De gemeente Utrecht is voldoende beschermd tegen inbraken van buiten via internet. Maar van binnenuit loopt de gemeente grote risico’s op het gebied van informatieveiligheid. Iets wat al jarenlang bekend is maar nog steeds niet afdoende is aangepakt. Dit blijkt uit onderzoek van de Rekenkamer Utrecht.
De lokale waakhond huurde een extern bureau (Hoffmann) in dat een aantal penetratietests uitvoerde. Daaruit bleek dat informatie bij de gemeente Utrecht beter beveiligd is tegen digitale inbraken van buitenaf dan van binnenuit. Saillant detail: dit is al jarenlang bij de gemeente bekend maar wordt maar niet verholpen. Volgens de Rekenkamer Utrecht schort het aan het uitvoeren van risicoanalyses, het informatiebewustzijn onder ambtenaren en de beveiliging van gebouwen.
Uit de interne penetratietesten van Hoffmann kwamen zeventien kwetsbaarheden boven water, uiteenlopend van onveilige werkstations, ontbrekende beveiligingsupdates, verouderde besturingssystemen, onvoldoende beschermde service-accounts, het ontbreken van multifactor-authenticatie, zwakke wachtwoorden en onvoldoende veilig beheer, ontbrekende netwerkauthenticatie, voor spoofing kwetsbare systemen en harddisks zonder encryptie.
Veel zwakke schakels
Een schrijnend voorbeeld uit het rapport ‘Zo sterk als de zwakste schakel. Een onderzoek naar de informatieveiligheid bij de gemeente Utrecht‘: de gemeente was al sinds 2017 bekend met een kwetsbaarheid waardoor er ongeautoriseerd toegang verkregen kan worden tot enkele werkstations. Ondanks de beschikbare beveiligingsupdates werd deze bug niet opgelost. Hoffmann maakte er in de test gebruik van en drong zo binnen in de werkstations.
Vervolgens was het een koud kunstje om live mee te kijken en screenshots te maken van de desktop van medewerkers van de gemeente die zijn ingelogd. Zo kon het externe bureau bijvoorbeeld meelezen met een pz-medewerker in de personeelsdossiers van de gemeente. Daarnaast was het mogelijk om medewerkers te forceren om af te sluiten en opnieuw aan te melden. Daarmee kon het recherchebureau de gebruikersnamen en (versleutelde waarden van) wachtwoorden van deze medewerkers buitmaken.
Koud kunstje
Daarnaast blijkt het met het it-beveiligingsbewustzijn onder de ambtenaren van de Domstad schrikbarend gesteld. Zo bleken 950 medewerkers (16 procent) in reactie op een phishing-mail hun inloggegevens af te geven. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, terwijl er in totaal 5.769 e-mails zijn verstuurd.
Daarbovenop konden de Hoffmann-onderzoekers onbevoegd gebouwen van de gemeente betreden en geheime informatie inzien, zonder hierop te worden aangesproken door medewerkers.
Verder constateert de rekenmaker dat de gemeente Utrecht niet van alle medewerkers weet in welke mate zij thuis werken met veilige apparatuur. De gemeente biedt medewerkers weliswaar een beveiligde virtuele werkomgeving en leent laptops uit, maar slechts 15 procent van de uitgeleende laptops is voorzien van de juiste beveiliging.
Op de beveiliging van privé-apparatuur en wifi-netwerken thuis heeft de gemeente eveneens geen zicht. Ook brengen vergadertools risico’s met zich mee, omdat ze buiten de werkomgeving gebruikt moeten worden. Daarom beveelt de rekenkamer de gemeente aan om het toezicht op en de technische beveiligingsmaatregelen voor informatieveiligheid voor thuiswerken te verbeteren.
De gemeente Utrecht beweert naar aanleiding van de uitkomsten van het onderzoek dat een deel van de gevonden kwetsbaarheden is verholpen. Ook stelde de gemeenteraad in 2020 extra middelen beschikbaar voor informatieveiligheid. Daarmee zijn inmiddels extra mensen aangetrokken.
Kom er maar in Will want wat ik al jaren roep wordt wederom bevestigd, patchen is en blijft zorgenkindje waardoor je makkelijk toegang tot systemen krijgt als je de eerste hindernis van de firewall genomen hebt.
Patchen is en blijft belangrijk – laat daar geen twijfel over zijn.
En ja het blijft inderdaad een zorgenkindje – ook al omdat het nogal eens wil gebeuren dat patchen meer problemen veroorzaakt dan dat het oplost. Dus enige terughoudendheid in combinatie met een pre-productie omgeving lijkt me eerder een must-have dan een nice-to-have (of erger).
