Burgemeester Aboutaleb loopt onnodig groot veiligheidsrisico

Rotterdam verzet zich tegen openbaarmaking rapport

Burgemeester Ahmed Aboutaleb van Rotterdam loopt al jarenlang een onnodig groot veiligheidsrisico. Ondanks eerdere waarschuwingen laat de gemeente na gaten in zijn digitale beveiliging te dichten. Daardoor kunnen kwaadwillenden relatief eenvoudig via zijn agenda achterhalen waar Aboutaleb van uur tot uur is. Dat is een van de conclusies van een nog niet gepubliceerd rapport van de Rotterdamse Rekenkamer, dat in handen is van de Volkskrant.

Aboutaleb heeft als mogelijk doelwit van terroristen al jarenlang persoonlijke beveiliging. Zijn agenda is daarom geheim. Door de tekortschietende informatiebeveiliging, zoals onversleutelde harde schijven en verouderde software, kunnen hackers beheerdersrechten krijgen en daarmee toegang tot gevoelige informatie.

Dit leidt volgens de Rekenkamer tot 'reële risico's op fysieke onveiligheid' van Aboutaleb en andere Rotterdamse politici. Daarnaast zouden veiligheidsprotocollen voor evenementen die de burgemeester via mail ontvangt kunnen worden misbruikt om zwakke plekken in de beveiliging op te sporen.

Het college van Rotterdam verzet zich tegen publicatie van het rapport

Met name de stevige conclusies over de kwetsbaarheid van Aboutaleb zijn pijnlijk. Twee jaar geleden constateerde beveiligingsbedrijf Fox-IT al dat er gaten zitten in de digitale beveiliging van de burgemeester. Toch zou er weinig tot niets zijn verbeterd. 'Dat dit niet heeft plaatsgevonden neemt de Rekenkamer de gemeente erg kwalijk', aldus het rapport.

Het college van Rotterdam verzet zich tegen publicatie van het rapport. Afgelopen weekend dreigde de gemeente met een gang naar de rechter als de Rekenkamer openbaarmaking in de huidige vorm zou doorzetten. De Rekenkamer stelde daarop de publicatie uit tot volgende week.

Een woordvoerder van Aboutaleb wil niet reageren op vragen. 'We gaan nooit in op beveiligingskwesties rond Aboutaleb.' In een schriftelijke reactie laat de gemeente Rotterdam weten niet in te gaan op 'een rapport dat niet openbaar is'. 'Deze week is er een gesprek tussen de gemeente en de Rekenkamer over het - tijdelijk - niet openbaar maken van onderdelen van het rapport in verband met mogelijke risico's voor de Rotterdammers en onze medewerkers', aldus de gemeente.

De beveiliging daarvan loopt achter op de toename van gevoelige data in handen van de gemeente

Vorig jaar lekten de persoonsgegevens van duizenden Rotterdammers uit door datalekken bij de gemeente. Het is een probleem dat in veel gemeenten speelt: door toenemende digitalisering hebben gemeenten steeds grotere databestanden. De beveiliging daarvan loopt achter op de toename van gevoelige data in handen van de gemeente, mede doordat zij digitalisering als bezuiniging zien en geen geld vrijmaken voor training in de omgang met gevoelige data, geheimhouding, inhuur van kennis en autorisatieprocessen.

Naar aanleiding van het Rotterdamse datalek deed de Rekenkamer onderzoek naar de informatiebeveiliging van de stad. Daaraan blijkt veel te schorten. Zo wisten hackers eenvoudig toegang te krijgen tot vier gemeentelijke gebouwen en achterhaalden ze beheerdersrechten, waarmee nagenoeg alle systemen toegankelijk zijn. De Rekenkamer trof 700 kritieke technische zwakheden in systemen en applicaties aan.

Risico op identiteitsfraude

Dit zijn de vier grootste beveiligingslekken van Rotterdam
De gemeente Rotterdam schiet ernstig tekort bij de beveiliging van informatie. Een kritisch rapport daarover probeert het college van B en W tegen te houden. Wat staat erin?

'Door de tekortschietende informatiebeveiliging bestaan er reële risico's op identiteitsfraude, fysieke onveiligheid van politie-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen', aldus de Rekenkamer.

Uit het rapport blijkt hoeveel schade hackers in Rotterdam kunnen aanrichten. 'Door toegang te hebben tot informatiesystemen kunnen bijvoorbeeld bruggen en verkeerslichten op afstand bediend worden en het verkeer worden lamgelegd', aldus de Rekenkamer. 'Dat kan vandalisme zijn, maar ook met het doel van ontwrichting worden gedaan.'

Volgens hoogleraar computerbeveiliging Bart Jacobs heeft de gemeente Rotterdam 'een heel groot probleem'. 'De geconstateerde tekorten zijn ernstig, en wijzen op structurele problemen met betrekking tot de inrichting van ICT en de houding van gebruikers. Daarmee overtreedt de gemeente de wet persoonsgegevens.'

Jacobs voorziet een lang traject voor de gemeente om de informatiehuishouding op orde te maken. 'Op basis van deze conclusies lijkt het me een zware opgave om dit weer goed te krijgen, omdat er veel fundamenteel fout lijkt te zitten, en een verkeerde cultuur lijkt te heersen.'

De Rekenkamer wil niet inhoudelijk op het rapport ingaan omdat het nog niet officieel is gepresenteerd.