschermt iedereen tegen iedereen en agenten tegen zichzelf (de kat niet op het spek binden).

Ik ben het overigens ook op een andere grond niet eens met de term minority report hier. Een en ander is onlosmakelijk verbonden met functies met meer dan gemiddelde verantwoordelijkheid. Daar staat ook wat tegenover (recht wapens te dragen, recht in sommige gevallen geweld te gebruiken, etc.) en mag wat mij betreft ook nog wel wat meer tegenover staan (extra salaris, meer verlof zou bespreekbaar zijn).
07-03-2019, 14:59 door Anoniem
Heel simpel: in beginsel zijn ze """vergeten""" om een beveiliging in te bouwen dat iemand niet in een vrij korte periode duizenden verzoeken kan doen.
07-03-2019, 15:04 door Anoniem
Door Anoniem: Je bent al een paar keer gevraagd of je naar de bron van de informatie kan linken. Zou je die moeite even willen nemen? Het praat echt makkelijker als wij zelf kunnen lezen wat jij gelezen hebt.
Ben niet de TS. Maar dit gaat over de zaak van politiemol Amine A..
07-03-2019, 15:06 door MathFox
Door Anoniem:
Door karma4:Het alternatief zou zijn dat je gaat voorspellen welke informatie voor welke agent wanneer relevant wordt. Je hebt dan de voorspelling nodig wie wanneer iets fouts gaat doen. Ik dacht de ontwikkeling naar een "minority report" achtig iets nou niet bepaald gewenst is.
Leer eerst maar eens wat Need to Know is, want dat heb je niet begrepen (https://en.wikipedia.org/wiki/Need_to_know : "Under need-to-know restrictions, even if one has all the necessary official approvals (such as a security clearance) to access certain information, one would not be given access to such information, or read into a clandestine operation, unless one has a specific need to know" (cursief door ondergetekende).
Ik ben het eens dat het voor de privacy mooi zou zijn als voor politieagenten "need to know" technisch afgedwongen kon worden. Maar dan moet je kunnen plannen welke informatie een agent "vandaag" nodig heeft en dat is volgens mij niet mogelijk. (Zie mijn voorbeelden eerder in deze discussie.)
Een tweede mogelijkheid is "need to know" procedureel te borgen: regels stellen, opvoeden van agenten, hun acties loggen en auditen en sancties opleggen als een agent over de schreef gaat.
07-03-2019, 15:22 door Anoniem
Het lekken van informatie kun je alleen maar 100% voorkomen door alle informatie af te schermen van alle agenten. Ik denk dat je de informatie dan ook wel weg kan gooien.
07-03-2019, 16:19 door Anoniem
Door Anoniem:
Door Anoniem: Sorry, maar de feiten geven geen enkele reden om aan te nemen dat de politie goed bezig is. Het was een anonieme tip die binnen kwam. Hij heeft een jaar lang ongestoord zijn gang kunnen gaan, zonder dat er een haan naar kraaide. Er is dus ook geen enkele reden om aan te nemen dat SIEM goed is ingericht. Het is al jarenlang een grote zooi bij de politie op gebied van IT. Als die anonieme tipgever zijn mond had gehouden, was deze crimineel gewoon doorgegaan met geld verdienen door in systemen te zoeken. De middelmaat regeert op dit punt.
Ben jij de topicstarter? Je bent al een paar keer gevraagd of je naar de bron van de informatie kan linken. Zou je die moeite even willen nemen? Het praat echt makkelijker als wij zelf kunnen lezen wat jij gelezen hebt.

Geen idee wie de topicstarter is, maar de informatie kun je overal vinden:

https://www.at5.nl/artikelen/192134/politiemol
https://www.nrc.nl/nieuws/2019/03/06/justitie-bijna-vier-jaar-cel-geeist-tegen-aspirant-agent-die-in-spreekuur-informatie-van-politie-lekte-a3908141
...en alle andere sites die je met je favoriete zoekmachine kunt vinden...
08-03-2019, 08:49 door Anoniem
Door MathFox:Ik ben het eens dat het voor de privacy mooi zou zijn als voor politieagenten "need to know" technisch afgedwongen kon worden. Maar dan moet je kunnen plannen welke informatie een agent "vandaag" nodig heeft en dat is volgens mij niet mogelijk. (Zie mijn voorbeelden eerder in deze discussie.)

Ja en nee. Een veelgemaakte fout van minder volwassen organisaties is dat ze "wij kunnen het niet" gelijkstellen met "het kan niet". Sectoren als luchtvaart, chirurgie, defensie en inlichtingendiensten slagen er in het algemeen in een bureaucratie soepel te laten lopen. Laatstgenoemde twee sectoren slagen er in geval van "nationale veiligheid" gewoonlijk in om mutaties in "Need to know" snel en volgens proces op te vangen.

Door MathFox:Een tweede mogelijkheid is "need to know" procedureel te borgen: regels stellen, opvoeden van agenten, hun acties loggen en auditen en sancties opleggen als een agent over de schreef gaat.

