Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Gemeente Rotterdam deed niets met aanbevelingen it-beveiliging burgemeester'

Door , 39 reacties

Uit het rapport van de Rotterdamse rekenkamer zou blijken dat de gemeente niets heeft gedaan met aanbevelingen op het gebied van informatiebeveiliging. Daardoor zou burgemeester Aboutaleb gevaar lopen, doordat zijn agenda en e-mail toegankelijk zijn voor kwaadwillenden.

Twee jaar geleden toonde beveiligingsbedrijf Fox-IT volgens de Volkskrant al aan dat de e-mail en de agenda van burgemeester Aboutaleb toegankelijk zijn voor kwaadwillenden. Nu dit nog steeds het geval is, is het mogelijk om vast te stellen waar hij zich 'van uur tot uur bevindt', waardoor 'reële risico's op fysieke onveiligheid' ontstaan. De agenda van de burgemeester is geheim. Dezelfde risico's zouden gelden voor andere politici binnen de gemeente Rotterdam.

De Volkskrant publiceert deze bevindingen van de rekenkamer op basis van het rapport dat in handen is van de krant. Zo blijkt dat de rekenkamer twee jaar geleden al dezelfde kwetsbaarheden heeft vastgesteld als nu weer in het rapport naar voren komen. In totaal zou het gaan om zevenhonderd 'zwakheden in systemen en applicaties'. Hierdoor zou het bijvoorbeeld mogelijk zijn om toegang te krijgen tot de verschillende systemen voor het besturen van bruggen en verkeerslichten, die vaak gebruikmaken van een enkel wachtwoord. Ook waren werkstations toegankelijk voor personen die gemeentelijke panden binnenliepen.

De gemeente Rotterdam verzet zich tegen de publicatie van het rapport en wil dat delen ervan 'anders worden verwoord'. Er werd gedreigd met een rechtszaak als de publicatie van het rapport in zijn huidige vorm zou plaatsvinden. Daarop werd de publicatie een week uitgesteld. De gemeente laat aan de krant weten dat het 'niet openbaar maken van onderdelen van het rapport in verband met mogelijke risico's voor de Rotterdammers en onze medewerkers plaatsvindt'. Eerder stelde de gemeente al dat er sprake is van een reëel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'.

Reacties (39)

Wijzig sortering
of de gemeente rotterdam geeft een goed voorbeeld in de vorm van "Onze burgers hebben geen privacy dus wij hebben ook geen privacy"
Kan dit erg waarderen goed voorbeeld doet volgen.

OK nu even sarcasm off-mode, wat is nu het kwalijkst dat de gemeente het schijnbaar nog steeds niet nodig vind de IT een upgrade te geven of dat ze de tijd en moeite steken om publicaties te laten aanpassen en anders drijgen met rechtzaken.
Rechtzaken kosten klauwen met geld steeds dat dan in je IT ben je er ook vanaf, want een rechtzaak lost je probleem niet op
OK nu even sarcasm off-mode, wat is nu het kwalijkst dat de gemeente het schijnbaar nog steeds niet nodig vind de IT een upgrade te geven of dat ze de tijd en moeite steken om publicaties te laten aanpassen en anders drijgen met rechtzaken.
Rechtzaken kosten klauwen met geld steeds dat dan in je IT ben je er ook vanaf, want een rechtzaak lost je probleem niet op
Helaas zijn advocaten nogsteeds beter in politiek bedrijven dan ITers. En dus wordt het belang van de advocaten voor het belang van de IT gesteld.

Ik ben het volledig met je eens hoor; als alle juristen nou eens gewoon weg gaan en we het geld besteden aan zaken die ťcht waarde hebben dan zou de wereld een betere plaats zijn.
Eerder een voorbeeld van: wij leggen bedrijven en burgers allerlei wetten en beperkingen op qua privacy en veiligheid maar zelf gooien wij er met de pet naar.
Mijn ervaring is dat het slecht gesteld is met de informatiebeveiliging bij de gemiddelde gemeente. Gemeentes hebben bakken met vertrouwelijke informatie, maar de beveiliging is daar totaal niet op afgestemd. Het begint al met dat ze geen duidelijk overzicht hebben van wat ze in huis hebben. Verschillende medewerkers hebben wel zicht op de informatie waar ze mee werken, maar niemand heeft het totaaloverzicht. En zicht en grip op informatiebeveiliging begint bij zicht en grip op de informatie zelf.

Vanuit mijn rol als security consultant of information security officer heb ik ervaren dat weinig organisaties dit goed op orde hebben. Ik ben nog geen organisatie tegen gekomen die mij een goed en volledig overzicht kan geven van hun applicatielandschap. Ik heb ook gemerkt dat de juiste tooling om zo'n landschap in kaart te brengen niet bestaat. Daarom ben ik een tijd geleden begonnen met het ontwikkelen van zo'n tool. Geinteresseerden, zie https://landscape.leisink.net/waarom.

