Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort

Uit een onderzoek van de rekenkamer Rotterdam blijkt dat de beveiliging van persoonsgegevens door de gemeente Rotterdam ernstig tekortschiet. De onderzoekers konden e-mailsessies inzien, wachtwoorden eenvoudig achterhalen en zonder toegangspas binnenkomen.

Volgens de rekenkamer gebruikt de gemeente ook verouderde software die veiligheidsrisico's met zich meebrengt. De onderzoekers komen tot de conclusies na het uitvoeren van penetratie-, inloop- en social engineering-testen. Het onderzoek, dat een jaar geleden van start is gegaan en in december is afgerond, heeft zich grotendeels gericht op systemen waarin gegevens over Rotterdammers zijn opgeslagen.

De bevindingen van de rekenkamer staan in een rapport dat nog niet is gepubliceerd, meldt RTV Rijnmond. Dat de beveiliging van informatiesystemen ernstig tekortschieten, blijkt echter uit een brief die de directeur van de rekenkamer heeft gestuurd naar de gemeente. Daarin staan in grote lijnen de bevindingen van het onderzoek. Die brief is een reactie op het verzoek van de gemeente om het rapport niet openbaar te maken. De rekenkamer heeft in overleg met ambtenaren delen van het rapport aangepast, maar is wel van plan om het rapport volgende week woensdag te publiceren.

Applicaties waarnaar specifiek onderzoek is verricht, worden niet bij naam genoemd. Wel wordt beschreven welke soort gegevens hierin omgaan en hoeveel gebruikers er zijn. De rekenkamer begrijpt zorgen over de publicatie, maar is van mening dat eventuele gevolgen van tekortschietende informatiebeveiliging de rekenkamer niet kan en mag worden aangerekend. Het rapport beschrijft niet hoe de systemen binnengedrongen kunnen worden, maar wel wat het betekent voor de lokale samenleving. Die duiding van mogelijke gevolgen is volgens de rekenkamer cruciaal omdat het inzicht geeft in de ernst van de bevindingen.

Burgemeester Aboutaleb van Rotterdam heeft naar aanleiding van de brief de gemeenteraad verzocht om te proberen de publicatie van het rapport tegen te houden. Volgens de burgemeester brengt de openbaarmaking van het rapport met 'specifieke informatie over de kwaliteit van de informatiebeveiliging' de veiligheid van persoonsgegevens verder in gevaar. Dat zou een reëel risico zijn, want servers van de ict-infrastructuur worden al 'vierhonderd tot vierduizend keer per week' aangevallen, stelt het college van burgemeester en wethouders. Hoewel het college probeert om de publicatie van onderzoek tegen te gaan, heeft het wel aan de rekenkamer laten weten alle hoofdconclusies te onderschrijven en alle aanbevelingen te zullen opvolgen.

IT-banen

Reacties (51)

CAPSLOCK2000

Overheid
Netwerk en systeembeheer

24 maart 2017 12:04

In december afgerond, dus zo'n drie maanden geleden, en nu komt het naar buiten. Ik vermoed dat Rotterdam 90 dagen de tijd heeft gekregen om de problemen op te lossen, zoals gebruikelijk is bij een "responsible disclosure" procedure.

Maar ja, wat moet je dan als organisatie? Even al je software opnieuw kopen/schrijven zit er natuurlijk niet in, en leveranciers hebben de neiging alle problemen te ontkennen en stellen dat ze sowieos niet verantwoordelijk zijn.

IT kan niet langer het terrein zijn van wat onderbetaalde nerds in de kelder van het gemeentehuis. IT is een kerntaak in iedere moderne organisatie, zeker de organisaties die vooral met informatie werken. Dat betekent dat het een hoofdpunt zou moeten zijn voor het bestuur, niet iets dat je ergens bij een onderdirecteur dumpt. (Ik ken de situatie in Rotterdam niet, misschien zit ik er wel helemaal naast, maar ik heb een hoop organisaties gezien waar het wel zo gaat).

Crotchy @CAPSLOCK2000 • 24 maart 2017 12:17

IT is altijd nog een ondersteunende dienst en geen kerntaak.

CAPSLOCK2000

Overheid
Netwerk en systeembeheer

@Crotchy • 24 maart 2017 13:43

IT is altijd nog een ondersteunende dienst en geen kerntaak.

