'Gemeente Rotterdam deed niets met aanbevelingen it-beveiliging burgemeester'

Uit het rapport van de Rotterdamse rekenkamer zou blijken dat de gemeente niets heeft gedaan met aanbevelingen op het gebied van informatiebeveiliging. Daardoor zou burgemeester Aboutaleb gevaar lopen, doordat zijn agenda en e-mail toegankelijk zijn voor kwaadwillenden.

Twee jaar geleden toonde beveiligingsbedrijf Fox-IT volgens de Volkskrant al aan dat de e-mail en de agenda van burgemeester Aboutaleb toegankelijk zijn voor kwaadwillenden. Nu dit nog steeds het geval is, is het mogelijk om vast te stellen waar hij zich 'van uur tot uur bevindt', waardoor 'reële risico's op fysieke onveiligheid' ontstaan. De agenda van de burgemeester is geheim. Dezelfde risico's zouden gelden voor andere politici binnen de gemeente Rotterdam.

De Volkskrant publiceert deze bevindingen van de rekenkamer op basis van het rapport dat in handen is van de krant. Zo blijkt dat de rekenkamer twee jaar geleden al dezelfde kwetsbaarheden heeft vastgesteld als nu weer in het rapport naar voren komen. In totaal zou het gaan om zevenhonderd 'zwakheden in systemen en applicaties'. Hierdoor zou het bijvoorbeeld mogelijk zijn om toegang te krijgen tot de verschillende systemen voor het besturen van bruggen en verkeerslichten, die vaak gebruikmaken van een enkel wachtwoord. Ook waren werkstations toegankelijk voor personen die gemeentelijke panden binnenliepen.

De gemeente Rotterdam verzet zich tegen de publicatie van het rapport en wil dat delen ervan 'anders worden verwoord'. Er werd gedreigd met een rechtszaak als de publicatie van het rapport in zijn huidige vorm zou plaatsvinden. Daarop werd de publicatie een week uitgesteld. De gemeente laat aan de krant weten dat het 'niet openbaar maken van onderdelen van het rapport in verband met mogelijke risico's voor de Rotterdammers en onze medewerkers plaatsvindt'. Eerder stelde de gemeente al dat er sprake is van een reëel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-04-2017 10:16 39

06-04-2017 • 10:16

39

Lees meer

Rotterdam wil met camerasysteem inzicht krijgen in het fietsgedrag van inwoners
Rotterdam wil met camerasysteem inzicht krijgen in het fietsgedrag van inwoners Nieuws van 17 maart 2021
Ethische hacker verkreeg admin-toegang tot ict-infrastructuur gemeente Arnhem
Ethische hacker verkreeg admin-toegang tot ict-infrastructuur gemeente Arnhem Nieuws van 17 mei 2018
Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort
Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort Nieuws van 24 maart 2017
Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout
Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout Nieuws van 9 maart 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Rotterdam Security

Reacties (39)

-Moderatie-faq
39
38
20
6
0
12
Wijzig sortering
HADES2001 6 april 2017 10:24
of de gemeente rotterdam geeft een goed voorbeeld in de vorm van "Onze burgers hebben geen privacy dus wij hebben ook geen privacy"
Kan dit erg waarderen goed voorbeeld doet volgen.

OK nu even sarcasm off-mode, wat is nu het kwalijkst dat de gemeente het schijnbaar nog steeds niet nodig vind de IT een upgrade te geven of dat ze de tijd en moeite steken om publicaties te laten aanpassen en anders drijgen met rechtzaken.
Rechtzaken kosten klauwen met geld steeds dat dan in je IT ben je er ook vanaf, want een rechtzaak lost je probleem niet op
Croga @HADES20016 april 2017 10:31
OK nu even sarcasm off-mode, wat is nu het kwalijkst dat de gemeente het schijnbaar nog steeds niet nodig vind de IT een upgrade te geven of dat ze de tijd en moeite steken om publicaties te laten aanpassen en anders drijgen met rechtzaken.
Rechtzaken kosten klauwen met geld steeds dat dan in je IT ben je er ook vanaf, want een rechtzaak lost je probleem niet op
Helaas zijn advocaten nogsteeds beter in politiek bedrijven dan ITers. En dus wordt het belang van de advocaten voor het belang van de IT gesteld.

