image

Gemeente Utrecht heeft beveiliging van gegevens niet goed op orde

donderdag 8 april 2021, 14:06 door Redactie, 13 reacties

De gemeente Utrecht heeft de beveiliging van gegevens en systemen niet goed op orde en moet verschillende maatregelen treffen om de risico's tegen te gaan, zo stelt de Rekenkamer Utrecht die onderzoek naar de informatieveiligheid bij de gemeente liet uitvoeren.

Een extern securitybedrijf dat de Rekenkamer inhuurde lukte het niet om vanaf het internet toegang tot de gemeentelijke systemen te krijgen. Ook de penetratietests tegen de gemeentelijke wifi-netwerken legden geen kwetsbaarheden bloot. Van binnenuit loopt de gemeente wel risico op het gebied van informatieveiligheid. De interne tests tonen een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend is maar nog altijd niet is verholpen.

De Rekenkamer doet dan ook zeven aanbevelingen, waaronder het nemen van maatregelen tegen technische risico’s die bekend zijn, het structureel investeren in het informatiebewustzijn van medewerkers, het uitvoeren van alle nodige risicoanalyses en het verbeteren van het toezicht op informatieveiligheid in de thuiswerksituatie.

Phishingtest en usb-sticks

Voor het onderzoek werden verschillende tests uitgevoerd, waaronder een social engineering test. Deze test bestond uit verschillende onderdelen, zoals het versturen van phishingmails, het verspreiden van usb-sticks en inlooptesten op het Stadskantoor en het Stadhuis om ongeautoriseerd toegang te krijgen tot een kantoorruimte. Daarnaast is een laptop van de gemeente onderzocht om te kijken of deze voldoende beschermd is tegen aanvallen in onveilige netwerken en tegen diefstal en verlies.

Bij de phishingtest werden bijna 5800 e-mails verstuurd. 1100 Gemeentemedewerkers openden de link in het bericht en 950 mensen vulden hun inloggegevens in (16 procent). Ondanks een waarschuwing in een e-mail aan alle medewerkers door de gemeente op de eerste dag van de tets bleken nog altijd nieuwe gebruikersnamen en wachtwoorden doorgegeven te worden. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, waarbij de eerste melding na negen minuten volgde.

Van twee van de vier verspreide usb-sticks werd door medewerkers de inhoud geopend. "Een kwaadwillende kan hiermee toegang krijgen tot de betrokken computer", aldus de Rekenkamer. Op de usb-sticks stond een afbeelding die verbinding kon maken met de webserver van het securitybedrijf. Tevens bleek dat de fysieke beveiliging van en sociale controle op het Stadskantoor en Stadhuis de toegang van onbevoegden niet konden voorkomen. Ook was sommige geheime informatie op deze locaties niet veilig opgeborgen.

Verder konden de onderzoekers een laptop van een medewerker meenemen waarop een post-it met bijbehorend wachtwoord was bevestigd. Hierdoor kon eenvoudig toegang worden verkregen tot de laptop.

Verouderde besturingssystemen

De gemeente Utrecht blijkt ook nog met verouderde besturingssystemen te werken die end-of-life zijn. Bij de leverancier heeft de gemeente de ondersteuning verlengd zodat er nog wel beveiligingsupdates worden ontvangen, maar het externe bureau wijst erop dat kwaadwillenden rekening met verouderde besturingssystemen houden.

Op een aantal systemen bleken geen beveiligingsupdates te zijn geïnstalleerd terwijl die wel beschikbaar zijn. Ook werden er verouderde applicaties aangetroffen die bekende kwetsbaarheden bevatten. Veel wachtwoorden van de gemeente blijken zwak te zijn en worden door de onderzoekers gekraakt. Van de 137 wachtwoordhashes lukt het de onderzoekers om er 49 te kraken.

