Gemeente Utrecht heeft beveiliging van gegevens niet goed op orde
De gemeente Utrecht heeft de beveiliging van gegevens en systemen niet goed op orde en moet verschillende maatregelen treffen om de risico's tegen te gaan, zo stelt de Rekenkamer Utrecht die onderzoek naar de informatieveiligheid bij de gemeente liet uitvoeren.
Een extern securitybedrijf dat de Rekenkamer inhuurde lukte het niet om vanaf het internet toegang tot de gemeentelijke systemen te krijgen. Ook de penetratietests tegen de gemeentelijke wifi-netwerken legden geen kwetsbaarheden bloot. Van binnenuit loopt de gemeente wel risico op het gebied van informatieveiligheid. De interne tests tonen een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend is maar nog altijd niet is verholpen.
De Rekenkamer doet dan ook zeven aanbevelingen, waaronder het nemen van maatregelen tegen technische risico’s die bekend zijn, het structureel investeren in het informatiebewustzijn van medewerkers, het uitvoeren van alle nodige risicoanalyses en het verbeteren van het toezicht op informatieveiligheid in de thuiswerksituatie.
Phishingtest en usb-sticks
Voor het onderzoek werden verschillende tests uitgevoerd, waaronder een social engineering test. Deze test bestond uit verschillende onderdelen, zoals het versturen van phishingmails, het verspreiden van usb-sticks en inlooptesten op het Stadskantoor en het Stadhuis om ongeautoriseerd toegang te krijgen tot een kantoorruimte. Daarnaast is een laptop van de gemeente onderzocht om te kijken of deze voldoende beschermd is tegen aanvallen in onveilige netwerken en tegen diefstal en verlies.
Bij de phishingtest werden bijna 5800 e-mails verstuurd. 1100 Gemeentemedewerkers openden de link in het bericht en 950 mensen vulden hun inloggegevens in (16 procent). Ondanks een waarschuwing in een e-mail aan alle medewerkers door de gemeente op de eerste dag van de tets bleken nog altijd nieuwe gebruikersnamen en wachtwoorden doorgegeven te worden. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, waarbij de eerste melding na negen minuten volgde.
Van twee van de vier verspreide usb-sticks werd door medewerkers de inhoud geopend. "Een kwaadwillende kan hiermee toegang krijgen tot de betrokken computer", aldus de Rekenkamer. Op de usb-sticks stond een afbeelding die verbinding kon maken met de webserver van het securitybedrijf. Tevens bleek dat de fysieke beveiliging van en sociale controle op het Stadskantoor en Stadhuis de toegang van onbevoegden niet konden voorkomen. Ook was sommige geheime informatie op deze locaties niet veilig opgeborgen.
Verder konden de onderzoekers een laptop van een medewerker meenemen waarop een post-it met bijbehorend wachtwoord was bevestigd. Hierdoor kon eenvoudig toegang worden verkregen tot de laptop.
Verouderde besturingssystemen
De gemeente Utrecht blijkt ook nog met verouderde besturingssystemen te werken die end-of-life zijn. Bij de leverancier heeft de gemeente de ondersteuning verlengd zodat er nog wel beveiligingsupdates worden ontvangen, maar het externe bureau wijst erop dat kwaadwillenden rekening met verouderde besturingssystemen houden.
Op een aantal systemen bleken geen beveiligingsupdates te zijn geïnstalleerd terwijl die wel beschikbaar zijn. Ook werden er verouderde applicaties aangetroffen die bekende kwetsbaarheden bevatten. Veel wachtwoorden van de gemeente blijken zwak te zijn en worden door de onderzoekers gekraakt. Van de 137 wachtwoordhashes lukt het de onderzoekers om er 49 te kraken.
De gemeente blijkt ook niet goed met wachtwoorden om te gaan. Zo zijn er wachtwoorden gevonden in een gedeelde (netwerk)map. Ook in een veelgebruikt softwareprogramma zijn (initiële) wachtwoorden in leesbare tekst aangetroffen. Verder ontbreekt multifactorauthenticatie, netwerkauthenticatie en harddiskencryptie en zijn serviceaccounts onvoldoende beschermd.
Thuiswerken
Het onderzoek laat daarnaast zien dat de gemeente geen zicht heeft op de beveiliging van de privé apparatuur waar medewerkers thuis op werken. "De gemeente hanteert een bring-your-own-device beleid en heeft daarmee minder controle op hoe medewerkers met privé devices omgaan", zo stelt de Rekenkamer. Van de door de gemeente uitgeleende laptops is slechts vijftien procent van de juiste beveiliging voorzien.