Dat klopt, maar als je daar ophoudt met denken dan maak je dezelfde fout als tal van hedendaagse organisaties.

IT is ondersteunend, maar het is wel een essentiële dienst, je kan echt niet zonder. We hebben meer essentiele diensten, water, gas, electro, maar die hebben we zo betrouwbaar gemaakt dat het haast nooit fout gaat. Als het wel fout gaat dan is er een leger aan specialisten dat de meest voorkomende problemen binnen de kortste keren kan oplossen tegen een redelijk voorspelbare prijs.

In de IT is dat niet zo, maar de directie behandelt het vaak wel zo. Ik zou dolgraag willen dat IT net zo betrouwbaar is als de gasleiding maar dat is niet zo. De hele tent komt onmiddellijk stil te liggen zonder IT. Men zet dus alles op alles om de boel draaiende te houden, ook als dat ten koste gaat van de veiligheid.

kakanox @CAPSLOCK2000 • 24 maart 2017 14:05

Dit gaat in heel veel organisaties fout.

Je ziet ook vaak de rol van IT Manager ondergebracht onder een Financieel Directeur.
Mijns inziens is dat incorrect, want je krijgt dan scheve prioriteiten binnen de IT-afdeling en zaken die heel hard noodzakelijk zijn maar ook erg duur worden snel afgeschoten.

Er is echt noodzaak aan een IT Directeur (of noem het IT Manager, maar in ieder geval met voldoende mandaat) binnen iedere wat grotere organisatie. Voor bedrijfsbelangen, en soms ook voor privacy.

PS: Doet overigens niet af aan het feit dat IT ondersteunend is en blijft.

[Reactie gewijzigd door kakanox op 23 juli 2024 06:12]

TripleTech @kakanox • 24 maart 2017 15:28

Volgens (geldende) AO is IT inderdaad een ondersteunend proces. Echter is IT ook een onderdeel van Corporate Governance waardoor het zeker een doel kan zijn.

Stoelpoot @Crotchy • 24 maart 2017 12:23

In een gemeentebestuur, waarbij een groot deel van de informatiestroom digitaal loopt? Waarbij de gemeenteraad een iPad heeft? Afspraken via de website gemaakt worden?

Zonder de IT infrastructuur kunnen ze daar nog niet eens hun afspraken afbellen wanneer het afsprakensysteem eruit ligt. Kunnen ze nog niet eens bij de contactinformatie. Aan de balies zullen ze ook bar weinig kunnen doen.

Gallant @Crotchy • 24 maart 2017 14:52

Er zijn tegenwoordig maar heel weinig organisaties die functioneren zonder dat ze online zijn. Met andere woorden als jij de hamer van een timmerman een ondersteunende tool vind dan klopt je stelling. Ik ben geneigd te zeggen dat IT een essentieel onderdeel is van bijna elke organisatie en dus deel uitmaakt van de kerntaak. Voor de gemeente Rotterdam zou het beschermen en verbeteren van de welstand van haar inwoners de kerntaak moeten zijn. Een deugdelijk slot op de deur lijkt mij daarom cruciaal en dus een kerntaak. IT is helemaal geen sinecure en tweakers zouden dit moeten beseffen.

paradoXical @Crotchy • 24 maart 2017 12:49

IT is altijd nog een ondersteunende dienst en geen kerntaak.

Informatie en daarmee 'ICT' is de basis voor (bijna) iedere organisatie en zeker een Gemeente en kun je echt niet afdoen als 'ondersteunende dienst'. Databases met informatie zijn tegenwoordig waar het allemaal om draait.

mxcreep @paradoXical • 24 maart 2017 12:57

En toch blijft het een middel en geen doel...

janbaarda @paradoXical • 24 maart 2017 13:00

Zeker, de gehele bevolkingsadministratie hangt daar vanaf. Het gemeentelijke afspraken systeem gebruikt deze weer, enz. IT is wel degelijk een kerntaak!!!

asing

Netwerk en systeembeheer

@Crotchy • 24 maart 2017 13:59

Dat is correct maar IT is al lange tijd een heel belangrijk onderdeel in het werkproces. En gemeentes krijgen steeds meer taken toebedeeld die vroeger door het rijk gedaan werden, dus ze hebben ook meer en meer gegevens van hun inwoners opgeslagen.

