'Provincies wisten al maanden van kwetsbare ICT-systemen'
De kwetsbare systemen zijn in het beheer bij uitvoeringsorganisatie BIJ12, de uitvoeringsorganisatie van de twaalf Nederlandse provincies. Ze werden door zowel ambtenaren als burgers gebruikt, bijvoorbeeld om de kwaliteit van zwemwater of vergunningen op te zoeken.
De systemen blijken echter allerlei problemen te bevatten. Volgens het Noordhollands Dagblad kregen de provincies maanden geleden al een rapport van een ICT-leverancier, waaruit bleek dat de beveiliging bij BIJ12 niet op orde was. In december volgde een tweede rapport, dat volgens de krant bijna identiek aan het eerste was.
Volgens de rapporten waren noodzakelijke updates van machines en onderhoud van systemen onvoldoende of helemaal niet uitgevoerd. Daardoor bleken de tientallen machines waar de systemen op draaiden op één na allemaal beveiligingsproblemen te hebben. Naar aanleiding van het eerste rapport zou BIJ12 extra geld hebben gekregen om de problemen op te lossen, maar slechts één systeem werd aangepast. En dat systeem - Risicokaart - bleek in december nog steeds grote kwetsbaarheden te vertonen. Het systeem werd onlangs offline gehaald.
Onderzoek naar hacks
In december werd een spoedbijeenkomst ingelast door de verantwoordelijke informatiebeveiligers. Zij spraken daar van 'ernstige nalatigheid', blijkt uit een verslag dat het Noordhollands Dagblad via het klokkenluiderportal Publeaks in handen kreeg. De informatiebeveiligers zeggen in dat verslag dat ze ervanuit mogen gaan dat ze gehackt zijn, en dat ze enorm geschrokken zijn.
De systemen werden echter niet direct offline gehaald. De beveiligers waren bang dat de dienstverlening in alle provincies daardoor op het spel zou komen te staan. In plaats daarvan werd er een extern bureau bijgehaald om te laten onderzoeken of er sporen zijn van hacks.
BIJ12 bevestigt tegenover AG Connect dat bepaalde systemen offline zijn gehaald. "Beveiliging is een continue proces en heeft de aandacht bij BIJ12. Eind vorig jaar zijn er ook issues op een applicatie geconstateerd. Deze issues zijn direct opgepakt en er zijn maatregelen genomen. Voor sommige applicaties geldt dat er sprake is van verouderde voorzieningen."Een woordvoerder benadrukt dat er geen sprake is geweest van een hack als gevolg van de kwetsbaarheden en dat er geen gegevens zijn gelekt.
Beveiligingsanalyse
Volgens BIJ12 zijn vooral overheden en semi-overheden door de problemen geraakt. "Ook publiceren we via sommige applicaties publieksinformatie, dat is momenteel niet mogelijk. Het besluit voor het offline zetten van de applicaties is mede gebaseerd op een beveiligingsanalyse door een externe expert."
Er is echter een voorziening getroffen om de functionaliteit van de applicatie weer beschikbaar te stellen voor gebruikersgroepen bij de provincies, overheden en natuurorganisaties. Daardoor zou de hinder voor gebruikers beperkt zijn gebleven. "Voordat de applicaties weer voor iedereen via het internet toegankelijk zijn, lossen we de beveiligingsproblemen van iedere applicatie op." Hoelang die onderbreking duurt, kan BIJ12 niet zeggen.
Volgens de organisatie blijven andere applicaties online, aangezien daar geen kwetsbaarheden in zijn geconstateerd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee