Lessen uit de gemeente Rotterdam


In mijn vorige blog heb ik geschreven over de toename van incidenten op informatieveiligheidsvlak. Vorige week verscheen het rapport ‘In onveilige handen’ van de Rekenkamer Rotterdam. Hierin worden harde conclusies getrokken als het gaat om de informatiebeveiliging bij de gemeente Rotterdam. Reden voor het onderzoek van De Rekenkamer was het datalek bij de gemeente vorig jaar, waarbij de privégegevens van ruim 25.000 Rotterdammers via

via internet toegankelijk bleken te zijn. Toch is er volgens de Rekenkamer sindsdien nauwelijks iets veranderd. Wat staat er precies in dit rapport? En wat kun je als gemeente doen om een dergelijk incident in de toekomst te voorkomen? Vandaag lessen uit de gemeente Rotterdam.

Lesje: hoe hack je de gemeente?

Een dergelijk incident kan leiden tot materiële en immateriële schade voor de gemeente. Waarvan reputatieschade de meest voorkomende vorm van schade is. Wellicht dat ook daarom de Rotterdamse Rekenkamer de publicatie van het rapport een week heeft uitgesteld, nadat de gemeente heeft gevraagd om het (nog) niet te publiceren. Het college van Burgemeester en Wethouders (B&W) zou bang zijn geweest dat er te veel details over die beveiliging naar buiten zouden komen.

De woordvoerder van burgemeester Ahmed Aboutaleb heeft aangegeven dat ze de zorgen van de Rekenkamer erkennen en daar zeker iets aan willen doen, maar dat als de originele versie van het rapport wordt gepubliceerd het meer een lesje ‘hoe hack je de gemeente?’ wordt. En dat is uiteraard voor niemand goed, niet voor de medewerkers en zeker niet voor de inwoners van de gemeente. Naar aanleiding van deze zorgen zijn er enkele passages herschreven, maar in technische zin heeft de Rekenkamer niks aangepast aan het rapport.

Wat blijkt?

In totaal zijn er ruim zevenhonderd kritieke datalekken in de systemen van de gemeente Rotterdam gevonden. De Rekenkamer oordeelt hard over de informatiebeveiliging van de gemeente. Volgens het rapport is ‘gevoelige informatie bij de gemeente niet in goede handen’. En niet alleen de beveiliging van de systemen schiet tekort, ook de gemeentelijke gebouwen zijn onvoldoende beveiligd volgens het rapport. Zo is het mogelijk om bij de gemeente naar binnen te lopen en achter iemand zijn computer te kruipen. Tevens zijn e-mailwisselingen makkelijk te volgen en wachtwoorden eenvoudig te kraken. Eenmaal binnen hebben hackers makkelijk toegang tot persoonsgegevens. Ook mist (voldoende) bewustwording van veiligheidsrisico’s bij de ambtenaren zelf.

En dat is niet alles. Het blijkt dat burgemeester Ahmed Aboutaleb door gebrekkige ICT-beveiliging al jaren een onnodig groot veiligheidsrisico loopt. Ondanks eerdere waarschuwingen heeft de gemeente de gaten in de beveiliging niet gedicht. Er zijn tal van beveiligingsmaatregelen genomen, echter het ontbreekt aan passende maatregelen die volgen uit systematische en actuele risicoanalyses. Volgens het rapport worden deze namelijk niet integraal en volledig uitgevoerd, ondanks het voornemen van het college van B&W om dit wel te doen. Tot slot zijn er, als gevolg van het ontbreken van centrale toetsing aan het gemeentelijk beleid, grote verschillen in de kwaliteit van de informatiebeveiliging van afzonderlijke systemen. Zie hier het gehele rapport voor alle conclusies van dit onderzoek.

Dit rapport voor de gemeente Rotterdam nog wel eens grote gevolgen hebben. Zo heeft de Autoriteit Persoonsgegevens (AP) het rapport inmiddels bij de Rekenkamer opgevraagd en zegt het kritisch te gaan bestuderen. Zij zullen onder andere kijken naar hoe Rotterdam met de beveiliging is omgegaan, of de stad aan de regels heeft voldaan en hoe er is omgegaan met de gegevens van de inwoners van Rotterdam. Indien nodig start de AP een officieel onderzoek.

Voorkomen is beter dan genezen

Niet alleen bij de gemeente Rotterdam, maar binnen de gehele overheid is betere informatiebeveiliging nodig. Door de snelle digitalisering en de ontwikkelingen van onder andere het Internet of Things, nemen de risico’s met de dag toe. Er moeten dus stevige maatregelen genomen worden om onbevoegden buiten de deur te houden. Uiteraard is er geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op informatieveiligheidsvlak. Maar voorkomen blijft altijd beter dan genezen. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Onderstaand een aantal tips.

  • Toets de uitvoering van de maatregelen. Het nemen van beveiligingsmaatregelen is één ding, maar het centraal toetsen ervan is een tweede. Doe je dit niet, dan bestaat de kans dat er grote verschillen in de kwaliteit van de informatiebeveiliging van afzonderlijke systemen ontstaat.
  • Focus niet alleen op de technische aspecten van informatiebeveiliging, maar besteed ook aandacht aan bewustwording van medewerkers op informatieveiligheidsvlak. Dit kan bijvoorbeeld door het opzetten van een bewustwordingscampagne. Meer weten hierover? Lees hier de blog over de bouwstenen voor een goede bewustwordingscampagne.
  • Wacht niet tot het kwaad al is geschiet, maar investeer in informatiebeveiliging voordat er een incident heeft plaatsgevonden.
  • Leg vast welke informatiesystemen kwetsbare gegevens bevatten voor misbruik. Maak voor deze systemen periodiek een risicoanalyse, waarbij een inschatting wordt gemaakt van de kans dat een risico zich voordoet en de impact ervan. Formuleer bij deze risico’s behorende beveiligingsmaatregelen en maak een inschatting van de benodigde financiële middelen.
  • Besteed voldoende aandacht aan de toegangsbeveiliging van het gemeentehuis. Zorg ervoor dat er geen onbevoegden zonder begeleiding in het gemeentehuis kunnen rondlopen.
    Kortom; gebruik dergelijke incidenten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk de informatiebeveiliging binnen de gehele overheid verbeteren. De ketting is immers zo sterk als de zwakste schakel.

Kortom; gebruik dergelijke incidenten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk de informatiebeveiliging binnen de gehele overheid verbeteren. De ketting is immers zo sterk als de zwakste schakel.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.