De opgeslagen informatie is zeer bruikbaar voor kwaadwillenden. Denk hierbij aan bijvoorbeeld aan identiteitsfraude. Ook gaat er veel geld om, dus een gemeente is een interessant object voor kwaadwillenden.

Aan de andere kant is informatiebeveiliging niet sexy. Ten eerste kost het geld. Daarnaast kost het inzet van veel mensen, en moeten procedures etc aangescherpt worden. Dat betekent concreet dat je informatie die voorheen makkelijk bereikbaar was ineens wat beter opbergt en daardoor maak je het werk wat moeilijker. Dat is natuurlijk allemaal voor een goed doel maar onderaan de streep is er niets sneller, makkelijker of beter geworden voor degenen die ermee moeten werken.

r0n625 @Crotchy • 24 maart 2017 13:09

Helaas wordt het (nog) verteld, maar het klopt niet.
Bijvoorbeeld: Eind 2017 moet er meer via Internet mogelijk zijn, afspraken, aanvragen, enz.
Daarom is het een speerpunt geworden, maar dat beseffen ze nog niet.

D_Jeff @CAPSLOCK2000 • 24 maart 2017 12:33

Ik stoor mij even aan het feit dat je wel dingen roept, maar niet onderbouwd.

Gezien de "leeftijd" van het rapport, heeft de gemeente, volgens TenderNed, allang actie ondernomen:

https://www.tenderned.nl/...ngen/cid/1511471/cvp/join

https://www.tenderned.nl/...ngen/cid/1511246/cvp/join

Ja, er is een aanbesteding uitgeschreven om er wat aan te doen

Loose Ends @D_Jeff • 24 maart 2017 14:51

Ik stoor mij even aan het feit dat je wel dingen roept, maar niet onderbouwd.

Gezien de "leeftijd" van het rapport, heeft de gemeente, volgens TenderNed, allang actie ondernomen:

https://www.tenderned.nl/...ngen/cid/1511471/cvp/join

https://www.tenderned.nl/...ngen/cid/1511246/cvp/join

Ja, er is een aanbesteding uitgeschreven om er wat aan te doen

Ah, dat ziet er doortastend uit.

Booijhj @Loose Ends • 25 maart 2017 11:32

Gezien de "leeftijd" van het rapport, heeft de gemeente, volgens TenderNed, allang actie ondernomen.

Hoezo ? , het rapport is toch nog lang niet een jaar of 5 oud ?
De gemeente & actie , dat is nu niet een combinatie waar je aan denkt.
Mits het heffingen of boetes betreft natuurlijk

Henrikop @CAPSLOCK2000 • 24 maart 2017 13:12

Volgend jaar Mei wordt de GDPR van kracht. Om daaraan compliant te zijn zullen er al veel maatregelen genomen moeten worden.

Venator

@Verwijderd • 24 maart 2017 12:20

Wat een onzin. Zowat iedere organisatie heeft met ICT-componenten te maken waarmee dermate afhankelijkheden zijn dat het tot (grote) risico's leidt als deze onderbroken worden.

Sterker: veel primaire processen binnen een gemeente zijn volledig afhankelijk van ICT, totdat je buiten de kantooromgeving komt. En dan ook nog. Inspecteurs op straat zijn al vrij afhankelijk van smartphones en tablets voor informatievoorziening, werkorders, terugkoppeling van gesprekken voor verslagen in een dossier etc. etc.

De toko draait om serviceverlening en goed vaderschap naar de burgers. Een goede, betrouwbare, tijdige en vooral ook veilige informatievoorziening is daar cruciaal in.
Dit bericht laat zien dat de gemeente Rotterdam daar schijnbaar niet de zaken goed op orde heeft. Als burger zou ik dat bijzonder onprettig vinden, ik moet er vanuit kunnen gaan dat de lokale- en rijksoverheid zeer zorgvuldig met mijn gegevens omgaat.

Verwijderd @Venator • 24 maart 2017 12:23

Ja, sommige primaire processen zijn ook afhankelijk van papier. Maar om papierfabrikatie nou als kerntaak te bestempelen....

Venator

@Verwijderd • 24 maart 2017 12:32

Dat zeg ik toch ook niet?
ICT is heden ten dage een component in iedere bedrijfsvoering waarin steeds grotere afhankelijkheden zitten, terwijl de bewustwording en volwassenheid van aanpak, budget, beveiliging, methodiek, inbedding in beslisprocessen e.d. op dat vlak niet altijd voldoende meegroeien. Dat leidt soms tot situaties zoals in het artikel.

