Van Rij: logging en monitoring voor alle applicaties Belastingdienst onrealistisch
Het is voor de Belastingdienst op dit moment onrealistisch om voor alle applicaties logging- en monitoringsoftware te installeren, om zo te kijken of medewerkers geen misbruik van hun toegang maken om bijvoorbeeld gegevens aan criminelen door te spelen, zo stelt demissionair staatssecretaris Van Rij. Er is nu voor de meest risicovolle systemen besloten om software te installeren om actief te kunnen loggen en monitoren. Dat schrijft de staatssecretaris in een brief aan de Tweede Kamer.
Van Rij meldt dat criminele organisaties vooral geïnteresseerd zijn in informatie zoals adressen, kentekens en namen. "Hiervoor gaan ze gericht op zoek naar bijvoorbeeld Belastingdienstmedewerkers die hier toegang tot hebben." In opdracht van de Belastingdienst heeft KPMG onderzoek gedaan naar de actuele werkwijze van criminele organisaties bij het mogelijk corrumperen van Belastingdienstmedewerkers.
Volgens KPMG bestaat er mede door beperkte logging en monitoring bij de Belastingdienst de kans dat medewerkers gevraagd informatie ongezien kunnen delen met de buitenwereld. "De realisatie van adequate logging en monitoring is dus nog onzeker. Hierdoor blijft het risico bestaan dat het lekken van gevoelige informatie aan criminelen niet (tijdig) wordt opgemerkt", zo laat KPMG in het onderzoeksrapport weten.
"Het is daarom ook van belang dat de technische mogelijkheden voor logging en monitoring van toegang tot de opgeslagen informatie in systemen worden verbeterd", aldus Van Rij. Vanwege het grote en deels verouderde applicatielandschap is het volgens de staatssecretaris op dit moment onrealistisch voor de Belastingdienst om voor alle applicaties logging- en monitoringsoftware te installeren. Daarom is nu de afweging gemaakt om alleen voor de meest risicovolle systemen software te installeren om actief te kunnen loggen en monitoren.
Voor de lange termijn wil de Belastingdienst via het programma ‘Need to Know now’ ervoor zorgen dat medewerkers alleen toegang hebben tot de gegevens die op dat moment nodig zijn voor de uitvoering van het werk. Op basis van dit beleid worden ook pilots uitgevoerd die moeten zorgen voor het ontwikkelen van logging en monitoring zodat deze breder gebruikt kunnen worden.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Tijd voor een rechtzaak en schadevergoeding.
Tijd voor een rechtzaak en schadevergoeding.
En wie gaat die schadevergoeding dan betalen?
Alle Nederlanders elk aan henzelf?
Geef jezelf dan maar een bedrag.
Zo hoog als je wilt en je zelf aan jezelf kunt betalen. :-)
Tijd voor een rechtzaak en schadevergoeding.
En wie gaat die schadevergoeding dan betalen?
Alle Nederlanders elk aan henzelf?
Geef jezelf dan maar een bedrag.
Zo hoog als je wilt en je zelf aan jezelf kunt betalen. :-)
Uiteraard is het onzin tot en met in de praktijk maar dat is wel wat de wetgeving werkelijk vereist van datacontrollers, processors op papier.
Leg die situatie maar eens uit als bedrijf aan het AP
"Hoi AP We kunnen niet zien wie bij ons inbreekt of data inziet zijn we nu nog AVG proof? Wat bedoel je met een datalekdossier aanvullen? Ohh shit..."
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Wordt hier bedoeld: ‘doordat in de dagelijkse praktijk informatie te algemeen toegankelijk is voor medewerkers, zal bij een check van logs hun naam voorkomen terwijl ze die informatie niet noodzakelijk actief hebben geraadpleegd en onder ogen gehad’?
Als dat is wat bedoeld wordt, ben in benieuwd hoe dat dan werkt. Bijvoorbeeld waar het gaat om Windows met junctions of symbolic links of zo, dat informatie op de achtergrond aangehaald wordt terwijl je er niet actief naar zoekt of kijkt?
Ave!
Tijd voor een rechtzaak en schadevergoeding.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Het corrumperen van medewerkers door criminele organisaties, of al gecorrumpeerde mensen als uitzendkrachten de organisatie in loodsen, klinkt misschien extreem, maar de bank waar ik rond 2000 voor werkte hield toen al actief rekening met die scenario's omdat ze werkelijk gebeurden. Ik snap heel goed dat loggen tegenwoordig noodzakelijk is om dat te kunnen signaleren en ertegen op te kunnen treden, dat was het een kwart eeuw geleden al.
