Onlangs heeft de Rotterdamse Rekenkamer onderzoek laten doen naar de beveiliging van de Rotterdamse gemeentelijke ICT-systemen. De uitkomsten zijn aan de ene kant erg confonterend, en aan de andere kant ook wel te verwachten.
Onze beveiliging is best goed
De betrokken ICT-ers van de Gemeente zouden voor het onderzoek van te voren wel eens gedacht kunnen hebben dat de beveiliging best goed op orde is. Toegegeven, de onderzoekers hebben niet alleen maar ‘gaten’ en risico’s aangetroffen. Het bleek voor de ingehuurde hackers namelijk niet mogelijk om de systemen van buitenaf te hacken. Een pluim voor de ICT-beveiligers.
De grote gaten
De onderzoekers zijn er toch vrij makkelijk in geslaagd om de beveiliging te omzeilen. Zo is het ze gelukt om de agenda van Burgemeester Aboutaleb te bekijken, en zich toegang te verschaffen tot systemen en gegevens. De onderzoekers stelden vast dat gevoelige informatie, zoals persoonsgegevens, bij de gemeente onvoldoende in veilige handen is.
De grote gaten in de beveiliging ontstaan eigenlijk doordat hackers zich fysiek toegang kunnen verschaffen tot hardware, en zodoende programma’s kunnen installeren die de beveiliging doorbreekt. Ook zijn er USB-sticks verspreid met spyware, die door sommige werknemers zijn gebruikt waardoor ze onvrijwillig hebben meegewerkt aan het hacken van gevoelige informatie.
Personeel
Het personeel had hier een stokje voor kunnen steken. Maar ze zijn zich onvoldoende bewust van de risico’s en weten ook onvoldoende wat ze precies wel en niet moeten doen.
Het is duidelijk dat het beveiligen van informatie geen kwestie meer is van techniek alleen. De kennis, houding en gedrag van medewerkers zijn minstens net zo bepalend. Hierdoor wordt het ook in één klap duidelijk dat er goed en helder beleid moet zijn waarin is vastgelegd wat er precies van de medewerkers wordt verwacht.
Het vastleggen van afspraken rondom informatiebeveiliging en IT is een kwestie voor het hoogste management. Dit wordt in de regel gedaan in het Informatiebeveiligingsbeleid. En daar zijn wij gepassioneerd voorstander van.
Video: NOS Journaal
Het NOS Journaal heeft in april aandacht besteed aan het onderzoek van de Rotterdamse rekenkamer, en bespreekt het nieuws in breder verband. Er worden heldere argumenten opgevoerd als het gaat om het betrekken van medewerkers en informatiebeveiliging.