171 Limburgse ambtenaren trapten in phishingmail

De informatieveiligheid van provincie Limburg is voor verbetering vatbaar, zo luidt de voorzichtige conclusie van de Zuidelijke Rekenkamer. Ingehuurde ethische hackers kregen op meerderde manieren ongeautoriseerde toegang tot vertrouwelijke informatie van de provincie. Uit het rapport van de rekenkamer blijkt onder meer dat 171 provinciemedewerkers hun gegevens invulden bij een phishingmail.

Toegang tot vrijwel alle gegevens van de provincie
Er werd door de goedaardige hackers een phishingaanval uitgevoerd op alle emailadressen die eindigen op @prvlimburg.nl. Dit bleken er 1398 te zijn. Maar liefst 171 ontvangers van de email vulden hun gebruikersnaam en wachtwoord in. Daarnaast lukte het de ethische hackers om beheerdersrechten te krijgen op een groot aantal systemen. Er was uiteindelijk toegang mogelijk tot vrijwel alle gegevens en systemen van de provincie. Het lukte onder meer om databases te bevragen en systemen op afstand te besturen. Bij verschillende loginpagina’s en enkele systemen van de provincie ontbrak het aan beveiligde verbindingen. Zodoende konden kwaadwillenden gebruikersnamen en wachtwoorden onderscheppen. De hackers verkregen ook fysiek ongeatoriseerde toegang tot vertrouwelijke informatie, zo schrijft de rekenkamer.

Eerdere penetratietest

De bevindingen kwamen opmerkelijk genoeg al eens eerder naar voren, namelijk bij dezelfde penetratietest, die in 2015 al eens werd uitgevoerd. De rekenkamer vindt dat het tempo van het nemen van maatregelen daarom omhoog mag. ‘Een aantal bevindingen hiervan had niet opnieuw naar voren moeten zijn gekomen, omdat de maatregelen daarvoor al getroffen hadden kunnen zijn.’ Informatieveiligheid kreeg de afgelopen jaren wel steeds meer aandacht binnen de provincie Limburg en er werden diverse maatregelen genomen om deze te verhogen. ‘Vooral in de opzet is de informatiebeveiliging, op enkele punten na, goed ingericht. De uitvoering vindt ook voor een groot deel conform deze opzet plaats, maar het tempo van de implementatie van de voorgenomen beveiligingsmaatregelen is voor verbetering vatbaar’, concludeert de rekenkamer.

Inspanning moet intensiever

De provincie blijkt ondanks de eerdere inspanningen echter nog steeds kwetsbaar  ‘In een aantal gevallen was dat niet nodig geweest. Gezien de risico’s en mogelijke gevolgen van inbreuken op de informatieveiligheid is het dan ook van belang dat de provincie haar handelen intensief voortzet, zodat informatieveiligheid een vanzelfsprekende voorwaarde wordt in alle geledingen van de provinciale organisatie.’ Gedeputeerde Staten van Limburg hebben aangegeven zich te herkennen in de conclusies van de rekenkamer, die de aanbeveling doet om de toenemende aandacht voor het onderwerp voort te zetten en de inspanningen te intensiveren en te versnellen.