Beveiliging Rotterdamse IT is gatenkaas
De Rotterdamse rekenkamer heeft een kritisch rapport opgesteld over de staat van beveiliging van de Rotterdamse IT. Dat mocht van de gemeente niet gepubliceerd worden, maar is nu toch uitgelekt. Dat de gemeente Rotterdam er niet blij mee is, dat is nu goed te verklaren. Maar waarom de gemeente het zo ver heeft laten komen ... dat is een wonder.
© Shutterstock
Shutterstock
Het meest saillante onderdeel van het rapport dat is uitgelekt naar de Volkskrant, is de gebrekkige beveiliging van de systemen waarop de mail en agenda van burgemeester Aboutaleb staan. Die blijken voor een hacker gemakkelijk toegankelijk.
Ernstiger is, dat ook persoonsgegevens van de Rotterdammers volgens de rekenkamer niet afdoende beveiligd zijn. In Rotterdam was in 2016 19 keer sprake van een datalek. Bovendien zijn er structurele tekortkomingen bij het beveiligen van de persoonsgegevens. Er wordt gebruikgemaakt van verouderde software, het is onduidelijk wie bepaalde applicaties met gevoelige gegevens beheert, er is geen overzicht van alle processen waarbij gevoelige persoonlijke gegevens worden verwerkt en er worden ook nauwelijks risico-analyses uitgevoerd.
Laag bewustzijn van de gevaren
De Rotterdamse infrastructuur is ook niet goed beveiligd, constateert de rekenkamer. Wie zich toegang weet te verstrekken tot een computer van de gemeente, kan bijvoorbeeld bruggen bedienen en stoplichten ontregelen. Het bemachtigen van de benodigde inloggegevens is bovendien kinderlijk eenvoudig, omdat het beveiligingsbewustzijn bij grote delen van de gemeente beneden peil is. Bij een test lukte het om binnen enkele uren bij 4 gemeentelijke panden zonder geldige toegangspas binnen te lopen. En eenmaal binnen kon de insluiper zich zonder noemenswaardige moeite en zonder op zijn aanwezigheid aangesproken te worden toegang verschaffen tot werkplekken, technische ruimtes en vertrouwelijke informatie. Het idee dat rondslingerende USB-sticks niet te vertrouwen zijn, heeft ook nog niet postgevat. Een kwart van de USB-sticks die een insluiper achterliet, werd door medewerkers vervolgens gebruikt.
Gemeente Rotterdam kende probleem al
Het gaat hier om basale zonden tegen de beveiligingsprincipes die al lange tijd bekend zijn. Maar erger nog: Rotterdam was er zelf ook al van op de hoogte, en nam toch niet meteen afdoende maatregelen. De gebrekkige beveiliging van de mail en elektronische agenda van de burgemeester was in 2015 al geconstateerd door Fox-IT. En dat er onvoldoende regie was op de vertrouwelijkheid van pesoonsgegevens bleek vorig jaar februari. Toen dacht een ingehuurde medewerker dat het wel een fijn idee was om een harde schijf met gegevens over de gemeentebelastingen van 32.000 personen aan zijn thuisnetwerk te hangen. De wifi-router in dat thuisnetwerk was niet beveiligd, zodat de gegevens binnen de kortste keren vindbaar werden via de zoekmachines van Google. Dat incident was aanleiding voor het onderzoek van de Rotterdamse rekenkamer. Maar dus niet voor adequate beveiligingsmaatregelen, althans niet op de termijn die je gezien de ernst van de zaak zou verwachten.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee