Arnhem niet beschermd tegen interne ict-aanvallen

18 mei 2018 11:28 | Suzanne Martens | 1
Topic Overheid
Dit artikel delen:
cybersecurity

De ict-systemen van de gemeente Arnhem zijn zo lek als een mandje. Een ethische hacker kreeg van binnenuit de rechten van een systeembeheerder en kreeg zo toegang tot privacygevoelige informatie van burgers, ambtenaren en bestuurders. Dat blijkt uit een onderzoek van de Arnhemse Rekenkamer naar de technische informatiebeveiliging van de gemeente.

De Rekenkamer startte eind november 2017 onderzoek naar de technische kant van de informatiebeveiliging. Om dit te realiseren is de hulp van een ethische hacker ingeschakeld. In de rekenkamerbrief van 16 mei deelt de Rekenkamer de resultaten. 

De ethische hacker kon het gemeentelijke netwerk van binnenuit binnendringen. De Rekenkamer schrijft dat alle kernprocessen toegankelijk en manipuleerbaar waren, waardoor de hacker toegang kreeg tot privacygevoelige informatie. Daarnaast zegt de Rekenkamer dat De Connectie (de ambtelijke organisatie) niet ‘in control’ is op het gebied van informatiebeveiliging en privacybescherming.

Tot slot schrijft de Rekenkamer dat er sprake is van en ontkoppeling tussen gedrag, beleid en uitvoering. Dit onderzoek volgt namelijk naar aanleiding van het in februari 2017 verschenen rapport ‘Privacy made in [Arnhem]’. Hierin onderzocht de gemeente ‘de mate van doeltreffendheid en doelmatigheid van de informatieveiligheid en het privacybeleid in beleidsmatige zin’. Er werd gekeken naar het gedrag van de medewerkers en of daarmee een goede informatiebeveiliging werd gewaarborgd. Dit creëerde naar eigen zeggen een positief beeld. Een groot verschil met dit (technische) vervolgonderzoek.

Niet voorbereid op interne aanvallen

Het college zegt geschrokken te zijn van de resultaten. Het vertelt in een reactie dat de gemeente wel op de hoogte was van de gevaren van interne aanvallen, maar dat het hier nog geen maatregelen voor had genomen. ‘De eigen reguliere informatiebeveiligingsaudits van de gemeente richten zich primair op outside-in aanvallen. Bij dit onderzoek zijn van buitenaf geen kwetsbaarheden gevonden.’

De gemeente had dus nog geen tests uitgevoerd voor aanvallen van binnenuit. ‘De aangetroffen kwetsbaarheden bleken daar te zitten. Het ict-systeem gaf wel op een later moment een alarmering af, maar het had absoluut nooit zover mogen komen.’ Het college beschrijft de kwetsbaarheid voor aanvallen van binnenuit als het belangrijkste leerpunt van dit onderzoek van de rekenkamer.

Maatregelen

De gemeente zegt dat er direct maatregelen zijn genomen om de kwetsbaarheden op te lossen. Het benadrukt dat de kwetsbaarheid voor aanvallen van binnenuit via technische oplossingen moeten worden verminderd en dat de fysieke toegankelijkheid van de gebouwen niet verminderd moet worden.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder

Reacties

dino | 23 mei 2018 07:07

Parallel hieraan is men ook op zoek gegaan naar ethische bestuurders. Het onderzoek loopt nog maar ze zijn vooralsnog niet gevonden. Dat wil echter nog niet zeggen dat ze er niet zijn, benadrukt het rapport. Waakzaamheid blijft geboden.
Meer Nieuws
 
Meer Overheid
 
Whitepapers
Strategisch Portfolio Management: van strategie naar uitvoering in zes stappen
De digitale revolutie binnen publieke organisaties
Historische kans voor de digitalisering in de publieke sector
De 5 grootste struikelblokken op weg naar de digitale overheid
BIO - Naar een doordacht securitybeleid

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-05-18T11:28:00.000Z Suzanne Martens
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.