VCD blundert met online verzuimregistratie

Dit artikel delen:

De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen. Hierdoor zijn circa driehonderdduizend personeelsdossiers met medische gegevens vrij eenvoudig toegankelijk te maken. Onder andere de gegevens van de spelers van FC Twente liggen hierdoor op straat, constateert het televisieprogramma Zembla. Het programma besteedt op 20 april 2012 aandacht aan het lek.

VCD levert Humannet al zeven jaar. Het wordt onder andere gebruikt voor het bijhouden van verzuimgegevens van medewerkers van de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action. Door het lek hadden redacteuren van Zembla toegang tot medische gegevens, maar ook telefoonnummers en adressen van medewerkers van bedrijven en organisaties die de toepassing gebruiken.

In de Zembla-uitzing komt onder andere hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen aan het woord. Volgens hem gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis: ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt mensen hiermee chanteren.'

Ook directeur Sjouke Kuindersma komt in de uitzending aan het woord. Hij zegt dat Humannet niet lek is, maar dat Zembla gebruik heeft gemaakt van gestolen wachtwoorden. Dat wordt tegengesproken door hoogleraar Jacobs, die zelf het systeem binnen is gekomen.

Politie

Aanvankelijk wilde VCD volgens de makers van het programma niets van de kwetsbaarheid van het systeem weten. Toen een Zembla-redacteur van het programma de vondst in Groningen wilde toelichten, besloot het bedrijf zelfs de politie te bellen.

Volgens eigen zeggen is VCD met Hummannet marktleider op het gebied van webbased verzuimapplicaties in Nederland. Via de applicatie worden preventie, verzuim, herstel en re-integratie van honderdduizenden werknemers accuraat gevolgd. De klant heeft op elk gewenst moment en vanaf elke locatie inzicht in , toezicht op en overzicht over hun verzuimproces.

Een folder op de website van VCD meldt dat bij de ontwikkeling gebruik werd gemaakt van . Net en Ajax. Over de beveiliging van de webapplicatie meldt het stuk niets.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

De firma VerzuimReductie is ook een beetje pissig op VCD. Niet alleen vanwege een beetje domme fout waar zij slachtoffer van is geworden, maar ook op de wijze waarop zij als klant aan het lijntje wordt gehouden. Op haar website staat aangegeven "De applicatie Humannet Starter is vanwege een veiligheidsprobleem nog steeds niet beschikbaar.

Jongstleden donderdag hebben wij de leverancier VCD Humannet de opdracht gegevens om onze databases uit de lucht te halen, vanwege concrete aanwijzingen van geslaagde inbraakpogingen.

Met de leverancier is vervolgens de afspraak gemaakt dat zij door een gerenommeerde derde partij een veiligheidsaudit op de Humannet Starter omgeving zouden laten uitvoeren. Het resultaat van een eerste audit door een derde partij was, zo is ons door de leverancier medegedeeld, dat een drietal beveiligingslekken is geconstateerd.

VCD Humannet heeft ons zondagavond medegedeeld dat de veiligheid van Humannet Starter het afgelopen weekend is onderzocht en getest. Men zegt er van overtuigd te zijn dat Humannet Starter aan de daaraan in alle redelijkheid te stellen eisen van informatiebeveiliging voldoet.

VCD Humannet is echter terug gekomen op de eerder gedane toezegging dat wij kennis zouden mogen nemen van een algemeen verslag van de auditbevindingen.

Voordat wij weer “live” gaan willen wij zeker weten dat de applicatie nu wel veilig is. Hiertoe dienen wij te beschikken over een verklaring van een onafhankelijke auditor dat de applicatie voldoet aan de redelijkerwijs te stellen eisen rond de beveiliging. VCD Humannet heeft die verklaring nog steeds niet verstrekt.

Deze vervelende situatie heeft verregaande gevolgen voor de goede dienstverlening aan onze klanten. Deze gevolgen moeten wij afwegen tegen het belang van de adequate bescherming van de privacy van uw werknemers. Dat laatste belang weegt zo zwaar, dat wij nu niet het besluit kunnen nemen om weer “live” te gaan.