Om de beveiligingsrisico's bij het gebruik van eigen apparatuur tegen te gaan biedt de gemeente een virtuele werkomgeving. Dit moet zoveel mogelijk voorkomen dat gegevens lokaal worden opgeslagen. Verder zijn er geen eisen gesteld aan de beveiliging van wifi-netwerken bij mensen thuis.
De Rekenkamer adviseert de gemeente om alle benodigde risicoanalyses uit te voeren en om de uitvoering van maatregelen in de roadmap te versnellen. De gemeenteraad heeft vorig jaar extra middelen beschikbaar gesteld voor informatieveiligheid. "Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering", zo concludeert de Rekenkamer.
Mooie overzichts-kaart hoe strak alles geregeld is bij de rest van NL https://basisbeveiliging.nl/#/
https://www.invidious.tube/watch?v=fxs7mtcEs70 - Hackerhotel 2018 Elger Jonker Faalkaart Update
Ik denk dat er weinig gemeentes (en provincies en waterschappen en scholen en ziekenhuizen) zijn die de zaken echt veel beter op orde hebben. Ik vermoed dat de gemeente Utrecht hier gemiddeld heeft gescoord.
Echt geavanceerde aanvallers komen toch wel binnen. Het gaat hier immers niet om militaire installaties. Als ze dan binnenkomen is het zaak dat snel te detecteren en te zorgen dat er goede back-ups zijn. Voor detectie kun je letten op ongebruikelijke hoeveelheden uitgaande data. Een paar honeypots in je netwerk kunnen zeker ook helpen bij detectie van indringers. En natuurlijk, af en toe zulke penetratietests laten uitvoeren.
Toen kwam ze ook al in het nieuws over gebreken in de gegevensbeveiliging.
Ook onder andere met gebruik van USB sticks.
USB sticks zijn er al jaaaaaren.
Toen leken de ambtenaren daar wel degelijk heel bewust van de lessen.
Ook werd er veel besteed aan de lessen met elkaar delen.
Hebben ze die ambtenaren in tussenliggende jaren er bij de gemeente soms uit gegooid / niet langer serieus genomen??
Het lijkt me dat je je systeem zo moet opzetten dat "beveiliging van wifi-netwerken bij mensen thuis" niet uitmaakt, en er dus ook geen eisen aan gesteld hoeven te worden. Want als er wel eisen zijn kun je die realistisch gezien toch niet monitoren.
Je vergeet het bedrijfsleven.
Daar schort ook nog het nodig aan de beveiliging.
Zeker bij de minder grote bedrijven.
Ik denk dat er weinig gemeentes (en provincies en waterschappen en scholen en ziekenhuizen) zijn die de zaken echt veel beter op orde hebben. Ik vermoed dat de gemeente Utrecht hier gemiddeld heeft gescoord.
Echt geavanceerde aanvallers komen toch wel binnen. Het gaat hier immers niet om militaire installaties. Als ze dan binnenkomen is het zaak dat snel te detecteren en te zorgen dat er goede back-ups zijn. Voor detectie kun je letten op ongebruikelijke hoeveelheden uitgaande data. Een paar honeypots in je netwerk kunnen zeker ook helpen bij detectie van indringers. En natuurlijk, af en toe zulke penetratietests laten uitvoeren.
Denk ik ook!
Wat waarschijnlijk is, dat een competente medewerker dit heeft aangekaart en al menig lans gebroken heeft. Dat is nog schrijnender. Zelf heb ik dit namelijk gezien in menig organisatie, en als de wil in de organisatie er niet is, gebeurt er niets.
Jammer dat dit van buitenaf (lees:Rekenkamer) opgemerkt / opgelegd moet worden.
https://www.utrecht.nl/fileadmin/uploads/documenten/7.extern/Rekenkamer/20210407_Bestuurlijk_rapport_informatieveiligheid.pdf
software en hardware blijven jarenlang bestaan en medewerkers geven in phishing mails hun inloggegevens af. Ook zijn onbevoegde ‘inlopers’ eenvoudig gemeentelijke gebouwen binnengekomen en hebben zij daar geheime informatie kunnen bemachtigen zonder te zijn aangesproken door medewerkers.
Wat is van dezelfde lading als 'inlopers'? Mee kunnen kijken en mee laten kijken.
Mevrouw Kaag vond haar fouten onbestaanbaar.
Mag dus de gevoeligheid waartoe toegang verschaft kan worden niet beter worden benadrukt?
Als je naam wordt gelekt is dat - zoals we na Omtzigt functie elders weten - natuurlijk al heel precair.
