image

Data 1400 ambtenaren provincie Gelderland gestolen bij extern ict-bedrijf

maandag 30 augustus 2021, 17:27 door Redactie, 17 reacties

Digitale personeelsdossiers van veertienhonderd ambtenaren van de provincie Gelderland zijn bij een inbraak op de systemen van een extern ict-bedrijf gestolen, zo heeft de provincie vandaag bekendgemaakt. De provincie heeft de samenwerking met het niet nader genoemde ict-bedrijf stopgezet.

"Hackers hebben een fors volume aan digitale data bij het bewuste ict-bedrijf ontvreemd, waaronder de Gelderse gegevens. Nu is achterhaald dat de personeelsdossiers daadwerkelijk zijn gedownload, eerder was dat nog onduidelijk", aldus de provincie. Naast het stopzetten van de samenwerking met het ict-bedrijf zijn alle eerder beschikbaar gestelde gegevens aan het bedrijf vernietigd.

"We werken continu aan het verbeteren van onze informatiebeveiliging. Door deze hack zijn we ons nog meer bewust van onze kwetsbaarheid van het werken met derden. Intern is deze diefstal zeer serieus opgepakt. We staan open voor alle vragen van ons personeel", zegt gedeputeerde Jan Markink. Alle medewerkers zijn inmiddels geïnformeerd. Volgens de provincie zijn er vooralsnog geen signalen dat er gegevens uit de personeelsdossiers openbaar zijn gemaakt.

Reacties (17)
30-08-2021, 17:42 door Anoniem
1998 vs 2021

Data laten beheren,bij ons ben je veilig.

We leren van onze fouten

who is next?
30-08-2021, 17:47 door Anoniem
Die gegevens zijn dan niet openbaar gemaakt, maar wel in handen van derden gevallen, wat m.i. even erg is.
30-08-2021, 19:29 door walmare - Bijgewerkt: 30-08-2021, 19:30
Heel interessant dit. De it-uitbesteding was omstreden omdat de provincie over een goedwerkende afdeling Informatievoorziening & Automatisering (I&A) beschikte. Volgens het provinciebestuur zou deze afdeling echter niet toegerust zijn om de snelle digitale ontwikkelingen in de komende tijd bij te houden. De markt - lees OGD - zou dat beter en goedkoper kunnen . https://www.computable.nl/artikel/nieuws/outsourcing/5929467/250449/provincie-gelderland-besteedt-ict-uit-aan-ogd.html
Zie hier nu het wrange resultaat. Linux servers moesten weg? Een professioneel windows ecosysteem werd uitgerold met Microsoft Azure en voila gehakt hebben ze er van gemaakt. Personeelsdossiers op straat. De gebruiker zal ongetwijfeld de schuld krijgen, niet de grote gelegenheidsverschaffer want daar verdienen ze hun geld mee.
De ontslagen I&A oudmedewerkers lachen in hun vuistje. Hahaha

Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
30-08-2021, 19:40 door Anoniem
Het externe ict bedrijf is Centric?
30-08-2021, 20:20 door karma4
Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcing
https://www.computable.nl/artikel/nieuws/outsourcing/5714734/1276946/provincie-gelderland-zet-itaanbesteding-stop.html Het idee was de hele uitvoering van ICT de deur uit te doen, gewoon alles (2016).
Werkplek automatisering en servicedesk daarvoor is OGD genoemd. Makkelijk te vinden dus deze zijn het waarschijnlijk niet.
Dat is ook niet iets wat je achteloos kunt stoppen.

Het is net een flipperkast: https://www.emerce.nl/wire/provincie-gelderland-gunt-icthardware-infotheek
HR diensten en daarbij deeldiensten en derden is veel waarschijnlijker. Het is geen kernactiviteit een standaard markt en kun je vrij snel laten overzetten. Personeelsdossiers zijn een onderdeel van HR diensten. Wat denk je dat ze daarvoor gebruiken?

