De Rotterdamse Rekenkamer heeft de resultaten van een onderzoek naar de gebrekkige ict-beveiliging toch openbaar gemaakt. Eerder wilde de Rotterdamse gemeenteraad dat delen van het rapport niet naar buiten zouden komen en dreigde zelfs met een kort geding. Nadat de gegevens waren gelekt, heeft het college de Rekenkamer gevraagd het rapport toch te publiceren, maar in aangepaste vorm.
Volgens de Rekenkamer hapert er nog veel aan de beveiliging van de gemeentelijke ict-systemen. Gevoelige informatie, zoals persoonsgegevens, is bij de gemeente onvoldoende in veilige handen.
Hackers
In opdracht van de Rekenkamer gingen hackers gebouwen van de gemeente binnen en drongen daar door in computersystemen. Volgens de rapporteurs konden zij bij gevoelige informatie komen, zoals de agenda van burgemeester Aboutaleb. Daardoor had de fysieke veiligheid van de burgemeester in gevaar kunnen komen.
De ethische hackers lieten usb-sticks met spyware achter als lokmiddel. Die werden in enkele gevallen door gemeentemedewerkers gebruikt waardoor derden toegang tot de systemen kregen. Er werden tevens twee spear phishing-e-mails naar ambtenaren verstuurd. In één geval kwam geen reactie, maar de ontvanger van de andere mail opende een verdachte link. Veel hackers proberen op deze manier van buitenaf in systemen in te breken. De computerkrakers hadden ook de publieke dienstverlening kunnen verstoren, doordat bruggen en verkeerslichten op afstand zijn te bedienen. Bovendien hadden ze de uitbetaling van uitkeringen kunnen beïnvloeden.
Kort geding
Het college wilde niet dat details over de hackpogingen naar buiten zouden komen en vroeg de Rekenkamer passages uit het rapport te schrappen. Er werd zelfs gedreigd met een kort geding.
Omdat delen van het onderzoek op 6 april uitlekten, reageert het college toch op het nog niet gepubliceerde rapport. Wethouder Visser stelde hierbij dat de gemeenteraad de meeste conclusies en aanbevelingen van de Rekenkamer overneemt. De omstreden passages in het rapport gaan volgens hem over hackers die in opdracht van de Rekenkamer, en met toestemming van de gemeente, probeerden in te breken in de computersystemen van de gemeente.
‘Pogingen om van buitenaf in de systemen te komen, zijn niet gelukt. Wel zijn hackers die gebouwen van de gemeente zijn binnengekomen, er in geslaagd om in de systemen te komen’, vertelt verantwoordelijk wethouder Adriaan Visser aan de NOS.
Volgens de wethouder zijn de hackers wel gedetecteerd, maar konden ze toch bij vertrouwelijke informatie komen. Het college had gevraagd de gaten in de beveiliging te dichten, voordat de gegevens naar buiten zouden komen. De passages hierover in het rapport vormen volgens de raad een risico voor bestuurders en burgers. De formuleringen in het rapport over de veiligheid van Aboutaleb noemt Visser ten slotte ‘ondoordacht en onbezonnen’ en hadden volgens hem niet in het rapport mogen komen.
Rapport Rekenkamer Rotterdam
Uit het onderzoek van de Rekenkamer blijkt dat gevoelige informatie, zoals (bijzondere) persoonsgegevens, over het algemeen onvoldoende in veilige handen is bij de gemeente Rotterdam, ondanks dat de gemeente op papier wel adequaat beleid en organisatie voor de informatiebeveiliging heeft opgesteld. De gemeente schiet echter tekort in de uitvoering daarvan. Digitale informatiesystemen zijn onvoldoende beveiligd voor aanvallen van binnenuit, de fysieke beveiliging van meerdere kantoorlocaties schiet tekort en er is te weinig ‘social en security awareness’ bij medewerkers. Het niet volgen van de voorgeschreven pdca-cyclus en het feit dat de beveiligingsmaatregelen niet volgen uit systematische en actuele risicoanalyses, illustreren het tekort aan centrale sturing.
Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. De Rekenkamer constateert daarnaast dat er grote verschillen bestaan tussen de kwaliteit van informatiebeveiliging van afzonderlijke systemen. Ook hier ontbreekt het aan centrale sturing.
De Rekenkamer heeft onder meer aanbevolen in te zetten op een krachtige centrale sturing op informatiebeveiliging en alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten.
Het volledige rapport is te vinden op de site van de Rekenkamer.
Zinvol artikel en weer een smet op het ‘blazoen’ van de it-professionals bij de gemeente Rotterdam. Het is een competentie-ding maar ook een enorm instellingsprobleem waar Rotterdamse ambtenaren professioneel mee kampen.
Dit laatste natuurlijk niet alleen bij de gemeente Rotterdam maar elders in den lande ook.
Stuitend.