Lering uit de UWV datalek [ 6 security maatregelen ]

De UWV lek met 117.000 getroffen betrokkenen valt weliswaar in het niet. Desondanks, wat wij kunnen leren van het UWV, en 6 security maatregelen die het UWV nu (hopelijk) overwegen.

De UWV datalek valt in het niet met andere lekken. Een dagelijks kijkje op security.nl doet je versteld staan. Dat doet niets af aan de ernst van een datalek. Lekken zijn er om voorkomen te worden en bovenal om er van te leren.

Helaas komt de werkelijke technische oorsprong van een lek vervolgens zelden in het nieuws, en dat is jammer. Hoe beschamend een lek ook kan zijn voor een organisatie, niet alleen zijzelf maar ook anderen kunnen de juiste conclusies trekken en eventueel eigen informatie-systemen er op aanpassen.

Tot de verbeelding sprekende voorbeelden:

  • Helpdesk die graag inzage willen houden in wachtwoorden van gebruikers om ze van dienst te kunnen zijn indien men hun wachtwoord is kwijtgeraakt.
    Dit werpt in de vorm van social engineering echter een kwetsbaarheid op, en dus zijn technische maatregelen op zijn plaats; laat men zelf hun wachtwoord herstellen, waarbij er geen andere personen meer aan te pas hoeven te komen;
  • Of, zoals ten tijde van de datalek bij Albert Heijn, verstuur data onder water (POST), in plaats van boven water (GET), zodat bijvoorbeeld inloggegevens niet in browser- en serverlogs terecht komen.

Slechts 40.000 gegevens gelekt bij het UWV

De datalek waar het UWV mee te maken kreeg, bleek minder omvangrijk dan in de pers gecommuniceerd werd, als we UWV-watcher René Veldwijk mogen geloven. Ook de lezers op security.nl durven dezelfde conclusie als onderstaand te trekken.
Misschien was de persvoorlichter van het UWV op vakantie, of vonden ze de werkelijke reden te beschamend.

Van de 117.000 CV's stond 1 op de 3 CV's op gesloten. De resterende 40.000 CV's bevat door henzelf ingevulde persoonsgegevens, immers is werk.nl een bemiddelings-site en willen ze door werkgevers gevonden kunnen worden.

UWV en hun eerdere dwangsom

In 2018 werd het UWV reeds op de vingers getikt vanwege gebrek aan veiligheidsmaatregelen binnen het portaal. In oktober 2018 maakte het UWV dan ook bekend te streven naar de volgende maatregelen:

Gezien afwezigheid van Multi Factor Autenticatie, komt de huidige datalek wellicht te vroeg. Echter, deze maatregelen had een datalek zoals zich heeft afgespeeld, niet per definitie kunnen voorkomen of vertragen.

Datalek door scraping

De persoonsgegevens uit die CV's zijn, zo geeft de UWV watcher aan, via reguliere wegen bemachtigd. Iemand heeft met een account zichzelf toegang verschaft en kon enkel gegevens inzien die anderen ook konden inzien. Het verschil in deze casus? Vermoedelijk is er een (al dan niet zelfgemaakte) browser-plugin of browser-code gebruikt om een proces dat ook handmatig plaats had kunnen vinden, te versnellen.

De hoofdvraag wordt vooral; wat is het doel geweest van deze actie?

  • Een concurrerende partij beginnen;
  • of daadwerkelijk inbreuk doen op de persoonlijke levenssfeer van de betrokkenen.

Pijn, wat leer je er van?

De vraag is of er daadwerkelijk sprake is van een hack, aangezien gegevens zijn ingezien via een reguliere weg. Omdat er gesproken wordt over "derden", is het mogelijk dat accountgegevens die (ongeautomatiseerde) toegang tot de informatie gaf, is buitgemaakt. Omdat dit binnen een extern bedrijf kan plaats vinden, betreft dit een extern risico, buiten het domein van de UWV om.

Wat wel e.e.a. had kunnen voorkomen binnen de portaal van het UWV, is een beperking om aantal inzages. De websoftware dat door werk.nl en UWV ingezet wordt, had voorzien kunnen worden van een limitatie op aantal te bekijken CV's in een bepaald tijdsbestek. Dit valt onder Data Lost Prevention (DLP), wat middels een DPIA aan het licht had kunnen komen.

Organisatorische maatregelen

Een boeiende vraag is of het UWV een DPIA af heeft laten nemen, om onder meer de risico's voor betrokkenen in kaart te brengen. Daar had uit kunnen blijken dat veel data weggelekt had kunnen worden, als een gemiddelde accounthouder binnen werk.nl een onbeperkt aantal CV's kan raadplegen. Dit had enkele stoplichten op rood of op zijn minst oranje moeten zetten, wat het UWV of hun softwareleverancier aan het denken had moeten zetten.

Technische maatregelen

Mogelijke technische maatregelen die het ongewenst kopieren van gegevens kunnen voorkomen, zijn als volgt:

  1. Een captcha of ander type vraagstuk introduceren (al dan niet vanaf bepaald aantal geraadpleegde gegevens) om geautomatiseerde gegevens-vergaring te voorkomen;
  2. Een algehele blokkade vanaf bepaald aantal geraadpleegde gegevens, waarna contact opgenomen dient te worden voor meer mogelijkheden;
  3. Alleen data tonen dat daadwerkelijk van belang is (opleidingen en werkervaring, in plaats van directe persoonsgegevens), waarbij verdere data pas bij een sollicitatiegesprek vrijgegeven worden. Anonieme CV's dus;
  4. Privacy by default: CV's standaard op gesloten c.q. anoniem zetten;
  5. Mogelijk voor inzage in verdere persoonsgegevens pas na toestemming van betrokkene vrijgeven (bijvoorbeeld, bedrijf xyz wil inzage in je persoonsgegevens. ga je akkoord?);
  6. CV's die langer dan een bepaalde periode ongewijzigd en niet geaccordeerd in het systeem staan, niet toegankelijk maken (en laten heractiveren door betrokkene).

Conclusie

Is er sprake van een datalek, bij jezelf, binnen je eigen branch of komt een datalek in het algemeen onder je aandacht? Vraag je hardop af of zo een datalek binnen eigen systemen voor kan komen. Leg de datalek voor aan je developers of software leveranciers en ga na welke lering en oplossingen er uit getrokken kunnen worden.

Privacy en security is net als een huis, nooit af. Het is een blijvend proces, waar bewustwording pas het begin is.

Lees verder: