De gemeente Rotterdam heeft de beveiliging van gevoelige gegevens sterk verbeterd, zo stelt de Rekenkamer aan de hand van verschillende beveiligings- en penetratietests (pdf). Alleen op het gebied van de fysieke beveiliging schoot de gemeente tekort. Vorig jaar publiceerde de Rekenkamer een rapport waaruit bleek dat de informatiebeveiliging van de gemeente Rotterdam te wensen overliet.

Tijdens een audit die in 2016 plaatsvond werden 700 ernstige technische zwakheden in systemen en applicaties aangetroffen die impact op burgers, ambtsdragers en publieke dienstverlening hadden kunnen hebben. Zo bleek dat bruggen en verkeerslichten in Rotterdam kwetsbaar waren voor hackers en op afstand te ontregelen waren. Na de publicatie van het onderzoek, dat de nodige aanbevelingen bevatte, liet de Rekenkamer een vervolgonderzoek uitvoeren. Dit vervolgonderzoek bestond uit verschillende onderdelen.

Zo verstuurden de onderzoekers phishingmails om toegang tot inloggegevens of systemen van medewerkers te verkrijgen, maar deze pogingen waren onsuccesvol. E-mails met een kwaadaardige bijlage werden door de beveiligingssystemen gestopt en niet afgeleverd. Eén van deze e-mails wist wel door de beveiliging heen te komen. De bijlage kon echter door de beveiligingsinstellingen van de ontvanger niet worden geopend. De onderzoekers stuurden ook een e-mail met een link naar een zogenaamde gemeentewebsite. De website werd wel door het personeel bezocht, maar niemand liet inloggegevens achter. Daarnaast werd de e-mail door de gemeente gedetecteerd.

Ook phishingpogingen via de telefoon bleken onsuccesvol. "Weliswaar werd door één medewerker de combinatie van wachtwoord en gebruikersnaam verstrekt, maar bij het inloggen stuitten de onderzoekers op een extra verificatiestap. Deze stap moet worden doorlopen wanneer wordt ingelogd buiten de gemeentelijke kantoorpanden", aldus het rapport van de Rekenkamer. "Doordat de onderzoekers niet beschikten over gegevens voor deze laatste verificatiestap kregen zij geen toegang tot het gemeentelijke netwerk."

Inlooptest

Bij de "inlooptest" werd geprobeerd om toegang tot de ruimtes in twee gemeentelijke kantoorpanden te krijgen en daarvandaan het ict-netwerk te benaderen. De onderzoekers wisten tot beide panden toegang te krijgen Bij één van deze panden kregen de onderzoekers toegang tot documenten en dossiers op bureaus van medewerkers. De onderzoekers werden niet door gemeentemedewerkers op hun aanwezigheid aangesproken.

Tijdens de "black box" penetratietest ontdekten de onderzoekers dat de kwetsbaarheden ten aanzien van netwerktoegang en verouderde software, waar in het vorige rapport voor werd gewaarschuwd, nog steeds aanwezig waren. Via deze kwetsbaarheden kregen de onderzoekers toegang tot een individueel werkstation, een specifiek informatiesysteem zonder persoonsgegevens en een map met persoonsgegevens, waaronder identiteitsbewijzen van medewerkers en boetes. In theorie zou het mogelijk zijn om via de kwetsbaarheden meer systemen te compromitteren, maar de hackpoging van de onderzoekers "werd tamelijk snel" door de gemeente ontdekt.

De Rekenkamer is dan ook positief over de verbeteringen die de gemeente Rotterdam heeft doorgevoerd. "De resultaten van de social engineering test, de inlooptest, de interne penetratietest en de wifi-test geven een positief beeld. De rekenkamer constateert dat de effectiviteit van de beveiliging sinds eind 2016 merkbaar is verbeterd. Anders dan tijdens de testen die de rekenkamer eind 2016 heeft laten uitvoeren, is het immers niet gelukt om tijdens de test toegang te krijgen tot meerdere informatiesystemen."

Wat betreft de fysieke beveiliging adviseert de Rekenkamer om duidelijk zichtbare passen te dragen en beter toezicht toe te passen. Ook krijgt de gemeente het advies om door trainingen te blijven werken aan het beveiligingsbewustzijn van medewerkers. Het college onderschrijft de conclusies van de rekenkamer en heeft aangegeven alle aanbevelingen te zullen overnemen.