of 59082 LinkedIn

Helft gemeenten op verouderd Windows 7

Meer dan de helft van de gemeenten werkt nog met het uitgefaseerde Windows 7, dat niet meer wordt ondersteund met beveiligingsupdates. Juist nu er in verband met de coronacrisis veel thuis wordt gewerkt, brengt dat extra risico’s met zich mee. Dat blijkt uit een enquête van Binnenlands Bestuur en AG Connect onder vijftig gemeenten.

Meer dan de helft van de gemeenten werkt nog met het uitgefaseerde Windows 7, dat niet meer wordt ondersteund met beveiligingsupdates. Juist nu er in verband met de coronacrisis veel thuis wordt gewerkt, brengt dat extra risico’s met zich mee. Dat blijkt uit een enquête van Binnenlands Bestuur en AG Connect onder vijftig gemeenten.

16.000 werkplekken

22 van de 35 gemeenten die meewerkten, gaven aan Windows 7 te gebruiken. Het gaat in totaal om zo’n 16.000 werkplekken. Vijftien gemeenten reageerden niet, onder meer omdat dit mogelijk risico’s voor informatiebeveiliging met zich mee zou brengen. Sommige gemeenten zijn grootgebruikers: Utrecht heeft 4.600 pc’s met Windows 7, Amsterdam 4.500 en Tilburg 2.500. Windows 7 wordt sinds januari niet meer ondersteund door Microsoft. Er komen geen beschermingsupdates, tenzij organisaties daarvoor betalen.

 

Microsoft betalen

Negen van de 22 gemeenten die Windows 7 gebruiken, hebben geen patches (reparatiesoftware) en updates. De overige dertien geven aan wel te patchen en moeten daar Microsoft voor betalen. Amsterdam meldt dat de kosten voor 2020 circa 375.000 euro bedragen. ‘De overstap van Windows 7 naar Windows 10 is voor de gemeente?Amsterdam?geen kleine operatie’, geeft de gemeente aan in een schriftelijke reactie.

 

Niet overvallen

De gemeente benadrukt dat ze niet overvallen zijn door het stoppen van de ondersteuning door Microsoft en dat er op tijd aanvullende ondersteuning is ingekocht, zodat de gemeente geen aanvullend beveiligingsrisico loopt. Amsterdam wil niet dat de dienstverlening onverwachts stil komt te liggen. ‘Het gaat hier in totaal om meer dan 17.000 desktops en 5.200 laptops en meer dan 1.000 applicaties. Die applicaties moeten allemaal worden getest op Windows 10 en als ze daar niet  op werken, dan moeten de applicaties worden aangepast.’

 

Phishing en spam

Diverse gemeenten zijn niet in actie gekomen om pc’s te ondersteunen met beveiligingsupdates van Microsoft. Zo moeten in Beverwijk nog 175 pc’s worden overgezet naar Windows 10. In april moet die operatie worden afgerond. Hoe eventuele veiligheidsrisico’s worden weggenomen, laat de woordvoerder in het midden. Heerenveen is ook één van de gemeenten die geen updates meer ontvangen voor Windows 7, maar nog wel pc’s heeft die het besturingssysteem gebruiken. Om risico’s te vermijden gebruiken de acht pc’s geen internet.

 

Zeroday-aanval

Ondanks de patches blijft Windows 7 een verouderd besturingssysteem, reageert Dave Maasland van cybersecuritybedrijf ESET. Hij wijst op een bericht van eind maart waarin Microsoft aankondigt dat er een ‘zeroday-aanval’ was die zich specifiek richtte op Windows 7. Een dergelijke aanval maakt gebruik van zwakke plekken in systemen die verder nog niet bekend zijn, dus een systeem zal daar ook nog niet tegen gepatcht zijn. ‘Belangrijk is juist nu extra maatregelen te treffen om risico te beperken’, zegt hij. 'We zien dat cybercrime-activiteit als phishing en spam vanwege de coronacrisis toeneemt. Bovendien brengt werken op afstand additionele risico’s met zich mee. Beveiliging schaalt niet altijd evenredig mee, sterker nog, Windows 7 draagt hier niet aan bij.’

 

Vertrouwde diensten

De informatiebeveiligingsdienst van gemeentekoepel VNG schrijft dat door aanvullende maatregelen de risico’s helemaal zijn weg te nemen. ‘Als zo’n machine niet internet-facing is – dat wil zeggen achter een firewall wordt gebruikt – en als die verbinding maakt met vertrouwde diensten via een beveiligde verbinding, dan is het risico acceptabel.’

 

Geen vertrouwen

Dat er niet is geüpgraded en gepatcht kan volgens Maasland een combinatie van oorzaken hebben: bureaucratie, schaarste qua personeel, een gebrek aan urgentie… ‘Maar het zijn ook symptomen dat er andere dingen aan de hand kunnen zijn. Als je de basis niet op orde hebt, dan maak je je ook zorgen over de rest. Gemeenten werken met zo veel applicaties en data dat dit niet echt het vertrouwen geeft dat ze in control zijn.’

 

 

 

Dit artikel verschijnt eind deze week in Binnenlands Bestuur nummer 7. Tijdelijk is de meest recente editie voor iedereen hier gratis te lezen.

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door drs. E. Nabled op
Vandaag een tompoucedeo voor mijn vriending gekocht... Benieuwd of ze 'm ook gebruikt..
Door Opmerker (orig) op
Weet iedereen dat het vandaag 1 april is?
Door Zwijgen is soms goud op
Bewust er voor gekozen niet mee te doen aan dit onderzoek ivm de veiligheidsrisico's. Dan zet Binnenlands Bestuur je maar gewoon onder " onduidelijk".... Hoe duidelijk kan het niet zijn dat je bewust niet mee doet! Juist omdat je aan ziet komen dat dit niet handig is om te publiceren. Dank BB voor het attenderen op de risico's. Er zijn mensen nu heel blij. Wij niet by the way
Door Jeroen (Business controller) op
Berichten over dat deze crisis issues in de bedrijfsvoering blootlegt, prima. Gebruik van naam en toenaam, zeer onverantwoord.
Door Jan op
Onverantwoordelijk journalistiek gedrag van Binnenlands Bestuur om dit zo te publiceren. De hackers zullen jullie dankbaar zijn. Maar ja, alles moet blijkbaar wijken voor een primeurtje. Schandelijk!
Door Ambtenaar (Ambtenaar) op
Hier blijkt maar weer eens pijnlijk hoe slecht het gesteld is met de tools waar overheden mee (moeten) werken vanwege financiele beperkingen.

Bestuurders van Nederland wordt wakker!

Er wordt massaal gebeld met Zoom.us, terwijl er veel veiligere methoden zijn die in Windows 10 is geïntegreerd (Microsoft Teams!). Gek genoeg is er bijna geen gemeente die via haar eigen systeem dit kan aanbieden in deze crisistijd.

Het laat maar weer eens zien hoe ontzettend verkeerd de focus de afgelopen jaren is geweest.
Slechte digitale veiligheid, gebrek aan eigen productie van medische apparatuur etc.
Nederland is compleet afhankelijk van het buitenland en is niet meer in staat om zijn eigen broek op te houden.

Besturend Nederland wordt wakker!
Door Malle pietje (Hacker) op
Misschien is het niet heel handig dat jullie de gegevens naar buiten brengen. Kan in verkeerde handen vallen.
Zeker het antwoord dat gegeven is op 'Gepatched' is vrij gevaarlijk. Geen antwoord is ook een antwoord...