De gemeente blijkt ook niet goed met wachtwoorden om te gaan. Zo zijn er wachtwoorden gevonden in een gedeelde (netwerk)map. Ook in een veelgebruikt softwareprogramma zijn (initiële) wachtwoorden in leesbare tekst aangetroffen. Verder ontbreekt multifactorauthenticatie, netwerkauthenticatie en harddiskencryptie en zijn serviceaccounts onvoldoende beschermd.

Thuiswerken

Het onderzoek laat daarnaast zien dat de gemeente geen zicht heeft op de beveiliging van de privé apparatuur waar medewerkers thuis op werken. "De gemeente hanteert een bring-your-own-device beleid en heeft daarmee minder controle op hoe medewerkers met privé devices omgaan", zo stelt de Rekenkamer. Van de door de gemeente uitgeleende laptops is slechts vijftien procent van de juiste beveiliging voorzien.

Om de beveiligingsrisico's bij het gebruik van eigen apparatuur tegen te gaan biedt de gemeente een virtuele werkomgeving. Dit moet zoveel mogelijk voorkomen dat gegevens lokaal worden opgeslagen. Verder zijn er geen eisen gesteld aan de beveiliging van wifi-netwerken bij mensen thuis.

De Rekenkamer adviseert de gemeente om alle benodigde risicoanalyses uit te voeren en om de uitvoering van maatregelen in de roadmap te versnellen. De gemeenteraad heeft vorig jaar extra middelen beschikbaar gesteld voor informatieveiligheid. "Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering", zo concludeert de Rekenkamer.

Image

Reacties (13)
08-04-2021, 14:37 door Anoniem
Het voormalige faalkaart.nl laat hier nog een paar aandachts-punten zien van buitenaf https://basisbeveiliging.nl/#/report/326
Mooie overzichts-kaart hoe strak alles geregeld is bij de rest van NL https://basisbeveiliging.nl/#/

https://www.invidious.tube/watch?v=fxs7mtcEs70 - Hackerhotel 2018 Elger Jonker Faalkaart Update
08-04-2021, 15:00 door buttonius
Dat is een behoorlijk uitgebreid onderzoek geweest. Indrukwekkend!

Ik denk dat er weinig gemeentes (en provincies en waterschappen en scholen en ziekenhuizen) zijn die de zaken echt veel beter op orde hebben. Ik vermoed dat de gemeente Utrecht hier gemiddeld heeft gescoord.

Echt geavanceerde aanvallers komen toch wel binnen. Het gaat hier immers niet om militaire installaties. Als ze dan binnenkomen is het zaak dat snel te detecteren en te zorgen dat er goede back-ups zijn. Voor detectie kun je letten op ongebruikelijke hoeveelheden uitgaande data. Een paar honeypots in je netwerk kunnen zeker ook helpen bij detectie van indringers. En natuurlijk, af en toe zulke penetratietests laten uitvoeren.
08-04-2021, 15:14 door Anoniem
Ik kan me nog herinneren dat de gemeente Utrecht medio 2006-2010 een bezoekerscentrum waar presentaties werden gegeven over bepaalde gebiedsontwikkelingen.
Toen kwam ze ook al in het nieuws over gebreken in de gegevensbeveiliging.
Ook onder andere met gebruik van USB sticks.
USB sticks zijn er al jaaaaaren.
Toen leken de ambtenaren daar wel degelijk heel bewust van de lessen.
Ook werd er veel besteed aan de lessen met elkaar delen.