Maar misschien ben jij goed bekend bij de Belastingdienst. Had je er niet gewerkt? Als ik het goed zie moeten ze 20 soorten rijksbelasting en 4 soorten toeslagen afhandelen[*]. Kan jij misschien uitleggen hoe het kan dat ze voor 24 onderwerpen de 900 applicaties gemaakt hebben die steeds (en ook nu weer) genoemd worden? Ik snap dat een complex onderwerp in meerdere applicaties kan worden opgedeeld, maar dit zijn gemiddeld 37,5 applicaties per onderwerp, en dat lijkt me opmerkelijk veel. Worden bij de Belastingdienst veel kleinere functionele onderdeeltjes dan ik gewend ben als zelfstandige applicatie gezien? Of is er jarenlang enthousiast ongestructureerd op los geautomatiseerd en is er een onbeheersbare puinhoop gecreëerd? Het kan van alles betekenen als je niet weet wat ze met "applicatie" bedoelen. Weet jij hoe we dat moeten zien?
[*]: https://www.rijksoverheid.nl/onderwerpen/belasting-betalen/overzicht-rijksbelastingen
https://www.belastingdienst.nl/wps/wcm/connect/nl/toeslagen/toeslagen
Wat in het bedrijfsleven al tientallen jaren de normaalste zaak van de wereld is, dat heeft de fiscus uiteraard nooit gedaan, want niet in hun belang.
Wederom: de overheid is de vijand. Ook hier.
Dat er ook maar iets gebouwd is, zonder enige vorm van logging, is apart.
Dat is toch echt al sinds jaar en dag "best practice".
Zet anders de audit trail in je databases aan of verder open. Dat kost opslag, maar dan heb je in ieder geval al iets.
Zelf een vorm van RBAC (role based access) lijken ze nog niet te hebben:
Tijd voor een rechtzaak en schadevergoeding.
Het kunnen inzien en een volledig sleepnet eisen natuurlijk disproportioneel dat ze de AP de GDPR niet begrijpt is triest.
Dat heb je dan weer eens fout. De Belastingdienst is hierin de hoofschuldige.
Die heeft al decennia haar zaakjes niet op orde. En de komende jaren blijkbaar ook nog niet.
Of is de belastingdienst boven alle wetgeving verheven?
Niemand hoeft blijkbaar te weten wie allemaal jouw data bekijkt en doorgeeft aan onbevoegden.
(Tot het een keer in het echie gebeurt)
Shit happens.
Tijd voor een rechtzaak en schadevergoeding.
Hier haal je wel echt alles door elkaar. Je zou kunnen claimen dat de AP niet voldoet aan artikel 32 AVG (passende technische en organisatorische maatregelen). Of logging en monitoring van gebruikershandelingen op al je systemen gezien de kosten een passende maatregel is is denk ik te betwisten, maar daar is nog wat weinig literatuur over.
Maar een datalek vereist een inbreuk en dat is hier zeker niet vast komen te staan. Het niet kunnen zien of een inbreuk heeft plaatsgevonden is niet hetzelfde als dat een inbreuk wel heeft plaatsgevonden.
Maakt niet zoveel uit voor de uiteindelijke boete, maar een meldplicht lijkt me hier echt heel sterk.
Tijd voor een rechtzaak en schadevergoeding.
Hier haal je wel echt alles door elkaar. Je zou kunnen claimen dat de AP niet voldoet aan artikel 32 AVG (passende technische en organisatorische maatregelen). Of logging en monitoring van gebruikershandelingen op al je systemen gezien de kosten een passende maatregel is is denk ik te betwisten, maar daar is nog wat weinig literatuur over.
Maar een datalek vereist een inbreuk en dat is hier zeker niet vast komen te staan. Het niet kunnen zien of een inbreuk heeft plaatsgevonden is niet hetzelfde als dat een inbreuk wel heeft plaatsgevonden.
Maakt niet zoveel uit voor de uiteindelijke boete, maar een meldplicht lijkt me hier echt heel sterk.
Zit de regelgeving niet zo in elkaar dat, als je niet kunt aantonen dat er geen inbreuk heeft plaats gevonden, je er van uit moet gaan dat het wel gebeurd is (of nog steeds gebeurt).
Met die redenatie heeft de Belastingdienst een serieus probleem, omdat ze niet kunnen aantonen dat er nooit een inbreuk plaats gevonden heeft, of nu plaats vindt.
Maar ik kan er naast zitten. Kun je de regels svp opsommen.
Bij meerdere klanten al tegengekomen dat Splunk bepaalde data gewoon niet "snapt" en het dagen kost om de custom parsers te maken.
Maar ach, het is slecht gemeenschapsgeld wat ze uitgeven....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.