Beheer

Security
Beveiliging

Beveiliging Rotterdamse IT is gatenkaas

Gemeente steekt kennelijk liever de kop in het zand dan maatregelen te nemen.

6 april 2017

Gemeente steekt kennelijk liever de kop in het zand dan maatregelen te nemen.

De Rotterdamse rekenkamer heeft een kritisch rapport opgesteld over de staat van beveiliging van de Rotterdamse IT. Dat mocht van de gemeente niet gepubliceerd worden, maar is nu toch uitgelekt. Dat de gemeente Rotterdam er niet blij mee is, dat is nu goed te verklaren. Maar waarom de gemeente het zo ver heeft laten komen ... dat is een wonder.

Het meest saillante onderdeel van het rapport dat is uitgelekt naar de Volkskrant, is de gebrekkige beveiliging van de systemen waarop de mail en agenda van burgemeester Aboutaleb staan. Die blijken voor een hacker gemakkelijk toegankelijk.

Ernstiger is, dat ook persoonsgegevens van de Rotterdammers volgens de rekenkamer niet afdoende beveiligd zijn. In Rotterdam was in 2016 19 keer sprake van een datalek. Bovendien zijn er structurele tekortkomingen bij het beveiligen van de persoonsgegevens. Er wordt gebruikgemaakt van verouderde software, het is onduidelijk wie bepaalde applicaties met gevoelige gegevens beheert, er is geen overzicht van alle processen waarbij gevoelige persoonlijke gegevens worden verwerkt en er worden ook nauwelijks risico-analyses uitgevoerd.

Laag bewustzijn van de gevaren

De Rotterdamse infrastructuur is ook niet goed beveiligd, constateert de rekenkamer. Wie zich toegang weet te verstrekken tot een computer van de gemeente, kan bijvoorbeeld bruggen bedienen en stoplichten ontregelen. Het bemachtigen van de benodigde inloggegevens is bovendien kinderlijk eenvoudig, omdat het beveiligingsbewustzijn bij grote delen van de gemeente beneden peil is. Bij een test lukte het om binnen enkele uren bij 4 gemeentelijke panden zonder geldige toegangspas binnen te lopen. En eenmaal binnen kon de insluiper zich zonder noemenswaardige moeite en zonder op zijn aanwezigheid aangesproken te worden toegang verschaffen tot werkplekken, technische ruimtes en vertrouwelijke informatie. Het idee dat rondslingerende USB-sticks niet te vertrouwen zijn, heeft ook nog niet postgevat. Een kwart van de USB-sticks die een insluiper achterliet, werd door medewerkers vervolgens gebruikt.

Gemeente Rotterdam kende probleem al

Het gaat hier om basale zonden tegen de beveiligingsprincipes die al lange tijd bekend zijn. Maar erger nog: Rotterdam was er zelf ook al van op de hoogte, en nam toch niet meteen afdoende maatregelen. De gebrekkige beveiliging van de mail en elektronische agenda van de burgemeester was in 2015 al geconstateerd door Fox-IT. En dat er onvoldoende regie was op de vertrouwelijkheid van pesoonsgegevens bleek vorig jaar februari. Toen dacht een ingehuurde medewerker dat het wel een fijn idee was om een harde schijf met gegevens  over de gemeentebelastingen van 32.000 personen aan zijn thuisnetwerk te hangen. De wifi-router in dat thuisnetwerk was niet beveiligd, zodat de gegevens binnen de kortste keren vindbaar werden via de zoekmachines van Google. Dat incident was aanleiding voor het onderzoek van de Rotterdamse rekenkamer. Maar dus niet voor adequate beveiligingsmaatregelen, althans niet op de termijn die je gezien de ernst van de zaak zou verwachten.

Lees meer over Beheer OP AG Intelligence
4
Reacties
Henk 08 april 2017 15:57

"Gemeente steekt kennelijk liever de kop in het zand dan maatregelen te nemen"? Is dit de AG of Geen Stijl?

Rob 06 april 2017 14:19

Goed betaalde amateurs op de afdeling ICT die geen idee van de werkekijkheid en hebben en niet beseffen wat de consequenties kunnen zijn.

Atilla Vigh 06 april 2017 12:40

Volgens mij heeft het met daadkracht te maken. Veel beveiligingen zijn eenvoudig door te voeren. Ja sommigen zaken kosten geld. Maar het is nu eenmaal vaak wettelijk verplicht. Ik geloof niet dat alle ICT medewerkers van een grote gemeente als Rotterdam dat niet weten. Dan blijven er twee plekken over waar het blijkbaar niet doordringt: de ambtelijke staf of de politiek. Beiden maken zich vaak schuldig aan opportuun gedrag. De ambtelijke staf zit gevangen in de dwang van budgetdiscipline en deadlines die allemaal tegelijk onmogelijk zijn te halen, terwijl de politiek worstelt met tegenstrijdige belangen en het vaak versnipperende politieke landschap.
Hoe hier uit komen? Ik waag een gok. Ik kan mij niet aan de indruk onttrekken dat als alle organisaties vanaf scratch opnieuw zouden mogen beginnen, of ooit historisch gegroeide situaties er ook zouden zijn. Maar zelfs stel dat dat zou lukken, gok ik zo dat veel organisaties meer werkvoorraad heeft liggen dan ze realistisch gezien aankan. Het zou de politiek en de ambtelijke staf sieren, om juist dat soort zaken, transparant kenbaar te maken. Het zou een verademing zijn als gemeenten (en wat mij betreft alle organisaties) gewoon op hun website aangeven wat de werkvoorraad is, welke prioriteiten er genomen worden en op basis waarvan. Iedereen zal dan begrijpen (dus niet alleen de burgers, maar ook de politiek en ambtelijke staf) dat het nooit mogelijk zal zijn om de gehele werkvoorraad in een keer weg te werken. Aan de andere kant worden misschien zaken in die werkvoorraad vaak complexer gepresenteerd dan strikt noodzakelijk. In het kader van ICT veiligheid kan een deel van de maatregelen wel degelijk in relatief korte tijd worden uitgevoerd (zonder al te veel kosten). Wat overblijft zal dan via prioritering moeten opgepakt worden. Uitdagingen genoeg.

Erwin 06 april 2017 11:58

Dit staat echt niet op zichzelf. Eerder kwamen al andere gemeenten in opspraak vanwege veelvuldige datalekken, gebrekkige beveiliging en dergelijke. En dat is ook niet verwonderlijk. De 'Open Standaarden' worden niet afgedwongen, niemand stelt strikte eisen op m.b.t. software veiligheid of netwerkveiligheid, en veel ICT afdelingen bij gemeenten moeten het hebben van de kennis en kunde van de eigen medewerkers.
Er is dringend behoefte aan striktere regels, controle, audits, en straffen...

Reactie toevoegen