De gemeente Leiden is onzorgvuldig met de rechten van gebruikers van ict-systemen. Nieuwe medewerkers krijgen toegang tot informatie die gekoppeld is aan de rechten van andere ambtenaren. Het is niet na te gaan wie er bepaalde informatie heeft bekeken en met welke applicaties een ambtenaar heeft gewerkt. Ook de administratie van subsidies verloopt rommelig.
Dat blijkt uit onderzoek van Ernst & Young (EY) dat een controle uitvoerde op de ict-systemen van de gemeente, waarover het Leidsch Dagblad heeft gepubliceerd. Volgens de adviseurs kan de gemeente niet vaststellen of ambtenaren wel de juiste rechten hebben om bij de informatie in de gemeentelijke ict-systemen te kunnen.
Ook lijken er problemen te zijn met het loggen van gebruikersinformatie. Het is voor de gemeente namelijk niet vast te stellen wie bepaalde documenten heeft bekeken. Dat staat ook in de informatie waar de krant de hand op heeft weten te leggen.
Volgens het Leidsch Dagblad is Ernst & Young hard in haar oordeel. Het dagblad citeert: ‘De geconstateerde tekortkomingen hebben tot gevolg dat wij voor onze controlewerkzaamheden (…) niet kunnen steunen op de it-beheersomgeving.’ Gegevens over financiën, personeel en salaris die uit de systemen van de gemeentelijke organisatie komen zouden volgens de accountant onbetrouwbaar kunnen zijn.
Subsidies
Ook bij de verstrekking van subsidies zouden ict-problemen spelen waardoor het toekennen van die gelden volgende Ernst & Young mislopen.
De adviseurs constateren dat inkomende subsidies niet op een centrale plek worden opgeslagen, maar op verschillende plekken bij de gemeente binnenkomen. Het zou ontbreken aan een centraal overzicht en verantwoording. De accountants schrijven dat ook het risico bestaat dat de subsidiegelden onrechtmatig worden besteed.
Ook bij de afdeling inkoop blijken computersystemen onbetrouwbaar. Volgens de adviseurs moet de gemeente snel actie ondernemen om te voorkomen dat er problemen ontstaan bij de verantwoording van de jaarrekening. De gemeente is om een reactie gevraagd, maar was nog niet in de gelegenheid om te reageren.
De gemeente is om een reactie gevraagd, maar was nog niet in de gelegenheid om een inhoudelijke reactie te geven.
tipje van de ijsberg. Ik denk dat geen enkele gemeente of anderszins overheidsinstantie voor de volle 100% de toegangsrechten van gebruikers kan verantwoorden, logs van toegang tot documenten en dergelijke kan overleggen, of kan aangeven welke applicaties door welke gebruikers zijn gebruikt. Technisch is dat wel mogelijk, maar de logging systemen voor zulke functionaliteit zijn complex en duur, en verzamelen op dagelijkse schaal massale hoeveelheden data. Daar weer nuttige informatie uit halen is zeer complex.
Erwin, met je reactie kan ik het alleen maar oneens zijn. Het is een combinatie van processen, procedures en techniek, en bovenstaand artikel geeft aan dat het met bijvoorbeeld authorisatie procedures voor applicaties al niet goed zit. Log management en aggregatie is de volgende stap, en ok dit hoeft niet belachelijk veel geld te kosten, maar moet wel gedaan worden. Belangrijk is beginnen, en aan security de juiste prioriteit toekennen. Met andere woorden, het security maturity level verhogen.
Ik ben blij dat EY dit onderzoek heeft gedaan. Waarom?
Ik durf de stelling te poneren dat enkel in organisaties waarin op dit moment al sterk toezicht is – het identity en accessmanagement is ingeregeld en waar de IAM processen zijn geborgd in de organisatie -, de integrale IAM op een verantwoord niveau ligt. De bancaire en verzekeringssector lopen daarin voorop, gevold door de universitieten/hogescholen. Bij de overheid lijkt het bij defensie en politie redelijk op orde (allen staan onder sterk toezicht).
Voor de rest is het bij de publieke/ semi publieke en private sector over het algemeen nog een gatenkaas als het gaat om IAM.(16.000 gemelde datalekken in ruime een jaar tijd)
Voor afzonderlijke applicaties/primaire bedrijfsprocessen lijkt het nog wel op orde, maar van borging en embedding van het IAM proces is in de rest van de organisatie al helemaal geen sprake, en met GDPR in het vooruitzicht zouden toch heel wat organisaties zich wat ongemakkelijk moeten gaan voelen, daar heb je zelfs geen waarschuwingsartikel van EY voor nodig.
Vanuit tooling zijn er op dit moment maar twee oplossingen in de markt die de integrale IAM vraagstukken kunnen oplossen. Het succes van deze tooling wordt echter vooral bepaald door het changemanagement dat nodig is om de betrokken tooling tot een succes te brengen.