Gemeenten gebruiken nog volop verouderd Windows 7

Dat blijkt uit een enquête van Binnenlands Bestuur en AG Connect onder vijftig gemeenten. 22 van de 35 gemeenten gaven eind februari van dit jaar aan Windows 7 te gebruiken. Het gaat in totaal om zo’n 16.000 werkplekken. Vijftien gemeenten reageerden niet, onder meer omdat dit mogelijk risico’s voor informatiebeveiliging met zich mee zou brengen.

Sommige gemeenten zijn grootgebruikers: Utrecht heeft 4.600 pc’s met Windows 7, Amsterdam 4.500 en Tilburg 2.500. Windows 7 wordt sinds januari niet meer ondersteund door Microsoft. Er komen geen beschermingsupdates, tenzij organisaties daarvoor betalen.

Patches

Negen van de 22 gemeenten die Windows 7 gebruiken, hebben geen patches (reparatiesoftware) en updates. De overige dertien geven aan wel te patchen en moeten daar Microsoft voor betalen. Amsterdam meldt dat de kosten voor 2020 circa 375.000 euro bedragen. "De overstap van Windows 7 naar Windows 10 is voor de gemeente Amsterdam geen kleine operatie", geeft de gemeente aan in een schriftelijke reactie.

Een woordvoerder benadrukt dat Amsterdam niet overvallen is door het stoppen van de ondersteuning door Microsoft en dat er op tijd aanvullende ondersteuning is ingekocht, zodat de gemeente geen aanvullend beveiligingsrisico loopt. Amsterdam wil niet dat de dienstverlening onverwachts stil komt te liggen. "Het gaat hier in totaal om meer dan 17.000 desktops en 5.200 laptops en meer dan 1.000 applicaties. Die applicaties moeten allemaal worden getest op Windows 10 en als ze daar niet  op werken, dan moeten de applicaties worden aangepast."

 

 

Phishing en spam

Diverse gemeenten zijn niet in actie gekomen om pc’s te ondersteunen met beveiligingsupdates van Microsoft. Zo moeten in Beverwijk nog 175 pc’s worden overgezet naar Windows 10. In april moet die operatie worden afgerond. Hoe eventuele veiligheidsrisico’s worden weggenomen, laat de woordvoerder in het midden. Heerenveen is ook één van de gemeenten die geen updates meer ontvangt voor Windows 7, maar nog wel pc’s heeft die het besturingssysteem gebruiken. Om risico’s te vermijden gebruiken de acht pc’s gebruiken geen internet.

Ondanks de patches blijft Windows 7 een verouderd besturingssysteem, reageert Dave Maasland van cybersecuritybedrijf ESET. Hij wijst op een bericht van eind maart waarin Microsoft aankondigt dat er een ‘zeroday-aanval’ was die zich specifiek richtte op Windows 7. Een dergelijke aanval maakt gebruik van zwakke plekken in systemen die verder nog niet bekend zijn, dus een systeem zal daar ook nog niet tegen gepatcht zijn. ‘Belangrijk is juist nu extra maatregelen te treffen om risico te beperken’, zegt hij. "We zien dat cybercrime-activiteit vanwege de coronacrisis toeneemt als phishing en spam. Bovendien brengt werken op afstand additionele risico’s met zich mee. Beveiliging schaalt niet altijd evenredig mee, sterker nog, Windows 7 draagt hier niet aan bij."

'Risico acceptabel'

De informatiebeveiligingsdienst van gemeentekoepel VNG schrijft dat door aanvullende maatregelen de risico’s helemaal zijn weg te nemen. "Als zo’n machine niet internet-facing is – dat wil zeggen achter een firewall wordt gebruikt – en als die verbinding maakt met vertrouwde diensten via een beveiligde verbinding, dan is het risico acceptabel."

Dat er niet is geüpgraded en gepatcht kan volgens Maasland een combinatie van oorzaken hebben: bureaucratie, schaarste qua personeel, een gebrek aan urgentie… "Maar het zijn ook symptomen dat er andere dingen aan de hand kunnen zijn. Als je de basis niet op orde hebt, dan maak je je ook zorgen over de rest. Gemeenten werken met zo veel applicaties en data dat dit niet echt het vertrouwen geeft dat ze in control zijn."