Maar gezien jou reactieverleden lijk ik nu vooral de troll te voeden.
Waarschijnlijk de kerntaak van jouw aanwezigheid op deze site

Dus ook mijn laatste reactie op jou.

Harrie_ @Venator • 24 maart 2017 13:28

Dit

Ik denk dat een hoop users hier weinig of geen ervaring hebben met grote organisaties die zeer sterk afhankelijk zijn van IT, zoals (lokale) overheidsdiensten.

In deze thread ook al de dooddoener voorbij zien komen "IT is een middel, geen doel" en ik denk dat het daar al scheef gaat. IT is wel een doel; met als simpele reden dat veel taken zonder IT in het hele spectrum gewoon niet meer doable zijn. Toen in de jaren tachtig / negentig de grootschalige automatisering op gang kwam werd er nog veel schaduwadministratie op papier gevoerd; bij het falen van IT kon men nog gewoon verder werken. Dat is nu wel verleden tijd.

Wanneer de IT niet (voldoende) functioneert is niet veel anders als een fabriek die zonder elektriciteit zit; de machine staat stil, er wordt niets geproduceerd en de mensen aan de productielijn kunnen een potje gaan kaarten...

Robo400 @Harrie_ • 24 maart 2017 13:57

Om je vergelijking te gebruiken:
Is de stroomvoorziening een kerntaak, of ondersteunend?

De kerntaak lijkt me hier het produceren van producten. De stroomvoorziening maakt dat mogelijk.

Om dit weer naar IT te trekken: verdien je met je IT-voorziening je geld? Nee? Dan is het geen kerntaak, maar ondersteunend.

Venator

@Robo400 • 24 maart 2017 14:57

De stroomvoorziening is een essentieel component in het proces, net als ICT dat tegenwoordig bijna altijd is. En logistiek dat is als je een product bij iemand afgeleverd wilt krijgen.

Je hoeft overigens niet ergens geld mee te verdienen om het als kerntaak te definieren. We hebben ook non-profit organisaties en verenigingen immers.
Via de contributie die wij allen betalen (belasting), voert de gemeente ook een aantal kerntaken uit voor ons als burgers. Daar valt informatieverstrekking aan alle burgers in het verzorgingsgebied ook onder. Dit is, op de schaal en snelheid die wij als burger tegenwoordig verwachten, niet meer mogelijk zonder ICT.

De kerntaak is dan niet ICT, maar het gaat al heel wat verder dan ondersteunend aan de het doel. ICT is onmisbaar om het doel te bereiken voor de functionaliteit die wij als burger vragen, met de eisen die wij tegenwoordig hebben op o.a. snelheid en schaal.

[Reactie gewijzigd door Venator op 23 juli 2024 06:12]

Daniel_Elessar @Verwijderd • 24 maart 2017 13:42

Ik weet dat het misschien raar klinkt maar er zijn genoeg mensen die geen koffie drinken.

Alle bedrijven voren wel hun administratie/communicatie via internet>IT.
Dus ja als dat faalt heb je als bedrijf een probleem. Dat maakt IT toch wel een heel belangrijk punt binnen de hedendaagse bedrijfscultuur.

Zelfs in je aangehaalde koffie handel is IT niet meer weg te denken. Je gaat hier zo mank met je vergelijking. Ja, we zouden ons nog redden mocht alles uitvallen maar heel veel bedrijven en systemen van onze maatschappij crashen dan behoorlijk.

Telecom in de meeste bedrijven zit al verweven in de IT.

rockernaap @Verwijderd • 24 maart 2017 13:07

ICT is meer dan een IT afdeling binnen een bedrijf dat alleen laptops/pc's beheert en infrastructuur taken regelt.

MaroonBeret @Verwijderd • 24 maart 2017 12:22

Daar ben ik het mee oneens, veel bedrijven hangen nu al echt af van hun IT. Met de opkomst van AI kan in de toekomst ook veel "menselijk denk werk" worden vervangen door self learning systemen, die overigens, als ze voldoende getraind zijn, in sommige scenario's het zelfs beter doen dan menselijke werknemers.

Neem dit als voorbeeld:
nieuws: Google: deep learning-algoritme voor kankerdetectie effectiever dan p...

janbaarda @Verwijderd • 24 maart 2017 13:03

Er zijn zelfs bedrijven die geen personeel hebben. Alles draait daar om een slim IT systeem.

