Van Rij: logging en monitoring voor alle applicaties Belastingdienst onrealistisch
Het is voor de Belastingdienst op dit moment onrealistisch om voor alle applicaties logging- en monitoringsoftware te installeren, om zo te kijken of medewerkers geen misbruik van hun toegang maken om bijvoorbeeld gegevens aan criminelen door te spelen, zo stelt demissionair staatssecretaris Van Rij. Er is nu voor de meest risicovolle systemen besloten om software te installeren om actief te kunnen loggen en monitoren. Dat schrijft de staatssecretaris in een brief aan de Tweede Kamer.
Van Rij meldt dat criminele organisaties vooral geïnteresseerd zijn in informatie zoals adressen, kentekens en namen. "Hiervoor gaan ze gericht op zoek naar bijvoorbeeld Belastingdienstmedewerkers die hier toegang tot hebben." In opdracht van de Belastingdienst heeft KPMG onderzoek gedaan naar de actuele werkwijze van criminele organisaties bij het mogelijk corrumperen van Belastingdienstmedewerkers.
Volgens KPMG bestaat er mede door beperkte logging en monitoring bij de Belastingdienst de kans dat medewerkers gevraagd informatie ongezien kunnen delen met de buitenwereld. "De realisatie van adequate logging en monitoring is dus nog onzeker. Hierdoor blijft het risico bestaan dat het lekken van gevoelige informatie aan criminelen niet (tijdig) wordt opgemerkt", zo laat KPMG in het onderzoeksrapport weten.
"Het is daarom ook van belang dat de technische mogelijkheden voor logging en monitoring van toegang tot de opgeslagen informatie in systemen worden verbeterd", aldus Van Rij. Vanwege het grote en deels verouderde applicatielandschap is het volgens de staatssecretaris op dit moment onrealistisch voor de Belastingdienst om voor alle applicaties logging- en monitoringsoftware te installeren. Daarom is nu de afweging gemaakt om alleen voor de meest risicovolle systemen software te installeren om actief te kunnen loggen en monitoren.
Voor de lange termijn wil de Belastingdienst via het programma ‘Need to Know now’ ervoor zorgen dat medewerkers alleen toegang hebben tot de gegevens die op dat moment nodig zijn voor de uitvoering van het werk. Op basis van dit beleid worden ook pilots uitgevoerd die moeten zorgen voor het ontwikkelen van logging en monitoring zodat deze breder gebruikt kunnen worden.
Reacties (17)
Natuurlijk kan dat niet. Want men wil het helemaal niet.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Vooral die laatste zin van het screenshot: security through obscurity als beveiligingsmechanisme, het moet niet gekker worden. Vooral dat "niet altijd" bekend. De mensen die rottigheid uit willen halen zullen het wel weten, dus dit is vooral een flutmaatregel voor 95% van de medewerkers die hoogstwaarschijnlijk toch al weinig tot geen kwaad in de zin hadden.
25-04-2024, 14:54 door
karma4
Door Anoniem: Natuurlijk kan dat niet. Want men wil het helemaal niet.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Kletskoek dat monitoring en logging zou in bedrijfsleven wel op orde zijn. Daar weten ze niet eens of ze dat willen doen.Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
En wie gaat die schadevergoeding dan betalen?
Alle Nederlanders elk aan henzelf?
Geef jezelf dan maar een bedrag.
Zo hoog als je wilt en je zelf aan jezelf kunt betalen. :-)
Door Anoniem:
En wie gaat die schadevergoeding dan betalen?
Alle Nederlanders elk aan henzelf?
Geef jezelf dan maar een bedrag.
Zo hoog als je wilt en je zelf aan jezelf kunt betalen. :-)
Al gedaan heb het naar de belastingdienst geschreven met de belasting aangifte ;)Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
En wie gaat die schadevergoeding dan betalen?
Alle Nederlanders elk aan henzelf?
Geef jezelf dan maar een bedrag.
Zo hoog als je wilt en je zelf aan jezelf kunt betalen. :-)
Uiteraard is het onzin tot en met in de praktijk maar dat is wel wat de wetgeving werkelijk vereist van datacontrollers, processors op papier.
Leg die situatie maar eens uit als bedrijf aan het AP
"Hoi AP We kunnen niet zien wie bij ons inbreekt of data inziet zijn we nu nog AVG proof? Wat bedoel je met een datalekdossier aanvullen? Ohh shit..."
Door Anoniem: Natuurlijk kan dat niet. Want men wil het helemaal niet.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Om iets achteraf te bouwen, in vele legacy applicaties is natuurlijk ook niet echt gemakkelijk.Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Hoe moet ik de zin begrijpen: ‘door de ruime toegang tot informatie laten logs bovendien meer informatie zien dan een medewerker daadwerkelijk heeft waargenomen’?