Ik ben het volledig met je eens hoor; als alle juristen nou eens gewoon weg gaan en we het geld besteden aan zaken die écht waarde hebben dan zou de wereld een betere plaats zijn.
Verwijderd @HADES20016 april 2017 12:32
Eerder een voorbeeld van: wij leggen bedrijven en burgers allerlei wetten en beperkingen op qua privacy en veiligheid maar zelf gooien wij er met de pet naar.
Faeron 6 april 2017 10:29
Mijn ervaring is dat het slecht gesteld is met de informatiebeveiliging bij de gemiddelde gemeente. Gemeentes hebben bakken met vertrouwelijke informatie, maar de beveiliging is daar totaal niet op afgestemd. Het begint al met dat ze geen duidelijk overzicht hebben van wat ze in huis hebben. Verschillende medewerkers hebben wel zicht op de informatie waar ze mee werken, maar niemand heeft het totaaloverzicht. En zicht en grip op informatiebeveiliging begint bij zicht en grip op de informatie zelf.

Vanuit mijn rol als security consultant of information security officer heb ik ervaren dat weinig organisaties dit goed op orde hebben. Ik ben nog geen organisatie tegen gekomen die mij een goed en volledig overzicht kan geven van hun applicatielandschap. Ik heb ook gemerkt dat de juiste tooling om zo'n landschap in kaart te brengen niet bestaat. Daarom ben ik een tijd geleden begonnen met het ontwikkelen van zo'n tool. Geinteresseerden, zie https://landscape.leisink.net/waarom.

Daarnaast vind ik het ook wel ernstig om te constateren dat maar weinig gemeente-ambtenaren goede kennis hebben van de privacywetgeving (zowel Wbp als AVG). Genoeg ambtenaren die denken dat als gegevens maar goed beveiligd zijn, je met de gegevens mag doen wat je maar wil. De Wbp is de meest overtreden wet in dit land. Ik durf hard te stellen dat geen enkele gemeente in dit land klaar is voor de AVG die volgend jaar mei ingaat.

[Reactie gewijzigd door Faeron op 23 juli 2024 07:04]

Batiatus @Faeron6 april 2017 11:55
Herkenbaar. Ik heb een paar jaar geleden eens een onderzoek gedaan naar de kennis van ransomware binnen de grote gemeenten van Nederland. Vaak was er niemand verantwoordelijk voor informatiebeveiliging of deed het er een beetje bij. Enkelen wisten niet eens wat ransomware was. Is wel een eye-opener geweest dat zelfs de grootste gemeentes totaal geen idee hebben over de risico's die een slechte staat van informatiebeveiliging met zich meebrengt.
Verwijderd @Faeron6 april 2017 12:34
De overheid lapt zijn eigen regels aan zijn laars terwijl wij als burgers en bedrijven daar zwaar voor beboet worden door diezelfde overheid. Klinkt bekend.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:04]

TheSec 6 april 2017 10:21
Volgens mij zou dit voor de Rotterdammer's een mooie aangelegenheid zijn om een melding te maken bij Autoriteit Persoons Gegevens op basis van de publicaties zal er toch ook zeker de nodige privacy lekken zijn.

https://autoriteitpersoon...ing/meldplicht-datalekken
Phoenix the II @TheSec6 april 2017 11:25
Ik had laatst een medewerker van de Rotterdamse gemeente op bezoek of zij mij hulp konden bieden. Echter toe ik een formuliertje toegeschoven kreeg of zij toestemming krijgen van mij om mijn privegegevens in te mogen voeren in hun computer systeem kreeg ik argwaan.

Waarom heeft een bedrijf toestemming nodig van mij om mijn gegevens die bedoeld zijn hunzelf te verwerken? Deze toestemming is alleen nodig indien je gegevens gelekt worden naar 3rde partijen.