Hebben ze die ambtenaren in tussenliggende jaren er bij de gemeente soms uit gegooid / niet langer serieus genomen??
08-04-2021, 15:22 door Anoniem
Om de beveiligingsrisico's bij het gebruik van eigen apparatuur tegen te gaan biedt de gemeente een virtuele werkomgeving. Dit moet zoveel mogelijk voorkomen dat gegevens lokaal worden opgeslagen. Verder zijn er geen eisen gesteld aan de beveiliging van wifi-netwerken bij mensen thuis.
Dat is toch een prima beleid? Staat deze paragraaf er om aan te geven dat er ook wel dingen goed gaan, of heeft men hier ook kritiek op?
Het lijkt me dat je je systeem zo moet opzetten dat "beveiliging van wifi-netwerken bij mensen thuis" niet uitmaakt, en er dus ook geen eisen aan gesteld hoeven te worden. Want als er wel eisen zijn kun je die realistisch gezien toch niet monitoren.
08-04-2021, 15:35 door Anoniem
Door buttonius: Ik denk dat er weinig gemeentes (en provincies en waterschappen en scholen en ziekenhuizen) zijn die de zaken echt veel beter op orde hebben.

Je vergeet het bedrijfsleven.
Daar schort ook nog het nodig aan de beveiliging.
Zeker bij de minder grote bedrijven.
08-04-2021, 15:38 door Anoniem
Door buttonius: Dat is een behoorlijk uitgebreid onderzoek geweest. Indrukwekkend!

Ik denk dat er weinig gemeentes (en provincies en waterschappen en scholen en ziekenhuizen) zijn die de zaken echt veel beter op orde hebben. Ik vermoed dat de gemeente Utrecht hier gemiddeld heeft gescoord.

Echt geavanceerde aanvallers komen toch wel binnen. Het gaat hier immers niet om militaire installaties. Als ze dan binnenkomen is het zaak dat snel te detecteren en te zorgen dat er goede back-ups zijn. Voor detectie kun je letten op ongebruikelijke hoeveelheden uitgaande data. Een paar honeypots in je netwerk kunnen zeker ook helpen bij detectie van indringers. En natuurlijk, af en toe zulke penetratietests laten uitvoeren.

Denk ik ook!

Wat waarschijnlijk is, dat een competente medewerker dit heeft aangekaart en al menig lans gebroken heeft. Dat is nog schrijnender. Zelf heb ik dit namelijk gezien in menig organisatie, en als de wil in de organisatie er niet is, gebeurt er niets.

Jammer dat dit van buitenaf (lees:Rekenkamer) opgemerkt / opgelegd moet worden.
08-04-2021, 15:52 door Anoniem
Paar passages uit het bestuurlijke rapport "ZO STERK ALS DE ZWAKSTE SCHAKEL":
https://www.utrecht.nl/fileadmin/uploads/documenten/7.extern/Rekenkamer/20210407_Bestuurlijk_rapport_informatieveiligheid.pdf

och tonen interne testen op het gebied van techniek en menselijk handelen risico’s aan die het beeld van de informatieveiligheid minder rooskleurig maken. Sommige technische kwetsbaarheden in
software en hardware blijven jarenlang bestaan en medewerkers geven in phishing mails hun inloggegevens af. Ook zijn onbevoegde ‘inlopers’ eenvoudig gemeentelijke gebouwen binnengekomen en hebben zij daar geheime informatie kunnen bemachtigen zonder te zijn aangesproken door medewerkers.

Wat is van dezelfde lading als 'inlopers'? Mee kunnen kijken en mee laten kijken.
De recente voorbeelden van digitale aanvallen op publieke instellingen laten zien hoe kwetsbaar en afhankelijk de samenleving is van digitale middelen
Kajsa Ollongren - demissionaire Binnenlandse Zaken mevrouw - kan hierover meepraten.
Mevrouw Kaag vond haar fouten onbestaanbaar.

Mag dus de gevoeligheid waartoe toegang verschaft kan worden niet beter worden benadrukt?
Als je naam wordt gelekt is dat - zoals we na Omtzigt functie elders weten - natuurlijk al heel precair.

Zou super-minister de Jonge overhoopt toegang kunnen krijgen tot "het soort informatie" ook een belangrijk criterium vinden?
En puur omdat het het voorgeschreven gedrag is dat bij zijn rol past?
Of borgt hij dit sinds zijn pleidooi voor spoedwet en mega-monitoring van mensen in den lande daadwerkelijk?
Tenminste daar waar het onverhoopt toch kunnen meekijken in beginsel gevoelige informatie betreft.
Dan is de zwakste schakel natuurlijk nog ernstiger dan bij informatie die niet gevoelig is.
Zou super-minister de Jonge zelf ook goed kunnen aanwijzen welke informatie gevoelig is?
Je kan het wel in een plan hebben staan, maar dat is volgens Ferd Grapperhaus geen primair bewijs dat je aan de AVG voldoet.
Je moet het actief en actueel kunnen duiden en toepassen.

Heeft de Rekenkamer van gemeente Utrecht actief en actueel duiden en toepassen ook door gehad?
Er is bij de gemeente geen centraal programma of plan voor informatiebewustzijn..........

De urgentie van een dergelijk bewustwordingsprogramma wordt duidelijk uit beveiligingstests die de rekenkamer in samenwerking met het externe bureau heeft laten uitvoeren. Bij de mail-phishing hebben 950 medewerkers (16%) gebruikersnaam en wachtwoord verstrekt, 121 gebruikers deden dit zelfs na de waarschuwing die door de gemeente is afgegeven na de eerste testdag. Dit percentage van 16% is vergelijkbaar met uitkomsten van dergelijke onderzoeken die het externe bureau heeft uitgevoerd bij andere gemeenten. Vaak heeft een kwaadwillende al aan één combinatie van gebruikersnaam en wachtwoord genoeg om zich toegang te verschaffen tot systemen van de gemeente.
In elk geval in gevallen dus, zo blijkt uit de bevindingen van onderzoeken.

Hiermee doet Utrecht (G4-gemeente) het niet voldoende goed, maar in elk geval wel beter dan Hugo de Jonge en zijn ministerie en diensten.
Die werken in hun verantwoordelijkheid waarbij ze zich allerlei gegevens toe eigenen.
Bij Hugo de Jonge stopte het qua 'informatiebewustzijn' dus na het bewustzijn puur in woord belijden aan de eerste en tweede kamer tot en met januari 2021.
Hoe goed bedoeld zijn doelstellingen en aanleiding ook moge zijn dat maakt het niet opeens conform AVG.
Voor die valkuil waarschuwde Ferd Grapperhaus al.
Maar Hugo de Jonge lijkt er lak aan te hebben.
Die principes moeten wijken voor zijn aanpak en doelen.

Sowieso blijkt nota door de WHO zelf ingestelde onderliggende onderzoeken medio 23 januari 2021 door de WHO al dat de wijze waarop gegevens worden verkregen echter niet conform zijn.
Hier zou Hugo de Jonge toch sinds begin februari 2021 van op de hoogte moeten zijn geweest!
Inmiddels onderkennen diverse bestuursrechters - waaronder in Wenen op 23 Maart 2021 bij vonnis - de gevoeligheid van die informatie.
Nota bene een stad met een absolute record dichtheid als het gaat om hoeveel diplomaten, VN-ers en andere internationale hote metoten er wonen.
Dit vonnis is dus gedaan in een metropool met niet zomaar wat uitvreters en frikandel weigeraars.

