Datalek bij de NMBS en elders

In de aanloop naar de Big Brother Awards 2013 werden alle kandidaten nog eens extra in de kijker gezet. De bijdragen verschenen bij De Wereld Morgen en op onze website. In dat kader schreven we met datapanik.org een bijdrage over #nmbsgate en andere datalekken. Die bijdrage kan je hieronder lezen.

Met het lekken van de gegevens van een klein anderhalf miljoen gebruikers is de NMBS erin geslaagd een paar dubieuze primeurs op haar conto te schrijven. Eén omdat dit, voor zover geweten, het grootste datalek uit de Belgische geschiedenis is. Twee omdat de NMBS zowat alles verkeerd deed wat je in zo’n geval kan verkeerd doen: van hoe je gegevens niet beveiligt tot hoe je niet reageert op zo’n datalek. En drie omdat de Privacycommissie recent besloten heeft om voor de eerste keer het onderzoek naar een datalek in handen van het parket te geven.
Neem daar nog bij dat de NMBS met dit lek naar verluidt niet aan haar proefstuk toe is en je krijgt op zijn minst drie goede redenen waarom het datalek bij de NMBS een meer dan verdiende kandidaat is voor de Big Brother Awards 2013.

Hoe het begon

Zaterdag 22 december gaat een surfer via google op zoek naar het adres van een bekende. Tot zijn verbijstering komt hij terecht in een databank met maar liefst 1.460.734 klanten van NMBS Europe. De databank bevat namen, e-mail adressen, postadressen, telefoonnummers, geboortedata en log-ins. De databank staat simpelweg te blinken op een publieke website van de NMBS. Niet beveiligd en dus toegankelijk voor iedereen die er toevallig op stoot.
Als dat al genoeg reden is voor verbazing, dan slaat de reactie van de NMBS nog meer met verstomming. De spoorwegmaatschappij denkt er blijkbaar niet aan om haar verontschuldigingen aan te bieden, noch om duidelijkheid te scheppen over wat er fout gelopen is. Ze kiest integendeel voor een poging om alles in de doofpot te stoppen. Het datalek wordt tot in het absurde geminimaliseerd en de toevallige “vinder” van de databank krijgt de zwarte piet doorgeschoven. Beweringen die makkelijk te weerleggen waren.

Arrogante en misleidende communicatie

“De databank werd gehackt”
Daar is uiteraard niets van aan. De databank werd toevallig gevonden door een surfer toen hij een zoekopdracht via google uitvoerde. Doordat de databank op een publieke server stond, werd bestand ook geïndexeerd door zoekmachines als Google en Bing. Wellicht was “iemand” ervan uitgegaan dat het voldoende is om geen zichtbare link naar de databank te plaatsen, opdat de databank ook effectief niet te vinden zou zijn. Maar de bewuste databank werd op een bepaald moment mee opgenomen in de sitemap om geïndexeerd te worden.

“Het gaat over een paar duizend gegevens”
De link naar de databank stond een paar uur lang ook op een internetforum. Daardoor konden verschillende mensen de gegevens inkijken en bevestigen dat het wel degelijk om 1.460.735 lijnen ging. De databank is een tekstbestand, zoals we dat allemaal kennen en waarbij de bovenste lijn de veldinhoud van alle volgende lijnen definieert. Bij de namen van de gedupeerden waren voor het merendeel burgers als u en ik te zien, maar daarnaast ook een aantal bekende belgen, plus medewerkers van internationale instellingen (Europese Commissie, NAVO, edm). Van alle betrokkenen waren verschillende persoonlijke gegevens simpel af te lezen.

“De gegevens waren die zaterdag gedurende een paar uur toegankelijk”
De databank was terug te vinden in de cache van google en bing. Daaruit bleek dat die geïndexeerd werd door Google op 2 december en door Bing op 21 november. De databank stond dus al minstens van voor die datum online. Uiteindelijk zou blijken dat de databank al sedert mei 2012 online stond, dus acht maanden voordat het lek bekend gemaakt werd.

Als klap op de vuurpijl, werden niet alleen de feiten geminimaliseerd. De zwarte piet voor het datalek werd ook nog eens doorgeschoven naar de surfer die het datalek had bekend gemaakt op een internetforum. Alsof het die persoon was die verantwoordelijk was voor het lekken van de persoonlijke gegevens van anderhalf miljoen gebruikers van de NMBS.

Reacties komen toch los

Gek genoeg was de NMBS bijna geslaagd in haar operatie doofpot. Een groot deel van de pers nam de officiële versie zoals verteld door de woordvoerder van de NMBS klakkeloos over. Maar de omvang van het datalek en de foute reactie van de NMBS zorgden voor een kleine storm van verontwaardigde reacties bij verschillende bloggers en surfers. De werkelijke omvang en de mogelijke gevolgen van het datalek haalden, weliswaar pas na een paar weken, uiteindelijk toch de pers. Er kwamen ook eerste reacties van politici die vragen begonnen te stellen en van de Privacycommissie die de NMBS voor meer uitleg op het matje riep. Het werd duidelijk dat de NMBS deze keer niet zo makkelijk weg zou komen met het datalek.

De gevolgen van het datalek

Er wordt wel eens smalend gedaan over het feit dat het om gegevens zou gaan “die toch al gekend zijn.” Een e-mailadres of een postadres? Who cares. Toch zijn er redenen gevoeg voor ongerustheid. Niet alleen werden de gegevens publiek gemaakt zonder dat de betrokkenen daar toestemming voor hadden gegeven. Ze werden bovendien geïndexeerd door een zoekmachine als Yatedo die gebruikt wordt voor het opzoeken van persoonsgegevens (overigens zijn die gegevens er tot vandaag nog vindbaar). Daarnaast houdt dit soort datalekken ook altijd een groter risico in op spam. Een databank van dit formaat en met dit soort gegevens heeft immers een niet verwaarlozen commerciële waarde. Het gevaar is reëel dat dit soort gegevens ook effectief misbruikt wordt, zeker als ze kunnen gekruist worden met de gegevens van andere al dan niet gelekte databanken.

Niet aan haar proefstuk toe

In een latere persverklaring werd het datalek door de NMBS toegeschreven aan een werknemer die een fout gemaakt zou hebben bij het samenvoegen van twee databanken. Hij of zij zou de databank tijdelijk op een publieke server geplaatst hebben en die vervolgens daar vergeten gterug af te halen zijn. Onderzoek zal moeten uitwijzen of dit ook effectief het geval is, maar met dergelijke uitleg doet de NMBS uitschijnen dat het om een eenmalige fout gaat. Nochtans is de NMBS met dit datalek niet aan haar proefstuk toe. In 2011 was er ook al een incident met een databank van de NMBS, waarbij een excell-file met de persoonlijke gegevens van NMBS-personeelsleden online geplaatst werd. Aan het incident werd toen geen ruchtbaarheid gegeven, maar het duurde toen een hele tijd voordat alle kopies van het bestand ook effectief van de publieke website werden verwijderd. Zoiets sterkt in ieder geval de vermoedens dat er meer aan de hand is dan “een eenmalige fout van een individueel personeelslid”. Als dit soort lekken zich herhaalt, betekent dit dat er structureel iets fout zit.

Een heleboel vragen

We kennen uiteraard niet alle details van het datalek, maar een aantal vragen dringt zich toch wel op. Het gaat onder meer om de beveiligingsarchitectuur, om de procedures en om de verantwoordelijkheden voor de gegevensbeveiliging. Blijkbaar is het bij de NMBS op al die punten fout gelopen, maar we kunnen er gerust vanuit gaan dat het niet enkel bij de NMBS is dat er zaken fout gaan als het over gegevensbescherming gaat.
Daarom formuleerde de Privacycommissie naar aanleiding van de verschillende datalekken een aantal aanbevelingen voor een goed uitgebouwde gegevensbeveiliging. Ze heeft het daarbij onder meer over een degelijke informatie-architectuur, waarbij de rechtstreekse toegang vanaf het internet tot bepaalde toepassingen wordt verhinderd (via een firewall of de overdracht van IP-adressen) en waarbij lokale netwerken gescheiden worden van servers die toegankelijk zijn vanaf het internet. Daarnaast pleit de Privacycommissie ook voor voldoende controlemiddelen en systemen die fouten tijdig detecteren en rechtzetten. Ze wijst verder ook op de cruciale rol van de verantwoordelijke voor de gegevensbescherming. Hij of zij moet er onder meer voor zorgen dat de nodige procedures strikt opgevolgd worden en dat er onmiddellijk ingegrepen wordt als er iets fout loopt.