Daarnaast vind ik het ook wel ernstig om te constateren dat maar weinig gemeente-ambtenaren goede kennis hebben van de privacywetgeving (zowel Wbp als AVG). Genoeg ambtenaren die denken dat als gegevens maar goed beveiligd zijn, je met de gegevens mag doen wat je maar wil. De Wbp is de meest overtreden wet in dit land. Ik durf hard te stellen dat geen enkele gemeente in dit land klaar is voor de AVG die volgend jaar mei ingaat.

[Reactie gewijzigd door Faeron op 6 april 2017 10:41]

Herkenbaar. Ik heb een paar jaar geleden eens een onderzoek gedaan naar de kennis van ransomware binnen de grote gemeenten van Nederland. Vaak was er niemand verantwoordelijk voor informatiebeveiliging of deed het er een beetje bij. Enkelen wisten niet eens wat ransomware was. Is wel een eye-opener geweest dat zelfs de grootste gemeentes totaal geen idee hebben over de risico's die een slechte staat van informatiebeveiliging met zich meebrengt.
De overheid lapt zijn eigen regels aan zijn laars terwijl wij als burgers en bedrijven daar zwaar voor beboet worden door diezelfde overheid. Klinkt bekend.

[Reactie gewijzigd door ArtGod op 6 april 2017 12:40]

Volgens mij zou dit voor de Rotterdammer's een mooie aangelegenheid zijn om een melding te maken bij Autoriteit Persoons Gegevens op basis van de publicaties zal er toch ook zeker de nodige privacy lekken zijn.

https://autoriteitpersoon...ing/meldplicht-datalekken
Ik had laatst een medewerker van de Rotterdamse gemeente op bezoek of zij mij hulp konden bieden. Echter toe ik een formuliertje toegeschoven kreeg of zij toestemming krijgen van mij om mijn privegegevens in te mogen voeren in hun computer systeem kreeg ik argwaan.

Waarom heeft een bedrijf toestemming nodig van mij om mijn gegevens die bedoeld zijn hunzelf te verwerken? Deze toestemming is alleen nodig indien je gegevens gelekt worden naar 3rde partijen.

En aangezien ik met de toestemming dan de controle verlies WAAR dit terecht komt... Heb ik geweigerd te tekenen, en inherent zeiden dan zij op hun beurt, sorry, maar dan kunnen wij je niet helpen... Eventuele medische/prive situaties zou ik niet graag bij een 3rde partij willen hebben staan die er dan vervolgens leuk statistieken ofzo mee gaan draaien.

Deze prutzooi bij de R'damse gemeente moet toch echt beter. Geen zorg kunnen krijgen om deze redenen.
Fox IT heeft twee jaar geleden vastgelsteld dat er problemen waren. De rekenkamer heeft vastegesteld dat die problemen er nog steeds zijn. Het rapport benoemd deze problemen. Dat rapport kan niet openbaar gemaakt worden want dan is duidelijk waar de problemen zitten. Er loopt nu een rechtszaak over het publiceren van het rapport. Maar de vraag wanneer die problemen eindelijk wel worden aangepakt daat heeft niemand het over?
Een oproep tot redelijkheid en nuance. Best hoor, maar feit is toch dat "dit" al 2 jaar bekend was, en er niet adequaat op is gereageerd. Wie is daar verantwoordelijk voor geweest, en hoort dus niet op die plek. Als een IT-bedrijf grote steken laat vallen bij de beveiliging van databases, en een wetenschapper komt daar achter, dan krijgt zo'm bedrijf een beperkte tijd om een lek te repareren, waarna publicatie volgt. Prima, zo hard moet het zijn.
Ik heb net een stukje uit het rapport gelezen en het is echt huilen met de pet op ....
Er zijn twee gemeentelijke websites aangetroffen waarop gebruikers moeten inloggen,
waarbij geen sprake is van een versleutelde https-verbinding. Het slotje in de adresbalk waaraan https-verbindingen herkenbaar zijn ontbreekt bij deze websites. In slecht beveiligde netwerken (zoals openbare WIFI-hotspots) is het mogelijk om bij deze login-pagina’s gebruikersnamen en wachtwoorden ‘af te luisteren’.
Kansloos ...
Eťn gemeentelijke website bleek gevoelig voor Cross Site Scripting. Het is dan mogelijk
het uiterlijk van de website te veranderen door bijvoorbeeld valse login schermen op
te zetten op de website of kwaadaardige scripts uit te voeren. Zo kunnen
kwaadwillenden betrouwbaar ogende phishing aanvallen opzetten en bezoekers van
de website verleiden een valse link te bezoeken waarmee vervolgens bijvoorbeeld
malware geÔnstalleerd kan worden op de computer van de bezoeker.
De ontwikkelaars daarvan kunnen beter opnieuw beginnen met programmeren ...
Er is een verouderde met internet verbonden webmailinstallatie aangetroffen. Via
deze installatie bleek het mogelijk willekeurige bestanden en belangrijke
systeemwachtwoorden op te vragen. De onderzoekers kregen zo leestoegang tot
bestanden op de webserver en konden zo sessies van webmailgebruikers volgen. In
het vertrouwelijke rapport over de penetratietest is hiervan nadere bewijsvoering
opgenomen.
Lekker dan lek kan het niet zijn ...

