IT-beveiliging Rotterdam beter, maar toch hackbaar

De beveiliging van gevoelige gegevens bij de gemeente Rotterdam is sterk verbeterd. Dit concludeert de Rekenkamer van de stad nu na een nieuwe penetratietest. Deze tweede pentest is uitgebreider dan de voorgaande waaruit ernstige securityproblemen naar voren zijn gekomen. Toch is de gemeente nog kwetsbaar, zo meldt de website AGConnect op basis van het rapport van de Rekenkamer.

Zwaar onder de maat

In het voorjaar van 2017 concludeerde de Rotterdamse Rekenkamer al dat de beveiliging van gevoelige gegevens bij de gemeente  zwaar onder de maat was. Verouderde software, makkelijk te achterhalen wachtwoorden, gebrekkige controles, rondslingerende usb-sticks, ze zorgden allemaal voor een rammelende ict-beveiliging. De gemeente wilde het kritische rapport ‘In onveilige handen’ aanvankelijk niet publiek maken en heeft vervolgens de presentatie nog uitgesteld. Het college van Burgemeester en Wethouders erkende dat de beveiliging aangescherpt kon worden, maar weersprak dat er sprake was van ‘gatenkaas’.

Kwetsbaarheden
Uit  het huidige rekenkameronderzoek blijkt dat de vorig jaar geconstateerde kwetsbaarheden gedeeltelijk zijn verholpen. ‘Kwaadwillenden hebben thans minder mogelijkheden om schade toe te brengen. Niet volledig weggewerkt zijn de kwetsbaarheden ten aanzien van netwerktoegang en verouderde software,’ schrijft directeur Paul Hofstra van de Rekenkamer Rotterdam nu aan de gemeenteraad. In zijn brief stipt hij de verbeteringen aan maar ook de opnieuw geconstateerde tekortkomingen.

Kwaadwillenden

De gemeente Rotterdam heeft het afgelopen jaar verbeteringen doorgevoerd, waaronder een bewustwordingsprogramma en meer fysieke bewaking. Laatstgenoemde is nog niet op orde, merkt de Rekenkamer nu op, maar de impact hiervan wordt beperkt door technische beveiligingsmaatregelen. Op technisch vlak valt er echter ook nog wat te verbeteren. De verouderde software bij de gemeente en kwetsbaarheden voor netwerktoegang geven kwaadwillende mogelijkheden, zij het met minder schade dan vorig jaar mogelijk bleek. De Rekenkamer meldt nu: ‘Deze kwetsbaarheden stelden de onderzoekers in staat om toegang te krijgen tot een individueel werkstation, een specifiek informatiesysteem (zonder persoonsgegevens) en een map met persoonsgegevens, waaronder identiteitsbewijzen van medewerkers en boetes.’

Snel opgemerkt

De Rekenkamer waarschuwt dat een hacker met relatief veel tijd tot zijn beschikking hierlangs toch toegang kan krijgen tot meer gemeentelijke informatiesystemen waarin gevoelige persoonsgegevens staan. ‘De onderzoekers kregen echter geen kans om de kwetsbaarheden op deze manier te misbruiken en in een positie te komen om schade aan te brengen, omdat de hackpoging tamelijk snel door de gemeentelijke organisatie werd opgemerkt.’ De gemeente Rotterdam is hierin goed vooruitgegaan, want in de vorige test door de Rekenkamer zijn de ‘aanvallers’ in een veel later stadium ontdekt en alleen bij een specifieke applicatie.’De testers waren toen al zo ver gevorderd dat zij schade konden aanbrengen of daar – na de onderbreking – elders mee door konden gaan. De ontdekking in de hertest was veel sneller, terwijl bovendien deze penetratiepogingen op een veel ‘geruislozere’ manier plaatsvonden.’

Vertrouwelijk

 Het complete rapport van deze nieuwe test is op 11 december overhandigd aan de Rekenkamer, die het inmiddels heeft gedeeld met de gemeente. Het rapport is overigens wel vertrouwelijk en maakt geen deel uit van de openbare brief, die een algemene indruk geeft van de bevindingen plus risico’s en mogelijke consequenties.

Bron: AGConnect