Meldplicht datalekken

Een van de weinige goede kanten aan het lek bij de NMBS, is de hernieuwde aandacht voor een verplichting om alle datalekken te melden. Momenteel bestaat er nog geen algemene reglementering die het lekken van persoonsgegevens bestraft, maar door de omvang van het NMBS-lek en het feit dat er in dezelfde periode nog een paar datalekken de pers haalden (VREG, Belgisch leger, …) zijn er terug politici die willen pleiten voor een meldplicht datalekken. Het is één van de punten die op de Europese agenda staat bij de huidige herziening van de databeschermingsrichtlijn. In België klinkt die roep naar een meldplicht nog niet zo luid, maar in Nederland wordt de verplichte melding van datalekken door digitale burgerrechtenbeweging Bits of Freedom onder de aandacht gehouden. Zij dienden al een wetsvoorstel in dat ook voor Belgische politici ter inspiratie kan dienen. Bits of Freedom mikt op een verplichting voor alle databankbeheerders om alle datalekken onmiddellijk te melden aan een onafhankelijk overheidsorgaan én aan alle gedupeerden.

Moeten er nog databanken zijn?

Steeds meer persoonsgegevens worden opgeslagen in databanken. Overheden zijn hier heel bedreven in: van de e-health datank en de Mobib-kaart tot de dataretentierichtlijn (winnaar van de Big Brother Awards 2011). Maar ook bedrijven laten zich niet onbetuigd, vooral vanuit marketingdoeleinden. Maar het feit dat steeds meer gegevens in steeds meer databanken worden opgeslagen en dat sommige databanken ook nog eens gekoppeld worden, maakt onze persoonlijke gegevens ook kwetsbaarder. Databanken zijn niet alleen een uitverkoren doelwit voor hackers en internetcriminelen, ook een slechte beveiliging en slordig omspringen met die gegevens vormen een gevaar.

Datalekken werpen uiteraard de vraag op naar een betere beveiliging van onze gegevens, maar we kunnen ook de vraag stellen of al die databanken wel noodzakelijk zijn. Al te dikwijls krijgen we de indruk dat er simpelweg gedacht wordt “het is technisch mogelijk, dus we doen het”.Terwijl de eerste vraag uiteraard moet luiden of het nodig is om nog maar eens een databank aan te leggen of om er nog meer persoonsgegevens in op te slaan. Om nog eens terug te keren op het voorbeeld van de NMBS: naar eigen zeggen waren de gegevens bedoeld om verjaardagswensen aan haar klanten te sturen. Als die uitleg klopt, dan kunnen toch vraagtekens geplaatst worden bij het waarom van het opslaan van al die andere gegevens. Een van de belangrijkste principes zou het voorzorgsprincipe moeten zijn, waarbij ervan uitgegaan wordt dat nooit meer gegevens opgeslagen worden dan strikt nodig is voor het beoogde doel. Bij de NMBS was dit duidelijk niet het geval en werden veel meer gegevens bijgehouden.

Ook bij heel wat andere databanken kan dezelfde vraag gesteld worden. Zijn al die databanken en al die gegevens wel strikt noodzakelijk voor het beoogde doel? Het is niet omdat iets technisch mogelijk is, dat er ook van die mogelijkheid gebruik moet gemaakt worden.

Naar de rechtbank

Recent maakte de Privacycommissie bekend dat het dossier over het datalek bij de NMBS werd doorgespeeld naar het Brussels parket. Het is de eerste keer in België dat een bedrijf wordt aangeklaagd voor het lekken van persoonsgegevens en daarmee ook voor het overtreden van de Privacywet. Daarmee geeft de Privacycommissie het signaal dat het haar menens is met het tegengaan van datalekken én geeft ze een duidelijke waarschuwing voor iedereen die persoonsgegevens verwerkt. In de woorden van security-blogger Belsec: “Let this be a warning for the belgian internetindustry, clean up your mess and do the right thing (meaning do the things the right way). Maybe it will put enough pressure to invest the necessary resources to protect their networks and data better from now on.”
Eigenlijk is de aanklacht de enige consequente stap die de Privacycommissie kon zetten. De NMBS deed namelijk zowat alles verkeerd wat het verkeerd kon doen: de onzorgvuldige manier waarop met de gegevens werd omgesprongen, de beveiliging die op zijn zachtst gezegd niet bepaald waterdicht was, de leugenachtige en lompe manier waarop in eerste instantie gereageerd werd. Het zijn stuk voor stuk schoolvoorbeelden van hoe je niet met persoonsgegevens omspringt en van hoe je niet reageert wanneer je door je eigen stommiteiten met een datalek geconfronteerd wordt. Neem daarbij dat het met een klein anderhalf miljoen persoonsgegevens om het grootste gekende datalek in België gaat en het feit dat de NMBS naar verluidt niet aan haar proefstuk toe was. Alles samen meer dan genoeg redenen waarom een veroordeling hier zeker op zijn plaats zou zijn. En waarom het datalek een terechte kandidaat is voor de Big Brother Awards.