علمت وزارة الصحة و GGD في منتصف كانون الأول (ديسمبر) أن أمن أنظمة تكنولوجيا المعلومات والاتصالات للتحقق من المصدر والاتصال والاختبار لم يكن على ما يرام. يتضح ذلك من الوثائق التي تم إرسالها إلى مجلس النواب الليلة الماضية.
وأشار تحليل داخلي إلى «نقاط ضعف خطيرة». ومع ذلك ، لم يتم إيقاف تشغيل الأجزاء الخطرة في الأنظمة. حتى عندما تم الكشف عن التسريب ، تحدثت GGD عن «حادثة غير سارة».
يتضمن ذلك وظيفة التصدير ، والتي يُزعم إساءة استخدامها لتسريب البيانات الشخصية. ولكن أيضًا بالنسبة لوظيفة الطباعة ، حيث يمكن أيضًا عرض البيانات الحساسة للخصوصية والتي تم إيقاف تشغيلها يوم السبت الماضي فقط. حدث ذلك بعد أن قررت NOS و Nieuwsuur أنها لا تزال تعمل مع جميع المستخدمين.
نقاط الضعف
في مجلس النواب ، كان على وزير الصحة العامة De Jonge توضيح خرق البيانات اليوم. وهو يقر بأنه كان ينبغي عليه الرد في وقت مبكر على الإشارات الداخلية التي تشير إلى وجود مشاكل في خصوصية أنظمة GGD.
في 11 ديسمبر ، كان لدى الوزارة و GGD بالفعل تحليل داخلي للمخاطر ، والذي أشار إلى «نقاط ضعف خطيرة» في الأنظمة. «هل يتعين علينا القيام بشيء ما معًا؟» يقول محضر اجتماع لمسؤولين من الوزارة و RIVM و GGD.
في اجتماع آخر ، بعد أسبوع ، يحتفظ GGD بالموقف الذي مفاده أن «تكنولوجيا المعلومات والاتصالات الحالية» يجب أن تستمر في العمل ، حتى يمكن استمرار العمل. كان GGD أكثر «فضولًا» بشأن التأثير على «تشغيل» مجموعة العمل الجديدة التي كانت بصدد مراجعة الأمن.
اليوم الذي يسبق ليلة الميلاد
في 24 كانون الأول (ديسمبر) ، قبيل ليلة عيد الميلاد ، أبلغ الوزير دي جونغ مجلس النواب عن عدة نقاط ضعف في أنظمة GGD. توجد الفقرات في نهاية الخطاب الذي يستمر في مناقشة الاختبار ونصيحة OMT.
من أجل حل «بعض نقاط الضعف» ، وفقًا للوزير ، يجري العمل على «إدارة تفويض أكثر ملاءمة» ، حتى لا يتمكن الأشخاص من الوصول إلى المعلومات التي لا ينتمون إليها. ما كان ينقص في ذلك الوقت في إدارة التفويض غير معروف ، ولكن بعد ذلك أصبح من الواضح أن الكثير من الأشخاص يمكنهم الوصول إلى الكثير من المعلومات.
تفاصيل تحليل المخاطر لأنظمة GGD (وستبقى) سرية ، بالتشاور مع المركز الوطني للأمن السيبراني.
في مجلس النواب ، قال الوزير دي جونغ اليوم أن وظيفة التصدير استُخدمت للتحليلات الإحصائية وتوزيع العمل. يقول دي جونج: «لم يتم أخذ المخاطر في الاعتبار إلا القليل جدًا وهذا بالطبع ليس جيدًا».
تحذير ديسمبر ليس المرة الأولى التي يتم فيها تنبيه الحكومة إلى القضايا الأمنية. في سبتمبر ، ذكرت Nieuwsuur أن الموظفين لديهم إمكانية الوصول إلى جميع أنواع المعلومات الخاصة التي لا ينبغي لهم الوصول إليها. في نوفمبر ، أفادت ألخمين داخبلاد عن موظفين ألقوا نظرة غير قانونية على بيانات المشاهير.
أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بـ GGD عبارة عن برنامجين مختلفين: CoronIT يحتوي على بيانات من حوالي 5.5 مليون شخص ممن اختبروا بأنفسهم. يحتوي HPZone على بيانات من حوالي مليون شخص يظهرون في تحقيق المصدر والاتصال. كان كلا النظامين في متناول عشرات الآلاف من موظفي GGD ومراكز الاتصال.
حادثة مزعجة
في 25 يناير ، أفادت RTL Nieuws أنه تم الحصول على البيانات الشخصية من خلال تسرب في أنظمة GGD. يتم إساءة استخدام البيانات وتداولها.
ستجتمع الوزارة و GGD في 28 يناير حول التسريب. يظهر التقرير أن GGD تسميها «حادثة سيئة للغاية مع سرقة البيانات». ثم تم بالفعل إيقاف تشغيل زر تصدير البيانات من HPZone. يقول GGD إنه يعمل على «سد الفجوة بشكل أكبر ، لكن هذا ليس بالأمر السهل». ستظل وظيفة الطباعة قيد التشغيل حتى 30 يناير.
وكتب المسؤولون في التقرير أن العمل كان يمكن أن يكون أسرع «بعد ذلك». لقد تم إهدار بعض الوقت في إنشاء مجموعة عمل مخصصة ، ولكن من «الأهمية بمكان أن نعرف الآن ما يجب حله على المدى القصير والمتوسط والطويل».
