Dit blijkt uit de audit die is uitgevoerd over 2010 op het CIOT (Centraal Informatiepunt Onderzoek Telecomgegevens). Die organisatie houdt een database bij met de telecomgegevens van vrijwel alle Nederlanders, waarin opsporingsdiensten ongebreideld en ongecontroleerd kunnen neuzen.

Het CIOT heeft de helft van de zes aanbevelingen uit de audits van voorgaande jaren naar voldoening uitgevoerd. De overige drie zijn “niet of niet volledig opgevolgd", valt te lezen in het eindrapport 2010 (PDF). Dat auditrapport is openbaar geworden door een Wob-verzoek (Wet openbaarheid bestuur) van digitale burgerrechtenbeweging Bits of Freedom.

Antivirus en netwerk

Uit dat rapport is al gebleken dat de systemen van het CIOT (Centraal Informatiepunt Onderzoek Telecomgegevens) zijn beveiligd met antivirus die handmatig van nieuwe definities wordt voorzien. Het streven is om de handmatige updates wekelijks te installeren, maar het is onbekend of dat ook altijd gebeurt. De logging blijkt namelijk onvolledig te zijn.

Dat laatste geldt in wezen ook voor het interne CIOT-netwerk. De beschikbaarheid daarvan wordt gemonitord met de tool Microsoft Operations Manager (MOM), alleen is die software nog niet formeel in productie genomen. “Wij bevelen aan deze [tool - red.] verder in te richten en te testen", schrijven de auditors in het rapport.

Status en versies onbekend

De gebruikte helpdesktool Topdesk wordt niet goed benut. Daarin worden wel incidenten en problemen geregistreerd, maar niet de status en eventuele oplossing daarvan. Het advies is dat wel te doen. Daardoor kan dan “de opvolging van problemen beter worden getoetst en is inzichtelijk welke nog openstaan", stipt de audit aan.

Het gebrekkige gebruik van de helpdesksoftware ligt in lijn met het algemene beheer. Een van de drie nog openstaande aanbevelingen uit 2008 is een periodieke controle of de gebruikte softwareversies wel up-to-date zijn. Dat gaat dan niet om de allernieuwste versie van programmatuur in de productieomgeving, maar om “de laatst goedgekeurde versie". Deze controle is totnogtoe “niet aantoonbaar uitgevoerd."

'Verouderd beheer'

De auditors constateren dat de CIOT-beheerafdeling een verouderde procedure hanteert om wijzigingen door te voeren. Een spoedprocedure ontbreekt, een Technisch Ontwerp (voor de eigen ict-systemen) is wel aangetroffen, maar was niet actueel. Acceptatietesten voor systeemwijzigingen worden weer wel uitgevoerd. Alleen is er voor de auditors niet aantoonbaar vastgelegd wat de testplannen, testgevallen en testresultaten zijn, plus wat er met de testinformatie wordt gedaan.

Tot slot is de productieomgeving van het CIOT niet opgenomen in de zogeheten autorisatiematrix, die beveiligingsaspecten als rollen, functies en informatietoegang bepaalt. Alleen de CIOT-kantooromgeving is opgenomen in de autorisatiematrix.

Backupprocedure

Verder heeft het CIOT geen vastgelegde procedure voor back-up en recovery van de eigen systemen. Dit is al aan het licht gekomen door de audit over 2008. Het vastleggen van die procedure voor het back-uppen van welke data waar is, is toen als formele aanbeveling opgegeven.

Tot op heden is die tweede aanbeveling er niet van gekomen. De auditors hebben ditmaal wel een conceptbeschrijving aangetroffen van de back-up en recovery procedure. Die versie moet dus nog geformaliseerd worden.

SLA uit 2004

De derde nog niet uitgevoerde aanbeveling uit 2008 is het bijwerken van de service level agreement. Die overeenkomst voor het prestatieniveau van aangeboden diensten stamt uit maart 2004 en is ook incompleet. Het omvat niet “de nieuwe situatie van de CIS-applicatie" (computer information system), ofwel de eigenlijke software voor CIOT-bevragingen.

Ook het SLA-gebrek is al geconstateerd in de audit van 2008. De aanbeveling om de SLA's periodiek te evalueren en indien nodig bij te stellen is in 2010 door het CIOT opgepakt. Er is een opstartdocument voor dit project opgesteld en het wordt in 2011 doorgezet. Verder worden er al wel procedures aanvullend op de SLA doorgegeven aan de opsporingsdiensten die informatie uit het CIOT mogen opvragen.

Het ministerie van Veiligheid en Justitie, waar het CIOT onder valt, heeft nog niet gereageerd op vragen van Webwereld.