Gevoelige informatie bij de gemeente Rotterdam is beter beveiligd. Dat concludeert de Rekenkamer na recente testen. Anders dan bij het vorige onderzoek is het de Rekenkamer dit keer niet gelukt om toegang te krijgen tot gevoelige persoonsgegevens. In april 2017 gaf de gemeente al aan ‘halverwege de ict-schoonmaak’ te zijn, nadat de Rotterdamse Rekenkamer begin die maand een kritisch rapport publiceerde.
De Rekenkamer heeft de beveiliging afgelopen november en december opnieuw getest via een penetratie- en social engineering-test en oordeelt dat de gemeente verbeteringen heeft aangebracht. De rapporteurs: ‘De resultaten van de social engineering test, de inlooptest, de interne penetratietest en de wifi-test geven een positief beeld. De rekenkamer constateert dat de effectiviteit van de beveiliging sinds eind 2016 merkbaar is verbeterd. Anders dan tijdens de testen die de rekenkamer eind 2016 heeft laten uitvoeren, is het immers niet gelukt om tijdens de test toegang te krijgen tot meerdere informatiesystemen met gevoelige (persoons)gegevens en in een positie te komen om bijvoorbeeld identiteitsfraude te plegen, de fysieke veiligheid van politiek-bestuurlijke ambtsdragers aan te tasten, de openbare orde en publieke dienstverlening te verstoren of publieke middelen te misbruiken.’
De gemeente Rotterdam trok extra miljoenen uit voor een betere beveiliging van het ict-netwerk tegen cybercriminelen, nadat de Rekenkamer afgelopen voorjaar duidelijk maakte dat de databeveiliging veel te wensen overliet. Het rapport kreeg dan ook de titel ‘In onveilige handen’. In opdracht van de Rekenkamer gingen hackers gebouwen van de gemeente binnen en drongen daar door in computersystemen. Volgens de rapporteurs konden zij bij gevoelige informatie komen, zoals de agenda van burgemeester Aboutaleb. Daardoor had de fysieke veiligheid van de burgemeester in gevaar kunnen komen.
Softwarebeveiliging
De Rekenkamer concludeert nu dat de maatregelen die de gemeente heeft genomen succesvol zijn. De gemeente heeft onder meer medewerkers bewustgemaakt van de gevaren rond slechte informatieveiligheid. Zij zijn nu op de hoogte van trucjes als ‘voice phishing’ waarbij telefonisch om wachtwoorden worden gevraagd. Dit blijkt ook uit het rapport: ‘Met name de resultaten van de voice phishing test lijken te wijzen op een bovengemiddeld beveiligingsbewustzijn bij medewerkers. Zo motiveerde een medewerker van de gemeente, die zonder succes door onderzoekers werd benaderd bij de voice phishing test, haar handelen door te verwijzen naar dit programma.’ Ook technisch zijn aanpassingen gedaan: zo is de netwerkpoortbeveiliging verbeterd en zijn er maatregelen tegen malware getroffen. Als er toch een hackpoging wordt gedaan, dan wordt het door de nieuwe software in een vroeg stadium ontdekt.
Op één terrein schoot de beveiliging nog wel te kort. Ondanks extra beveiligingsmedewerkers bleek het nog steeds mogelijk om zonder toestemming kantoorpanden binnen te dringen. Bij een van de bezochte panden kregen de onderzoekers zelfs toegang tot documenten en dossiers op bureaus van medewerkers. De infiltranten werden niet door medewerkers van de gemeente aangesproken. De Rekenkamer adviseert de gemeente om duidelijk zichtbare toegangspasjes te gebruiken en het toezicht te verbeteren.
De gemeente Rotterdam zegt de aanbevelingen in het rapport over te nemen. De Rekenkamer blijft overigens ook de komende jaren de beveiliging van de gemeente volgen. Het rapport is online in te zien.
Onrust
Er was vorig jaar veel opwinding rondom het rapport van de Rekenkamer. Het college wilde niet dat details over de hackpogingen naar buiten zouden komen en vroeg de Rekenkamer passages uit het rapport te schrappen. Burgemeester Aboutaleb dreigde zelfs met een gang naar de rechter als het rapport openbaar werd gemaakt.
Wethouder Visser noemde het ‘ondoordacht en onbezonnen’ dat de Rotterdamse Rekenkamer gevoelige beveiligingsfouten in het rapport beschrijft, omdat het kwaadwillenden op ideeën zou kunnen brengen.
