Virus vrij spel in databank telecomgegevens
Nederlandse internet- en telefonieaanbieders moeten dagelijks hun volledige klantenbestand uploaden naar een databank van de overheid, het CIOT. Het ministerie van Veiligheid en Justitie brengt elk jaar een rapport uit over het functioneren van het CIOT. Dat hebben we gelezen en wat blijkt: niet alleen is opnieuw de reikwijdte van het rapport beperkt, ook zijn weer een deel van de aanbevelingen van vorig jaar niet opgepakt, kloppen de cijfers uit het jaarverslag mogelijk niet en is de beveiliging van de computers waarmee de databank beheert wordt niet op orde.
Onvolledig
Een jaar eerder was het rapport beperkt tot de verbeterpunten uit het 2008, waardoor nieuwe misstanden over het hoofd werden gezien. Dat kwam de minister op veel kritiek te staan. Dit jaar is het nauwelijks beter. Het nieuwe rapport behandelt behalve de aanbevelingen uit 2009 ook een selectie van de normen waar het CIOT in 2008 wel aan voldeed. De onderzoekers besteden geen aandacht aan de opsporings- en inlichtingendiensten die de databank bevragen, omdat daar al een verbeterproces loopt. Dat lijkt ons juist een goede reden om daar wel goed naar te kijken. Ook internet- en telefonieaanbieders worden overgeslagen, omdat ‘de risico’s er beperkt zijn‘.
Kanttekeningen bij de juistheid
Opsporings- en inlichtingendiensten raadplegen het CIOT elk jaar meer dan 2,6 miljoen keer. Uit het nieuwe rapport blijkt dat de cijfers over het aantal bevragingen van de databank mogelijk niet betrouwbaar zijn. De aantallen in het jaarverslag komen overeen met de aantallen in het systeem, maar de onderzoekers ‘plaatsen kanttekeningen bij de juistheid en volledigheid‘ van die aantallen. De juistheid moet gecontroleerd worden bij het in gebruik nemen van een nieuwe versie van het systeem. De onderzoekers constateren dat het verslag van die controle ‘geen informatie over de inhoud van de uitgevoerde tests [bevat]‘. Wat er dan wél in stond, is niet bekend.
Aanbevelingen weer niet overgenomen
De onderzoekers stellen vast dat drie van de zes aanbevelingen uit 2009 blijven staan. Het gaat over de afspraken met de opsporings- en inlichtingendiensten, het maken van veiligheidskopieën en het beheer van softwareprogramma’s. Dat is slordig, want sommige aanbevelingen zijn een jaar eerder ook al eerder gedaan. Het verbeteren van de rampzalige situatie bij het CIOT blijkt overal moeizaam te verlopen.
Beveiliging niet op orde
Maar het schokkendste is dat het CIOT de virusscanners op haar computers slecht bijwerkt. Dat doet ze slechts één keer per week en dan ook nog eens met de hand. Is de beheerder ziek of met vakantie dan worden de updates gewoon niet uitgevoerd. Dat valt niet op, want er wordt niet bijgehouden wanneer een update uitgevoerd is. Schandalig natuurlijk, want de computers worden gebruikt voor het beheren van een databank met de identificerende gegevens van 16 miljoen Nederlanders. Eén van de tips om veilig te internetten van diezelfde overheid: zet de automatische updatefunctie van je virusscanner aan.
Het rapport werd openbaar na een verzoek op grond van de Wet openbaarheid van bestuur van Bits of Freedom. Het rapport is inmiddels ook op de website van overheid gepubliceerd.