Wordt hier bedoeld: ‘doordat in de dagelijkse praktijk informatie te algemeen toegankelijk is voor medewerkers, zal bij een check van logs hun naam voorkomen terwijl ze die informatie niet noodzakelijk actief hebben geraadpleegd en onder ogen gehad’?
Als dat is wat bedoeld wordt, ben in benieuwd hoe dat dan werkt. Bijvoorbeeld waar het gaat om Windows met junctions of symbolic links of zo, dat informatie op de achtergrond aangehaald wordt terwijl je er niet actief naar zoekt of kijkt?
Ave!
Wordt hier bedoeld: ‘doordat in de dagelijkse praktijk informatie te algemeen toegankelijk is voor medewerkers, zal bij een check van logs hun naam voorkomen terwijl ze die informatie niet noodzakelijk actief hebben geraadpleegd en onder ogen gehad’?
Als dat is wat bedoeld wordt, ben in benieuwd hoe dat dan werkt. Bijvoorbeeld waar het gaat om Windows met junctions of symbolic links of zo, dat informatie op de achtergrond aangehaald wordt terwijl je er niet actief naar zoekt of kijkt?
Ave!
Joehoe belastingdienst. Vraag anders gewoon een gemiddeld SOC even, die kunnen dit probleemloos voor je realiseren. Moet je alleen wel wat centjes voor willen uitgeven.
26-04-2024, 07:24 door
karma4
Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Aangezien de AP de hoofdschuldige in deze is ben ik benieuwd naar het verloop en boetebedrag dat de AP opgelegd krijgt.Tijd voor een rechtzaak en schadevergoeding.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Door karma4: Aangezien de AP de hoofdschuldige in deze is ben ik benieuwd naar het verloop en boetebedrag dat de AP opgelegd krijgt.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Als je merkt dat niet alleen de AP, maar de overheden over de hele EU heen de AVG en de taken en bevoegdheden van toezichthoudende autoriteiten ervoor consequent anders uitleggen dan jij, dan is het natuurlijk ook denkbaar dat jij iets niet goed begrepen hebt. Ooit waren IT-systemen fijne gesloten wereldjes, goed weggestopt achter degelijke fysieke toegangsbeveiliging, maar sinds het internet algemeen beschikbaar is gekomen en alles en iedereen daarop is aangesloten zijn de risico's op het lekken en misbruiken van persoonsgegevens substantieel toegenomen en daar is wetgeving voor gemaakt. De tegenwoordige eisen zijn idioot hoog simpelweg omdat de risico's idioot hoog zijn. Dat is heel vervelend, maar wel een feit.Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Het corrumperen van medewerkers door criminele organisaties, of al gecorrumpeerde mensen als uitzendkrachten de organisatie in loodsen, klinkt misschien extreem, maar de bank waar ik rond 2000 voor werkte hield toen al actief rekening met die scenario's omdat ze werkelijk gebeurden. Ik snap heel goed dat loggen tegenwoordig noodzakelijk is om dat te kunnen signaleren en ertegen op te kunnen treden, dat was het een kwart eeuw geleden al.
Maar misschien ben jij goed bekend bij de Belastingdienst. Had je er niet gewerkt? Als ik het goed zie moeten ze 20 soorten rijksbelasting en 4 soorten toeslagen afhandelen[*]. Kan jij misschien uitleggen hoe het kan dat ze voor 24 onderwerpen de 900 applicaties gemaakt hebben die steeds (en ook nu weer) genoemd worden? Ik snap dat een complex onderwerp in meerdere applicaties kan worden opgedeeld, maar dit zijn gemiddeld 37,5 applicaties per onderwerp, en dat lijkt me opmerkelijk veel. Worden bij de Belastingdienst veel kleinere functionele onderdeeltjes dan ik gewend ben als zelfstandige applicatie gezien? Of is er jarenlang enthousiast ongestructureerd op los geautomatiseerd en is er een onbeheersbare puinhoop gecreëerd? Het kan van alles betekenen als je niet weet wat ze met "applicatie" bedoelen. Weet jij hoe we dat moeten zien?
[*]: https://www.rijksoverheid.nl/onderwerpen/belasting-betalen/overzicht-rijksbelastingen
https://www.belastingdienst.nl/wps/wcm/connect/nl/toeslagen/toeslagen
Door Anoniem:
Door Anoniem: Natuurlijk kan dat niet. Want men wil het helemaal niet.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Om iets achteraf te bouwen, in vele legacy applicaties is natuurlijk ook niet echt gemakkelijk.Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Dat er ook maar iets gebouwd is, zonder enige vorm van logging, is apart.
Dat is toch echt al sinds jaar en dag "best practice".
Zet anders de audit trail in je databases aan of verder open. Dat kost opslag, maar dan heb je in ieder geval al iets.
