De informatieveiligheid is bij de gemeente Utrecht nog niet goed op orde. Dat stelt de Utrechtse Rekenkamer na een onderzoek. De beveiliging van buiten naar binnen is beter op orde dan de beveiliging binnen. En dat was al jaren bekend.
De presentatie van het rapport vindt plaats tijdens een technische bijeenkomst van de gemeenteraad op 13 april 2021. Vervolgens wordt het behandeld in de commissie Mens & Samenleving en in de gemeenteraad.
De constatering komt na doorvoer van een aantal maatregelen. De governance is al beter, de middelen en capaciteit zijn uitgebreid en ook zijn er risico’s in kaart gebracht en geprioriteerd.
De Rekenkamer stelt wel dat de gemeente nadere stappen moet zetten met het uitvoeren van risicoanalyses, permanente aandacht van de organisatie en investeringen in informatiebewustzijn en de beveiliging van gebouwen. En de beveiliging van binnen naar buiten moet dringend op de schop.
Bekend
Het externe bureau dat de Rekenkamer voor het onderzoek inhuurde, voerde testen uit. Men slaagde er niet in om vanaf het internet(buitenaf) in de gemeentelijke systemen binnen te dringen. Ook de WiFi-netwerken kon den deze zogenoemde penetratietests doorstaan.
Toch tonen met name de interne tests een aantal hoge en kritieke risico’s aan, waarvan een deel al jarenlang bij de gemeente bekend was, maar niet verholpen. De Rekenkamer heeft de uitkomsten met de gemeente gedeeld. Inmiddels is een deel van de gevonden kwetsbaarheden verholpen.
De Utrechtse Rekenkamer beveelt de gemeente nog wel aan nadere maatregelen te nemen tegen de (nog bestaande) technische risico’s en kwetsbaarheden. En daar bij de uitkomsten van de penetratietests van het Rekenkameronderzoek te benutten.
Structurele investering
De tests brachten ook risico’s aan het licht in het informatiebewustzijn van medewerkers. Zo bleken 950 medewerkers (16%) in reactie op een phishing-mail hun inloggegevens af te geven. Er werd slechts 477 keer officieel melding gedaan van de (poging tot) phishing, terwijl er in totaal 5.769 e-mails zijn verstuurd.
Ook konden onderzoekers onbevoegd gebouwen van de gemeente betreden en geheime informatie inzien, zonder dat medewerkers hen aanspraken. De gemeente moet dus versneld een beter toegangsbeheer gaan invoeren.
Verder bestond er tussen 2018 en het moment van onderzoek geen centraal programma dat was gericht op het informatiebewustzijn van medewerkers. De Rekenkamer beveelt dan ook aan om structureel te investeren in het bewustzijn van medewerkers hierover. En om de procedure voor het melden van beveiligingsproblemen en -incidenten zoveel mogelijk te structureren, verhelderen en breed onder de medewerkers bekend te maken.
Risicogestuurd
Het beleid van de gemeente Utrecht over informatieveiligheid is volgens de Rekenkamer in opzet goed. De gemeente wil risicogestuurd werken en hanteert daarbij een roadmap waarin de te nemen maatregelen over de tijd staan uitgezet. Maar de uitvoering van het beleid loopt achter op de planning. Een groot deel van de tactische en operationele risicoanalyses is bijvoorbeeld nog niet uitgevoerd, waardoor niet alle risico’s in beeld zijn. Verder moet de uitvoering van maatregelen in de roadmap sneller.
De gemeenteraad stelde in 2020 extra middelen beschikbaar voor informatieveiligheid. Daarmee zijn inmiddels extra mensen aangetrokken. Het extra geld en de extra mensen moeten effectief worden ingezet voor de noodzakelijke versnelling van de uitvoering.
Zo heeft de gemeente momenteel beperkt zicht op informatieveiligheid van thuiswerkplekken. Sinds maart 2020 werken de meeste medewerkers van de gemeente thuis. De Rekenkamer concludeert bijvoorbeeld dat de gemeente niet van alle medewerkers weet in welke mate zij thuiswerken met veilige apparatuur.
De gemeente biedt medewerkers een beveiligde virtuele werkomgeving en leent laptops uit, maar slechts 15% van de uitgeleende laptops heeft de juiste beveiliging. Op de beveiliging van privé-apparatuur en WiFi-netwerken thuis heeft de gemeente geen zicht.
Ook brengen vergadertools risico’s met zich mee, omdat ze buiten de werkomgeving gebruikt moeten worden. Daarom beveelt de Rekenkamer de gemeente aan om het toezicht op en de technische beveiligingsmaatregelen voor informatieveiligheid voor thuiswerken te verbeteren.
Lees ook:
- Nationaal Cyber Security Centrum deelt security-issues met Connect2Trust
- The Automation Mandate
