Beveiligingnieuws Logo

Onze partners

Akuvox

Dero Security Products

Advancis

Gold-IP

ARAS

Centurion

SmartSD

NetworxConnect

Multiwacht

Eizo

Intrasec

Securitas

Unii

OSEC

Top Security

Paraat

Aritech

BHVcertificaat.online

ADI

Eagle Eye Networks

IDIS

Hanwha Vision Europe

Genetec

Seris

MOBOTIX

Paxton

HD Security

VideoGuard

Add Secure

Kiwa

SMC Alarmcentrale

i-Pro

Sequrix

G4S

PG Security Systems

Ajax Systems

EAL

Nenova

VEB

Network Optix

Seagate

CDVI

Trigion

Service Centrale Nederland

Lobeco

SmartCell

Masset Solutions

CSL

VBN

Regio Control Veldt

NIBHV

Avigilon Alta

Crown Security Services

Connect Security

Bosch Security Systems

Traka ASSA ABLOY

Oribi ID Solutions

SOBA

Alarm Meldnet

2N

Hikvision

Milestone

Distri Company

Secusoft

Bydemes

Alphatronics

ASSA ABLOY

HID

VVNL

Optex

Uniview

Brivo

VAIBS

ASIS

Utrecht slecht beveiligd tegen interne dreigingen

8 april 2021
Redactie
09:59

De gemeente Utrecht is weliswaar voldoende beveiligd tegen inbraken van buitenaf via internet, maar onvoldoende tegen aanvallen van binnenuit. Dat blijkt uit onderzoek van Hoffmann Bedrijfsrecherche in opdracht van de Rekenkamer Utrecht. Het kostte nauwelijks moeite om de gebouwen onbevoegd te betreden.

Ondanks de maatregelen die de gemeente heeft getroffen om de beveiliging van informatie en gegevens te verbeteren, moeten er nog de nodige stappen worden gezet met het uitvoeren van risicoanalyses, permanente aandacht van de organisatie en investeringen in informatiebewustzijn en de beveiliging van gebouwen.

Penetratietests
De onderzoekers van Hoffmann slaagden er niet in om via internet (buitenaf) in de gemeentelijke systemen binnen te dringen. Ook de wifi-netwerken konden deze zogenoemde penetratietests doorstaan. Toch tonen met name de interne tests een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend was maar niet verholpen.
De rekenkamer heeft de uitkomsten met de gemeente gedeeld en inmiddels is een deel van de gevonden kwetsbaarheden verholpen. De rekenkamer beveelt de gemeente aan om de nodige maatregelen te nemen tegen de (nog bestaande) technische risico’s en kwetsbaarheden. En daarbij de uitkomsten van de penetratietests van het rekenkameronderzoek te benutten.

Verbetering beveiliging gebouwen nodig
De tests brachten ook risico’s aan het licht op het gebied van informatiebewustzijn van medewerkers. Zo bleken 950 medewerkers (16%) in reactie op een phishing-mail hun inloggegevens af te geven. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, terwijl er in totaal 5.769 e-mails zijn verstuurd. Ook konden de onderzoekers van Hoffmann onbevoegd gebouwen van de gemeente betreden en geheime informatie inzien, zonder hierop te worden aangesproken door medewerkers. Ze konden in dossierkasten snuffelen en zelfs een laptop meenemen, met daarop een post-it met het wachtwoord. Van vier achtergelaten usb-sticks werden er twee gebruikt, waardoor het netwerk gegijzeld had kunnen worden. En een onderzoeker kon een hele dag ‘werken’ op het stadhuis, zonder dat iemand daar vragen over stelde. Tijdens pauzes kon deze met computers aan de slag, die niet werden vergrendeld.

Investeren in bewustzijn
De rekenkamer constateert dat er tussen 2018 en het moment van onderzoek geen centraal programma bestond dat was gericht op het informatiebewustzijn van medewerkers. De rekenkamer beveelt dan ook aan om structureel te investeren in het bewustzijn van medewerkers over informatieveiligheid, maar ook de procedure voor het melden van beveiligingsproblemen en -incidenten zoveel mogelijk te structureren, verhelderen en breed onder de medewerkers bekend te maken. Ook vindt de rekenkamer het belangrijk dat de beveiliging van gemeentelijke gebouwen wordt verbeterd, om toegang voor onbevoegden te voorkomen.

Risicogestuurd werken
Het beleid van de gemeente Utrecht over informatieveiligheid is volgens de rekenkamer in opzet goed. De gemeente wil risicogestuurd werken en hanteert daarbij een roadmap waarin de te nemen maatregelen over de tijd staan uitgezet. Maar de uitvoering van het beleid loopt achter op de planning. Een groot deel van de tactische en operationele risicoanalyses is bijvoorbeeld nog niet uitgevoerd, waardoor niet alle risico’s in beeld zijn.
De rekenkamer beveelt daarom aan om alle benodigde risicoanalyses uit te voeren. Daarnaast adviseert de rekenkamer om de uitvoering van maatregelen in de roadmap te versnellen. En voor verdere maatregelen is het nodig om te leren van eerdere ervaringen en dus na te gaan of eerder genomen maatregelen hebben gewerkt. De gemeenteraad heeft in 2020 extra middelen beschikbaar gesteld voor informatieveiligheid. Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering.

Informatieveiligheid van thuiswerkplekken 
Sinds maart 2020 werken de meeste medewerkers van de gemeente Utrecht thuis. De rekenkamer concludeert dat de gemeente niet van alle medewerkers weet in welke mate zij thuiswerken met veilige apparatuur. De gemeente biedt medewerkers een beveiligde virtuele werkomgeving en leent laptops uit, maar slechts 15% van de uitgeleende laptops is voorzien van de juiste beveiliging. Op de beveiliging van privé-apparatuur en WiFi-netwerken thuis heeft de gemeente geen zicht. Ook brengen vergadertools risico’s met zich mee, omdat ze buiten de werkomgeving gebruikt moeten worden. Daarom beveelt de rekenkamer de gemeente aan om het toezicht op en de technische beveiligingsmaatregelen voor informatieveiligheid voor thuiswerken te verbeteren.

Deel dit artikel via:

Vlog

Premium partners

Videoguard

Distri Company

SequriX

Suricat

Aritech

Seagate

Wordt een partner