Brabantse gemeenten hebben beveiliging persoonsgegevens niet op orde
Verschillende Brabantse gemeenten hebben de beveiliging van persoonsgegevens niet op orde, zo blijkt uit een onderzoek van de Rekenkamercommissie Midden-Brabant (RMB). Die liet een ethisch hacker de beveiliging van de gemeenten Dongen, Goirle, Hilvarenbeek en Loon op Zand onderzoeken. Via penetratietests werd gezocht naar kwetsbaarheden en de mogelijkheid om toegang tot vertrouwelijke informatie te krijgen.
Zo lukte het de onderzoekers om bij de gemeente Dongen op afstand onder andere toegang te krijgen (privacy)gevoelige informatie, e-mails, wachtwoorden, gedeelde bestanden en chatberichten. Het ging onder andere om gegevens over medische keuringen in het kader van de Wet maatschappelijke ondersteuning (Wmo). Via dit dashboard zijn gedetailleerde medische gegevens van burgers beschikbaar.
Bij de gemeenten Goirle, Hilvarenbeek en Loon op Zand werd er ook toegang tot persoonsgegevens verkregen. Deze gegevens hebben betrekking op het sociaal domein, belastingen, burgerzaken en vergunningen. Ook kregen de onderzoekers toegang tot desktops, vertrouwelijke en privacygevoelige informatie, e-mail, (beheer) wachtwoorden van services en fileshares. Ook werd toegang verkregen tot persoons- en belastinggegevens van burgers en juridische procedures van de gemeenten.
Netwerksegmentatie
Tevens bleek dat de gemeenten onvoldoende doen aan netwerksegmentatie en firewalling. Vanuit de IT-omgeving van gemeente Dongen was toegang mogelijk tot gegevens van de gemeente Tilburg, omdat beide gemeenten samen één systeem vormen. Hieronder kunnen kwetsbaarheden impact hebben op de gehele infrastructuur. Er wordt wel netwerksegmentatie toegepast, maar geen firewall tussen beide gemeenten. Tilburg verleent diensten aan Dongen en behandelt Dongen als een ‘afdeling’ van Tilburg. Daarbij moet worden opgemerkt dat sinds het begin van de samenwerking het nooit het doel is geweest om een firewall tussen Tilburg en Dongen in te richten.Vanuit de IT-omgevingen van Goirle, Hilvarenbeek en Loon op Zand was toegang mogelijk tot gegevens van de andere samenwerkingspartners. De oorzaak van het verkrijgen van toegang was dat het medewerkersaccount dat tijdens de test werd gecompromitteerd rechten tot deze applicatie had. De scheiding van de IT-omgevingen bleek onvoldoende.
Fysieke beveiliging
Op het gebied van fysieke beveiliging laten de gemeenten ook steken vallen. In Dongen was de patchruimte op slot, maar hing de sleutel onbeveiligd buiten de daartoe bestemde kast. Tevens bleek het patchpaneel toegankelijk. Daarnaast kon de onderzoeker in Dongen op de kamer van de burgemeester toegang krijgen tot een geopende kast met daarin een bakje gelabeld 'privé'. Tevens had de onderzoeker de bezoekerspas niet zichtbaar gedragen, maar werd hier niet door medewerkers op aangesproken.Bij de andere drie gemeenten bleek dat interne netwerken en testomgevingen toegankelijk waren. Zo werd er een papiertje met inloggegevens van één test/trainingomgeving aangetroffen, waardoor de onderzoeker toegang tot die omgeving kreeg. De gemeenten hebben naar aanleiding van het onderzoek maatregelen getroffen en aanpassingen aan het beleid doorgevoerd (pdf).
Als it-er bij kleine organisatie (600 man) ook wel een een vraag van een beveiliger gehad (Vriend). had probleem met een word document. Ik zeg doe is foto van probleem. Krijg via messenger foto van scherm, incl beeldscherm rand incl. stikkers met inlog gegevens. Wist waar die werkte en die hadden idd een mooi portaal om in te loggen met die sticker gegevens (uiteraard via TOR). tot en met salaris admin kon ik erin.
Dus overal is wel wat..
Als de functionele toepassing voor de gemeentelijke ambtenaren identiek is is het keuze van het management om geen scheiding aan te brengen onderbouwd. De onderzoekers gaan hier tegen de uitgangsprincipes va informatiebeveiliging in.
Als we het overdrijven wordt het mogelijk helder. Alke ambtenaar moet zijn eigen netwerksegment hebben. (???)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.