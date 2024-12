Medewerkers van de gemeente Utrecht zijn de zwakste schakel als het om de cybersecurity van de gemeente gaat, zo stelt de Rekenkamer Utrecht op basis van onderzoek. Na een onderzoek in 2021 deed de Rekenkamer Utrecht opnieuw onderzoek naar de informatieveiligheid bij de gemeente Utrecht. Ten opzichte van het onderzoek van drie jaar geleden is de gemeente goed aan de slag gegaan met de technische kant, maar blijft de informatieveiligheid door menselijk handelen kwetsbaar, concludeert de Rekenkamer.

Zo lukte het de Rekenkamer niet meer om in digitale systemen in te breken. "Maar de beveiliging van het Stadskantoor en Stadhuis is onvoldoende verbeterd. Het lukt insluipers nog altijd makkelijk om de beveiligde gebieden van die gebouwen te betreden. En zij worden niet door medewerkers van de gemeente aangesproken op hun aanwezigheid."

De Rekenkamer stelt dat het menselijk handelen de afgelopen jaren dan ook niet aantoonbaar is verbeterd. "Zo staan medewerkers tijdens phishing-acties nog steeds gevoelige informatie zoals inloggegevens af. De mens is daarmee de zwakste schakel bij informatieveiligheid, waardoor deze nog niet volledig is gewaarborgd."

Usb-droppings

Net als bij het vorige onderzoek liet de Rekenkamer dit jaar een 'usb-dropping' uitvoeren. Medewerkers van de gemeente blijken nog altijd onvoldoende op de hoogte te zijn van de gevaren van het aansluiten van onbekende usb-sticks. Bij de mystery guest bezoeken op het Stadskantoor en op het Stadhuis zijn tussen 3 en 5 juni vijf usb-sticks op verschillende plekken achtergelaten.

Op 4 en 6 juni zijn de bestanden op twee usb-sticks onveilig geopend. Dit is een vergelijkbare uitkomst met het vorige onderzoek toen twee van de vier achtergelaten usb-sticks werden geopend. Drie usb-sticks zijn door medewerkers ingeleverd bij het Serviceplein. Eén usb-stick is gevonden op de achttiende verdieping, waar ook de Informatie- en Procesmanagement (IPM) -afdeling is gehuisvest.

Het gebruik van usb-sticks is in de extern toegankelijke (virtuele) werkomgeving van de gemeente geblokkeerd, maar dat geldt niet voor het gebruik van usb-sticks op de beheerde laptop omdat verder moet worden uitgezocht wat de impact daarvan zou zijn op de dagelijkse werkzaamheden van medewerkers.

Voice phishing

Tijdens het onderzoek werd er ook een voice phishingaanval op het gemeentepersoneel uitgevoerd. In totaal zijn zeven medewerkers van de gemeente Utrecht via negentien belpogingen via de telefoon benaderd. Van de zeven medewerkers hebben vier medewerkers een website geopend en daar hun inloggegevens ingevoerd op een nep ICT Servicedesk pagina. Medewerkers blijken niet altijd de ware identiteit van de beller te controleren, concludeert de Rekenkamer. "En het is voor kwaadwillenden eenvoudig om op basis van openbare informatie de persoonsgegevens van een medewerker van de gemeente te benutten. Medewerkers van de gemeente blijken zich niet bewust van de gevaren van voice phishing."

Technische punten

De onderzoekers stelden verder vast dat op verschillende systemen verouderde software draait. "Deze software heeft kwetsbaarheden en/of heeft beveiligingsupdates nodig en kan in zijn huidige vorm niet langer als veilig worden beschouwd." Verder werd informatie achterhaald over de gebruikte wifi-netwerken, die volgens werd gebruikt voor een 'Evil-twin' aanval. Via deze aanval zijn versleutelde wachtwoorden van medewerkers onderschept. Het lukte de onderzoekers niet die te kraken. De Rekenkamer adviseert het gebruik van certificaten om op wifi-netwerken in te loggen.

De Rekenkamer doet de gemeente vier aanbevelingen, namelijk het beheersen van de resterende technische risico's en kwetsbaarheden, het vergroten van de fysieke beveiliging van gebouwen en het informatiebewustzijn van medewerkers, het inzetten op een cultuurverandering binnen de hele organisatie en zorgen voor meer centrale aansturing van het informatieveiligheidsbeleid.