Slijpschuiver @Verwijderd • 24 maart 2017 13:19

IT'ers hier voelen zich door je mening negatief aangesproken, en minnen je daar om, maar je hebt wel een punt. Afgezien daarvan poneert capslock een serie niet onderbouwde beweringen over de IT van de gemeente Rotterdam, zoals hij in zijn laataste zin ook toegeeft.

Cyb 24 maart 2017 13:44

De Nederlandse overheid heeft een zeer slechte reputatie op het gebied van ICT en vooral ICT i.c.m. veiligheid.
De overheid besteedt ICT uit aan bedrijven als Ordina, die projecten binnenhaalt d.m.v. fraude en het omkopen van ambtenaren:
https://zembla.vara.nl/dossier/uitzending/wie-is-de-mol
https://zembla.vara.nl/do...-onderzoekt-fraude-ordina
https://zembla.vara.nl/do...estedingen-door-acm-en-om

Vervolgens laten ze (Ordina, Capgemini etc) het maken Indiase "programmeurs":
https://zembla.vara.nl/dossier/uitzending/de-spaghetticode
Waar spaghetticode uit rolt.

Ondertussen kost het de Nederlander miljarden per jaar:
https://zembla.vara.nl/ni...den-kwijt-door-falend-ict

En liggen de gegevens die de overheid bewaart, praktisch gezien op straat:
https://zembla.vara.nl/do...-kunnen-we-het-niet-maken
https://zembla.vara.nl/do...nding/hacken-voor-dummies

Tijd voor een minister van ICT?
https://fd.nl/economie-po...ft-minister-van-ict-nodig
http://www.nu.nl/internet...erpen-bij-ministerie.html
http://www.binnenlandsbes...ter-van-ict.9494813.lynkx
http://www.ministerievanict.nl/
http://www.hpdetijd.nl/20...t-schrijnende-ict-beleid/

Wasabi! @Cyb • 24 maart 2017 13:51

We hadden Ivo Opstelten

https://www.youtube.com/watch?v=7Un8tvr_CLU

Venator

@Cyb • 24 maart 2017 15:18

Ja, zeker tijd voor een ICT ministerie, maar het is niet overal een oplossing voor. Zie ook dit artikel. Een kleine quote:

Maar een eigen ICT-ministerie is wat Sneller betreft een stap te ver. "Kenmerk van ICT is dat het gecombineerd wordt op de diverse beleidsterreinen. CIO's zijn er wel, maar ze hebben vrij weinig te zeggen. Ik denk dat er overkoepelend beleid moet komen, waar wel iemand verantwoordelijk voor moet worden."

Je kan je afvragen wat er zo verschillend is met bijv. een ministerie van financiën.
Ook financien worden gecombineerd op diverse beleidsterreinen en controllers zijn er wel, maar hebben vrij weinig te zeggen (getuige de enorme overschrijdingen van budgetten binnen de overheid en soms tenenkrommende inefficiëntie). Toch stelt dat ministerie wel overkoepelend beleid op, voert interne audits uit e.d. Laten we de missie eens omschrijven van financiën naar ICT:

Het ministerie van Financiën werkt aan een financieel gezond Nederland. Het ministerie zorgt met de Belastingdienst (onderdeel van het ministerie van Financiën) voor een groot deel van de inkomsten van de overheid en ziet aan de andere kant toe op een doelmatige besteding van het overheidsgeld. Financiën is verantwoordelijk voor de fiscale wetgeving en maakt daarnaast regels voor een goed functionerende financiële sector en het toezicht daarop. In Europa en in de rest van de wereld behartigt het ministerie de financiële belangen van Nederland.

Het ministerie van ICT werkt aan gezond ICT beleid in Nederland. Het ministerie zorgt met het RijksCIO (onderdeel van het ministerie van ICT) voor een groot deel van het ICT beleid binnen de overheid en ziet aan de andere kant toe op een doelmatige inzet van ICT-middelen. Het ministerie van ICT is verantwoordelijk voor de ICT wetgeving en maakt daarnaast regels voor een goed functionerende ICT sector en het toezicht daarop. In Europa en in de rest van de wereld behartigt het ministerie de ICT belangen van Nederland.

Lijkt mij vrij gezond als dit eens echt goed behartigd gaat worden, zowel in Nederland als onze positie op ICT vlak in Europa.

[Reactie gewijzigd door Venator op 23 juli 2024 06:12]

mocean 24 maart 2017 12:54

Ik begrijp nooit zo goed waarom elke gemeente dit zelf ontwikkeld en onderhoud. 99% komt toch overeen met alle andere gemeentes? Laat dan 1 pakket onderhouden/maken dat landelijk wordt ontwikkeld (& getest e.d.), waarschijnlijk goedkoper dan tig maatwerk pakketten.

Uberprutser @mocean • 24 maart 2017 13:04

Er zijn een aantal aanbieders van dit soort software alleen sommige gemeenten zijn eigenwijs en doen dit idd nog zelf.

Ik ken een aanbieder die complete oplossingen levert voor 30 gemeenten, echter wel de wat kleinere.

kraats

@Uberprutser • 24 maart 2017 15:23

Er zijn geen aanbieders die complete oplossingen bieden, omdat bij de meeste gemeenten ongeveer 300 tot 400 applicaties gebruikt worden voor alle verschillende beleidsgebieden. Dat is door geen enkele leverancier te overzien (en dan nog de vraag of je van één leverancier afhankelijk wilt zijn)

Uberprutser @kraats • 24 maart 2017 19:20

Had het beter moeten formuleren; de applicaties die voornamelijk publiek worden gepublieerd.

tmfh @mocean • 24 maart 2017 16:07

Veel gemeentes werken inderdaad met standaardpakketten, en dat werkt prima. Maar de grote vier hebben door hun grootte een ander eisenpakket dan de rest van de gemeentes.
Ik zit bijvoorbeeld als kleine gemeente niet te wachten op deelkantoren in mijn pakket. Of een havenmodule. Of vaarroutes in de binnenstad. Of een vuilnis ophaaldienst. Een stad als Amsterdam heeft er waarschijnlijk meer dan een, maar tien hele kleine gemeenten doen dit liever samen. Of een betaald parkeren module.

Ander probleem is bij één pakket is dat je dan één pakket hebt, met honderden belanghebbenden. Hoe wil je die allemaal tevreden houden? Hoe wil je aan het eisenpakket voldoen? En de ervaring uit de ICT leert al dat één mega-oplossing gedoemd is te mislukken. Het is al niet mogelijk voor 1 ministerie een fatsoenlijk pakket te maken. Hoe wil je dan 400 gemeenten hier in een keer op laten aansluiten?

Verwijderd 24 maart 2017 12:04

Dat zou een reëel risico zijn, want servers van de ict-infrastructuur worden al 'vierhonderd tot vierduizend keer per week' aangevallen,

Weinig. Mijn raspi heeft dat dagelijks te verwerken. En daar zit niks achter. (Als men teminste iedere poging tot over SSH inloggen als een aanval telt.)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:12]

multiplexer @Verwijderd • 24 maart 2017 12:31

Snap niet zo goed waarom je hier (tot nu toe) een -1 op krijgt. Ik vind het een goede nuancering van de aantallen die in het artikel genoemd worden. Zonder verdere duiding van wat zij precies zien als een "aanval" is de range 400-4000 vrij nikszeggend, en kan het zijn dat dat niet meer dan de dagelijse stortvloed aan scans die elk IP adres constant te verduren krijgt.

CAPSLOCK2000

Overheid
Netwerk en systeembeheer

@multiplexer • 24 maart 2017 13:48

Zonder verdere duiding van wat zij precies zien als een "aanval" is de range 400-4000 vrij nikszeggend, en kan het zijn dat dat niet meer dan de dagelijse stortvloed aan scans die elk IP adres constant te verduren krijgt.

Deze informatie is niet op IT'ers gericht, de snappen hoe complex het is. De leek heeft echter geen flauw besef van wat "normaal" is op internet. Kijk maar op het forum naar de eindeloze lijst aan posts van mensen die voor het eerst de logs van hun firewall bekijken en zich dood zijn geschrokken.

Veel mensen beseffen niet dat je inderdaad aan de lopende band wordt blootgesteld aan kleine en grote aanvallen. Als een systeem voldoende lek is dan is het een kwestie van tijd voor het gevonden wordt door een serieuze. Het is niet als de achterdeur van je schuurtje die je niet hoeft af te sluiten omdat er toch nooit iemand komt. Alle locaties op internet worden bezocht en aangevallen.

Ook in de gemeenteraad heeft men waarschijnlijk geen flauw idee van hoe hard het gaat en dat alles en iedereen wordt aangevallen. Het meeste daarvan stelt niks voor, maar dat helpt alleen maar om de echte gevaarlijke aanvallen te verbergen in de ruis.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 06:12]

aadje93 @Verwijderd • 24 maart 2017 12:11

haha ik dacht hetzelfde inderdaad, een eindeloze stroom van login pogingen op poort 22 en 21. Denk dat ik de 4000 wel in een uurtje haal ipv in een week

Falcon 24 maart 2017 12:02

Ik vraag mij serieus af of er echt wel iets is te doen tegen het social engineering gedeelte van dit onderzoek.

Bij verschillende bedrijven/overheidsinstanties gewerkt en overal zijn na mijn idee wel mogelijkheden te verzinnen om op de werkvloer te komen. Daarna kan de kracht van social engineering helemaal los gaan.

Waar ik mij vooral over verbaas is dat het nog heel normaal is om geen 2-trapsauthenticatie op de werkplek te hebben, terwijl je vaak al wel een RSA-token voor het thuiswerken hebt.

Tha_Butcha 24 maart 2017 12:45

Het college van b&w wil de openbaring tegenhouden, vanwege veiligheid, die in het gedrang zou kunnen komen. Datzelfde college was verantwoordelijk daarvoor.

Het lijkt me dat degenen die het geheel een jaar hebben onderzocht, meer weten over 'responsible disclosure', dan degenen die verantwoordelijk kunnen worden gehouden. Dat blijkt alleen uit het feit dat ze de kwantiteit van de aanvallen een groter probleem vinden dan de kwaliteit van de beveiliging (of beter: het gebrek daaraan).

Tunaflish 24 maart 2017 12:50

Volgens de burgemeester brengt de openbaarmaking van het rapport met 'specifieke informatie over de kwaliteit van de informatiebeveiliging' de veiligheid van persoonsgegevens verder in gevaar.

Waarbij het vooral om het woord 'verder' gaat; die gegevens zijn dus al in gevaar (en mogelijk al gejat), ongeacht of er meer of minder aanvallen komen.

TaurusNL 24 maart 2017 14:13

er wordt in dit bericht niet verteld of de CISO de directie en MT al dan niet tientallen keren geinformeerd heeft over risico's en of deze al dan niet door directie en MT genegeerd zijn.

SeatRider @TaurusNL • 25 maart 2017 07:49

Het negeren van risico's heet "accepteren" en is daadwerkelijk een valide reactie op een risico. In dit geval geen handige, maar dat is een andere discussie

Tao 24 maart 2017 15:33

Enige nuance is denk ik wel op haar plaats (ik werk bij deze gemeente en dit cluster onderdeel, zij het niet bij ICT). Je moet allereerst bedenken dat er meer dan 4000 applicaties gebruikt worden. Alle ICT aangelegenheden op 1 hoop gooien is dus onzin.
Daarnaast zet de gemeente hoog in op beveiligingszaken: van beleid, voorschriften, aparte functies, protocollen, hardwarebeveiligingsmaatregelen en zo voorts. Ja, het kan allemaal natuurlijk best nog beter.
In de afgelopen 4 jaar heeft de gemeente heel veel bezuinigd (i.o.v. de gemeenteraad), maar op ICT is dat juist niet gebeurd.
En sommige statements zijn gewoon onjuist: USB-sticks b.v. We werken binnen de gemeente met thin clients. Gebruik van USB daarop is geblokkeerd voor users. Dusseh.... wut?
En 'nerds in de kelder van het stadhuis': nou, er wordt (heel) veel extern ingehuurd bij de grotere ICT consultancies, en m.n. ook op beveiliging. Ik heb dus alleen externe 'nerds' gezien

Ik wil dus eerst zelf wel dat onderzoek inzien (en dan vooral de ruwe onderzoeksdata!), voordat ik het eens kan zijn met getrokken conclusies. De Rekenkamer moet zichzelf namelijk ook bewijzen naar de politiek, dus bias kan een rol spelen.

[Reactie gewijzigd door Tao op 23 juli 2024 06:12]

Van der Berg 24 maart 2017 14:53

Slechte zaak van de Gemeente Rotterdam dat dit heeft kunnen gebeuren!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: