De hack bij JCC Software, met als gevolg de persoonsgegevens van duizenden burgers op straat, heeft volgens ingewijden een klassieke oorzaak. Data konden weglekken doordat een testserver nog was gekoppeld aan het productiesysteem. Hackers kregen zo een springplank om binnen te dringen en wisten alleen al uit het bestand van de gemeente Amersfoort honderdduizend gewone persoonsgegevens en zevenduizend burgerservicenummers te stelen. Ook de gemeenten Dinkelland en Tubbergen waren dupe van de hack.
JCC Software, onderdeel van Conxillium, bevestigt noch ontkent de fout. Volgens securityexperts is het tegen de procedures in om zo’n koppeling een permanent karakter te geven. Het verzuim om dergelijke koppelingen ongedaan te maken, is een veelvoorkomende oorzaak van hacks, weten zij.
Informatievoorziening
De leverancier onthoudt zich van een verdere reactie. Ook eerder schortte er veel aan de informatievoorziening. In een brief aan de gemeenteraad doet B&W van Amersfoort daarover een boekje open. JCC hield, nadat de hack eind oktober was ontdekt, de gemeente drie weken aan het lijntje. Bij de overgang van een on-premise applicatie naar een saas-oplossing voerde de gemeente Amersfoort een backup van de database naar een beveiligde omgeving uit. JCC downloadde deze backup vervolgens naar het eigen netwerk, waarna het misging.
Op 31 oktober kreeg de gemeente een berichtje over een beveiligingsincident zonder nadere informatie. Pas op 20 november bevestigde JCC dat gegevens van Amersfoort zijn gedownload door hackers. De gemeente moest zelfs een advocaat in de arm nemen om communicatie met JCC te ‘ondersteunen’. JCC weigerde lange tijd de gegevens te verstrekken die nodig waren voor een risico-inschatting voor de getroffen burgers.
JCC reageert nu evenmin op de vraag welke procedures het bedrijf kent voor de omgang met testservers en of die procedures zijn gevolgd. Bij gebruik van een zogenoemde otap-straat met gescheiden omgevingen voor ontwikkelen, testen en productie hadden hackers minder kans gehad. Ook blijft de vraag onbeantwoord of op tijd software-updates en onderhoud zijn gedaan.
Stokoud
Verbazing wekt ook dat de afspraken-database stokoude persoonsgegevens bevatte. De gemeente is eerste verantwoordelijke, maar de leverancier kent een zorgplicht. Uit eerder genoemde brief van het Amersfoortse college van B&W blijkt dat zelfs van vijftien jaar oude afspraken bij de afdeling Burgerzaken nog persoonlijke gegevens werden bewaard. En dat terwijl de AVG de regel hanteert dat gegevens moeten worden gewist als ze niet meer nodig zijn.
Het college erkent dat de gemeente deze persoonsgegevens al jaren geleden had moeten verwijderen. Dat dit achterwege bleef, kwam doordat JCC in 2016 de applicatie voor het maken van afspraken vernieuwde zonder dat de gemeente wist dat hierin nog de oude dataset zat.
In de nieuwe dataset zitten gegevens ouder dan vijf jaar. Het college zegt die bewust niet te hebben verwijderd. De gemeente koos ervoor alle applicaties eerst naar de cloud te migreren en daarna de informatiehuishouding op orde te brengen. Amersfoort beroept zich daarbij op ‘de beperkte capaciteit en middelen’. Ingewijden vragen zich af of deze argumenten stand houden bij de Autoriteit Persoonsgegevens (AP).
De verhoudingen tussen de gemeente en JCC zijn inmiddels zo verslechterd dat advocatenkantoor Yspeert naar de contracten kijkt die tussen de partijen zijn gesloten.
De AVG regels bewust overtreden vanwege “de beperkte capaciteit en middelen”.
hoe zou gemeente reageren als je om die reden je gemeentebelasting niet betaalt ?
Daarom dus een bonus voor de hackers.
Veel voor weinig, zullen ze gedacht hebben.
wat betreft productie data naar onbeschermde testservers copieren..
“Volgens securityexperts is het tegen de procedures in om zo’n koppeling een permanent karakter te geven.”
wellicht hoef je geen securityexpert te zijn om dit te kunnen duiden.
Ik zal een een poging doen:
Kijk, prive data moet je niet laten slingeren.
Niet via productie servers
En niet via test servers.
Tis net als in een drol trappen, maakt niet uit of die nu op stoep of op straat ligt.
zo ist ook met data.
“JCC weigerde lange tijd de gegevens te verstrekken die nodig waren voor een risico-inschatting voor de getroffen burgers.”
JCC beroept zich op het zwijgrecht.
Als je Informatica studeert kun je tegenwoordig maar beter meteen een minor in rechten doen.
Bah.
Het gaat niet om in de drol trappen gaat maar om deze met schone handen over de tafel te schuiven met verschoningsrecht zodat je geen vieze handen krijgt. De Raad voor de Veiligheid concludeert dat de overheid verantwoordelijkheden afschuift naar andere partijen met een onredelijke zorgplicht waardoor ik ontzorgen een jeukwoord vind. De juridische minor is door een bestuurlijk-juridisch temmen van papieren tijgers in de ICT dan ook noodzaak geworden omdat alle gemelde maar niet opgeloste risico’s in het contractbeheer niet voor een liefdevolle relatie in de verbintenis zorgen.
“… dat bestaande IT-systemen worden aangepast of anders worden ingericht. De organisatie werkt aan dit laatste en hoopt in de toekomst meer stappen te kunnen zetten met privacy en security by design.” – Rapport rekenkamer Amersfoort mei 2021.
Als je erkent dat de informatiehuishouding niet op orde is dan kun je als college niet zeggen dat je de regie in handen hebt want achteraf dure advocaten inhuren om naar de contracten te laten lijken doet vermoeden dat de hele huishouding niet op orde is. Weet niet of JCC in 2016 de aanbesteding voor het maken van een nieuwe applicatie won maar verrast worden door een oude dataset gaat meer om een datamigratie.
De vraag is hoeveel van dit soort verrassingen volgen er nog want uit goede bron weet ik dat het onrechtmatig bewaren van gegevens eerder regelmaat dan uitzondering is bij gemeenten. Wij van WC-eend klagen daar niet over maar uit het oog, uit het hart van een verhuizing naar de cloud gaat dit probleem alleen maar groter maken omdat de kosten van opslag lager zijn dan de kosten van compliance.