Uiteraard doen we er alles aan om deze situatie zo kort mogelijk te laten duren.

Voor het opgetreden ongemak bieden wij u onze verontschuldigingen aan.

Wij zullen u op de hoogte houden van de ontwikkelingen."

Zie: http://www.verzuimreductie.nl/humannet_niet_beschikbaar/

Iedereen maakt wel eens een fout, soms ook een hele stomme, soms ook hele grote. Maar waarom gaat VCD er zo omheen draaien. Zo maakt men het alleen erger. Wees eerlijk en deel de zorgen met de klant. Die klant maakt ook wel eens fouten met vergaande consequenties. Dat geldt ook voor VerzuimReductie zelf, die de privacy van vele mensen geschonden had. Maar ze willen niet nog een keer de dupe zijn van slechte communicatie van de commercieel verantwoordelijken van VCD. Dat is toch begrijpelijk.

"De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen"

Dit is niet een kwestie van slechte beveiliging, maar van slecht programmeren.... De data die je aan je back office database aanbiedt, dien je altijd te valideren.


- de reputatie van VCD is naar de kloten!
- erg arrogant de manier waarop de directie van VCD reageerde
- neem iemand serieus die wat te melden heeft en U benadert voor een gesprek.

En zo krijgt het woord verzuim in ene een heel andere betekenis

AL vanaf het begin dat Ab Klink bezig is gegaan met iets wat het EPD moest worden, uiteraard ook zijn voorgangers, heb ik op verschillende manieren de toenmalige minister erop gewezen dat wat men aan het optuigen was, ondoordacht, technisch niet haalbaar en volkomen voor rekening zou komen van de belastingbetaler wanneer het debacle uiteindelijk een moloch zou worden.

Reden dit kenbaar te maken in deze bewoording was namelijk dat de 'bouwers' van dat EPD, geen enkel benul bleken te bezitten van keten opbouw, overduidelijk niets hebben begrepen van de meest basale IT procesketens, pilot of implementatie. Ik heb het dan ook nog niet eens over onvermogen beveiliging en bemensing te garanderen. Immers, een dergelijk systeem dient uiteraard aan een aantal voorwaarden te voldoen voordat je überhaupt zou moeten denken aan implementatie.

In eerdere openbare reacties heb ik steevast gegarandeerd dat de huidige staat van inzet IT professionals, en de wijze waarop recruitment/HR/P&O/Headhunting/Cowboytje spelen, aanzienlijke gevolgen zou hebben en dat we daa steevast van zouden gaan horen.

Het is een beetje jammer hier te moeten constateren dat ik daarin jammer genoeg gelijk heb gekregen.

Ik heb het nieuws gevolgd, allerlei politici domme uitspraken horen doen over wat er zou moeten gebeuren en dat toch vooral het CPB niet alleen zo moeten kunnen 'blaffen' neen, die zou ook moeten kunnen bijten. Ik vind dat een zeer wrange constatering. Deze organisatie heeft zichzelf, net als eerder bijvoorbeeld Diginotar, volkomen onmogelijk gemaakt en het is juridisch nu aan de klanten van VDC een stap te zetten.

Mijn punt tegen het EPD is altijd geweest dat a. de betreffende patiënt gewoon het alleen recht over de betreffende data zou mogen hebben, iets wat in het EPD noch hier in deze applicatie het geval, b. ook hier is het overduidelijk dat er aan de meest basale criteria van implementatie kwalitatief geen enkele zorg of aandacht is besteed.

Mijn beste lezer, u mag kritisch zijn en kritiek spuien. Beter zou het zijn te realiseren hoe onnadenkend en infantiel er word omgesprongen met de materie IT en de IT professionals.

Daar waar IT productie zou moeten vergemakkelijken en ondersteunen, doen commerciële praatjes, amateurisme en winstbejag de reputatie en kracht van IT en professionals een bedenkelijk licht krijgen.

Dames en heren politici, zwijg! Want ik beloof u dat we gewoon kunnen wachten op de volgende Fail. Ik hoop dat mensen zich nu achter de oren gaan krabben en realiseren dat de spastische idiotie door 'crisis' in gegeven veel meer zullen kosten dan de cosmetische besparing die men dacht te bewerkstelligen.