En aangezien ik met de toestemming dan de controle verlies WAAR dit terecht komt... Heb ik geweigerd te tekenen, en inherent zeiden dan zij op hun beurt, sorry, maar dan kunnen wij je niet helpen... Eventuele medische/prive situaties zou ik niet graag bij een 3rde partij willen hebben staan die er dan vervolgens leuk statistieken ofzo mee gaan draaien.

Deze prutzooi bij de R'damse gemeente moet toch echt beter. Geen zorg kunnen krijgen om deze redenen.
mashell 6 april 2017 10:37
Fox IT heeft twee jaar geleden vastgelsteld dat er problemen waren. De rekenkamer heeft vastegesteld dat die problemen er nog steeds zijn. Het rapport benoemd deze problemen. Dat rapport kan niet openbaar gemaakt worden want dan is duidelijk waar de problemen zitten. Er loopt nu een rechtszaak over het publiceren van het rapport. Maar de vraag wanneer die problemen eindelijk wel worden aangepakt daat heeft niemand het over?
Slijpschuiver 6 april 2017 16:06
Een oproep tot redelijkheid en nuance. Best hoor, maar feit is toch dat "dit" al 2 jaar bekend was, en er niet adequaat op is gereageerd. Wie is daar verantwoordelijk voor geweest, en hoort dus niet op die plek. Als een IT-bedrijf grote steken laat vallen bij de beveiliging van databases, en een wetenschapper komt daar achter, dan krijgt zo'm bedrijf een beperkte tijd om een lek te repareren, waarna publicatie volgt. Prima, zo hard moet het zijn.
Zidane007nl 6 april 2017 23:42
Ik heb net een stukje uit het rapport gelezen en het is echt huilen met de pet op ....
Er zijn twee gemeentelijke websites aangetroffen waarop gebruikers moeten inloggen,
waarbij geen sprake is van een versleutelde https-verbinding. Het slotje in de adresbalk waaraan https-verbindingen herkenbaar zijn ontbreekt bij deze websites. In slecht beveiligde netwerken (zoals openbare WIFI-hotspots) is het mogelijk om bij deze login-pagina’s gebruikersnamen en wachtwoorden ‘af te luisteren’.
Kansloos ...
Eén gemeentelijke website bleek gevoelig voor Cross Site Scripting. Het is dan mogelijk
het uiterlijk van de website te veranderen door bijvoorbeeld valse login schermen op
te zetten op de website of kwaadaardige scripts uit te voeren. Zo kunnen
kwaadwillenden betrouwbaar ogende phishing aanvallen opzetten en bezoekers van
de website verleiden een valse link te bezoeken waarmee vervolgens bijvoorbeeld
malware geïnstalleerd kan worden op de computer van de bezoeker.
De ontwikkelaars daarvan kunnen beter opnieuw beginnen met programmeren ...
Er is een verouderde met internet verbonden webmailinstallatie aangetroffen. Via
deze installatie bleek het mogelijk willekeurige bestanden en belangrijke
systeemwachtwoorden op te vragen. De onderzoekers kregen zo leestoegang tot
bestanden op de webserver en konden zo sessies van webmailgebruikers volgen. In
het vertrouwelijke rapport over de penetratietest is hiervan nadere bewijsvoering
opgenomen.
Lekker dan lek kan het niet zijn ...

