Dit zijn de vier grootste beveiligingslekken van Rotterdam
De gemeente Rotterdam schiet ernstig tekort bij de beveiliging van informatie. Een kritisch rapport daarover probeert het college van B en W tegen te houden. Wat staat erin?
Het is volkomen duidelijk waarom Rotterdam niet wil dat een rapport over de digitale beveiliging van de stad naar buiten komt. De conclusies zijn pijnlijk. De opsteller ervan, de Rotterdamse Rekenkamer, noemt het 'erg kwalijk' dat de gemeente al lang bekende kwetsbaarheden nooit heeft gedicht en dat de bescherming van kwetsbare gegevens, waaronder persoonsgegevens van Rotterdammers, simpelweg onvoldoende is. De gemeente wil nu dat delen van het rapport, dat in handen is van de Volkskrant, anders worden verwoord.
De huidige versie van het document toont hoe slordig Rotterdam is omgesprongen met de beveiliging van informatie. Door digitalisering hebben gemeenten de laatste jaren steeds grotere databestanden gekregen met daarin persoonlijke gegevens van burgers. Dat is een bredere trend, waarbij de beveiliging van die informatie in veel gevallen achterblijft. Uit kostenoverwegingen, uit desinteresse of soms gewoon uit luiheid. Rotterdam staat daarin niet alleen, maar maakt het wel bont. Een uitleg aan de hand van vier bevindingen.
1. Falende fysieke beveiliging
De zwakste schakel in een organisatie is vaak een onoplettende of onwetende medewerker. Iemand die een usb-stick gebruikt die door kwaadwillenden is achtergelaten, iemand die niet controleert wie het stadhuis binnenlopen. In Rotterdam bleek het mogelijk om in enkele uren vier gemeentelijke panden zonder geldende toegangspas te betreden. Daarbinnen was er vrije toegang tot werkplekken, technische ruimten en vertrouwelijke informatie. De personen die naar binnen liepen, werden niet door medewerkers aangesproken. Besmette usb-sticks die door de binnendringers werden achtergelaten - en die bestanden bevatten om verder in het systeem te komen - zijn in een kwart van de gevallen gewoon door medewerkers van de gemeente gebruikt.
Het is precies waar experts vaker op wijzen: je kunt nog zulke ingrijpende maatregelen nemen, het gaat vaak mis bij de simpelste dingen. Hackers zijn luie mensen, die zoeken de makkelijkste methode om ergens binnen te komen. Met het verhogen van het bewustzijn is al een belangrijke stap te zetten. Ook de Rekenkamer merkt dat op.
Lees ook:
Aboutaleb loopt al jarenlang onnodig groot veiligheidsrisico
Ondanks eerdere waarschuwingen laat de gemeente na gaten in zijn digitale beveiliging te dichten. Daardoor kunnen kwaadwillenden relatief eenvoudig via zijn agenda achterhalen waar Aboutaleb van uur tot uur is. Dat is een van de conclusies van een nog niet gepubliceerd rapport van de Rotterdamse Rekenkamer, dat in handen is van de Volkskrant.
2. Bruggen en stoplichten bedienen
Dit is een van de ernstigste risico's die de Rekenkamer signaleert: een kwaadwillende kan relatief makkelijk een gemeentelijk pand binnenlopen, een willekeurige computer nemen waarop wachtwoorden staan en meekijken met gebruikers. Door de wachtwoorden te misbruiken kunnen systemen worden platgelegd, tot bruggen en stoplichten aan toe. In theorie is het zelfs mogelijk de Erasmusbrug te bedienen.
Overheden zijn, deels uit kostenbesparingen, de laatste jaren steeds meer gaan digitaliseren. Dat geldt ook voor de aansturing van infrastructurele objecten zoals bruggen en sluizen. Zo kent de provincie Noord-Holland het Brug Management Systeem dat een bedienaar adviseert een brug te openen aan de hand van allerlei data, over bussen, schepen, auto's.
Heel efficiënt en het verbetert ook nog eens de doorstroming, maar is er goed nagedacht over de beveiliging?
Vaak bestaat er één wachtwoord voor dit soort systemen en communiceren de objecten draadloos met hun omgeving, waardoor die communicatie is af te vangen.
3. De agenda van de burgemeester
Het is een beproefde methode van beveiligingsbedrijven: laat zien hoe kwetsbaar de belangrijkste persoon in de organisatie is en er ontstaat een schrikeffect. Zo deed Fox-IT het begin 2015 ook in Rotterdam. Onderzoekers hackten de persoonlijke communicatie van burgemeester Aboutaleb en kregen toegang tot zijn mail en agenda. Dat kon onder andere doordat harde schijven van werkstations niet versleuteld bleken en software verouderd was.
Alleen, de gemeente Rotterdam deed niet tot nauwelijks iets met de aanbevelingen. De Rekenkamer heeft twee jaar later dezelfde kwetsbaarheden gevonden. Het gaat in totaal om 700 kritieke technische zwakheden in systemen en applicaties. Dankzij onversleutelde werkstations konden hackers eenvoudig het administrator-wachtwoord achterhalen en alle gebruikers bespieden door mee te kijken op hun scherm en toetsaanslagen vast te leggen. Ook de software bleek nog verouderd en allerlei kwetsbaarheden te bevatten.
En zo konden de hackers in opdracht van de Rekenkamer net zo makkelijk als in 2015 bij de mail en de agenda van Aboutaleb. En dat kan ernstige gevolgen hebben, waarschuwt de Rekenkamer: hackers kunnen uit naam van de burgemeester mails versturen, kunnen zijn reisschema achterhalen, protocollen voor evenementen inzien, inclusief vluchtroutes en zwakke plekken in de beveiliging. Dat leidt tot 'reële risico's op fysieke onveiligheid', aldus de Rekenkamer.
4. Persoonsgegevens niet veilig
Burgers hebben geen keus: hun persoonsgegevens worden nu eenmaal digitaal opgeslagen door de gemeente. Des te kwalijker als die daar niet zorgvuldig mee omgaat.
Een ingehuurde medewerker van de gemeente Rotterdam had in februari 2016 een harde schijf van de gemeente aan zijn thuisnetwerk gekoppeld. Dat netwerk was via een wifirouter opengesteld voor benadering via internet. Er was geen beveiliging op het thuisnetwerk ingesteld, zelfs niet een simpel wachtwoord. Daardoor was de harde schijf, met daarop de persoonsgegevens van 32 duizend personen, opgemerkt door zoekmachines van Google. En zo werd het voor heel veel personen toegankelijk. Iemand die bij toeval op de gegevens stuitte, maakte er melding van.
Uit nader onderzoek bleek dat het om privacygevoelige gegevens ging van gemeentebelastingen over een periode van acht jaar. Namen, burgerservicenummers, adresgegevens. De medewerker gebruikte de niet-geanonimiseerde gegevens als testdata. Aanleiding voor het onderzoek van de Rekenkamer.
Het was niet het enige datalek in Rotterdam in 2016. In totaal deed de gemeente 19 keer aangifte van een lek bij de Autoriteit Persoonsgegevens. En hoewel de Rekenkamer vindt dat de gemeente het grote datalek redelijk adequaat afhandelde, constateren de onderzoekers ook structurele tekortkomingen bij het beveiligen van persoonsgegevens. De gemeente heeft bijvoorbeeld geen overzicht op alle processen waarbij persoonsgegevens worden verwerkt, er worden nauwelijks risico-analyses gemaakt, software is verouderd en het is onduidelijk wie bepaalde applicaties met gevoelige data beheert.
De Nijmeegse hoogleraar computerbeveiliging Bart Jacobs zegt over de bevindingen van de Rekenkamer: 'Het is al jaren bekend dat ict bij gemeenten een groot probleem is, vanwege gebrek aan aandacht, kennis en middelen. Ik had stilletjes gehoopt dat het bij grotere gemeenten, met meer middelen, beter geregeld zou zijn. Dit rapport boort die hoop de grond in.'
