Onbevoegden konden ongeautoriseerde toegang krijgen tot vertrouwelijke gegevens van de provincie Noord-Brabant. Dat blijkt uit een zogeheten penetratietest die de Zuidelijke Rekenkamer heeft uitgevoerd.
Beveiliging vertrouwelijke gegevens Brabant niet sluitend
De onderzoekers van de Zuidelijke Rekenkamer kwalificeren het aantal aangetroffen kwetsbaarheden op het gebeid van informatieveiligheid als…
De onderzoekers kwalificeren het aantal aangetroffen kwetsbaarheden op het gebeid van informatieveiligheid weliswaar als relatief laag, maar tijdens de test is er zowel digitaal als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt.
Hacker
Zo zijn tijdens de test van het interne netwerk beheerdersrechten verkregen waarmee er toegang was tot vrijwel alle gegevens en bestanden van de provincie. Daardoor was het mogelijk om vertrouwelijke informatie in te zien van onder andere de griffie, de directie en de rekenkamer. Tijdens de test vanaf het internet is een ook een zogeheten web shell aangetroffen – een al gehackt systeem. Een web shell is een ‘achterdeurtje’ waarmee de hacker communiceert met de server en deze bestuurt.
Phishing
Bij het testen van het veiligheidsbewustzijn van de provinciemedewerkers is als eerste een phishingaanval uitgevoerd op alle e-mailadressen eindigend op @brabant.nl. Dat betrof 1.791 e-mailadressen. De aanval leidde er toe dat 36 ontvangers van de e-mail hun gebruikersnaam en wachtwoord invulden op een, voor dit onderzoek geprepareerde website.
Verder kreeg de mysteryguest bij een inlooptest ongeautoriseerde toegang verkregen tot beveiligde gedeelten van het provinciehuis, systemen en vertrouwelijke gegevens – onder andere op de kamer van de medewerkers van burgemeestersbenoemingen in het bestuurdersgedeelte van het provinciehuis.
Groei bewustzijn nodig
Op basis van de onmiddellijk gedeelde uitkomsten van de test heeft de provincie adequate maatregelen genomen. Dat geeft volgens de Zuidelijke Rekenkamer blijk van alertheid en handelend vermogen. Toch roepen de uitkomsten van de tests vragen op over het lerend vermogen. ‘In tests die in 2014 en begin 2017 zijn uitgevoerd in opdracht van de provincie zelf, kwamen namelijk op enkele punten soortgelijke typen bevindingen naar voren’, aldus de onderzoekers. Daarbij gaat het om zaken die in principe al opgelost hadden kunnen zijn, omdat er maatregelen waren genomen (technische beveiliging) en afspraken gemaakt. Ook blijkt volgens de onderzoekers dat het informatieveiligheidsbewustzijn nog verder moet groeien.
Naleven afspraken
De kwetsbaarheden worden volgens de Zuidelijke Rekenkamer voornamelijk veroorzaakt doordat kaders, richtlijnen, procedures en andere gemaakte afspraken niet altijd worden nageleefd en er wordt niet genoeg gestuurd op naleving daarvan. Gedeputeerde Staten van Brabant hebben aangegeven zich te herkennen in het rapport en nemen de aanbevelingen mee in de actualisatie en uitvoering van het beleid.
