Een ict’er van dienstverlener Orange Business Services heeft per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet gelekt. Hij had de informatie op een network attached storage (nas)-schijf van Iomega opgeslagen die hij privé gebruikte. Op Iomega-schijven staat het wachtwoord standaard uitgeschakeld en als deze niet aangezet wordt, is een schijf via internet benaderbaar. KRO-televisieprogramma Reporter bracht het lek naar buiten.
Reporter deed de afgelopen tijd onderzoek naar computerrandapparatuur en deed verschillende schokkende ontdekkingen. Zo vond het programma lekken in printers van HP, Ricoh en Brother, in netwerkbeveiligingscamera’s van AVtech en in nas-schijven van Iomega, onderdeel van EMC. Vooral dit laatste lek ligt gevoelig, omdat nas-schijven erg veel data, en dus informatie, kunnen opslaan. Reporter vond wereldwijd in totaal zestienduizend ip-adressen van schijven van Iomega die in totaal dertig miljoen gigabyte aan schijfruimte via internet staan te lekken. In Nederland gaat het om twaalfhonderd schijven.
KLM, ING en Ballast Nedam
Via de Iomega-schijven kreeg Reporter inzage in vertrouwelijke en privacygevoelige informatie van verschillende bedrijven. Zo zag het van een medewerker van het bedrijf Jet Effectvie een kopie van zijn paspoort en kon het lezen hoe er vergunningen konden worden verkregen om tot beveiligde delen van Schiphol toegang te krijgen. Op hetzelfde Schiphol heeft vliegtuigmaatschappij KLM zijn beveiligde datacenter staan. Hier binnenkomen lukt zo goed als niet, maar informatie uit dat datacenter wordt ongemerkt wel verspreid door de directeur van het datacenter zelf. Hij neemt vertrouwelijke informatie van KLM op zijn Iomega-schijf mee naar huis.
Op de nas-schijf van de datacenterdirecteur van KLM vond Reporter ook calamiteitenplannen van bank ING. Het ging hier om informatie hoe te handelen bij computerproblemen. Ook wist het KRO-programma zich toegang te verschaffen tot concurrentiegevoelige informatie van Unilever en beursgevoelige informatie over toekomstige bouwprojecten van Ballast Nedam. Het lek dat Orange Business Servcies ontwikkelde bij Europol sprong het meest in het oog.
Europese Commissie
Orange Business Services is al jaren verantwoordelijk voor het wereldwijde wide area network (wan) van de Europese Commissie (EC). Europol is in Den Haag gevestigd en hierdoor zijn er vooral Nederlandse ict’ers bij de Europese politieorganisatie actief. Eén van hen sloeg informatie van het intranet van Europol op zijn privéschijf van Iomega op. Reporter vond dit via internet en vroeg zowel Europol als Orange om een reactie. Volgens Europol heeft Orange een probleem, maar levert het lek geen probleem voor de eigen organisatie op. Het Euopol-intranet is niet voor hackers toegankelijk geweest. De woordvoerder is niet verbaasd over het lek. Orange wilde in de uitzending niet reageren en geeft de eigen ict’er de schuld. Dergelijke informatie mag niet op privéapparaten worden opgeslagen. De ict-dienstverlener probeerde nog wel via kort geding de uitzending van Reporter te voorkomen, maar ving bot bij de rechter.
Tegenover Computable wilde Orange Business Services wel reageren. Hoofd marketing en communicatie van de Benelux Francine Linzell hamert er vooral op dat er geen klanten in gevaar zijn geweest. ‘Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.’
Meer klantgegevens gelekt
Linzell betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. ‘We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.’ Naast Europol ging het namelijk om meer klantgegevens. Winzell wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft. Zij bestempelt cybercrime als ‘een groot maatschappelijk probleem’. ‘Dat is ook de reden dat wij via kort geding hebben geprobeerd om de uitzending van Reporter te voorkomen. We willen namelijk niet hackers op ideeën brengen. Uiteindelijk mocht de uitzending onder enkele voorwaarden doorgaan. Dat is goed, want het is belangrijk dat dit soort problemen worden aangekaart.’
Lees ook