UWV en Achmea verzuimen servers te vergrendelen

[Henk Elegeert]

REPLY TO: D66 at nic.surfnet.nl

http://webwereld.nl/nieuws/56464/uwv-en-achmea-verzuimen-servers-te-vergrendelen.html#
"
UWV en Achmea verzuimen servers te vergrendelen
Gepubliceerd: Dinsdag 17 maart 2009
Auteur: Brenno de Winter

UWV en Achmea Vitale verzuimen hun servers fysiek te beschermen.
Minister Donner moet zich verantwoorden in de Tweede Kamer.

Serverkasten UWV en Achmea staan open (foto's)

De datacenters van UWV en Achmea Vitale zijn onvoldoende beschermd. De
systemen staan in een
gedeelde serverruimte en worden structureel niet afgesloten, terwijl
er wel sloten op de kast zitten.
Apparatuur toevoegen, schijven stelen, verbindingen afluisteren of de
dagelijkse operatie verstoren, horen
daardoor tot de mogelijkheden.

Beheerders van andere bedrijven die klant zijn van de provider of
andere legitieme bezoekers hebben
toegang tot dezelfde ruimte. Gedurende ruim een maand veranderde de
situatie niet en uiteindelijk ging
ook Webwereld even binnen kijken.

Backup tapes en gevoelige servers
In het geval van Achmea was technisch rommelen met de infrastructuur
niet eens nodig, omdat de backup
tapes direct voor het grijpen liggen. Ook hebben beide bedrijven een
groot assortiment met eenvoudig te
verwijderen harde schijven in gebruik.

Wie wel technisch aan de slag wil heeft voldoende aan een klein
computertje, zoals een Asus EeePC, die
eenvoudig onder de grond te verbergen is. Veel kabels zijn zo rommelig
weggewerkt dat veranderingen
ook moeilijk opvallen.

Basale beveiligingsfout
Bij het UWV ligt niet alleen de technische infrastructuur bloot, maar
zijn er ook allerhande gevoelige
gegevens voorhanden. Zoals vier mailservers die bedoeld zijn om het
personeel via het web te bedienen.
Maar ook twee DNS-servers en hun firewall's. Verder zijn er systemen
te vinden om informatie tussen het
UWV en het Centrum voor Werk en Inkomen (CWI) uit te wisselen.

Bij Achmea Vitale is de situatie niet substantieel anders. Ook daar
liggen honderden gigabytes aan
opgeslagen gegevens voor het grijpen. Ook daar is het mogelijk om met
het digitale inbraaksysteem
(intrusion detection system) te morrelen en wordt software achtergelaten.

Amateuristisch en eenvoudig te verhelpen
"Het is onbegrijpelijk amateuristisch dat de beheerders van deze
machines niet eens de moeite nemen om
de deurtjes op slot te doen. Het is heel simpel: fysieke toegang is
volledige toegang", briest een
verontwaardigde Joran Polak van Security.nl. "Internetbeveiliging is
van essentieel belang, maar dan moet
ook de fysieke beveiliging in orde zijn en dat is hier duidelijk niet
het geval."

"Daarnaast vraag ik me ook af wat die backup tapes daar doen, nog
nooit gehoord van off-site backup?",
vervolgt Polak. "Het is zeer waarschijnlijk dat iemand die de tapes
meeneemt toegang tot de aanwezige
gegevens heeft, om nog maar niet te spreken over wat een kwaadwillende
met de machines kan doen."

Afsluiten of apart zetten
Polak heeft nog wel een advies voor de betrokken bedrijven:
"Afhankelijk van de informatie op de
systemen zou het verstandiger zijn om een afgesloten ruimte in het
datacentrum te huren die met niemand
wordt gedeeld." Dat laatste blijkt ook mogelijk te zijn in dit datacenter.

Ook 9292ov.nl verzuimde eerder kasten af te sluiten in hetzelfde
datacenter, maar doet dit inmiddels wel.
Volgens een woordvoerder komt dat uit eigen besef en zijn interne
procedures aangescherpt. Daarbij
benadrukt de woordvoerder dat zelfs informatie over reisplannen van
mensen privacygevoelig is. "Dat
willen we niet lekken."

Donner naar de kamer
"Als ik dit zo hoor kan ik niet voorstellen waar er zo onzorgvuldig
met gegevens wordt omgesprongen",
reageert SP-Kamerlid Arda Gerkens tegenover Webwereld. "Hier is dus
sprake van misplaatste laksheid.
Ik vraag me af of de verantwoordelijke medewerkers ook thuis zo omgaan
met hun kostbare spulletjes."
Ze wijst erop dat de systemen vooral toegankelijk zijn voor mensen die
er 'ook nog veel verstand van
hebben'. Als het aan haar ligt komt Minister Donner van Sociale Zaken
vandaag nog uitleg geven tijdens
het vragenuurtje in de Kamer. "Ik wil de minister ter verantwoording
roepen. Ik wil weten hoe dit kan en
hoe het zit met gegevens van andere overheden en semi-overheden."

'Klantgegevens niet in gevaar'
Achmea Vitale belooft direct actie te ondernemen, na het vernemen van
het euvel: "We zorgen ervoor dat
het zich niet meer herhaalt", aldus een woordvoerster.

Het UWV weigert echter verantwoordelijkheid voor het open laten van de
kasten en is verbaasd over het
delen van de ruimtes: "We zijn geschrokken van de mogelijkheid dat
niet-geautoriseerde mensen toegang
kunnen krijgen tot het datacenter waar UWV gebruik van maakt", wil
woordvoerder Wessel Agterhof
kwijt.

"Onze klantgegevens zijn niet in gevaar geweest", bezweert Agterhof.
"UWV heeft zijn partners, aan wie
deze diensten zijn uitbesteed, aangesproken op de beveiliging. Deze
beveiliging zal op de kortst mogelijke
termijn worden aangepast om herhaling te voorkomen."
"

En dat vindt het gek dat de burger concludeerd dat diens gegevens niet
in veilige handen zijn?

Henk Elegeert

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66 uwvoornaam uwachternaam
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********