Den Haag meldt mogelijke diefstal BSN en loonstroken bij hack scholingsfonds
Bij een hack van scholingsfonds Haaglanden Leert Door zijn mogelijk de persoonlijke gegevens van zo'n twaalfhonderd mensen gestolen, waaronder BSN-nummers, loonstroken, namen, adresgegevens en e-mailadressen. Dat laat het college van burgemeester en wethouders van de gemeente Den Haag in een brief aan de gemeenteraad weten (pdf).
De gemeente ontdekte op 19 januari dat een aanvaller had ingebroken in het registratie- en volgsysteem Heel Nederland Leert van de softwareleverancier van scholingsfonds Haaglanden Leert Door. Het scholingsfonds, mede opgezet door de gemeente Den Haag, biedt werkenden met een laag inkomen en niet-werkende werkzoekenden zonder recht op een uitkering in de regio Haaglanden een scholingsvoucher om zich om- of te laten bijscholen.
Na ontdekking van de hack werd de server offline gehaald en een onderzoek ingesteld. Daaruit blijkt dat de aanvaller in de achterliggende database is geweest. Volgens de gemeente Den Haag is er geen bewijs dat er persoonsgegevens zijn gestolen, maar kan dit ook niet worden uitgesloten. De softwareleverancier vermoedt dat de aanvaller de server voor cryptomining wilde gebruiken, niet voor het stelen van data.
Verder meldt de gemeente dat zo'n twaalfhonderd inwoners uit de regio Haaglanden bij het datalek zijn betrokken. "Van deze 1.192 inwoners is inbreuk gemaakt op deze gegevens: naam-, adres- en woonplaatsgegevens (NAW), e-mailadressen en door de inwoners geüploade PDF-documenten (o.a. intakeformulieren met BSN en loonstroken)", voegt het college in de brief toe. Betrokken inwoners hebben inmiddels een brief over het datalek ontvangen. Ook is er melding bij de Autoriteit Persoonsgegevens gedaan.
De softwareleverancier heeft inmiddels een "nieuwe schone server" online gezet. Hoe de inbraak heeft kunnen plaatsvinden wordt nog onderzocht. "Na ontdekking van het datalek werd het lek ook snel opgelost. We onderzoeken samen met de leverancier nader hoe dit heeft kunnen gebeuren en halen daar lessen uit indien van toepassing, zodat we de kans op datalekken in de toekomst verkleinen", besluit het college haar brief.
Auw! Goed dat men heeft kunnen achterhalen dat er toegang tot de database is geweest, dus dat deel van de logging lijkt op orde. Maar dan dit:
Dat duidt erop dat er onvoldoende logging is of dat de logging onvoldoende afgeschermd was waardoor de hacker sporen kon uitwissen.
Hiermee voldoet de gemeente niet aan de NIS2 / CbW. Daarbij de opmerking "De softwareleverancier vermoedt ....."; De softwareleverancier doet niet ter zake, de verantwoordelijkheid voor de informatiebeveiliging blijft bij de gemeente liggen. Werk kan je uitbesteden, verantwoordelijkheden niet.
Nu lijkt dit een vrij beperkte dataset te zijn, maar laat dit een les zijn voor organisaties die met omvangrijke datasets met gevoelige data werken. Enkel preventief afschermen met firewalls is een aanpak uit begin van deze eeuw en inmiddels onvoldoende. Zorg dat je naast preventieve maatregelen, ook monitoring en detectie hebt ingericht en response voor het geval dat de monitoring en detectie iets opmerkt. Voor goede monitoring en detectie heb je uiteraard adequate logging nodig die in dit geval - afgaande op dit bericht - niet afdoende blijkt te zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?