De IT rondom de Justitiële telecomdatabase is niet op orde. De SLA is niet bijgewerkt, de backup is ongedocumenteerd en het netwerk wordt niet gemonitord. Dit blijkt uit de audit die is uitgevoerd over 2010 op het CIOT (Centraal Informatiepunt Onderzoek Telecomgegevens). Die organisatie houdt een database bij met de telecomgegevens van vrijwel alle Nederlanders, waarin opsporingsdiensten ongebreideld en ongecontroleerd kunnen neuzen.
Het CIOT heeft de helft van de zes aanbevelingen uit de audits van voorgaande jaren uitgevoerd. De overige drie zijn ‘niet of niet volledig opgevolgd’, valt te lezen in het eindrapport 2010. Dat auditrapport is openbaar geworden door een WOB-verzoek van digitale burgerrechtenbeweging Bits of Freedom.
Uit dat rapport blijkt dat de systemen van het CIOT zijn beveiligd met antivirus die handmatig van nieuwe definities wordt voorzien. Het streven is om de handmatige updates wekelijks te installeren, maar het is onbekend of dat ook altijd gebeurt. De waarschijnlijkheid daarvan is niet erg groot. De logging blijkt ook onvolledig.
Dat laatste geldt ook voor het interne CIOT-netwerk. De beschikbaarheid daarvan wordt gemonitord met de tool Microsoft Operations Manager (MOM), alleen is die software nog niet formeel in productie genomen.
De gebruikte helpdesktool Topdesk wordt niet goed benut. Daarin worden wel incidenten en problemen geregistreerd, maar niet de status en eventuele oplossing daarvan. Door dat wel te doen kan ‘de opvolging van problemen beter worden getoetst en is inzichtelijk welke nog openstaan’, zo stipt de audit aan. Het gebrekkige gebruik van de helpdesksoftware ligt in lijn met het algemene beheer. Een van de drie nog openstaande aanbevelingen uit 2008 is een periodieke controle of de gebruikte softwareversies wel up-to-date zijn. Dat gaat dan niet om de allernieuwste versie van programmatuur in de productieomgeving, maar om ‘de laatst goedgekeurde versie’. Deze controle is totnogtoe ‘niet aantoonbaar uitgevoerd’.
De auditors constateren dat de CIOT-beheerafdeling een verouderde procedure hanteert om wijzigingen door te voeren. Een spoedprocedure ontbreekt, een Technisch Ontwerp (voor de eigen IT-systemen) is wel aangetroffen, maar was niet actueel. Acceptatietesten voor systeemwijzigingen worden wel uitgevoerd. Alleen is er voor de auditors niet aantoonbaar vastgelegd wat de testplannen, testgevallen en testresultaten zijn, plus wat er met de testinformatie wordt gedaan.
Tot slot is de productieomgeving van het CIOT niet opgenomen in de autorisatiematrix, die beveiligingsaspecten als rollen, functies en informatietoegang bepaalt. Alleen de CIOT-kantooromgeving is daarin opgenomen.
Verder heeft het CIOT geen vastgelegde procedure voor back-up en recovery van de eigen systemen. Dit is al aan het licht gekomen door de audit over 2008. Het vastleggen van die procedure voor het back-uppen van welke data waar is, is toen als formele aanbeveling opgegeven. Tot op heden is het er niet van gekomen. De auditors hebben wel een conceptbeschrijving aangetroffen van de back-up en recovery procedure. Die versie moet dus nog geformaliseerd worden.
De derde nog niet uitgevoerde aanbeveling uit 2008 is het bijwerken van de service level agreement. Die overeenkomst voor het prestatieniveau van aangeboden diensten stamt uit maart 2004 en is ook incompleet. Het omvat niet ‘de nieuwe situatie van de CIS-applicatie’ (computer information system), ofwel de eigenlijke software voor CIOT-bevragingen. Ook dit is al geconstateerd in de audit van 2008. De aanbeveling om de SLA’s periodiek te evalueren en indien nodig bij te stellen is in 2010 door het CIOT opgepakt. Er is een opstartdocument voor dit project opgesteld en het wordt in 2011 doorgezet. Verder worden er al wel procedures aanvullend op de SLA doorgegeven aan de opsporingsdiensten die informatie uit het CIOT mogen opvragen.
Het lijkt overal hetzelfde. Onachtzaamheid. Gelukkig is er wel veel opgepakt, maar in een tempo dat je de vraag moet stellen wat er gebeurt als het echt fout gaat…. Het blijven toch moeilijk lerende organisaties (mlo’s)…..