De Rekenkamer Utrecht heeft vastgesteld dat medewerkers van de gemeente Utrecht nog steeds een zwakke schakel vormen in de informatieveiligheid. Uit een nieuw onderzoek blijkt dat hoewel technische verbeteringen zijn doorgevoerd, menselijke fouten de cybersecurity blijven ondermijnen.
Informatieveiligheid
In tegenstelling tot drie jaar geleden slaagde de Rekenkamer er niet meer in om digitaal in te breken in de systemen van de gemeente. Toch blijft de fysieke beveiliging van locaties zoals het Stadskantoor en het Stadhuis problematisch. Insluipers kunnen gemakkelijk toegang krijgen tot beveiligde gebieden zonder aangesproken te worden door medewerkers. Daarnaast tonen phishingtests aan dat gevoelige informatie, zoals inloggegevens, nog steeds wordt prijsgegeven. “De mens blijft de zwakste schakel bij informatieveiligheid“, concludeert de Rekenkamer.
Usb-droppings: een hardnekkig probleem
Een herhaling van de ‘usb-dropping’-test laat zien dat medewerkers onvoldoende waakzaam zijn. Tijdens mystery guest-bezoeken in juni 2023 werden vijf usb-sticks achtergelaten. Twee daarvan werden geopend, net als bij het vorige onderzoek in 2021. Drie sticks zijn ingeleverd bij het Serviceplein, maar de kwetsbaarheid blijft: onbekende usb-sticks kunnen een groot risico vormen. Hoewel het gebruik van usb-sticks in de externe werkomgeving is geblokkeerd, is dit op beheerde laptops nog niet doorgevoerd.
Voice phishing
Ook voice phishing blijkt een uitdaging. Tijdens het onderzoek werden zeven medewerkers benaderd via negentien telefoontjes. Vier van hen vulden hun inloggegevens in op een valse website. Medewerkers controleren niet altijd de identiteit van de beller, wat kwaadwillenden in staat stelt om openbare informatie te misbruiken.
Daarnaast bleek verouderde software op diverse systemen een risico te vormen. Een gesimuleerde ‘Evil-twin’-aanval onderschepte versleutelde wachtwoorden via onveilige wifi-netwerken.
Aanbevelingen
De Rekenkamer adviseert de gemeente om:
1. Technische risico’s en kwetsbaarheden aan te pakken.
2. De fysieke beveiliging van gebouwen te verbeteren.
3. Het informatiebewustzijn van medewerkers te vergroten.
4. Een cultuurverandering te stimuleren en het informatieveiligheidsbeleid centraal aan te sturen.
Met deze stappen kan de gemeente Utrecht de informatieveiligheid verder versterken.