De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
https://rekenkameroost.nl/uploads/gelderland_-_nota_van_bevindingen_informatieveiligheid.pdf
Nog bedankt, ik het nazoeken van flaming beweringen en wat er werkelijk speelt gemist. Een fact-check is best leuk.
30-08-2021, 21:06 door Anoniem
Door karma4:
Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcing
https://www.computable.nl/artikel/nieuws/outsourcing/5714734/1276946/provincie-gelderland-zet-itaanbesteding-stop.html Het idee was de hele uitvoering van ICT de deur uit te doen, gewoon alles (2016).
Werkplek automatisering en servicedesk daarvoor is OGD genoemd. Makkelijk te vinden dus deze zijn het waarschijnlijk niet.
Dat is ook niet iets wat je achteloos kunt stoppen.

Het is net een flipperkast: https://www.emerce.nl/wire/provincie-gelderland-gunt-icthardware-infotheek
HR diensten en daarbij deeldiensten en derden is veel waarschijnlijker. Het is geen kernactiviteit een standaard markt en kun je vrij snel laten overzetten. Personeelsdossiers zijn een onderdeel van HR diensten. Wat denk je dat ze daarvoor gebruiken?

De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
https://rekenkameroost.nl/uploads/gelderland_-_nota_van_bevindingen_informatieveiligheid.pdf
Nog bedankt, ik het nazoeken van flaming beweringen en wat er werkelijk speelt gemist. Een fact-check is best leuk.
Je hebt de link van walmare niet gecheckt. Die is nieuwer dan die van jouw en er staat dat het OGD is gegund. Het gaat om een contract voor minimaal vier jaar en maximaal acht jaar. Loopt dus dit jaat af met nog max 4 jaar.
Zoals het er nu naar uit ziet is OGD de sjaak en die hebben het ook gegund gekregen in Amsterdam. Zou daar ook een luchtje aan zitten net als in Gelderland?
30-08-2021, 21:28 door [Account Verwijderd]
Door karma4:
Door walmare:Ik vrees dat Amsterdam de volgende is met Azure, Sharepoint, Exchange en office365 omdat OGD daar ook rondloopt.
Je hebt weinig achtergronden en inzicht in outsourcing
...
Wat denk je dat ze daarvoor gebruiken?

De rekenkamer heeft een rapport opgesteld, je moet tussen de regels door kunnen lezen.
...

Verbijsterend! Die dunning-krugers die mensen die er écht verstand van hebben (zoals walmare) de les denken te kunnen lezen.
30-08-2021, 21:30 door Erik van Straten - Bijgewerkt: 30-08-2021, 21:32
OGD lijkt hier niets mee te maken te hebben, uit https://www.gelderlander.nl/home/buitenlandse-hackers-plegen-digitale-megadiefstal-gegevens-1400-medewerkers-provincie-gelderland-gestolen~aa88c78f/:
Onlangs werd bekend dat Gelderland midden augustus slachtoffer was van een mogelijke hack bij een extern ICT-bedrijf uit Noord-Brabant, dat bezig was de personeelsdossiers toegankelijk te maken voor provinciemedewerkers. De firma deed aangifte bij de politie.

Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.

Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
30-08-2021, 21:42 door Anoniem
Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.
30-08-2021, 22:19 door Anoniem
Het houdt niet op, niet vanzelf....
30-08-2021, 23:43 door Anoniem
Door Erik van Straten: OGD lijkt hier niets mee te maken te hebben, uit https://www.gelderlander.nl/home/buitenlandse-hackers-plegen-digitale-megadiefstal-gegevens-1400-medewerkers-provincie-gelderland-gestolen~aa88c78f/:
Onlangs werd bekend dat Gelderland midden augustus slachtoffer was van een mogelijke hack bij een extern ICT-bedrijf uit Noord-Brabant, dat bezig was de personeelsdossiers toegankelijk te maken voor provinciemedewerkers. De firma deed aangifte bij de politie.

Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.

Kaart dit aan bij jouw werkever als deze dit ook doet! Stop, als werkgever, afgedrukte scans (of fotokopiën) in een kluis voor het geval dat de arbeidsinspectie, politie of belastingdienst ze wil inzien - zo vaak gebeurt dat niet.
Het zou kunnen dat een specialistisch bedrijf (centric?) die dossiers als applicatiebeheerder wilde delen. Dan nog heeft OGD dit gefaciliteerd. Grote vraag is hoe? webbased, via RDP, SMB. We weten het niet. Het wordt tijd dat die Gelderlanders hun mondje open doen.
31-08-2021, 07:31 door spatieman
gewoon facebook in de gaten houden, als de slachtoffers FB hebben zullen ze opeens heel veel adds voor hun neus krijgen, hihi
31-08-2021, 07:51 door Korund
Door Anoniem: Die gegevens zijn dan niet openbaar gemaakt, maar wel in handen van derden gevallen, wat m.i. even erg is.
Wettelijk gezien is het ook hetzelfde, evenals wanneer de gegevens vernietigd zouden zijn.
31-08-2021, 08:19 door Anoniem
Door Anoniem: Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.

Hoe weet jij of de ambtenaren van wie de info op straat is komen te liggen de drammers zijn? Niet iedereen bij een verzekeringsmaatschappij is schuldig aan een woekerpolis. Niet iedereen bij de ING is schuldig aan gebrekkige controle op witwassen. Niet iedere douanier in de Rotterdamse haven is corrupt en laat drugs door. En niet iedere ambtenaar houdt zich bezig met automatiseringsplannen. Het zullen je gegevens maar zijn, en je zult maar in de problemen komen door identiteitsfraude. De verhalen zijn bekend. Een beetje compassie kan geen kwaad.
31-08-2021, 09:33 door Anoniem

Ik hoop voor de betrokken medewerkers dat er geen scans van paspoorten (of andere identiteitsbewijzen) in die dossiers waren opgenomen. Veel werkgevers vinden dat "handig", maar dat is totaal zinloos (medewerkers weten wel hoe hun identiteitsbewijs eruit ziet). Een totaal onnodig risico dus.

Werkgevers zijn (op basis van Wet Loonbelasting) verplicht om van hun werknemers een kopie van een ID-bewijs in hun administratie te bewaren.
31-08-2021, 09:52 door Anoniem
Door Anoniem:
Door Anoniem: Maakt niet uit. Ambtenaren zijn toch de mensen die lopen te drammen dat alles zo nodig digitaal moet? Nou zijn ze zelf een keer het haasje. Ervan leren zullen ze wel niet. Helaas.

Hoe weet jij of de ambtenaren van wie de info op straat is komen te liggen de drammers zijn? Niet iedereen bij een verzekeringsmaatschappij is schuldig aan een woekerpolis. Niet iedereen bij de ING is schuldig aan gebrekkige controle op witwassen. Niet iedere douanier in de Rotterdamse haven is corrupt en laat drugs door. En niet iedere ambtenaar houdt zich bezig met automatiseringsplannen. Het zullen je gegevens maar zijn, en je zult maar in de problemen komen door identiteitsfraude. De verhalen zijn bekend. Een beetje compassie kan geen kwaad.
Ach je weet het toch. Aso's achter een toetsenbord, die zich vervelen! Is gewoon niet serieus te nemen. Zelfde verhaal met de fanboy's, die kost wat kost hun willen promoten
31-08-2021, 22:36 door karma4
Door Toje Fos: Verbijsterend! Die dunning-krugers die mensen die er écht verstand van hebben (zoals walmare) de les denken te kunnen lezen.
Inderdaad verbijsterend dat jullie denken te weten hoe het zit.

Zoek eens verder en lees begrijpend. De teksten her en der geven een verhelderend duidelijk verhaal.
Er is aan een extern ict bedrijf de opdracht verleend om de digitale personeelsdossiers op te schonen / verbeteren.

Bij dat externe ict bedrijf lag de boel open. Dat is niet in de rest van het ict gebeuren van de provincie. Met citrix toegang is prima extern beperkt toegang te verlenen tot een zeer gelimiteerd deel. Dst is een standaard oplossing.

Als je het rekenkamerrapport had gelezen en kan begrijpen dan zie je de opmerkingen over een idee van verantwoordelijkheden bij uitbesteden.

In jouw beperkte wereld van een os strijd ben je totaal verblind voor wat er gebeurt. Dat is een probleem waar de beslissers bin uitbestedingen weer last van hebben.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.