Ict-systemen van provincies hebben veel last van beveiligingsproblemen. De provincies zijn daarvan op de hoogte, maar wilden daar weinig aan doen, blijkt uit uitgelekte documenten en vergaderverslagen.
Het gaat om de ict-systemen van BIJ12. Dat is de uitvoeringsorganisatie van de twaalf Nederlandse provincies. Die systemen zijn op allerlei manieren kwetsbaar, schrijft het Noordhollands Dagblad. De krant kreeg documenten in bezit via klokkenluidersplatform Publeaks, waar ook Tweakers bij is aangesloten. In de documenten staat dat ambtenaren al maanden wisten van de kwetsbaarheden, maar dat daar vaak niks aan werd gedaan. Via de systemen van BIJ12 kunnen provincieambtenaren veel regelen en bekijken, zoals subsidie- en vergunningsaanvragen.
Eerder deze week haalde de organisatie tien systemen offline vanwege de kwetsbaarheden. Negen zijn er momenteel nog actief, maar ook die zijn kwetsbaar, blijkt uit een rapport. Het gaat onder andere om een applicatie waarbij burgers formulieren op de provinciewebsites kunnen invullen. Daarbij worden persoonsgegevens verwerkt, maar het is niet duidelijk of die daarbij zijn uitgelekt. Het zou gaan om 'een beperkt aantal persoonsgegevens', en voor zover bekend zijn die nog veilig. Wel heeft de organisatie uit voorzorg melding gedaan bij de Autoriteit Persoonsgegevens.
Het is niet bekend wat de kwetsbaarheden precies inhielden, maar die verschenen wel al 'maanden geleden' in een rapport van een ict-leverancier. Het probleem zat in het feit dat de software niet automatisch werd bijgewerkt en updates daarom niet waren doorgevoerd. Een tweede rapport volgde in december van 2020. Daarin werden de conclusies uit het eerste rapport onderschreven. Tientallen machines hadden beveiligingsproblemen. In een geval was software sinds 2014 niet meer bijgewerkt.
Betrokkenen zoals ciso's en systeembeheerders kwamen na dat tweede rapport bij elkaar om te praten over maatregelen. Volgens een verslag van dat overleg zouden die hebben geconcludeerd dat de organisatie 'ervan uit mag gaan dat ze gehackt is'. Het was op dat moment niet mogelijk zomaar alle systemen uit te schakelen, omdat provincies daardoor in de problemen zouden komen.
BIJ12 zegt dat het inmiddels updates heeft uitgevoerd en kwetsbare applicaties offline heeft gehaald. Er wordt nog verder onderzoek gedaan naar waarom de beveiliging zo slecht op orde was.
Deze tip kwam bij het Noordhollands Dagblad binnen via Publeaks. Dat is een klokkenluidersplatform om veilig en anoniem media te tippen. Heb je ook een tip zoals bovenstaande? Tweakers is ook bij Publeaks aangesloten. Kijk op de website van Publeaks over hoe je ons kunt tippen.