Beveiligingnieuws Logo

Onze partners

Kiwa

Sequrix

Connect Security

SMC Alarmcentrale

i-Pro

VEB

Milestone

VBN

Oribi ID Solutions

BHVcertificaat.online

CardAccess

GFT

Optex

HD Security

Regio Control Veldt

G4S

SOBA

Securitas

Gold-IP

Multiwacht

Akuvox

VAIBS

De Beveiligingsjurist

ARAS

Bydemes

Hikvision

Crown Security Services

JMB Groep

Eagle Eye Networks

Trigion

CDVI

Genetec

Bosch Security Systems

ASIS

Eizo

Unii

Lobeco

Top Security

Add Secure

Traka ASSA ABLOY

Paraat

20face

VideoGuard

SmartCell

CSL

Nimo Drone Security

Nenova

Avigilon Alta

NetworxConnect

DZ Technologies

Seagate

OSEC

2N

Service Centrale Nederland

Hanwha Vision Europe

IDIS

Secusoft

Explicate

Nimo Dog Security

Brivo

PG Security Systems

Alphatronics

Paxton

Alarm Meldnet

SmartSD

Centurion

Advancis

RoSecure

Uniview

VVNL

ADI

Masset Solutions

NIBHV

EAL

Dero Security Products

Ajax Systems

ASSA ABLOY

Seris

HID

Utrecht slecht beveiligd tegen interne dreigingen

8 april 2021
Redactie
09:59

De gemeente Utrecht is weliswaar voldoende beveiligd tegen inbraken van buitenaf via internet, maar onvoldoende tegen aanvallen van binnenuit. Dat blijkt uit onderzoek van Hoffmann Bedrijfsrecherche in opdracht van de Rekenkamer Utrecht. Het kostte nauwelijks moeite om de gebouwen onbevoegd te betreden.

Ondanks de maatregelen die de gemeente heeft getroffen om de beveiliging van informatie en gegevens te verbeteren, moeten er nog de nodige stappen worden gezet met het uitvoeren van risicoanalyses, permanente aandacht van de organisatie en investeringen in informatiebewustzijn en de beveiliging van gebouwen.

Penetratietests
De onderzoekers van Hoffmann slaagden er niet in om via internet (buitenaf) in de gemeentelijke systemen binnen te dringen. Ook de wifi-netwerken konden deze zogenoemde penetratietests doorstaan. Toch tonen met name de interne tests een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend was maar niet verholpen.
De rekenkamer heeft de uitkomsten met de gemeente gedeeld en inmiddels is een deel van de gevonden kwetsbaarheden verholpen. De rekenkamer beveelt de gemeente aan om de nodige maatregelen te nemen tegen de (nog bestaande) technische risico’s en kwetsbaarheden. En daarbij de uitkomsten van de penetratietests van het rekenkameronderzoek te benutten.

Verbetering beveiliging gebouwen nodig
De tests brachten ook risico’s aan het licht op het gebied van informatiebewustzijn van medewerkers. Zo bleken 950 medewerkers (16%) in reactie op een phishing-mail hun inloggegevens af te geven. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, terwijl er in totaal 5.769 e-mails zijn verstuurd. Ook konden de onderzoekers van Hoffmann onbevoegd gebouwen van de gemeente betreden en geheime informatie inzien, zonder hierop te worden aangesproken door medewerkers. Ze konden in dossierkasten snuffelen en zelfs een laptop meenemen, met daarop een post-it met het wachtwoord. Van vier achtergelaten usb-sticks werden er twee gebruikt, waardoor het netwerk gegijzeld had kunnen worden. En een onderzoeker kon een hele dag ‘werken’ op het stadhuis, zonder dat iemand daar vragen over stelde. Tijdens pauzes kon deze met computers aan de slag, die niet werden vergrendeld.

Investeren in bewustzijn
De rekenkamer constateert dat er tussen 2018 en het moment van onderzoek geen centraal programma bestond dat was gericht op het informatiebewustzijn van medewerkers. De rekenkamer beveelt dan ook aan om structureel te investeren in het bewustzijn van medewerkers over informatieveiligheid, maar ook de procedure voor het melden van beveiligingsproblemen en -incidenten zoveel mogelijk te structureren, verhelderen en breed onder de medewerkers bekend te maken. Ook vindt de rekenkamer het belangrijk dat de beveiliging van gemeentelijke gebouwen wordt verbeterd, om toegang voor onbevoegden te voorkomen.

Risicogestuurd werken
Het beleid van de gemeente Utrecht over informatieveiligheid is volgens de rekenkamer in opzet goed. De gemeente wil risicogestuurd werken en hanteert daarbij een roadmap waarin de te nemen maatregelen over de tijd staan uitgezet. Maar de uitvoering van het beleid loopt achter op de planning. Een groot deel van de tactische en operationele risicoanalyses is bijvoorbeeld nog niet uitgevoerd, waardoor niet alle risico’s in beeld zijn.
De rekenkamer beveelt daarom aan om alle benodigde risicoanalyses uit te voeren. Daarnaast adviseert de rekenkamer om de uitvoering van maatregelen in de roadmap te versnellen. En voor verdere maatregelen is het nodig om te leren van eerdere ervaringen en dus na te gaan of eerder genomen maatregelen hebben gewerkt. De gemeenteraad heeft in 2020 extra middelen beschikbaar gesteld voor informatieveiligheid. Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering.

Informatieveiligheid van thuiswerkplekken 
Sinds maart 2020 werken de meeste medewerkers van de gemeente Utrecht thuis. De rekenkamer concludeert dat de gemeente niet van alle medewerkers weet in welke mate zij thuiswerken met veilige apparatuur. De gemeente biedt medewerkers een beveiligde virtuele werkomgeving en leent laptops uit, maar slechts 15% van de uitgeleende laptops is voorzien van de juiste beveiliging. Op de beveiliging van privé-apparatuur en WiFi-netwerken thuis heeft de gemeente geen zicht. Ook brengen vergadertools risico’s met zich mee, omdat ze buiten de werkomgeving gebruikt moeten worden. Daarom beveelt de rekenkamer de gemeente aan om het toezicht op en de technische beveiligingsmaatregelen voor informatieveiligheid voor thuiswerken te verbeteren.

Deel dit artikel via:

Vlog 9

Premium partners

SequriX

Suricat

Seagate

Videoguard

Wordt een partner