Ernstige risico's bij informatiebeveiliging gemeente Utrecht

Dankzij interne penetratietesten (vanuit de gemeentelijke gebouwen) werden 17 kwetsbaarheden gevonden. Een extern bureau werd ingeschakeld om te proberen de systemen binnen te dringen en zo de beveiliging te testen. Wachtwoorden en gebruikersnamen werden bemachtigd via werkstations van werknemers. Het bleek mogelijk ‘live mee te kijken met medewerkers in de personeelsdossiers van de gemeente’.

Eenvoudig binnenlopen

Dat een hacker een gemeentelijk gebouw zou kunnen binnendringen en van daaruit te werk zou kunnen gaan, is geen denkbeeldig gevaar: "Tijdens inlooptesten konden onderzoekers eenvoudig gemeentelijke gebouwen betreden en werden zij niet door medewerkers aangesproken op hun onbevoegde aanwezigheid", schrijft de rekenkamer. Het aanspreken van onbekende bezoekers is iets waar medewerkers zich bewust van moeten worden.

De gemeente kan wat bewustwording gebruiken: bij een phishingtest verstrekten 950 medewerkers, 16% van het totaal, gebruikersnaam en wachtwoord. "121 gebruikers deden dit zelfs na de waarschuwing die door de gemeente is afgegeven na de eerste testdag." Volgens de rekenkamer is het percentage van 16% vergelijkbaar met uitkomsten van onderzoeken die het externe bureau uitvoerde bij andere gemeenten.

Er zou "geen centraal programma over informatiebewustzijn" zijn, concludeert de rekenkamer, maar dat wil het college nuanceren: er is inmiddels structureel financiering voor een plan dat voor komende zomer zal beginnen. Bovendien is er sinds oktober een projectleider bewustwording gegevensbescherming. Voor de rest stemt het college grotendeels in met de bevindingen. 

Omgevingen vermengen

Het lukte het bureau niet om van buitenaf de systemen binnen te dringen. Wel werden bij deze externe pentesten kwetsbaarheden gevonden, zoals de mogelijkheid om veilige en onveilige omgevingen te vermengen. Dat is al sinds 2018 bekend, maar er is geen consensus over de oplossing. "De consequentie is dat de betrouwbaarheid van informatie niet te garanderen is."

Andere belangrijke risico’s zijn ontbrekende beveiligingsupdates, verouderde besturingssysstemen en te kraken wachtwoorden die onveilig worden opgeslagen. ‘Daarmee kwalificeren wij de interne situatie rondom informatieveiligheid als ernstig.’ Wel heeft Utrecht het netwerk gesegmenteerd, iets dat bij Hof van Twente niet het geval was. De rekenkamer deelde de testresultaten al eerder met Utrecht "vanwege de ernst van de aangetroffen kwetsbaarheden en de urgentie om deze aan te pakken".

Toch lokaal opslaan

Thuiswerken vormt ook een risico voor de gemeente. "Slechts 15% van de laptops die de gemeente heeft verstrekt is voorzien van de juiste beveiligingsmaatregelen." De gemeente stelt geen eisen aan de beveiliging van de thuisnetwerken. "Om het gemeentenetwerk niet te overbelasten, moeten vergadertools buiten de beveiligde werkomgeving gebruikt worden. Zo ontstaat het risico dat medewerkers toch buiten de werkomgeving blijven werken en mogelijk gevoelige informatie lokaal opslaan."

De rekenkamer vergeleek de uitkomsten met onderzoeken door andere gemeentelijke rekenkamers en ziet grotendeels dezelfde bevindingen en aanbevelingen: binnendringen via interne pentesten gaat makkelijker, er moeten meer risicoanalyses gebeuren en medewerkers gebruiken zwakke wachtwoorden en spreken onbekende bezoekers niet aan.

Dit artikel werd eerder gepubliceerd op Binnenlands Bestuur.