'If you pay peanuts you'll get monkees. You know what? A monkey doesn't care, as long he gets peanuts.'

Als jezelf geen knowhow hebt, geef je in het volste vertrouwen een opdracht aan diegene, die zegt het beste en tegen de beste prijs kan doen. Dit legt een zeer grote verantwoordelijkheid op de schouders van de "uitvoerder". En zeker in dit geval, waar gevoelige gegevens worden vastgelegd. Ontbreken van enige zelfreflectie en misplaatst superioriteitsgevoel leiden tot dit soort uitwassen als de onderhavige.
VCD is ONGEVRAAGD verplicht de veiligheid van haar systeem te garanderen. Nu zij dit bewijsbaar NIET heeft gedaan is zij ernstig tekort geschoten en heeft zij een wanprestatie geleverd. Overigens komt dit heel vaak in de IT-wereld voor.

Hoe moeilijk is het nou om vooraf dit soort systemen te laten testen door een erkend security bedrijf en uiteraard een procedure om bij iedere wijziging dit te herhalen.

Ben verder benieuwd naar de inhoud van het programma vanavond.



Wordt het niet eens tijd dit per wet te laten regelen? Bedrijven reageren nu niet (pro)actief, maar wachten af totdat hun systeem "aan de beurt is".
Hacken mag niet, maar verzekeraars keren bijvoorbeeld ook niet zomaar meer uit als je je auto onafgesloten op een vaag terreintje achterlaat met je laptop op de passagierstoel...
Wijs bedrijven op hun verantwoordelijkheid en laat ze aansprakelijk zijn voor geleden schade. Het kwaad is in dit geval alweer geschied, rest een gang naar de rechter per individu of collectief of tenminste aangifte van overtreding wet op persoonsgegevens.

VCD is goed in het realiseren van technische oplossingen en het ontsluiten van gegevens, daarover zal je mij niet horen.
Veiligheid en beveiliging heeft er echter nooit hoog in het vaandel gestaan.
Bij de installatie van standaard software van Business Objects enkele jaren terug werden bijv. de standaard accounts niet aangepast en de standaardwachtwoorden niet ingesteld met de klant. Men deed daar nogal schouderophalend over toen ik dat meldde. Beveiliging is iets voor de klant zelf, daar gingen ze niet over! Er is in de afgelopen jaren kennelijk niets aan die houding verandert. Beveiliging hoort deel uit te maken van de implementatie van ieder systeem dat over het web beschikbaar is. Ik heb meer voorbeelden en hoop maar dat dit de firma wakker schudt en dat VCD ook qua veiligheidsbeleid in de 21e eeuw toetreedt.

Waarom maak je een dergelijke applicatie met medische data web based vraag ik me af?

Schokkend, maar waar. We zullen, ook als we steeds meer anywhere, anytime and anyplace willen werken moeten zorgen dat het beschikbaarstellen van gegevens veilig en gecontroleerd plaatsvindt. En laat daar dan ook maar regelmatig een audit op plaatsvinden. Netzoals je regelmatig de boeken door een accountant verplicht moet laten controleren, moeten we wellicht hier ook iets voor gaan verzinnen. Wellicht kunnen we vast beginnen met een 'stempel als 'goedgekeurd ihk van security'. Daarnaast is het de vraag of de gegevens die in dit soort systemen staan zowiezo aan deze en gene geschikbaar MAG worden gesteld.

Zo begon de Diginotar affaire ook: de geschiedenis lijkt zich te gaan herhalen ! (en U weet daar meer over dan de directie van VCD Humannet).


@dirk: dit is toch onthutsend!

Het ironische aan deze zaak is dat VCD al jaren beschikt over vervangende verzuimsoftware, die goed beveiligd is tegen dit soort aanvallen. Humannet Starter is een 12 jaar oude klassieke ASP applicatie. Deze had allang uitgefaseerd moeten worden.

Sjouke Kuindersma, Algemeen Directeur van VCD, heeft vrijdag 20 april 2012 voor de regionale televisie verklaard dat er geen lek in de applicatie zit, maar dat sommige applicatiebeheerders en gebruikers niet goed omgaan met de door VCD verstrekte wachtwoorden.
Echter op dezelfde dag verschijnt er op de website van VCD een persbericht waarin VCD toegeeft dat het net alleen aan die domme klanten ligt. "Uit het onderzoek van de door ons ingeschakelde onafhankelijke experts is een aantal punten naar voren gekomen die deze inbreuk wellicht hebben mogelijk gemaakt. Deze punten zijn inmiddels verholpen en extra beveiligd." Men wil daarbij niet de mogelijkheid erkennen van een SQL injectie, zoals prof. Jacobs heeft aangetoond.

Dit is het zoveelste voorbeeld dat een directeur bij een mislukking niet in staat is om op een professionele wijze met de pers om te gaan. Ze zijn - binnen het eigen bedrijf - zo gewend dat onzin van de baas ogenschijnlijk geaccepteerd wordt, dat ze niet doorhebben dat die houding bij derden nog meer contraproductief is.

@ ICT-er
Het is niet voor het eerst dat zoiets gebeurd. We zagen eerder een tenenkrommende Donner met een oortje in zijn verhaal doen over het Diginotar debacle en later weer hetzelfde met de woordvoerster van KPN bij twee vandaag die iedereen op het hart drukte toch vooral goed en voorzichtig om te gaan met wachtwoorden, dat terwijl een 'hacker' claimde die te hebben gestolen van de KPN.

Ook dit voorval moet men echt nemen als signaal IT breed dat men door IT te behandelen als sluitstuk in de begroting, je dit soort grootschalige incidenten over jezelf afroept.

Als je namelijk goed en ervaren personeel aan de kant schuift omdat het crisis is, je vervolgens alleen nog maar jong binnen haalt die nog niet eens op school heeft geleerd wat de basis en wetmatigheden van IT is, dan kan ik je voorspellen, beloven en toezeggen dat we de komende tijd nog veel vaker tegen dit soort zaken aanlopen.

Tot men vanuit de business en overheid eindelijk eens wakker gaat worden dat de besparing die je dacht te halen door inzetten van IT, en hier op zo'n flagrant ondoordachte manier mee om te gaan, de business en overheid miljarden meer aan het kosten is dan dat men dacht te besparen.

Ik ga rustig wachten op de volgende grote calamiteit.

NumoQuest,

Waar mensen werken worden nu eenmaal fouten gemaakt. Dat is in iedere tak van sport zo. Echter verdient VCD niet de hoofdprijs op het gebied van communicatie.

Fouten maken is menselijk echter is het veel belangrijker hoe je er mee omgaat, het communiceert en er uiteindelijk ook nog eens iets van leert.

Laat dit een wijze les zijn voor iedereen. Roep pas iets wanneer je 100% zeker weet dat je gelijk hebt. En geef je fouten toe. Dit levert vaak minder schade op.

Ik krijg hier wel een heel erg dubbel gevoel van. Een hoogleraar die “aantoont” dat een systeem lek is. Wauw, knap hoor. Geen crimineel die dit tot nu toe had verzonnen en al helemaal niet bij dit systeem. Maar ze zijn nu ongetwijfeld wakker geschud en inmiddels willekeurig SQL aanvallen aan het uitvoeren op vergelijkbare oplossingen.
Ook erg: vrijwel zonder uitzondering bevestigen we met zijn allen eens te meer dat inbraak in systemen en diefstal van gegevens algemeen geaccepteerd is en we het volkomen normaal vinden dat in voorkomend geval de schuldvraag bij de leverancier komt te liggen (“je hebt je product niet goed beveiligd”) in plaats van bij de crimineel.
En nu is de discussie of je als leverancier van een administratieve oplossing ook een beveiligingsverplichting hebt. Dan denk ik: slaan we in de ICT niet een beetje door, inmiddels? Welke idioot koopt een dergelijke dienst zonder zich te vergewissen van de veiligheid ervan? Wat zegt dat over de ICT bij de klant? Waarom zegt niemand dat ze bij genoemde afnemers beter uit hun doppen hadden moeten kijken?
Waarom kun je niet meer stellen dat met de ICT is niets mis is zolang gegevens niet spontaan verdwijnen, ontoegankelijk worden of anderszins corrupt raken?
Dit is niet alleen een technisch, maar ook een moreel issue. Dat is allang niet meer op te lossen met ICT alleen. Laten we dat niet uit het oog verliezen.

"hk" ziet blijkbaar het verschil niet tussen een "hacker" en een "cracker".
De laatste breekt in systemen in om er persoonlijk beter van te worden (ja dat is crimineel), terwijl de "hacker" onkundige softwareproducenten alleen maar wil beschermen tegen fouten waardoor in de toekomst vertouwelijke gegevens niet meer zo gemakkelijk op straat kunnen komen te liggen.
De politie bellen i.p.v. de discussie aangaan levert dan geen bijdarge aan de oplossing van het probleem.

Het verbaast me niets, ik heb meer dan 1,5 jaar geleden een opdracht aan VCD gegeven om met het Scan Sys systeem te gaan digitaliseren. Maar de software betaald en beide bedrijven laten je gewoon zitten.

Kortom geen zaken met deze bedrijven doen, veel dure woorden maar absoluut geen daden.

De reactie van directie herken ik wel.

@Rein Dekker. Het dubbele zit hem in het aantonen van een veiligheidslek door een bedrijf te hacken en vervolgens dat bedrijf publiekelijk aan de schandpaal te nagelen. Dat vind ik minstens zo crimineel als ordinair “cracken”.
In het Zembla artikel wordt zelfs gezegd dat de gegevens op straat liggen. Maar het aantonen van een beveiligingslek alleen is toch heel wat anders dan dat de gegevens ook voor iedereen zijn in te zien.
Hoge boetes zouden er moeten komen voor beveiligingslekken. Welja, en wat gaat er dan met dat geld gebeuren: wordt het ingezet voor de opsporing van “crackers”? Wordt de opbrengst van verkeersboetes ook gebruikt voor het opsporen van wegmisbruikers? Natuurlijk niet, net zomin als de verzekering uitkeert als je je deur niet op slot had.
En da’s toch raar: waar je thuis aparte beveiliging dient te installeren of in te huren voor jouw spullen, geldt voor ICT dat je daar niet zelf verantwoordelijk voor bent. Maar wie is eigenaar van de gegevens? En wie is daar dus verantwoordelijk voor? Juist.
Ik moet de eerste “voordeurhacker” nog tegenkomen. Iemand die een briefje op tafel legt waarop staat dat hij binnen is geweest en dat het misschien handig is je huis beter te beveiligen. Als die zijn naam er onder zet heeft ie een probleem. Zo niet in ICT land. Daar moeten we ze dankbaar zijn.

@hk welkom in de 21e eeuw. Met enige regelmaat vind ik een kaartje van de politie onder mijn ruitenwisser, waarbij men heeft geconstateerd dat er geen zichtbare voorwerpen van waarde in mijn auto lagen en dat de portieren waren afgesloten. Echte voordeurhackers met briefje dus.
VCD is vooraf door Zembla in de gelegenheid gesteld om e.e.a. recht te zetten, maar heeft dat beantwoord met de politie. Men wilde dat briefje netjes neerleggen. De schandpaal kwam daaruit voort.
De eigenaar van de gegevens is in de eerste plaats verantwoordelijk voor het beveiligen van die gegevens, maar dient daarbij ondersteund te worden door, in dit geval, de leverende partij VCD. Daar zit ook een stuk vertrouwen in. Als je een valhelm koopt bij een speciaalzaak, ga je er ook vanuit dat hij het doet.
I.p.v. hoge boetes zie ik meer in een soort (iso-)certificering voor beveiliging. Dan kan je dat ook in je pakket van eisen meenemen bij het zoeken naar leveranciers of bij aanbesteding.

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2012-04-20T11:07:00.000Z Johannes van Bentum


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.