De gemeente Leiden gaat de toegang tot ict-systemen en applicaties aanpakken. Door betere autorisatie moet duidelijk zijn welke ambtenaar of medewerker toestemming heeft om applicaties te openen en gegevens te bewerken. Van een aantal applicaties moet de wachtwoordinstelling binnen een maand zijn verbeterd. De gemeente gaat ook generieke gebruikersaccounts aanpakken en met leveranciers in gesprek.
Dat laat de gemeente weten na vragen van Computable. Externe accountant Ernst & Young (EY) dringt in een kritisch adviesrapport aan de gemeente aan op verbeteringen. Door de onzorgvuldige manier waarop gebruikersrechten worden beheerd, kan de accountant niet vertrouwen op de informatie uit sommige gemeentelijke ict-systemen en applicaties. De deadline voor de jaarrekeningcontrole 2016, die normaal gesproken in april 2017 zou worden afgerond, wordt daardoor mogelijk niet gehaald.
De gemeente laat weten dat de wachtwoordinstellingen van veelgebruikte applicaties als BPMOne en Tcare binnen een maand aangepast worden binnen de mogelijkheden die de applicaties daarvoor bieden. ‘Daar waar aanpassing van de applicaties nodig is, treden wij in overleg met de leveranciers om de mogelijkheden te onderzoeken. Zo nodig nemen we tijdelijk aanvullende maatregelen om ongewenste toegang te beheersen’, laat een woordvoerder weten aan Computable. Als applicaties niet aan het gewenste niveau van informatiebeveiliging kunnen voldoen, zal de gemeente overwegen om over te gaan tot vervanging van deze applicaties.
EY adviseert de gemeente om voor alle applicaties een autorisatiematrix op te stellen, waarin per functie is vermeld welke rollen en rechten worden toegekend. Zo moet geborgd zijn dat gebruikers niet meer rechten krijgen dan vanuit hun functie strikt noodzakelijk is. Ook kan op die manier functiescheiding worden vastgelegd. Bij de aanvraag van toegangsrechten voor een nieuwe gebruiker werd in de oude situatie gerefereerd aan rechten van een andere gebruiker. De gemeente: ‘Voor applicaties die hiertoe de mogelijkheid bieden zal de gemeente een adequate rechtenstructuur invoeren in de betrokken applicaties. Dit zal uiterlijk het tweede kwartaal 2017 gereed kunnen zijn. Afstemming met leveranciers is daarbij mogelijk van belang.’
Generieke gebruikersaccounts
De gemeente: ‘Het werken met generieke gebruikersaccounts is soms efficiënt maar gezien het gewenste niveau van interne beheersing niet wenselijk. We zullen per applicatie bepalen wat de gewenste wijze wordt om een werkbare situatie te behouden met inachtneming van het gewenste niveau van betrouwbaarheid van de systemen en de daarin vastgelegde data. Dit doen wij zo nodig in overleg met leveranciers van software, in combinatie met bovengenoemde aanpassingen. Dit zal in het eerste halfjaar van 2017 plaatsvinden.’
Leiden is een voorloper in het deels uitbesteden van gemeentelijke ict. De gemeente lijkt met de steeds strenger wordende eisen van toezichthouders last te hebben van de wet van de remmende voorsprong. In een reactie op het EY-rapport uit de gemeente zijn zorgen dat controle te dominant wordt en de situatie waarin steeds meer taken gedecentraliseerd worden, leidt tot te veel regels en het zetten van vinkjes.
Het college van burgermeester en wethouders schrijft: ‘In de boardletter weegt de accountant de interne bevindingen zwaarder dan eerdere jaren. Het college wil hierover zijn zorgen uitspreken. De strengere eisen die aan controles worden gesteld door de financiële autoriteiten staan in de ogen van het college steeds vaker op gespannen voet met het uitgangspunt van het college om in de samenwerking met de inwoners en partners vanuit vertrouwen te doen wat nodig is voor de stad. Bij dat uitgangspunt hebben wij een ambtelijke organisatie voor ogen waar de verantwoordelijkheden laag in de organisatie zijn belegd, waar eigenaarschap wordt getoond en waar mensen constructief samenwerken. Meer controle en nog strengere eisen kunnen tot gevolg hebben dat de regels, protocollen en uitvoerige verantwoording leidend worden, ten koste van de doelen die wij nastreven overeenkomstig de behoefte en de vraag vanuit de stad.’
Je kan als gemeente toch niet serieus menen dat generieke gebruikeraccounts nog toegestaan mogen worden? Dat heeft niets met te maken met vinkjes zetten en vertrouwen.
vertrouwen is niet altijd goed…
zie https://www.nrc.nl/nieuws/2016/12/13/nog-meer-fraudegevallen-bij-de-gemeente-amsterdam-a1536362
Goh…. Vraag me af of gegevens van jeugdzorg nu voor iedereen toegankelijk zijn…. Dit moet je toch niet willen…. Continue stroom van datalekken.
Kortom, elementair beveiligingsbeleid is niet op orde en de eindverantwoordelijken – B&W – hebben problemen met eisen vanuit Governance & Compliance.
B&W maken zich zorgen, want doen liever leuke dingen dan zich te bekommeren om hun wettelijke taken en plichten.
Dan helpen ook geen workshops en seminars meer om het ‘beveiligingsbewustzijn’ te vergroten.
AVG, nooit van gehoord?
Schokkend dat veiligheid en verantwoordelijkheid niet bij de gemeente zelf tussen de oren zit. Juist als je de dienstverlening naar de burgers wilt verbeteren en bijvoorbeeld bevoegdheden laag in de organisatie wilt leggen is het essentieel dat je daar wel waarborgen en audit trails tegenover stelt op het gebied van toegang en rechten. Juist bij gegevens die een gemeente beheert hoort controleerbaarheid van de toegang de basis te zijn voor de systemen en processen.