Een systeemfout met de punt komma notatie heeft gezorgd dat de gemeente Den Haag onterecht 2,5 Miljoen Euro is uitgekeerd aan werkelozen in een arbeidstraject. Het geld is inmiddels weer bijna terecht. Ook al lijkt dit niet direct op een informatiebeveiligingsincident; het is er een van grote proporties in gemeenteland. Security by Design had deze inbreuk op integriteit van informatie kunnen voorkomen. Dit en andere aspecten van informatiebeveiliging wordt vaak onderschat.

Informatiebeveiliging is meer dan alleen hacken van systemen tegengaan.

Wie aan informatiebeveiliging denkt, denkt tegenwoordig bijna automatisch aan termen als Hacking, Wannacry, Phishing, DDOS aanvallen en andere sensationele wereldwijde cyberaanvallen. De minder spannende zaken komen nagenoeg niet aan bod. Het punt comma probleem van de Gemeente Den Haag is echter weldegelijk een informatiebeveiligingsincident wat had voorkomen kunnen worden door tal van maatregelen.

Informatiebeveiliging draait om de 3 pilaren van de CIA Triad ofwel Confidentiality, Integrity en Availability. In het geval van de gemeente Den Haag was duidelijk de integriteit van data een groot probleem wat bijna 2,5 miljoen euro had gekost indien niet ontdekt. De vermoedelijke oorzaak is een systeemfout welke de komma notatie verwisselde voor een punt. In het systeem werd dit niet als een fout herkend en vrolijk werden uitkeringen gedaan zonder dat er enige controle was of dit wel de goede uitkeringen waren.

Wat kan er allemaal fout zijn gaan?

Veel is het antwoord. Het blijft speculeren en sommige zaken zullen we nooit te horen krijgen. Behalve middels een Wob-verzoek. Maar vanuit informatiebeveiliging optiek zijn er genoeg mogelijkheden op te noemen van wat er allemaal fout kan zijn gegaan. Hieronder is puntsgewijs een beperkte lijst van mogelijke oorzaken aangegeven:

  • Verkeerde invoer door geautoriseerde medewerkers: medewerkers voeren bedragen in met een komma in plats van een punt of andersom.
  • Verkeerde invoer door niet geautoriseerde medewerkers of personen.
  • Input Validatie door Systeem op punt komma ontbreekt. Geen blokkade of foutmelding door systeem bij invoer.
  • Systeem is verkeerd ingesteld en ziet komma en punt als beide valide invoer.
  • Geen meer ogen principe welke invoer en uitvoer controleert.
  • Geen detectie door treasury(beheerder geementelijke rekeningen) van ongewone bedragen.
  • Onbekendheid bij medewerkers van wat het systeem moet en mag kunnen.
  • De governance liet niet middels tijdige rapportage een trendbreuk zien in hoogte van uitkeringen.
  • Interne accountancy dienst niet snel genoeg voorzien van informatie.

Security by Design en andere preventieve controlemaatregelen

De voorgaande lijst met mogelijke oorzaken hadden in het geval van het punt komma probleem van de Gemeente Den Haag op de volgende wijze voorkomen kunnen worden.

  • Volgens het principe van beveiligde bedrijfsvoering dienen medewerkers van te voren te worden geïnstrueerd op welke wijze men uitkeringen moet invoeren. Instructies in handleidingen voor het bedienen van de systemen en applicaties moeten bekend zijn bij medewerkers. In deze instructies of applicatie guides zoude n ook details over de wijze van numerieke invoer moeten staan.
  • Door social engineering zouden medewerkers mogelijk van deze fout in het systeem op de hoogte kunnen zijn en door eigen belang bewust deze foutieve invoer hebben uitgevoerd. Dit is een zware beschuldiging . Fraude kan echter niet worden uitgesloten. Logging van alle invoer door medewerkers dient daarom te worden gecontroleerd op vreemde patronen.
Gemeente Den Haag 2,5 Miljoen uitgekeerd door punt komma probleem
Tagged on: