Hoewel de gemeente Rotterdam onlangs de hacktest van de Rekenkamer overleefde, blijkt er toch nog een belangrijk onderdeel niet op orde: de beveiliging van e-mail. Het blijkt nog steeds erg eenvoudig om een mail te sturen namens bijvoorbeeld burgemeester Ahmed Aboutaleb. De gemeente belooft, wederom, beterschap.
Dit blijkt uit onderzoek van het Algemeen Dagblad. Het blijkt te gaan om spoofing; het versturen van een valse mail. In de hacktest van november en december 2017 is deze vorm van hacken niet meegenomen. Bij spoofing breekt de mailer niet in, maar verandert hij de eigenschappen van de eigen mail waardoor die van een ander afkomstig lijkt. Dit kan als de domeinnaam, in dit geval Rotterdam.nl, niet goed beveiligd is. De gemeente wil dit oplossen door nieuwe technieken door te voeren waarmee mensen kunnen checken of de mail authentiek is.
Deze ontdekking staak haaks op het bericht van vorige maand, waarbij gesteld werd dat de gemeente Rotterdam de hacktest van de Rekenkamer overleefde. Anders dan bij het vorige onderzoek is het de Rekenkamer die keer niet gelukt om toegang te krijgen tot gevoelige persoonsgegevens. In april 2017 gaf de gemeente al aan ‘halverwege de ict-schoonmaak’ te zijn, nadat de Rotterdamse Rekenkamer begin die maand een kritisch rapport publiceerde.
In onveilige handen
De gemeente Rotterdam trok extra miljoenen uit voor een betere beveiliging van het ict-netwerk tegen cybercriminelen, nadat de Rekenkamer afgelopen voorjaar duidelijk maakte dat de databeveiliging veel te wensen overliet. Het rapport kreeg dan ook de titel ‘In onveilige handen’. In opdracht van de Rekenkamer gingen hackers gebouwen van de gemeente binnen en drongen daar door in computersystemen. Volgens de rapporteurs konden zij bij gevoelige informatie komen, zoals de agenda van burgemeester Aboutaleb. Daardoor had de fysieke veiligheid van de burgemeester in gevaar kunnen komen.
Er was vorig jaar veel opwinding rondom het rapport van de Rekenkamer. Het college wilde niet dat details over de hackpogingen naar buiten zouden komen en vroeg de Rekenkamer passages uit het rapport te schrappen. Burgemeester Aboutaleb dreigde zelfs met een gang naar de rechter als het rapport openbaar werd gemaakt.
Wethouder Visser noemde het ‘ondoordacht en onbezonnen’ dat de Rotterdamse Rekenkamer gevoelige beveiligingsfouten in het rapport beschrijft, omdat het kwaadwillenden op ideeën zou kunnen brengen.