nieuws

Rapport Rekenkamer veegt vloer aan met gemeentelijke ICT-beveiliging

De Rotterdamse Rekenkamer heeft donderdag het onderzoek naar de ICT-beveiliging van gevoelige informatie gepubliceerd. Eerder deze week dreigde burgemeester Aboutaleb met de rechter als de Rekenkamer het stuk deze week openbaar zou maken. De Rekenkamer oordeelt hard over de gemeente.
Het rapport 'In onveilige handen' was al eerder uitgelekt; de Volkskrant berichtte er donderdagochtend over. De krant maakte melding van een gevoelige beveiligingsfout: de geheime agenda van burgemeester Aboutaleb is voor hackers toegankelijk.
Aboutaleb is volgens de Volkskrant een mogelijk doelwit van terrorisme, en krijgt mede daarom persoonsbeveiliging. Zijn agenda moet daarom geheim blijven.
Het Rotterdamse college voelde zich vanwege het lek geroepen te reageren op het stuk. Wethouder Visser noemde het 'ondoordacht en onbezonnen' dat de Rotterdamse Rekenkamer gevoelige beveiligingsfouten in het rapport beschrijft.

Gekuiste versie

Visser kondigde aan dat de rekenkamer donderdag een aangepaste, gekuiste versie van het rapport zou publiceren, maar directeur Hofstra heeft dat naast zich neergelegd door de oorspronkelijke versie van het stuk openbaar te maken. Alleen tekstueel zijn er kleine aanpassingen doorgevoerd, maar in technische zin heeft de rekenkamer niets aangepast
De Rekenkamer oordeelt hard over de beveiliging van de Rotterdamse ICT. Gevoelige informatie is bij de gemeente niet in goede handen.
Dat komt omdat niet alleen de beveiliging van de computers tekort schiet, maar ook omdat gemeentelijke gebouwen onvoldoende beveiligd zijn. Medewerkers van de Rekenkamer kwamen gemakkelijk binnen en hadden snel toegang tot het netwerk. Ook zijn ambtenaren zich te weinig bewust van veiligheidsrisico's, aldus de Rekenkamer.
Het rapport over onbevoegd toegang tot gemeentelijke gebouwen: "Het bleek eenvoudig om ongeautoriseerd toegang te krijgen tot gemeentelijke panden. Eenmaal binnen was er vrije toegang tot kwetsbare ruimtes en vertrouwelijke informatie."
"Tijdens de inlooptesten hebben de onderzoekers 'lokmiddelen' achtergelaten. Een aantal hiervan is door medewerkers gebruikt, waardoor oneigenlijke toegang kon worden verschaft."

Interne penetratietest

Het rapport over de interne penetratie-test: "Door de aangetroffen kwetsbaarheden te misbruiken hebben de onderzoekers beheerrechten verkregen waarmee nagenoeg alle Windowssystemen, netwerkmappen, gebruikersmappen, mailboxen en andere systemen

toegankelijk werden, waaronder het account van een bestuurder."
"Ook konden de onderzoekers bestandsnamen doorzoeken en zo bestanden achterhalen waarin naar alle waarschijnlijkheid vertrouwelijke persoonsgegevens zijn opgeslagen."
De gemeentelijke ICT-systemen zijn beter beveiligd tegen aanvallen van buiten, op een paar kleine kwetsbaarheden na, aldus het rapport.

Identiteitsfraude

De gebrekkige ICT-beveiliging kan verregaande gevolgen hebben. De Rekenkamer noemt onder meer identiteitsfraude, verstoring van de openbare orde en fysieke onveiligheid van politiek-bestuurlijke ambtsdragers.
De Rekenkamer oordeelt dat het college de veiligheid van de computersystemen niet serieus genoeg neemt.
Met deze conclusie is wethouder Visser het deels eens: "Elk jaar en consequent moeten we blijven investeren in de honderden systemen van de gemeente waar ik het niet mee eens ben is dat we niets gedaan hebben. We hebben juist fors geïnvesteerd op allerlei manieren in middelen en in de mensen die ermee werken."

Lekken dichten

Het Rotterdamse college probeerde zondag nog de publicatie van het rapport tegen te houden en dreigde zelfs met een rechtszaak. Het stadsbestuur wilde de publicatie van het rapport een half jaar uit te stellen om de meest gevoelige beveiligingslekken te kunnen dichten.
De Rekenkamer wijst erop dat de gemeente in oktober vorig jaar al is gewaarschuwd over ernstige kwetsbaarheden in de ICT-systemen, en ook nog eens een keer in januari. Het ging daarbij ook nog eens om lekken die al anderhalf jaar bekend waren.
Uitstel van publicatie met nog eens een half jaar zoals het college wilde, 'baart de Rekenkamer grote zorgen', zo schrijft de Rotterdamse Rekenkamer in het nawoord van het rapport.
Documenten:

💬 WhatsApp ons!
Heb jij een tip voor de redactie? Stuur ons een bericht, foto of filmpje via WhatsApp ons of Mail: nieuws@rijnmond.nl