Maar Hugo de Jonge houdt Nederland dus op achterstand.
Hij blijft dus zelf onderdeel van het probleem en houdt inbreuken op recht in stand.
Gelukkig werkt gemeente Utrecht wel aan haar eigen tekortkomingen.
08-04-2021, 17:01 door Anoniem
Verder konden de onderzoekers een laptop van een medewerker meenemen waarop een post-it met bijbehorend wachtwoord was bevestigd. Hierdoor kon eenvoudig toegang worden verkregen tot de laptop.
Laat me raden. Het wachtwoord was: WelkomUtrecht2021?
08-04-2021, 17:05 door Anoniem
De Rekenkamer adviseert de gemeente om alle benodigde risicoanalyses uit te voeren en om de uitvoering van maatregelen in de roadmap te versnellen. De gemeenteraad heeft vorig jaar extra middelen beschikbaar gesteld voor informatieveiligheid. "Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering", zo concludeert de Rekenkamer.
Als we een jaar verder zijn, dan kun je er vergif op innemen dat alle problemen (zo niet de meeste) in het geheel niet zijn opgelost. Ik hoop maar dat er een tweede onaangekondigt bezoek gaat plaatsvinden.
08-04-2021, 17:59 door Anoniem
De matige fysieke beveiliging verbaasd met niets. Ik ben in 2014 op de open dag van het nieuwe stadskantoor geweest. Allemaal hip en trendy met grote kantoortuinen en geen afsluitbare lades. In het centrale gedeelte van elke etage zijn wat schappen aanwezig en daar staan enkele 'verdwaalde ordners'.

Ook het concept van de lockers is waardeloos als je dat vanuit het oogpunt van informatiebeveiliging bekijkt. Je hebt geen eigen locker, als je het pand verlaat kan je je locker dus niet afgesloten houden. Ook daar geen mogelijkheid om vertrouwelijke stukken op te bergen.

Toen ik daar het pand uitliep zei ik tegen mijn gastvrouw: "Het ziet er keurig uit, maar ik zie wel wat uitdagingen rond (fysieke) informatiebeveiliging". Ik heb de indruk dat tegenwoordig bij kantoorinrichting weinig aandacht is voor fysieke informatiebeveiliging. Ik snap dat zeeën van kastruimte niet meer van deze tijd is, maar als je medewerkers niet eens de mogelijkheid biedt om een paar documenten veilig op de bergen, dan vraag je om ellende.

Wel goed dat Utrecht dit eens grondig heeft laten onderzoeken. Nu hopen dat ze adequaat opvolging gaan geven aan de geconstateerde gebreken.
08-04-2021, 19:42 door walmare
Via internet lopen er alleen scans op zoek naar laaghangend fruit. Als je echt bij een specifiek bedrijf naar binnen wilt, kan je er beter naar toe gaan met je verbouwde android onder je arm. Het interne netwerk is meestal niet beveiligd.
Ongelooflijk dat er nog verouderde besturingssystemen draaien die end-of-life zijn. Bij de leverancier heeft de gemeente de ondersteuning verlengd. Daar gaan wij weer voor betalen. Stelletje dodo's
08-04-2021, 20:44 door Anoniem
Gegevens over aanvragen van subsidies en uitkeringen worden op externe servers en in het buitenland opgeslagen. E-mails met die gegevens gaan ook via derde partijen in het buitenland. Staat dat er ook in? Het is al een jaar geleden gemaild, maar er is geen reactie op de melding ontvangen.
09-04-2021, 11:03 door Anoniem
Door Anoniem: De matige fysieke beveiliging verbaasd met niets. Ik ben in 2014 op de open dag van het nieuwe stadskantoor geweest. Allemaal hip en trendy met grote kantoortuinen en geen afsluitbare lades. In het centrale gedeelte van elke etage zijn wat schappen aanwezig en daar staan enkele 'verdwaalde ordners'.
Het was vroeger zo dat de onderste etage's, ik dacht t/m de 6e etage, meer "open" waren dwz dat publiek en bezoekers daar vrij gemakkelijk terecht konden en dat het niet de bedoeling was om daar vertrouwelijke stukken te hebben en -werk te doen.
Daarboven was het strenger beveiligd, naar standaards van een kantoor natuurlijk.

Ik weet niet of de huidige situatie dan gaat over die onderste etage en de verontwaardiging wellicht gemotiveerd wordt door de verschuivende grens van wat men tegenwoordig vertrouwelijk en persoonsgegevens noemt, of dat men op zo'n hogere etage toch binnen wist te komen (beveiliging is meestal niet waterdicht zeker als mensen deuren voor elkaar open houden enzo).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.