Gemeente Rotterdam veiliger en toch nog hackbaar

“Uit de ‘black box’ penetratietest bleek dat in het vorige rekenkameronderzoek geconstateerde kwetsbaarheden, waarmee relatief eenvoudig toegang tot het gemeentelijke netwerk kon worden verkregen, inmiddels gedeeltelijk zijn verholpen.” Dit schrijft directeur Paul Hofstra van de Rekenkamer Rotterdam nu aan de gemeenteraad. In zijn brief stipt hij de verbeteringen aan maar ook de opnieuw geconstateerde tekortkomingen.

Niet volledig weggewerkt

“Kwaadwillenden hebben thans minder mogelijkheden om schade toe te brengen. Niet volledig weggewerkt zijn de kwetsbaarheden ten aanzien van netwerktoegang en verouderde software.” Dit is in april vorig jaar ook al aan het licht gekomen door een eerste pentest waaruit bleek dat de Rotterdamse IT-beveiliging een gatenkaas was.

De gemeente wou het kritische rapport ‘In onveilige handen’ aanvankelijk niet publiek maken en heeft vervolgens de presentatie nog uitgesteld. Vervolgens heeft het College van Burgemeester en Wethouders nog de kritiek weersproken: de IT-beveiliging moet wel aangescherpt worden, maar zou zeker geen gatenkaas zijn.

Black box en grey box

De Rekenkamer Rotterdam heeft hierna, in overleg met de gemeente, een nieuwe pentest laten uitvoeren. Dit is eind november en begin december gedaan door een gespecialiseerd bureau, schrijft Hofstra in zijn brief nu aan de gemeenteraad. Hierbij is social engineering uitgevoerd, in de vorm van spear phishing middels e-mails en nu ook door voice phishing waarbij medewerkers werden gebeld om inloggegevens buit te maken.

Naast dit hacken via mensen is ook geprobeerd fysiek binnen te komen in gemeentepanden om daar dan netwerktoegang te verkrijgen. De interne penetratietest is op twee manieren gedaan: zonder enige voorkennis (‘black box’) en met enige voorkennis (‘grey box’). Bij laatstgenoemde hebben de pentesters gebruik gemaakt van aangeleverde inloggegevens.

Persoonsgegevens

De gemeente Rotterdam heeft het afgelopen jaar verbeteringen doorgevoerd, waaronder een awareness-programma en meer fysieke bewaking. Laatstgenoemde is nog niet op orde, merkt de Rekenkamer nu op, maar de impact hiervan wordt beperkt door technische beveiligingsmaatregelen. Op technisch vlak valt er echter ook nog wat te verbeteren, want de ‘black box’ pentest heeft toch deels resultaat opgeleverd.

De verouderde software bij de gemeente en kwetsbaarheden voor netwerktoegang geven kwaadwillende mogelijkheden, zij het met minder schade dan vorig jaar mogelijk bleek. De Rekenkamer meldt nu: “Deze kwetsbaarheden stelden de onderzoekers in staat om toegang te krijgen tot een individueel werkstation, een specifiek informatiesysteem (zonder persoonsgegevens) en een map met persoonsgegevens, waaronder identiteitsbewijzen van medewerkers en boetes.”

Snellere detectie

De Rekenkamer waarschuwt dat een hacker met relatief veel tijd tot zijn beschikking hierlangs toch toegang kan krijgen tot meer gemeentelijke informatiesystemen waarin gevoelige persoonsgegevens staan. “De onderzoekers kregen echter geen kans om de kwetsbaarheden op deze manier te misbruiken en in een positie te komen om schade aan te brengen, omdat de hackpoging tamelijk snel door de gemeentelijke organisatie werd opgemerkt.”

De gemeente Rotterdam is hierin goed vooruitgegaan, want in de vorige pentest door de Rekenkamer zijn de ‘aanvallers’ in een veel later stadium ontdekt en alleen bij een specifieke applicatie. “De testers waren toen al zo ver gevorderd dat zij schade konden aanbrengen of daar – na de onderbreking – elders mee door konden gaan. De ontdekking in de hertest was veel sneller, terwijl bovendien deze penetratiepogingen op een veel ‘geruislozere’ manier plaatsvonden.”

Verbeteringen en vertrouwelijk rapport

Bovendien blijkt de ‘grey box’ variant van de test nog minder succesvol. Daar mislukten de pogingen om binnen te dringen op andere systemen om daar misbruik te plegen. De Rekenkamer neemt hierbij nog wel een slag om de arm: “behoudens enkele soortgelijke kwetsbaarheden als hiervoor”. Daarmee verwijst de controlerende instantie naar de nog altijd aanwezige verouderde software en kwetsbaarheden in de netwerktoegang.

Het complete rapport van deze nieuwe pentest is op 11 december overhandigd aan de Rekenkamer, die het inmiddels heeft gedeeld met de gemeente. Het rapport is overigens wel vertrouwelijk en maakt geen deel uit van de openbare brief, die een algemene indruk geeft van de bevindingen plus risico’s en mogelijke consequenties.

Positief beeld en meerjarenplan

“De resultaten van de social engineering test, de inlooptest, de interne penetratietest en de wifi-test geven een positief beeld. De rekenkamer constateert dat de effectiviteit van de beveiliging sinds eind 2016 merkbaar is verbeterd.” De gemeente heeft een meerjarig verbeterprogramma opgezet, dat nog tot 2020 loopt. De Rekenkamer dringt er op aan om ook daarna de informatiebeveiliging op orde te houden, conform het beleid van de gemeente.