De gemeente Utrecht heeft zijn zaakjes op het gebied van informatiebeveiliging niet op orde. Medewerkers zijn onvoldoende op de hoogte van de gevaren van social engineering en phishing en was geheime informatie niet goed opgeborgen. Verder werkt de gemeente met verouderde besturingssystemen en zijn wachtwoorden eenvoudig te bemachtigen of te kraken.
Dat is de conclusie van de Rekenkamer Utrecht.
Gemeente Utrecht laat niveau van informatiebeveiliging onderzoeken
Gemeenten verwerken grote hoeveelheden persoonsgegevens en andere gevoelige informatie in diverse systemen en applicaties. Om die reden is het van groot belang dat deze gegevens goed beschermd worden. Zo niet, dan liggen phishing, fraude en andere vormen van cybercriminaliteit op de loer. Dat kan grote persoonlijke gevolgen hebben voor de slachtoffers, en in het ergste geval maatschappij-ontwrichtende uitwerkingen.
De gemeente Utrecht is zich daarvan bewust en vroeg aan de Rekenkamer Utrecht om de informatiebeveiliging van de gemeente te onderzoeken. De Rekenkamer deed op zijn beurt een beroep op het cybersecuritybureau Hoffmann BV. De centrale vraag van het onderzoek luidde: ‘Is de informatieveiligheid bij de gemeente Utrecht voldoende gewaarborgd?’. De onderzoekers deden uitvoerig onderzoek en kwamen tot een aantal verontrustende conclusies.
Personeel niet doordrongen van gevaren phishing
De Rekenkamer Utrecht liet diverse tests uitvoeren, waaronder een phishingsimulatietest. Er werden ongeveer 5.800 phishingmails verstuurd om te kijken hoe medewerkers daarop zouden reageren. Bijna één op de vijf medewerkers (1.100) trapte met open ogen in de valstrik en klikte op de verdachte URL in de e-mail. 950 man (16 procent) vulde bovendien hun inloggegevens in.
Ongeveer de helft van hen (477 medewerkers) besefte dat het om phishing ging en meldde het incident bij de IT-afdeling. Het is belangrijk om dergelijke incidenten te melden. “Hoe eerder iets gesignaleerd en gemeld wordt, hoe korter een kwaadwillende schade kan aanrichten en hoe sneller verdere stappen kunnen worden voorkomen.”
De onderzoekers verspreidden vier USB-sticks in het gemeentehuis. De helft van deze sticks werd gevonden door een medewerker en geopend. Vanuit het perspectief van informatiebeveiliging onverstandig en levensgevaarlijk. “Een kwaadwillende kan hiermee toegang krijgen tot de betrokken computer”, concludeert de Rekenkamer.
Wachtwoorden zijn zwak en eenvoudig te kraken
De Rekenkamer Utrecht concludeert dat de beveiliging van en sociale controle op het Stadskantoor en het stadhuis niet hebben kunnen voorkomen dat onbevoegden gemakkelijk en ongestoord kunnen binnenwandelen. Uit meerdere inlooptesten blijkt dat kwaadwillenden ongestoord dossierkasten kunnen openen en informatie bekijken. Ook was het mogelijk om ongeautoriseerd toegang te krijgen tot werkplekken en gebruikersnamen en wachtwoorden van medewerkers buit te maken. Verder slaagden de onderzoekers erin om een laptop mee te nemen. Daarop was een post-it geplakt waar het wachtwoord van de computer op stond.
Een ander kritiek beveiligingsrisico dat de onderzoekers aantroffen, is dat de gemeente met verouderde besturingssystemen werkt. Daarbovenop ontbreken beveiligingsupdates, terwijl ze wel beschikbaar zijn.
Veel wachtwoorden zijn volgens de onderzoekers zwak en eenvoudig te kraken. Van de 137 wachtwoordhashes lukte het de onderzoekers om er 49 te kraken. Multifactorauthenticatie ontbreekt vaak eveneens, waardoor een gebruikersnaam en wachtwoord voldoende zijn om in te loggen. Door het ontbreken van netwerkauthenticatie en harddiskencryptie zijn serviceaccounts onvoldoende beschermd. Verder worden wachtwoorden onveilig opgeslagen. Zo vonden de onderzoekers inloggegevens in een gedeelde netwerkmap.
Goede bescherming van buitenaf
Is het dan alleen maar kommer en kwel? Uiteraard niet. Er is ook goed nieuws. De gemeente is volgens de Rekenkamer Utrecht voldoende beschermd tegen digitale inbraken van buitenaf. Onderzoekers slaagden er niet in om van buiten in te breken in de gemeentelijke systemen. Het installeren van ransomware of andere malware van buitenaf is dus goed afgedekt. Ook de WiFi-netwerken van de gemeente hebben de penetratietests doorstaan. Doordat het netwerk van de gemeente gesegmenteerd is, hebben indringers niet direct toegang tot het gehele netwerk.
Dit zijn de aanbevelingen van de Rekenkamer
Om de informatiebeveiliging van de gemeente Utrecht te verbeteren, heeft de Rekenkamer een aantal aanbevelingen geformuleerd. In de eerste plaats doet de gemeente er goed aan om de benodigde beveiligingsmaatregelen te nemen die in pentesten en het rapport van de Rekenkamer naar voren komen. Tevens moet de gemeente structureel investeren in het verhogen van het bewustzijn van medewerkers over informatieveiligheid.
Verder adviseert de Rekenkamer om de beveiliging van gemeentelijke gebouwen te verbeteren om zo de toegang voor onbevoegden te voorkomen. Tot slot raadt de Rekenkamer aan om het toezicht op technische beveiligingsmaatregelen voor informatiebeveiliging te verbeteren voor medewerkers die thuis werken. Slechts 15 procent van de uitgeleende laptops is goed beschermd tegen aanvallen op onveilige netwerken en bij diefstal en verlies.
Gemeente blij met resultaten onderzoek
Het College van B&W laat in een reactie weten alle aanbevelingen over te nemen. “Wij herkennen uw conclusie dat de gemeente voldoende is beschermd tegen inbraken van buitenaf, maar dat de gemeente intern op het gebied van techniek en menselijk handelen nog risico loopt. Wij onderschrijven ook uw conclusie dat ons beleid om de informatiebeveiliging te verbeteren in opzet goed is. Wij maken onze ambitie om een voorbeeldfunctie te zijn voor de regio nog niet voldoende waar en daarom streven we ernaar deze beveiliging verder te verbeteren.”