Wat ook niet helpt is dat veel hard- en software fabrikanten “consumeren” prioriteren boven veilig-gebruik. Zo werd er deze week bij ons een nieuwe MAC(-mini) afgeleverd… af fabriek nog steeds met de firewall uitgeschakeld… idem voor de laatste LTS-20.04.X versies van Linux Mint (een alternatief voor Windows-10 of een MAC) en Ubuntu server.
Aan de andere kant:
Zet je hem aan, dan wordt standaard al het inkomend verkeer geblokkeerd; wat dan wel weer netjes is.
Microsoft doet het af-fabriek iets beter in zijn Windows smaakjes. Wat ik hier dan weer jammer vindt is dat als je je vervolgens de moeite neemt om het allemaal goed in te regelen, dat het “zomaar” kan gebeuren dat een update/upgrade alles terugzet op fabrieksinstellingen… no-questions-asked…
Dus tja… zolang die prioriteit (mentaliteit?) niet veranderd heeft patchen een zeker gehalte van dweilen-met-de-kraan-open. Maar dat kan/mag geen excuus zijn om het dan maar helemaal achterwege te laten!
Het positieve is dat Utrecht voorrang heeft gegeven aan het beveiligen tegen inbraken van buitenaf via internet.
Het negatieve is dat het gemeentelijke netwerk zo groot is en zoveel vaste en tijdelijke gebruikers kent, dat er van binnenuit ook veel mis kan gaan. Als bovendien softwarelekken niet altijd gepatcht worden, veel gebruikers gevoelig zijn voor social engineering en vaak bereid zijn om hun inloggegevens af te geven, er in coronatijd veel thuis gewerkt wordt, maar MFA niet strikt wordt toegepast, enz., dan ontstaat er alsnog veel ruimte voor inbraken van buitenaf.
Zo is de gemeente Utrecht bezig met een papieren uitrol van het beleid en wordt de achterstand in werkzaamheden eerder groter dan kleiner. De hacker kan in Utrecht de dienstingang nemen.
Will,
In een artikel over een andere gemeente werd iets gevraagd over het change management want het proces van patchen is hier weliswaar onderdeel van maar dat geldt ook voor het lifecycle management. Ik lees in het rapport namelijk dat er nog gebruik gemaakt wordt van software waar geen support meer op is, een voorstel tot vervanging is wel ingediend maar blijkbaar was er geen budget voor gereserveerd. Nu is dat voor insiders geen verrassing want de meeste gemeenten sturen niet op risico’s maar op budget, RfC’s kun je dan ook het beste via de krant indienen.
Ik ben misschien wat cynisch maar dat komt waarschijnlijk doordat gemeentelijke rekenkamercommissies onderdeel uitmaken van het dualisme in de politiek. Opmerking van rekenkamercomissie dat conclusies in hoofdlijnen overeenkomen met soortgelijke onderzoeken van andere rekenkamers is zorgwekkend, te goed van vertrouwen is een bestuurlijke keus. We drinken een glas, we doen een plas en alles blijft zoals het was want als finaniciële- en personele middelen niet gebudgeteerd/gealloceerd worden dan komen beleidsplannen niet tot uitvoer, alleen het temmen van papieren tijgers blijft dan over.
Genomen maategelen zoals meer budget en personeel om de raad beter in staat te stellen om te sturen op het risicomanagement is dan ook de juiste weg voorwaarts, zelfevaluaties van college wringen namelijk met het duale bestuursstelsel. Ben wel benieuwd naar de wensen eisen voor de nieuw uit te rollen werkplek want het achterstallige onderhoud betreft ook alle ‘exportfuncties’ in systemen die ervoor zorgen dat er geen enkele zekerheid is dat (gevoelige) gegevens centraal blijven. Een onopgemerkte FTP server kan ook een cloud oplossing zijn of de back-up in de meterkast achter een slecht beveiligde wi-fi router wat dus niet veel anders is dan de in een kofferbak rondslingerende USB schijf.
Rapport stelt dan ook dat Data Protection Impact Assessments (DPIA’s) cruciaal zijn want veelal is er namelijk geen bewustzijn over de waarde van data en de risico’s. Technische maatregelen om data centraal en onder controle te houden zijn er genoeg, het ‘for your eyes only’ principe technisch invullen met biometrische controle is niet meer iets uit een James Bond film. En ook ‘geo-fencing’ van data is mogelijk alleen worden dit soort systemen als gebruiksonvriendelijk gezien, de burger centraal of de gebruiker is veelal een lastige vraag.