Ook wordt Centric genoemd in dit rapport (wel doorgestreept):
Bij A worden bij nieuwe releases door de leverancier Centric software ter beschikking
gesteld die de gemeente in een eigen OTAP installeert. Hierbij is een testprocedure van
toepassing. Of testgegevens geanonimiseerd worden is niet duidelijk. In totaal zijn er
vier functioneel beheerders die het testwerk uitvoeren voor A. Er kan dus een beperkt
aantal mensen bij de testgegevens.
" De agenda van de burgemeester is geheim" Blijkbaar niet.
Jawel, het is een publiek geheim. Het wordt wel geheim gehouden, maar iedereen met een goed stel hersens kan er wel achter komen.
Waarschijnlijk hoef je alleen maar Outlook vergaderverzoek te openen om zijn beschikbaarheids informatie in te zien. Zo te horen hebben ze gewoon alles open staan (dus met agenda afspraak onderwerp en locatie).
Dit geeft goed aan goed slecht het met de privacy in Nederland en de rest van de wereld is gesteld.
"Hierdoor zou het bijvoorbeeld mogelijk zijn om toegang te krijgen tot de verschillende systemen voor het besturen van bruggen en verkeerslichten, die vaak gebruikmaken van een enkel wachtwoord" dit in combinatie met het weten waar de burgemeester is, is gevaarlijk.
Als je weet waar de burgemeester naar toe gaat en je ziet dat hij over een bepaalde brug gaat, brug openen en je hebt een "ongeluk"
Not. Er kijken 24/7/365 cameramedewerkers toe die dit monitoren c.q. interveniŽren in dat geval.
De burgervader wordt goed bewaakt. Zoals het hoort.
(En die "verschillende systemen" zijn overigens niet allemaal benaderbaar via internet.)
"Eerder stelde de gemeente al dat er sprake is van een reŽel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'."

Hoe kun je spreken over, en jezelf proberen in te dekken met het argument van, reŽle risico's door een groot aantal aanvallen terwijl je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen en BEKENDE risico's af te dekken?

Is er dan geen centraal orgaan of een instantie die kan afdwingen dat de gemeente zijn zaken op orde moet hebben voordat er bijvoorbeeld overheidsgeld gespendeerd mag worden aan andere projecten?

De veiligheid van de burgemeester is ťťn ding, maar daar gaat het maar om een enkel persoon of een aantal personen. Maar als kwaadwillenden controle kunnen hebben over Nederlandse infrastructuur zou je toch denken dat er van hogeraf aangegeven wordt dat dit op geen enkele wijze toegestaan mag worden?
"Eerder stelde de gemeente al dat er sprake is van een reŽel risico, omdat 'servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden'."

..... reŽle risico's door een groot aantal aanvallen terwijl je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen en BEKENDE risico's af te dekken? .... en verder.
Zoals ik al eerder elders vermeldde: wacht eerst het rapport af voordat je conclusies trekt.
En "niets aan doet" is onzin. Er is intern veel geregeld (hardware / software / regels / afspraken etc) om het gemeentelijk netwerk te beveiligen.
Dat dit nog beter zou kunnen / moeten, is wellicht iets wat je kan concluderen na lezen van dit rapport.
Het is helaas geen aanname, maar een quote uit het nieuwsbericht zelf:


Uit het rapport van de Rotterdamse rekenkamer zou blijken dat de gemeente niets heeft gedaan met aanbevelingen op het gebied van informatiebeveiliging.


Desalniettemin ben ik het wel met je eens. Eerst de daadwerkelijke resultaten afwachten voor dergelijke conclusies echt volledig getrokken kunnen worden.
Ik reageerde m.n. op je stelling dat "je er niets aan doet om jezelf tegen dergelijke aanvallen te beschermen". Er is wel degelijk veel geregeld, alleen het kan allemaal wel beter.
Het is zonder meer waar dat er niet nog meer is gedaan na de eerdere aanbevelingen. Dat had echter ook te maken met een bezuinigingsopdracht van de politiek van 40 miljoen euries....
Servers van de ict-infrastructuur vierhonderd tot vierduizend keer per week aangevallen worden.
Niet te letterlijk nemen. Aan de opmerking te zien heeft de woordvoerder totaal geen kaas gegeten van ICT. Als je interne ICT omgeving zo veel aangevallen worden dan heb je al een onmogelijk probleem om op te lossen (het is dan immers gatenkaas en je kunt intern blijkbaar de aanvallers niet vinden).

Het gaat waarschijnlijk om externe aanvallen (poortscans,etc) en iedere huis, tuin en keuken router krijgt er evenveel te verduren...Politiek gezwam dus weer...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*