De ict-systemen van de gemeente Arnhem zijn zo lek als een mandje. Een ethische hacker kreeg van binnenuit de rechten van een systeembeheerder en kreeg zo toegang tot privacygevoelige informatie van burgers, ambtenaren en bestuurders. Dat blijkt uit een onderzoek van de Arnhemse Rekenkamer naar de technische informatiebeveiliging van de gemeente.
De Rekenkamer startte eind november 2017 onderzoek naar de technische kant van de informatiebeveiliging. Om dit te realiseren is de hulp van een ethische hacker ingeschakeld. In de rekenkamerbrief van 16 mei deelt de Rekenkamer de resultaten.
De ethische hacker kon het gemeentelijke netwerk van binnenuit binnendringen. De Rekenkamer schrijft dat alle kernprocessen toegankelijk en manipuleerbaar waren, waardoor de hacker toegang kreeg tot privacygevoelige informatie. Daarnaast zegt de Rekenkamer dat De Connectie (de ambtelijke organisatie) niet ‘in control’ is op het gebied van informatiebeveiliging en privacybescherming.
Tot slot schrijft de Rekenkamer dat er sprake is van en ontkoppeling tussen gedrag, beleid en uitvoering. Dit onderzoek volgt namelijk naar aanleiding van het in februari 2017 verschenen rapport ‘Privacy made in [Arnhem]’. Hierin onderzocht de gemeente ‘de mate van doeltreffendheid en doelmatigheid van de informatieveiligheid en het privacybeleid in beleidsmatige zin’. Er werd gekeken naar het gedrag van de medewerkers en of daarmee een goede informatiebeveiliging werd gewaarborgd. Dit creëerde naar eigen zeggen een positief beeld. Een groot verschil met dit (technische) vervolgonderzoek.
Niet voorbereid op interne aanvallen
Het college zegt geschrokken te zijn van de resultaten. Het vertelt in een reactie dat de gemeente wel op de hoogte was van de gevaren van interne aanvallen, maar dat het hier nog geen maatregelen voor had genomen. ‘De eigen reguliere informatiebeveiligingsaudits van de gemeente richten zich primair op outside-in aanvallen. Bij dit onderzoek zijn van buitenaf geen kwetsbaarheden gevonden.’
De gemeente had dus nog geen tests uitgevoerd voor aanvallen van binnenuit. ‘De aangetroffen kwetsbaarheden bleken daar te zitten. Het ict-systeem gaf wel op een later moment een alarmering af, maar het had absoluut nooit zover mogen komen.’ Het college beschrijft de kwetsbaarheid voor aanvallen van binnenuit als het belangrijkste leerpunt van dit onderzoek van de rekenkamer.
Maatregelen
De gemeente zegt dat er direct maatregelen zijn genomen om de kwetsbaarheden op te lossen. Het benadrukt dat de kwetsbaarheid voor aanvallen van binnenuit via technische oplossingen moeten worden verminderd en dat de fysieke toegankelijkheid van de gebouwen niet verminderd moet worden.
Parallel hieraan is men ook op zoek gegaan naar ethische bestuurders. Het onderzoek loopt nog maar ze zijn vooralsnog niet gevonden. Dat wil echter nog niet zeggen dat ze er niet zijn, benadrukt het rapport. Waakzaamheid blijft geboden.