Informatie(on)veiligheid gemeente Valkenswaard
Afgelopen maand kregen wij het rapport van de rekenkamercommissie onder ogen. En daar zijn wij als CDA fractie enorm van geschrokken. De informatieveiligheid binnen de gemeentelijk organisatie is niet op orde.
De ellende van Nuenen
Een mystery guest kon met laptop en al zonder al te veel belemmeringen zomaar het kantoor van onze gemeente binnenlopen. Hij kon daar zijn laptop op het computernetwerk van de organisatie aansluiten. Ook konden ethische hackers via internet vrij eenvoudig bij de privacygegevens van u en mij komen. U moet daarbij denken aan paspoortgegevens. Gegevens die ook nog eens veel waard zijn voor criminelen door daar misbruik van te maken. Tot overmaat van ramp konden die ethische hackers de computersystemen van de gemeentelijk organisatie overnemen met alle gevolgen van dien. Bij de gemeente Nuenen hebben criminelen afgelopen week bijvoorbeeld het emailverkeer overgenomen. Zij hebben namens de gemeente betalingsverzoeken naar vele inwoners uitgestuurd. En dan wel naar de bankrekeningen van die criminelen.
Verbeterd beveiligd
Gelukkig was Valkenswaard deze ellende bespaard gebleven dankzij adequaat werk van college en ambtenaren naar aanleiding van het rapport van de rekenkamercommissie. Ambtenaren hebben de sloten en deuren letterlijk en fysiek verbeterd beveiligd. Maar ook de “sloten en deuren” van internet zijn verbeterd beveiligd. Dus Valkenswaard kan er voorlopig weer tegenaan.
Gevaren op de loer
Maar we zijn er nog niet want de gemeente zal zich op dit vlak continue moeten verbeteren. Ook de criminelen blijven niet stil zitten en zullen weer naar nieuwe gaten in de informatieveiligheid van onze gemeente blijven zoeken.
Daarnaast werken sommige delen van de organisatie nog met oude besturingssystemen die niet meer ondersteund worden door de leveranciers hiervan. Heel gevaarlijk want dat betekent dat de internet achterdeur nog niet geheel veilig op slot is of in ieder geval in de nabije toekomst. Geen onderhoud op systemen leidt tot gaten die criminelen kunnen benutten. Twee jaar gelden speelde dit nog bij Citrix waar onze gemeente ook gebruik van maakt.
Een andere teer punt is het gedrag van ambtenaren en bestuur (college en gemeenteraad). Als zij makkelijke wachtwoorden gebruiken of klikken op Phishing e-mails, dan wordt het de criminelen ook gemakkelijk gemaakt. Daarom is het belangrijk dat er cursussen en bewustwordingssessies worden gehouden teneinde dit gedrag te verbeteren. Criminelen zoeken naar de zwakste schakel en dat is vaak de mens die van de computersystemen gebruik maakt.
Als laatste is mijn advies aan de gemeente doe elk jaar een uitgebreide audit door een expertisebedrijf op het terrein van informatieveiligheid. En beperk je niet alleen tot de standaard audits zoals ENSIA, Digidtest en de pentesten. Maar laat je goed informeren en kijk verder want dat doen de criminelen vanuit de hele wereld ook.
Francois Smits
CDA Raadslid portefeuille Fysiek Domein