Zou super-minister de Jonge overhoopt toegang kunnen krijgen tot "het soort informatie" ook een belangrijk criterium vinden?
En puur omdat het het voorgeschreven gedrag is dat bij zijn rol past?
Of borgt hij dit sinds zijn pleidooi voor spoedwet en mega-monitoring van mensen in den lande daadwerkelijk?
Tenminste daar waar het onverhoopt toch kunnen meekijken in beginsel gevoelige informatie betreft.
Dan is de zwakste schakel natuurlijk nog ernstiger dan bij informatie die niet gevoelig is.
Zou super-minister de Jonge zelf ook goed kunnen aanwijzen welke informatie gevoelig is?
Je kan het wel in een plan hebben staan, maar dat is volgens Ferd Grapperhaus geen primair bewijs dat je aan de AVG voldoet.
Je moet het actief en actueel kunnen duiden en toepassen.
Heeft de Rekenkamer van gemeente Utrecht actief en actueel duiden en toepassen ook door gehad?
Hiermee doet Utrecht (G4-gemeente) het niet voldoende goed, maar in elk geval wel beter dan Hugo de Jonge en zijn ministerie en diensten.
Die werken in hun verantwoordelijkheid waarbij ze zich allerlei gegevens toe eigenen.
Bij Hugo de Jonge stopte het qua 'informatiebewustzijn' dus na het bewustzijn puur in woord belijden aan de eerste en tweede kamer tot en met januari 2021.
Hoe goed bedoeld zijn doelstellingen en aanleiding ook moge zijn dat maakt het niet opeens conform AVG.
Voor die valkuil waarschuwde Ferd Grapperhaus al.
Maar Hugo de Jonge lijkt er lak aan te hebben.
Die principes moeten wijken voor zijn aanpak en doelen.
Sowieso blijkt nota door de WHO zelf ingestelde onderliggende onderzoeken medio 23 januari 2021 door de WHO al dat de wijze waarop gegevens worden verkregen echter niet conform zijn.
Hier zou Hugo de Jonge toch sinds begin februari 2021 van op de hoogte moeten zijn geweest!
Inmiddels onderkennen diverse bestuursrechters - waaronder in Wenen op 23 Maart 2021 bij vonnis - de gevoeligheid van die informatie.
Nota bene een stad met een absolute record dichtheid als het gaat om hoeveel diplomaten, VN-ers en andere internationale hote metoten er wonen.
Dit vonnis is dus gedaan in een metropool met niet zomaar wat uitvreters en frikandel weigeraars.
Maar Hugo de Jonge houdt Nederland dus op achterstand.
Hij blijft dus zelf onderdeel van het probleem en houdt inbreuken op recht in stand.
Gelukkig werkt gemeente Utrecht wel aan haar eigen tekortkomingen.
Ook het concept van de lockers is waardeloos als je dat vanuit het oogpunt van informatiebeveiliging bekijkt. Je hebt geen eigen locker, als je het pand verlaat kan je je locker dus niet afgesloten houden. Ook daar geen mogelijkheid om vertrouwelijke stukken op te bergen.
Toen ik daar het pand uitliep zei ik tegen mijn gastvrouw: "Het ziet er keurig uit, maar ik zie wel wat uitdagingen rond (fysieke) informatiebeveiliging". Ik heb de indruk dat tegenwoordig bij kantoorinrichting weinig aandacht is voor fysieke informatiebeveiliging. Ik snap dat zeeën van kastruimte niet meer van deze tijd is, maar als je medewerkers niet eens de mogelijkheid biedt om een paar documenten veilig op de bergen, dan vraag je om ellende.
Wel goed dat Utrecht dit eens grondig heeft laten onderzoeken. Nu hopen dat ze adequaat opvolging gaan geven aan de geconstateerde gebreken.
Ongelooflijk dat er nog verouderde besturingssystemen draaien die end-of-life zijn. Bij de leverancier heeft de gemeente de ondersteuning verlengd. Daar gaan wij weer voor betalen. Stelletje dodo's
Daarboven was het strenger beveiligd, naar standaards van een kantoor natuurlijk.
Ik weet niet of de huidige situatie dan gaat over die onderste etage en de verontwaardiging wellicht gemotiveerd wordt door de verschuivende grens van wat men tegenwoordig vertrouwelijk en persoonsgegevens noemt, of dat men op zo'n hogere etage toch binnen wist te komen (beveiliging is meestal niet waterdicht zeker als mensen deuren voor elkaar open houden enzo).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
