‘Cybersecurity niet alleen Rotterdams probleem’

Niet alleen bij gemeente Rotterdam, maar binnen de gehele overheid is betere informatieveiligheid nodig. Dat meldt Digicommissaris Bas Eenhoorn aan Binnenlands Bestuur. Hij doet naar aanleiding van een kritisch Rotterdams rapport over informatieveiligheid een oproep tot snellere implementatie van moderne internetstandaarden. Internet Society Nederland laat weten zich grote zorgen te maken.

Zevenhonderd kritieke lekken

Gemeente Rotterdam heeft zijn informatiebeveiliging slecht op orde. Burgemeester Ahmed Aboutaleb zou zelfs gevaar kunnen lopen doordat zijn agenda en e-mail inzichtelijk zijn voor hackers. Ook is het te makkelijk om toegang te krijgen tot informatie op het gemeentehuis zonder toegangspasje. In totaal zijn er zevenhonderd kritieke lekken in de systemen van de gemeente, zo blijkt uit het rapport dat in handen is van de Volkskrant.
 

Adoptie-impuls beveiligingsstandaarden
De Digicommissaris wil in een reactie niet ingaan op de specifieke situatie in Rotterdam. Hij ziet de kwetsbaarheden bij informatieveiligheid overal bij de overheid terugkomen. ‘Dit speelt niet alleen bij gemeente Rotterdam, maar overal binnen de overheid. Door de ontwikkelingen van Internet of Things-technologie nemen de risico’s alleen maar toe en wordt alles kwetsbaar. Bij ieder nieuw project moet cybersecurity goed op orde zijn. Er moeten flinke maatregelen genomen worden om malware en hackers buiten de deur te houden.’ Volgens Eenhoorn zijn er investeringen nodig om informatieveiligheid van de overheid beter op orde te krijgen. Kwetsbaarheden in e-mailbeveiliging bij de overheid staan al langer op de kaart. Met het Nationaal Beraad Digitale Overheid sprak Eenhoorn afgelopen zomer een adoptie-impuls af voor de implementatie van moderne beveiligingstandaarden bij e-mail. In 2018 moeten alle gemeenten dit op orde hebben.

‘Rotterdam luistert niet naar adviezen’
Internet Society Nederland waarschuwde eerder voor kwetsbaarheden in gemeentelijke e-mail, nadat uit een test van Binnenlands Bestuur bleek dat gemeenten niet aan moderne beveiligingsstandaarden voor e-mail voldoen. De situatie in Rotterdam baart ISOC dan ook zorgen, aldus Michiel Leenaars namens de organisatie. ‘Het baart ernstige zorgen dat de gemeente Rotterdam niet luistert naar het beveiligingsadvies dat ze krijgt van de experts die ze met publieke middelen inhuurt.’ Leenaars vindt het opmerkelijk dat Rotterdam zichzelf internationaal afficheert als een Smart City en miljoenen uitgeeft aan innovaties met potentieel verregaande implicaties op het gebied van de veiligheid van burgers. ‘Tegelijkertijd laat de stad met dit soort zaken niet echt niet zien dat ze die enorme verantwoordelijkheid kan dragen, nu ze niet in staat blijkt om zelfs maar basale ICT-infrastructuur te beveiligen. Of het nu het leven van de eerste burger betreft, of de privacy en veiligheid van de rest van de burgers: een stad als Rotterdam moet en kan dit beter.’
 

Verplichte e-mailstandaarden
Leenaars vindt dat de gebreken in Rotterdam pleiten voor een wettelijke verplichting om beveiligingsstandaarden te gebruiken. Ook een generieke digitale infrastructuur lijkt hem een goed plan. Hij waarschuwt tot slot voor de mogelijkheid voor kwaadwillenden om zich voor te doen als burgemeester Aboutaleb. ‘Iedereen kan van buitenaf email sturen namens burgemeester Aboutaleb of namens een willekeurige Rotterdamse ambtenaar, ook zonder het hacken van een mailaccount. De stad scoort ook op het punt van e-mailstandaarden nog steeds ruim onvoldoende, en past niet de in Nederland verplichte standaarden SPF, DKIM en DMARC toe die dat blokkeren. Dat kan iedereen die "rotterdam.nl" intypt op de site internet.nl zelf eenvoudig constateren.’

Rotterdam houdt rapport geheim 
Het rapport van de rekenkamer is in handen van de Volkskrant, maar de gemeente heeft het zelf nooit openbaar gemaakt. De gemeente stelt in een reactie dat er nog veel werk te doen is en dat de systemen 'van buitenaf, via het web' goed beveiligd zijn.  

Update: het rapport is inmiddels op de website van de Rekenkamer in te zien.