image

Rekenkamer ontdekt lekken in netwerk gemeente Den Haag

woensdag 2 juli 2014, 13:47 door Redactie, 3 reacties

De beveiliging van het interne netwerk van de gemeente Den Haag blijkt niet op orde te zijn, zo laat de Haagse Rekenkamer weten, dat onderzoek deed naar de digitale veiligheid van de ICT-infrastructuur en van privacygevoelige informatie bij de gemeente Den Haag.

Daarbij bleek de gemeentelijke website denhaag.nl geen ernstige kwetsbaarheden te bevatten. Op het interne netwerk werden echter de nodige kwetsbaarheden in de veiligheid gevonden. "Enerzijds is het relatief eenvoudig en op verschillende manieren mogelijk toegang te krijgen tot het interne netwerk en anderzijds kent het netwerk zelf ernstige kwetsbaarheden", aldus het rapport.

De onderzoekers slaagden er in op het interne netwerk van de gemeente aan privacygevoelige informatie te komen. Zij vonden onder meer lijsten met persoonsgegevens, zoals naam en burgerservicenummer, en enkele kopieën van paspoorten. De kwetsbaarheden in het interne netwerk werden onder meer aangetoond met het versturen van een phishingmail. De mail werd naar 45 raadsleden gestuurd, waarvan er 11 reageerden.

Interne netwerk

Tijdens het onderzoek bleek dat het zonder inloggegevens mogelijk was om op verschillende manieren toegang tot het interne netwerk te krijgen. Hoewel een aantal van de mogelijkheden inmiddels door de gemeente is weggenomen, blijft dit volgens de onderzoekers een kwetsbare schakel in de beveiliging waardoor het voor buitenstaanders zonder veel technische kennis eenvoudig is om toegang te krijgen.

"Daarbij speelt de cultuur met betrekking tot informatiebeveiliging bij medewerkers een rol, de open werkomgeving op het stadhuis en de behoefte ICT-voorzieningen zo gebruiksvriendelijk mogelijk te maken", zo laat het onderzoeksrapport weten.

Advies

De rekenkamer adviseert om aan digitale veiligheid meer bestuurlijke aandacht te geven en periodiek integrale testen uit te voeren. Ook moet de gemeente inzetten op monitoring van het netwerk en alert reageren wanneer er ingebroken wordt. Verder moet de gemeentebestuur duidelijker verantwoordelijkheid nemen voor digitale veiligheid. "De afwegingen over veiligheid, kosten en gebruiksgemak van ICT worden op het verkeerde niveau gemaakt", zo concludeert de rekenkamer.

Die pleit voor een door de gemeenteraad vastgesteld kader waarin onder meer een minimum niveau van beveiliging voor verschillende categorieën informatie wordt vastgelegd. Het college van burgemeester en wethouders heeft aangegeven de aanbevelingen van de rekenkamer over te nemen. Uit het recente coalitieakkoord blijkt dit echter nog niet. Zo komt het onderwerp niet aan de orde en de bestuurlijke verantwoordelijkheid voor digitale veiligheid wordt in het stuk niet benoemd.

"Digitale veiligheid is nu nog een taak voor de werkvloer, daar wordt besloten wat belangrijker is: dienstverlening of veiligheid. De Haagse gemeenteraad heeft de verantwoordelijkheid kaders te bepalen voor de beveiliging van informatie en het college moet dit als een aparte taak op zich nemen, niet als onderdeel van de gewone ICT-ondersteuning van de organisatie", aldus Watze de Boer van de rekenkamer.

Reacties (3)
02-07-2014, 14:33 door Overcome
Oftewel, de te verwachten inhoud van een standaard pentestrapport dat bij vrijwel iedere gemeente eenzelfde beeld zal laten zien. In ieder pentestrapport komt hetzelfde riedeltje dat (langdurige) ongeautoriseerde toegang tot data mogelijk maakt weer terug:

- Ontbrekende security patches
- Aanwezigheid van onnodige accounts
- Gebrek aan logging en security/ compliancy monitoring
- Lage awareness bij gebruikers en management
- Het niet volgen van de eigen security baselines of de recommended practices van de leverancier
- ...

Niets nieuws onder de zon. De problemen worden nu geadresseerd, maar de kans dat ze over 2 jaar vergelijkbare problemen hebben is aanzienlijk, doordat er geen mentaliteitsverandering plaatsvindt. Van de driehoek "kennis - gedrag - houding" zal hoogstens een van de drie veranderen. De bewijzen staan al in het artikel.
02-07-2014, 17:10 door Preddie
Ik vraag me dan af - op basis van de Wet Bescherming Persoonsgegevens - waarom zij nog langer persoonsgegevens mogen verwerken terwijl niemand voldoet aan de gestelde basis.

Natuurlijk moet een gemeente sommige dingen blijven kunnen doen, maar het is toch te gek voor woorden dat we om de paar maanden een dergelijk rapport kunnen kopiëren om dat de situatie bij de buur gemeente net zo slecht is.....
02-07-2014, 19:18 door Anoniem
Door Overcome: Oftewel, de te verwachten inhoud van een standaard pentestrapport dat bij vrijwel iedere gemeente eenzelfde beeld zal laten zien. In ieder pentestrapport komt hetzelfde riedeltje dat (langdurige) ongeautoriseerde toegang tot data mogelijk maakt weer terug:

- Ontbrekende security patches
- Aanwezigheid van onnodige accounts
- Gebrek aan logging en security/ compliancy monitoring
- Lage awareness bij gebruikers en management
- Het niet volgen van de eigen security baselines of de recommended practices van de leverancier
- ...

Niets nieuws onder de zon. De problemen worden nu geadresseerd, maar de kans dat ze over 2 jaar vergelijkbare problemen hebben is aanzienlijk, doordat er geen mentaliteitsverandering plaatsvindt. Van de driehoek "kennis - gedrag - houding" zal hoogstens een van de drie veranderen. De bewijzen staan al in het artikel.

Tijd voor een nieuwe LEKTOBER?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.