Overslaan en naar de inhoud gaan

Ernstige risico's bij informatiebeveiliging gemeente Utrecht

Met name van binnenuit blijkt de gemeente Utrecht kwetsbaar als het gaat om informatieveiligheid. Dat blijkt uit het onderzoeksrapport van de rekenkamer getiteld 'Zo sterk als de zwakste schakel'. Onbevoegden konden binnenlopen en live meekijken met medewerkers. Medewerkers gaven naam en wachtwoord op bij een phishingtest. Het is alarmerend dat de rekenkamer een hoop overeenkomsten ziet met onderzoeken in andere gemeenten.
Utrecht
© CC0: Pixabay.com
CC0: Pixabay.com

Dankzij interne penetratietesten (vanuit de gemeentelijke gebouwen) werden 17 kwetsbaarheden gevonden. Een extern bureau werd ingeschakeld om te proberen de systemen binnen te dringen en zo de beveiliging te testen. Wachtwoorden en gebruikersnamen werden bemachtigd via werkstations van werknemers. Het bleek mogelijk ‘live mee te kijken met medewerkers in de personeelsdossiers van de gemeente’.

Eenvoudig binnenlopen

Dat een hacker een gemeentelijk gebouw zou kunnen binnendringen en van daaruit te werk zou kunnen gaan, is geen denkbeeldig gevaar: "Tijdens inlooptesten konden onderzoekers eenvoudig gemeentelijke gebouwen betreden en werden zij niet door medewerkers aangesproken op hun onbevoegde aanwezigheid", schrijft de rekenkamer. Het aanspreken van onbekende bezoekers is iets waar medewerkers zich bewust van moeten worden.

De gemeente kan wat bewustwording gebruiken: bij een phishingtest verstrekten 950 medewerkers, 16% van het totaal, gebruikersnaam en wachtwoord. "121 gebruikers deden dit zelfs na de waarschuwing die door de gemeente is afgegeven na de eerste testdag." Volgens de rekenkamer is het percentage van 16% vergelijkbaar met uitkomsten van onderzoeken die het externe bureau uitvoerde bij andere gemeenten.

Er zou "geen centraal programma over informatiebewustzijn" zijn, concludeert de rekenkamer, maar dat wil het college nuanceren: er is inmiddels structureel financiering voor een plan dat voor komende zomer zal beginnen. Bovendien is er sinds oktober een projectleider bewustwording gegevensbescherming. Voor de rest stemt het college grotendeels in met de bevindingen. 

Omgevingen vermengen

Het lukte het bureau niet om van buitenaf de systemen binnen te dringen. Wel werden bij deze externe pentesten kwetsbaarheden gevonden, zoals de mogelijkheid om veilige en onveilige omgevingen te vermengen. Dat is al sinds 2018 bekend, maar er is geen consensus over de oplossing. "De consequentie is dat de betrouwbaarheid van informatie niet te garanderen is."

Andere belangrijke risico’s zijn ontbrekende beveiligingsupdates, verouderde besturingssysstemen en te kraken wachtwoorden die onveilig worden opgeslagen. ‘Daarmee kwalificeren wij de interne situatie rondom informatieveiligheid als ernstig.’ Wel heeft Utrecht het netwerk gesegmenteerd, iets dat bij Hof van Twente niet het geval was. De rekenkamer deelde de testresultaten al eerder met Utrecht "vanwege de ernst van de aangetroffen kwetsbaarheden en de urgentie om deze aan te pakken".

Toch lokaal opslaan

Thuiswerken vormt ook een risico voor de gemeente. "Slechts 15% van de laptops die de gemeente heeft verstrekt is voorzien van de juiste beveiligingsmaatregelen." De gemeente stelt geen eisen aan de beveiliging van de thuisnetwerken. "Om het gemeentenetwerk niet te overbelasten, moeten vergadertools buiten de beveiligde werkomgeving gebruikt worden. Zo ontstaat het risico dat medewerkers toch buiten de werkomgeving blijven werken en mogelijk gevoelige informatie lokaal opslaan."

De rekenkamer vergeleek de uitkomsten met onderzoeken door andere gemeentelijke rekenkamers en ziet grotendeels dezelfde bevindingen en aanbevelingen: binnendringen via interne pentesten gaat makkelijker, er moeten meer risicoanalyses gebeuren en medewerkers gebruiken zwakke wachtwoorden en spreken onbekende bezoekers niet aan.

Dit artikel werd eerder gepubliceerd op Binnenlands Bestuur.

MELD JE AAN VOOR DE SECURITY GAME!

Meld je gratis aan voor de Security Game van AG Connect op donderdag 22 april. Tijdens deze middag ga je de strijd aan met hackers in een echte security escaperoom. Game-elementen worden afgewisseld met inhoudelijke sessies over security. Meer weten? Ga naar de website voor meer informatie of aanmelden.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in