De gemeente Utrecht heeft de beveiliging van gegevens en systemen niet goed op orde en moet verschillende maatregelen treffen om de risico’s tegen te gaan, zo stelt de Rekenkamer Utrecht die onderzoek naar de informatieveiligheid bij de gemeente liet uitvoeren.

Een extern securitybedrijf dat de Rekenkamer inhuurde lukte het niet om vanaf het internet toegang tot de gemeentelijke systemen te krijgen. Ook de penetratietests tegen de gemeentelijke wifi-netwerken legden geen kwetsbaarheden bloot. Van binnenuit loopt de gemeente wel risico op het gebied van informatieveiligheid. De interne tests tonen een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend is maar nog altijd niet is verholpen.

De Rekenkamer doet dan ook zeven aanbevelingen, waaronder het nemen van maatregelen tegen technische risico’s die bekend zijn, het structureel investeren in het informatiebewustzijn van medewerkers, het uitvoeren van alle nodige risicoanalyses en het verbeteren van het toezicht op informatieveiligheid in de thuiswerksituatie.

Phishingtest en usb-sticks

Voor het onderzoek werden verschillende tests uitgevoerd, waaronder een social engineering test. Deze test bestond uit verschillende onderdelen, zoals het versturen van phishingmails, het verspreiden van usb-sticks en inlooptesten op het Stadskantoor en het Stadhuis om ongeautoriseerd toegang te krijgen tot een kantoorruimte.
Daarnaast is een laptop van de gemeente onderzocht om te kijken of deze voldoende beschermd is tegen aanvallen in onveilige netwerken en tegen diefstal en verlies.

Bij de phishingtest werden bijna 5800 e-mails verstuurd. 1100 Gemeentemedewerkers openden de link in het bericht en 950 mensen vulden hun inloggegevens in (16 procent). Ondanks een waarschuwing in een e-mail aan alle medewerkers door de gemeente op de eerste dag van de tets bleken nog altijd nieuwe gebruikersnamen en wachtwoorden doorgegeven te worden. Er werd slechts 477 keer officieel melding gedaan van de (poging tot)
phishing, waarbij de eerste melding na negen minuten volgde.

Van twee van de vier verspreide usb-sticks werd door medewerkers de inhoud geopend. “Een kwaadwillende kan hiermee toegang krijgen tot de betrokken computer”, aldus de Rekenkamer. Op de usb-sticks stond een afbeelding die verbinding kon maken met de webserver van het securitybedrijf. Tevens bleek dat de fysieke beveiliging van en sociale controle op het Stadskantoor en Stadhuis de toegang van onbevoegden niet konden voorkomen. Ook was sommige geheime informatie op deze locaties niet veilig opgeborgen.

Verder konden de onderzoekers een laptop van een medewerker meenemen waarop een post-it met bijbehorend wachtwoord was bevestigd. Hierdoor kon eenvoudig toegang worden verkregen tot de laptop.

Verouderde besturingssystemen

De gemeente Utrecht blijkt ook nog met verouderde besturingssystemen te werken die end-of-life zijn. Bij de leverancier heeft de gemeente de ondersteuning verlengd zodat er nog wel beveiligingsupdates worden ontvangen, maar het externe bureau wijst erop dat kwaadwillenden rekening met verouderde besturingssystemen houden.

Op een aantal systemen bleken geen beveiligingsupdates te zijn geïnstalleerd terwijl die wel beschikbaar
zijn. Ook werden er verouderde applicaties aangetroffen die bekende kwetsbaarheden bevatten. Veel wachtwoorden van de gemeente blijken zwak te zijn en worden door de onderzoekers gekraakt. Van de 137 wachtwoordhashes lukt het de onderzoekers om er 49 te kraken.

De gemeente blijkt ook niet goed met wachtwoorden om te gaan. Zo zijn er wachtwoorden gevonden in een gedeelde (netwerk)map. Ook in een veelgebruikt softwareprogramma zijn (initiële) wachtwoorden in leesbare tekst aangetroffen. Verder ontbreekt multifactorauthenticatie, netwerkauthenticatie en harddiskencryptie en zijn serviceaccounts onvoldoende beschermd.

Thuiswerken

Het onderzoek laat daarnaast zien dat de gemeente geen zicht heeft op de beveiliging van de privé apparatuur waar medewerkers thuis op werken. “De gemeente hanteert een bring-your-own-device beleid en heeft
daarmee minder controle op hoe medewerkers met privé devices omgaan”, zo stelt de Rekenkamer. Van de door de gemeente uitgeleende laptops is slechts vijftien procent van de juiste beveiliging voorzien.

Om de beveiligingsrisico’s bij het gebruik van eigen apparatuur tegen te gaan biedt de gemeente een virtuele werkomgeving. Dit moet zoveel mogelijk voorkomen dat gegevens lokaal worden opgeslagen. Verder zijn er geen eisen gesteld aan de beveiliging van wifi-netwerken bij mensen thuis.

De Rekenkamer adviseert de gemeente om alle benodigde risicoanalyses uit te voeren en om de uitvoering van maatregelen in de roadmap te versnellen. De gemeenteraad heeft vorig jaar extra middelen beschikbaar gesteld voor informatieveiligheid. “Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering”, zo concludeert de Rekenkamer.

Image

Source