Ik ben per definitie voor het stellen van regels en het opvoeden/opleiden van personeel. Loggen van acties kan in zwaar verantwoordelijke functies een goede zaak zijn (piloten willen niet zonder de Cockpit Voice Recorder en systeembeheerders niet zonder de audit logs op gevoelige servers). Sancties kunnen noodzakelijk zijn, maar moeten niet het fundament vormen. Het fundament moet zijn dat je mensen beschermt tegen het optreden van situaties waarin sancties nodig zijn (ergo, het is moeilijk de fout te maken).
08-03-2019, 11:14 door karma4 - Bijgewerkt: 08-03-2019, 11:27
Door Anoniem: … Loggen van acties kan in zwaar verantwoordelijke functies een goede zaak zijn (piloten willen niet zonder de Cockpit Voice Recorder en systeembeheerders niet zonder de audit logs op gevoelige servers). .. .
Je krijgt met zo'n uitspraak te maken met privacyvoorvechters want alles wat logging betreft is een verboden privacyschending.
Sorry ik kon dat even niet laten. Zelfs Arnoud lijkt het onwerkbare van die houding te zien gezien een laatste blog.


In de links hierboven staan de aantallen
" tientallen namen"
nu niet bepaald erg veel in aantal.
Zelfs bij een eenvoudige functie kan het nodig zijn wat te kunnen raadplegen. Met boa's {url]https://www.politie.nl/themas/buitengewoon-opsporingsambtenaar.html[/url] zeker in deze hoek een probleem https://www.staatsbosbeheer.nl/Over-Staatsbosbeheer/Nieuws/2018/05/zorgen-over-veiligheid-boswachters

De ict van de politie, een vrij complex onderwerp. Gemakkelijk af te doen als dat ze het niet goed zouden doen.
https://www.tweedekamer.nl/downloads/document%3Fid%3Dd532e27d-d5b2-4639-ae98-b4969c3cc3be%26title%3DICT%2520bij%2520de%2520politie.pdf Veel is een kwestie van budget en de perfectie van micro-managment op collega's heeft geen prio.


Deze is veel zorgelijker:
https://www.telegraaf.nl/nieuws/3258629/directielid-politie-blijkt-bemiddelaar-criminele-pakhuizen
Lang aanwezige figuren met een integriteitsprobleem aan de top. Niets van ICT. Alles begint met cultuur
08-03-2019, 15:09 door MathFox
Door Anoniem:
Door MathFox:Ik ben het eens dat het voor de privacy mooi zou zijn als voor politieagenten "need to know" technisch afgedwongen kon worden. Maar dan moet je kunnen plannen welke informatie een agent "vandaag" nodig heeft en dat is volgens mij niet mogelijk. (Zie mijn voorbeelden eerder in deze discussie.)
Ja en nee. Een veelgemaakte fout van minder volwassen organisaties is dat ze "wij kunnen het niet" gelijkstellen met "het kan niet". Sectoren als luchtvaart, chirurgie, defensie en inlichtingendiensten slagen er in het algemeen in een bureaucratie soepel te laten lopen. Laatstgenoemde twee sectoren slagen er in geval van "nationale veiligheid" gewoonlijk in om mutaties in "Need to know" snel en volgens proces op te vangen.
Ik denk niet dat een politieagent kan zonder ogenblikkelijke toegang tot een flink aantal databases, ik citeer mezelf:
Als je bij een politieagent kunt voorspellen welke informatie hij nodig heeft, dan is dat te implementeren. Je zult al snel zien dat een agent toegang moet hebben tot behoorlijk wat gegevens om zijn werk te doen; bij een aanhouding voor een verkeersovertreding: Kentekengegevens (is de auto verzekerd, als gestolen opgegeven), Persoonsgegevens en rijbewijsgegevens van de bestuurder (Is rijbewijs gestolen, ingetrokken? Staat arrestatiebevel uit?), enz.
Daarna na een ruzie in een woning... (Echtelijke ruzie? Crimineel conflict?) Met goede informatie kan de agent daar effectiever optreden.
Ga hier inhoudelijk op in of ik blijf bij mijn standpunt dat het onwerkbaar is om bij 80% van de politebestanden op een "need to know" basis records toegankelijk te maken.
08-03-2019, 17:10 door Anoniem
Ik blijf erbij.dat een aspirant agent:
1. beter gescreened moet worden
2. langer gevolgd moet worden bij zijn werkzaamheden
3. meer en vaker verantwoording moet afleggen voor zijn activiteiten

En dat vind ik, omdat zij/hij omgaat met erg vertrouwelijke informatie, omdat hij/zij in een positie zit,waarin de schade die hij kan aanbrengen, nogal fors is.

Jullie kletsen maar wat raak over allerlei onzin-dingen
08-03-2019, 19:00 door karma4
Door Anoniem:...
En dat vind ik, omdat zij/hij omgaat met erg vertrouwelijke informatie, omdat hij/zij in een positie zit,waarin de schade die hij kan aanbrengen, nogal fors is.
Jullie kletsen maar wat raak over allerlei onzin-dingen

Ben jij nou echt voor massa surveillance en de daarbij horende privacy inbreuken?
Een aspirant agent moet volgens jou eerst 6 maanden 24*7 volledige gevolgd worden in zijn doen en laten en met wie hij praat. Daarna nog 3 jaar elke handeling door 2 collega's laten zien.
Dan moet je niet gek staan te kijken dat het ook op jou toegepast gaat worden.

De lachende derde is de kwaadwillende, die heeft weinig wat hem meer tegenhoudt.
De schade die aangebracht wordt door de handhaving het werken onmogelijk te maken is vele malen groter.
Weet je niets is zeker in het leven, behalve. ..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.