Ook wordt Centric genoemd in dit rapport (wel doorgestreept):
Bij A worden bij nieuwe releases door de leverancier Centric software ter beschikking
gesteld die de gemeente in een eigen OTAP installeert. Hierbij is een testprocedure van
toepassing. Of testgegevens geanonimiseerd worden is niet duidelijk. In totaal zijn er
vier functioneel beheerders die het testwerk uitvoeren voor A. Er kan dus een beperkt
aantal mensen bij de testgegevens.
0xygen500 6 april 2017 10:24
" De agenda van de burgemeester is geheim" Blijkbaar niet.
Stoelpoot @0xygen5006 april 2017 11:02
Jawel, het is een publiek geheim. Het wordt wel geheim gehouden, maar iedereen met een goed stel hersens kan er wel achter komen.
Verwijderd @Stoelpoot6 april 2017 21:27
Waarschijnlijk hoef je alleen maar Outlook vergaderverzoek te openen om zijn beschikbaarheids informatie in te zien. Zo te horen hebben ze gewoon alles open staan (dus met agenda afspraak onderwerp en locatie).
traibergen 6 april 2017 10:25
Dit geeft goed aan goed slecht het met de privacy in Nederland en de rest van de wereld is gesteld.
0xygen500 6 april 2017 10:26
"Hierdoor zou het bijvoorbeeld mogelijk zijn om toegang te krijgen tot de verschillende systemen voor het besturen van bruggen en verkeerslichten, die vaak gebruikmaken van een enkel wachtwoord" dit in combinatie met het weten waar de burgemeester is, is gevaarlijk.
Als je weet waar de burgemeester naar toe gaat en je ziet dat hij over een bepaalde brug gaat, brug openen en je hebt een "ongeluk"
Tao @0xygen5006 april 2017 17:44
Not. Er kijken 24/7/365 cameramedewerkers toe die dit monitoren c.q. interveniëren in dat geval.
De burgervader wordt goed bewaakt. Zoals het hoort.
(En die "verschillende systemen" zijn overigens niet allemaal benaderbaar via internet.)
Salafor 6 april 2017 10:26
"Eerder stelde de gemeente al dat er sprake is van een reëel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'."

Hoe kun je spreken over, en jezelf proberen in te dekken met het argument van, reële risico's door een groot aantal aanvallen terwijl je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen en BEKENDE risico's af te dekken?

Is er dan geen centraal orgaan of een instantie die kan afdwingen dat de gemeente zijn zaken op orde moet hebben voordat er bijvoorbeeld overheidsgeld gespendeerd mag worden aan andere projecten?

De veiligheid van de burgemeester is één ding, maar daar gaat het maar om een enkel persoon of een aantal personen. Maar als kwaadwillenden controle kunnen hebben over Nederlandse infrastructuur zou je toch denken dat er van hogeraf aangegeven wordt dat dit op geen enkele wijze toegestaan mag worden?
Tao @Salafor6 april 2017 17:48
"Eerder stelde de gemeente al dat er sprake is van een reëel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'."

..... reële risico's door een groot aantal aanvallen terwijl je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen en BEKENDE risico's af te dekken? .... en verder.
Zoals ik al eerder elders vermeldde: wacht eerst het rapport af voordat je conclusies trekt.
En "niets aan doet" is onzin. Er is intern veel geregeld (hardware / software / regels / afspraken etc) om het gemeentelijk netwerk te beveiligen.
Dat dit nog beter zou kunnen / moeten, is wellicht iets wat je kan concluderen na lezen van dit rapport.
Salafor @Tao6 april 2017 19:07
Het is helaas geen aanname, maar een quote uit het nieuwsbericht zelf:


Uit het rapport van de Rotterdamse rekenkamer zou blijken dat de gemeente niets heeft gedaan met aanbevelingen op het gebied van informatiebeveiliging.


Desalniettemin ben ik het wel met je eens. Eerst de daadwerkelijke resultaten afwachten voor dergelijke conclusies echt volledig getrokken kunnen worden.
Tao @Salafor6 april 2017 19:47
Ik reageerde m.n. op je stelling dat "je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen". Er is wel degelijk veel geregeld, alleen het kan allemaal wel beter.
Het is zonder meer waar dat er niet nog meer is gedaan na de eerdere aanbevelingen. Dat had echter ook te maken met een bezuinigingsopdracht van de politiek van 40 miljoen euries....
Verwijderd @Salafor6 april 2017 21:32
Servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden.
Niet te letterlijk nemen. Aan de opmerking te zien heeft de woordvoerder totaal geen kaas gegeten van ICT. Als je interne ICT omgeving zo veel aangevallen worden dan heb je al een onmogelijk probleem om op te lossen (het is dan immers gatenkaas en je kunt intern blijkbaar de aanvallers niet vinden).

Het gaat waarschijnlijk om externe aanvallen (poortscans,etc) en iedere huis, tuin en keuken router krijgt er evenveel te verduren...Politiek gezwam dus weer...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq