CIOT-database van opsporingsinstanties blijkt slecht beveiligd

De Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)-database, een database waarin telefoonnummers, mailadressen en IP-adressen van Nederlandse burgers worden gekoppeld aan NAW-gegevens, is niet goed beveiligd. Een jaarlijkse audit toont aan dat de fysieke beveiliging van de servers bij de FTP-leverancier waar de CIOT-database is gehost onder de maat is.
Beveiliging
De audit is in september 2012 uitgevoerd, maar het rapport hierover is deze week pas beschikbaar gesteld. Rejo Zenger van Bits of Freedom, een organisatie die zich in zet voor digitale burgerrechten, ontdekte het rapport. De CIOT-database bevat de klantgegevens die telecom- en internetproviders verplicht beschikbaar moeten stellen. De database wordt door politiediensten gebruikt om te achterhalen wie gebruik maakt van een IP-adres of telefoonnummer. De data in de database is dan ook erg privacygevoelig.
De audit van de database toont aan dat de beveiling op maar liefst zes punten niet op orde is. Vijf van deze fouten kwamen ook een jaar eerder tijdens de audit naar voren en zijn in de tussentijd dus niet aangepakt. Het gaat hierbij onder andere om een achterhaalde Service Level Agreement en onduidelijkheid over de toegangsrechten voor logbestanden.
Ook de FTP-leverancier, waarvan de identiteit niet bekend is gemaakt, laat steken vallen. Zo is onder andere de controle op de fysieke toegang tot het datacenter waar de CIOT-database wordt gehost gebrekkig. Het rapport treedt verder niet in details, maar meldt wel dat de problemen geen impact hebben gehad op de systemen van het CIOT.
Webwereld meldt dat ftp.ciot.nl gekoppeld is aan het IP-adres 159.46.3.254, een IP-adres van de telecomprovider Tele2. Dit doet dan ook vermoeden dat Tele2 de FTP-leverancier is die verantwoordelijk is voor het hosten van de CIOT-database.