Virus vrij spel in databank CIOT

Afbeelding: BVDV_isolado van Agriculturasp | Licentie: CC BY

De virusscanners op de computers waarmee de CIOT-databank beheert wordt, worden niet goed bijgehouden. Ook de jaarcijfers zijn onbetrouwbaar.

Het ministerie van Veiligheid en Justitie publiceerde eerder deze maand het Eindrapport audit CIOT 2010. Dat gebeurde na een verzoek op grond van de Wet openbaarheid van bestuur van Bits of Freedom.

Bits of Freedom schrijft in Virus vrij spel in databank telecomgegevens:

Nederlandse internet- en telefonieaanbieders moeten dagelijks hun volledige klantenbestand uploaden naar een databank van de overheid, het CIOT. Het ministerie van Veiligheid en Justite brengt elk jaar een rapport uit over het functioneren van het CIOT. Dat hebben we gelezen en wat blijkt: niet alleen is opnieuw de reikwijdte van het rapport beperkt, ook zijn weer een deel van de aanbevelingen van vorig jaar niet opgepakt, kloppen de cijfers uit het jaarverslag mogelijk niet en is de beveiliging van de computers waarmee de databank beheert wordt niet op orde.

Enkele citaten uit het rapport zelf:

In overleg met de opdrachtgever van deze audit is besloten de audit 2010 te beperken tot de CIOT organisatie. Redenen voor deze beperkte scope zijn de volgende:

  • Bij de (B)OID’s zijn diverse afzonderlijke trajecten gestart om de kwaliteit van opvragen te verbeteren en te onderzoeken.
  • Uit de onderzoeken van voorgaande jaren is gebleken dat de risicos bij de aanbieders van telecommunicatiediensten beperkt zijn. Dit wordt ook bevestigd door de onderzoeken van voorgaande jaren.

Wij hebben vastgesteld dat op het moment van de audit de virusdefinities up tot date zijn. Vanwege het ontbreken van een volledige logging kan de tijdigheid van het update proces niet worden vastgesteld. Uit interview blijkt dat de procedure is dat de definities op wekelijkse basis geüpdate worden. Deze update vindt manueel plaats. […] Het manueel updaten van de virusscanner brengt het risico mee dat door bijvoorbeeld de afwezigheid van een beheerder de virusscanners tijdelijk niet meer up to date zijn. Daarnaast is het door een onvolledige logging niet te controleren of het update proces het gehele jaar goed heeft gewerkt.

In onze audit hebben wij het totstandkomingsproces van de jaarcijfers gecontroleerd aan de hand van de rapportagefunctie “Jaarverslag” van het CIS. Daarnaast hebben wij ook een controle gedaan op de maandelijkse rapportagefunctie van het systeem. Uitkomst van onze audit is dat de gepubliceerde jaarcijfers overeenkomen met de jaarcijfers die het systeem genereert. Hoewel het totstandkomingsproces van de jaarcijfers voldoet aan de eisen, plaatsen wij een kanttekening bij de juistheid en volledigheid van de rapportage vanwege de omissies geconstateerd in het testtraject.

Uit deelwaarneming blijkt dat er acceptatietesten worden uitgevoerd. Dit blijkt uit onder andere het opgeleverde testrapport. Dit testrapport bevat geen informatie over de inhoud van de uitgevoerde tests. Een testplan met vooraf gedefinieerde testgevallen is niet aangetroffen.