De grootste risico's voor de digitale veiligheid van de gemeentelijke organisaties van Leiden en Leiderdorp liggen intern op de loer. Dat blijkt uit een onderzoek van de rekenkamercommissie Leiden-Leiderdorp.
Het risico om van buiten de organisatie binnen te dringen in systemen van de gemeenten is laag, maar er is een medium tot groot risico op incidenten van binnenuit. Met die conclusie zet de commissie de twee gemeenteraden op scherp.
‘Een aanvaller die toegang heeft tot het kantoornetwerk van de gemeente, kan eenvoudig misbruik maken van de gevonden kwetsbaarheden van de systemen’, schrijft de commissie. De aangetroffen interne kwetsbaarheden hebben vooral te maken met ontbrekende security-updates en configuratiefouten van applicaties en systemen. Bovendien is van enkele systemen onduidelijk wie verantwoordelijk is voor het beheer en voor de installatie van de updates.
Gedrag van medewerkers
Ook wijzen de onderzoekers erop dat het bewustzijn en gedrag van medewerkers soms te wensen over laten. Zo trapten enkelen in een phishingtest, waarbij ze werden geleid naar een nagemaakte website en daar hun inloggegevens invulden.
Daarnaast zijn er nog onvoldoende afspraken over de manier waarop medewerkers op de hoogte blijven van de security-actualiteit en hoe ze hierop kunnen inspelen. ‘Het is belangrijk dat iedereen met een werkplek binnen de gemeenten zich bewust wordt van deze risico’s en hier ook verantwoordelijk mee omgaat’, aldus de onderzoekers.
Tweefactor-authenticatie
De commissie adviseert om gebleken kwetsbaarheden op te oplossen, te werken aan meer bewustwording onder de medewerkers en de beveiliging te verbeteren, zowel fysiek als digitaal. Tweefactor-authenticatie kan daarbij helpen.
Het onderzoek (pdf) werd in het najaar van 2018 uitgevoerd door adviesbureau Necker van Naem en ethische hackers van Guardian360. Het onderzoek betrof de gemeente Leiden, de gemeente Leiderdorp en het gezamenlijke Servicepunt71. De twee gemeenten hebben grotendeels hetzelfde beleid op het gebied van digitale veiligheid.