‘Hacker kon tonnen aan orders bestellen namens ambtenaren’

De ICT-systemen van Heerlen waren tot voor kort onveilig en erg kwetsbaar. Het lukte ethische hackers om orders te plaatsen namens ambtenaren voor duizenden euro's. Dat blijkt uit een rapport van de Rekenkamer van gemeente Heerlen dat het afgelopen half jaar geheim is gehouden. De aanleiding van het rapport was een onderzoek van Binnenlands Bestuur  van een jaar geleden. De gemeente heeft de zwakke digitale beveiliging inmiddels aangepakt.

Ethische hacker

Uit het onderzoek van Binnenlands Bestuur bleek destijds dat de meeste gemeenten geen moderne standaarden voor e-mailbeveiliging gebruiken, terwijl die wel sterk worden aanbevolen door Forum Standaardisatie. De Heerlense Rekenkamer wilde de digitale veiligheid van de gemeente onderzoeken en schakelde in navolging van Den Haag, Almere en Haarlemmermeer een zogeheten ‘ethische hacker’ in om onveiligheden op te sporen. De hacker zocht daarbij naar ‘eenvoudige kwetsbaarheden’ zoals open poorten, admin- wachtwoorden, user id’s en andere inlogcodes. Vervolgens werden de verkregen inlogcodes gebruikt om dieper in het systeem te komen.

Onthutsende resultaten
De resultaten van het onderzoek vond de Rekenkamer ‘onthutsend’. Bij twee van drie onderzochte gemeentelijke systemen bleek dat deze kunnen worden overgenomen door iemand van buitenaf.

De Rekenkamer schreef daarover in het rapport: ‘Met succes is toegang verkregen tot deze geteste systemen binnen het gemeente Heerlen netwerk. Tijdens deze testen is eveneens toegang verkregen tot zeer gevoelige informatie, te weten persoonsgegevens van 223 personen en bijbehorende gebruikersnamen en wachtwoorden, waaronder een uitgebreide verzameling (login)gegevens van medewerkers van verschillende gemeenten.’

Eenvoudige wachtwoorden

Opvallend vond de Rekenkamer dat medewerkers wachtwoorden kozen die zeer eenvoudig van aard waren, waardoor de vraag werd opgeworpen of medewerkers zich wel voldoende bewust zijn van risico’s. Bij één geteste webapplicatie lukte het de ethische hacker om binnen te komen in een intern ordersysteem waar bestellingen kunnen worden geplaatst namens personen van wie logingegevens zijn achterhaald. De hacker kon zodoende een bestelling plaatsen van maximaal 100.000 euro.  De conclusie van het onderzoek was uiteindelijk niet mals: er bleken diverse veiligheidsrisico’s te bestaan en de Rekenkamer concludeerde dan ook dat de organisatie zeer kwetsbaar was. Daarbij liep niet alleen Heerlen, maar ook alle aangesloten gemeenten en GR’s groot risico.