OVS adviseert bestuurders: gebruik uw @belgianrail.be-adres niet!

De NMBS breidde onlangs de mogelijkheden van het draagbare IDA-toestel van de treinbestuurders uit met de Office 365-toepassingen OneDrive, Excel, Word en Powerpoint. Tegelijk kregen alle treinbestuurders een professioneel e-mailadres toegekend, dat ze ook via de IDA kunnen raadplegen.

Aangezien communicatie met de hiërarchische lijn of met andere diensten binnen de NMBS voor de treinbestuurders tot op heden enkel maar telefonisch of via papieren formulieren mogelijk was, zijn dit ontwikkelingen die we alleen maar kunnen toejuichen. Toch hebben we onze bedenkingen bij de wijze waarop het persoonlijke e-mailadres werd beveiligd.

Het spreekt voor zich dat we de details niet uit de doeken gaan doen, maar de door de NMBS gebruikte combinatie van aanmeldingsnaam en wachtwoord gaat in tegen alle basisregels van online-veiligheid. Iemand moet hierdoor echt geen techneut of hacker zijn om zich toegang tot de mailaccount van een collega te verschaffen. Hierdoor kunnen anderen alle berichten in uw postvak lezen, maar ook mails uit uw naam versturen! Het persoonlijk e-mailadres is hierdoor heel wat minder persoonlijk dan eigenlijk zou moeten. Bij enkele testen konden we via onze smartphone inloggen op de account van verschillende collega’s, vanzelfsprekend met hun toestemming.

Een vergelijkbaar probleem doet zich bij de treinbestuurders overigens ook voor bij het inloggen bij Windows of op hun IDA-toestel. Ook hier kunnen we immers nog bezwaarlijk spreken over een geheime combinatie van aanmeldingsnaam en wachtwoord!

We zullen de bevoegde diensten binnen de NMBS eerstdaags op de hoogte stellen van onze bevindingen. In afwachting van hun reactie en een veilige aanmeldingsprocedure die de vertrouwelijkheid van hun persoonlijke gegevnes garandeert, kunnen we de treinbestuurders enkel maar adviseren om geen gebruik te maken van hun nieuwe e-mailadres, eindigend op @belgianrail.be.

Brussel, 05/12/2017

Geachte Heer Windmolders,

Sinds 04 december 2017 beschikken alle treinbestuurders van de NMBS over een e-mailadres, dit in het kader van de meer open communicatie die de CEO, Mevr. Dutordoir, wil voeren.

Wij kunnen deze beslissing alleen maar toejuichen, doch wensen te wijzen op de gebrekkige beveiliging van deze e-mails, waardoor eenieder mails kan sturen en lezen van iemand anders, zoals later toegelicht.

We menen dat er hier mogelijk sprake is van een serieuze inbreuk is op de privacywetgeving en op het persoonlijk leven van  het betrokken personeel.

De basis van de privacywetgeving stelt dat u zorg moet dragen voor de kwaliteit, de vertrouwelijkheid en de veiligheid van de gegevens. Dit houdt onder meer in dat:

  • u onvolledige of onnauwkeurige gegevens moet verbeteren.
  • alleen mensen die deze gegevens nodig hebben om hun taak uit te voeren over de gegevens mogen beschikken.
  • de gegevens moeten beveiligd zijn tegen nieuwsgierigheid en tegen niet-toegestane bewerkingen

(bron: https://www.belgium.be/nl/justitie/privacy/bescherming_persoonsgegevens/persoonsgegevens/beheer)

Vanuit de OVS raden we de treinbestuurders dan ook expliciet af om gebruik te maken van het @belgianrail.be-adres dat hen werd verstrekt. De vertrouwelijkheid van berichten die via deze account worden verstuurd of ontvangen is volgens onze bevindingen onvoldoende gegarandeerd.

[EDIT: de beschrijving van de exacte procedure werd verwijderd]

Het spreekt voor zich dat deze policy ingaat tegen zelfs de meest essentiële regels voor een veilig wachtwoordbeheer. We konden zonder specifieke voorkennis via onze smartphone met deze gegevens inloggen op de mail van verschillende collega’s (uiteraard met toestemming), hun e-mail lezen en zelfs mails uit hun naam versturen.

Een vergelijkbaar probleem doet zich overigens voor de treinbestuurders ook voor bij het aanmelden bij Windows of bij het inloggen op hun IDA-toestel. [EDIT: de beschrijving van de exacte procedure werd verwijderd] Met beide gegevens is het dus mogelijk om aan te melden op de Windows-accounts en de IDA-toestellen van alle treinbestuurders, en zo toegang te verkrijgen tot persoonsgebonden informatie of toepassingen.

Voor zover we weten beschikt de personeelsleden niet over de mogelijkheid om hun Windows-wachtwoord te wijzigen. We verzoeken uw diensten dan ook om met de grootste spoed de nodige stappen te ondernemen om zowel de e-mailaccounts als de Windows-accounts van de betrokken treinbestuurders te beveiligen, of instructies te verspreiden over hoe het personeel desgevallend zelf hun wachtwoord kan wijzigen.

Graag hadden we dringend Uw antwoord vernomen.

2 Comments on “OVS adviseert bestuurders: gebruik uw @belgianrail.be-adres niet!”

  1. Gewoon een persoonlijk wachtwoord instellen (eventueel aangevuld met persoonlijke pincode als alternatief) om in te loggen op Ida.
    Gemakshalve werd het ooit door de maatschappij ingestelde wachtwoord door de meesten nooit gewijzigd, dat moet nu wel gebeuren om misbruik te voorkomen.
    Op het ida-toestel op de “sleutel” klikken en procedure volgen om wachtwoord te wijzigen. (Wel onthouden natuurlijk!)

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.