Zelf een vorm van RBAC (role based access) lijken ze nog niet te hebben:
Voor de lange termijn wil de Belastingdienst via het programma ‘Need to Know now’ ervoor zorgen dat medewerkers alleen toegang hebben tot de gegevens die op dat moment nodig zijn voor de uitvoering van het werk. /quote]
Door karma4:
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Aangezien de AP de hoofdschuldige in deze is ben ik benieuwd naar het verloop en boetebedrag dat de AP opgelegd krijgt.Tijd voor een rechtzaak en schadevergoeding.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Dat heb je dan weer eens fout. De Belastingdienst is hierin de hoofschuldige.
Die heeft al decennia haar zaakjes niet op orde. En de komende jaren blijkbaar ook nog niet.
Of is de belastingdienst boven alle wetgeving verheven?
Niemand hoeft blijkbaar te weten wie allemaal jouw data bekijkt en doorgeeft aan onbevoegden.
(Tot het een keer in het echie gebeurt)
Shit happens.
Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
Hier haal je wel echt alles door elkaar. Je zou kunnen claimen dat de AP niet voldoet aan artikel 32 AVG (passende technische en organisatorische maatregelen). Of logging en monitoring van gebruikershandelingen op al je systemen gezien de kosten een passende maatregel is is denk ik te betwisten, maar daar is nog wat weinig literatuur over.
Maar een datalek vereist een inbreuk en dat is hier zeker niet vast komen te staan. Het niet kunnen zien of een inbreuk heeft plaatsgevonden is niet hetzelfde als dat een inbreuk wel heeft plaatsgevonden.
Maakt niet zoveel uit voor de uiteindelijke boete, maar een meldplicht lijkt me hier echt heel sterk.
Door Anoniem:
Hier haal je wel echt alles door elkaar. Je zou kunnen claimen dat de AP niet voldoet aan artikel 32 AVG (passende technische en organisatorische maatregelen). Of logging en monitoring van gebruikershandelingen op al je systemen gezien de kosten een passende maatregel is is denk ik te betwisten, maar daar is nog wat weinig literatuur over.
Maar een datalek vereist een inbreuk en dat is hier zeker niet vast komen te staan. Het niet kunnen zien of een inbreuk heeft plaatsgevonden is niet hetzelfde als dat een inbreuk wel heeft plaatsgevonden.
Maakt niet zoveel uit voor de uiteindelijke boete, maar een meldplicht lijkt me hier echt heel sterk.
Door Anoniem: Wel, dan bij deze heeft de belastingdienst toegegeven dat van alle datasubjects een datalek dus is ontstaan en moeten ze dezen melden binnen 72 uur aan AP en alle betrokkenen. Want de belastingdienst geeft nu toe dat het überhaupt niet kan zien of data onbevoegd is ingezien en daarmee hebben ze een onveilige situatie gecreëerd.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
Hier haal je wel echt alles door elkaar. Je zou kunnen claimen dat de AP niet voldoet aan artikel 32 AVG (passende technische en organisatorische maatregelen). Of logging en monitoring van gebruikershandelingen op al je systemen gezien de kosten een passende maatregel is is denk ik te betwisten, maar daar is nog wat weinig literatuur over.
Maar een datalek vereist een inbreuk en dat is hier zeker niet vast komen te staan. Het niet kunnen zien of een inbreuk heeft plaatsgevonden is niet hetzelfde als dat een inbreuk wel heeft plaatsgevonden.
Maakt niet zoveel uit voor de uiteindelijke boete, maar een meldplicht lijkt me hier echt heel sterk.
Zit de regelgeving niet zo in elkaar dat, als je niet kunt aantonen dat er geen inbreuk heeft plaats gevonden, je er van uit moet gaan dat het wel gebeurd is (of nog steeds gebeurt).
Met die redenatie heeft de Belastingdienst een serieus probleem, omdat ze niet kunnen aantonen dat er nooit een inbreuk plaats gevonden heeft, of nu plaats vindt.
Maar ik kan er naast zitten. Kun je de regels svp opsommen.
Het zou helpen als ze een echt goed SIEM zouden kopen en data activity monitoring gecombineerd met network traffic analytics. BD is een huge Splunk gebruiker en naar mijn ervaring zal een deel van de beperking ook daardoor komen.
Bij meerdere klanten al tegengekomen dat Splunk bepaalde data gewoon niet "snapt" en het dagen kost om de custom parsers te maken.
Maar ach, het is slecht gemeenschapsgeld wat ze uitgeven....
Bij meerdere klanten al tegengekomen dat Splunk bepaalde data gewoon niet "snapt" en het dagen kost om de custom parsers te maken.
Maar ach, het is slecht gemeenschapsgeld wat ze uitgeven....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?