Het beleid rondom de veiligheid van digitale systemen is in Leiden en Leiderdorp op orde. De systemen zijn in praktijk echter niet waterdicht. Hoewel goed beveiligd tegen aanvallen van buiten, zijn de systemen van binnenuit wel te hacken. Dit blijkt uit een onderzoek naar digitale veiligheid dat net is gepresenteerd door de Rekenkamercommissie Leiden-Leiderdorp.
De Rekenkamercommissie beveelt de gemeenteraden van Leiden en Leiderdorp aan om te bewaken dat de gemeenten Leiden en Leiderdorp regelmatig tests uitvoeren en tijdig security updates installeren. Ook zullen beide raden moeten bewaken dat de invoering van het nieuwe normenkader Baseline Informatievoorziening Overheid (BIO) goed verloopt.
De Rekenkamercommissie (RKC) van Leiden en Leiderdorp heeft een onderzoek laten uitvoeren naar de digitale veiligheid binnen beide gemeenten. Het onderzoek is uitgevoerd door een extern onderzoeksbureau, ondersteund door een organisatie die ethische hacks uitvoert. Leiden en Leiderdorp werken op het gebied van ICT veel samen, onder meer via het gedeelde Servicepunt71. Ook andere buurgemeenten werken samen met het Servicepunt71.
Chris de Waard in gesprek met Maurice Dister van de RekenKamerCommissie Leiden en Leiderdorp over digitale veiligheid bij de twee gemeenten.
Het onderzoek, dat is uitgevoerd in de tweede helft van 2018, wijst uit dat binnen beide gemeenten veel aandacht is voor digitale veiligheid en dat het bijbehorende beleid in beide organisaties op orde is. Op papier is de digitale veiligheid goed uitgewerkt. Ook zijn binnen beide gemeenten en in het Servicepunt71 voldoende functionarissen aangesteld die betrokken zijn bij het beleid en de uitvoering.
Veiligheidsbewustzijn medewerkers cruciaal
De RKC heeft aanvullend ethische hacks laten uitvoeren om na te gaan of de praktijk van digitale veiligheid aansluit bij het beleid. Uit deze hacks blijkt dat het mogelijk was om vanuit het gemeentenetwerk binnen te dringen in systemen waar men geen autorisatie voor heeft. Buitenstaanders – de hacker op de zolderkamer – dringen evenwel niet zo makkelijk bij de gemeenten binnen. De gegevens van de burgers zijn dus veilig tot aan de deur van het gemeentehuis. Het veiligheidsbewustzijn van de medewerkers is dus cruciaal. Uit phishingtesten bleek dat het merendeel van de ambtenaren voldoende bewust is: zij klikten niet op een onveilige link, zelfs niet bij een zeer professionele uitstraling.
Ondanks dat de gemeenten zelf ook regelmatig testen uitvoeren op de systemen, blijkt dat de gevonden kwetsbaarheden niet eerder geconstateerd waren. De Rekenkamer heeft de gemeente hier eerder al van op de hoogte gebracht zodat de gevonden kwetsbaarheden voor publicatie van het rapport aangepakt konden worden.
De Rekenkamer heeft op basis van het onderzoek een aantal aanbevelingen. Zo beveelt de RKC aan om nog beter te letten op het dichten van kwetsbaarheden, updates van software tijdig te installeren en periodieke audits uit te laten voeren. Alles om te zorgen dat bedreigingen van de systemen minder kans hebben. Ook beveelt de RKC aan om het beveiligingsbewustzijn van het personeel verder te vergroten. Immers, de ambtenaren vormen een belangrijke schakel in de digitale veiligheid.
Aan de beide gemeenteraden beveelt de RKC aan om meer zicht te houden op de uitvoering van het veiligheidsbeleid. Zeker bij de invoering van de BIO is het zaak om goed zicht te blijven houden op de implementatie van deze wet. Ook beveelt de RKC de raden aan om audits uit te laten voeren, en zicht te houden op de verbeteringen die worden doorgevoerd op basis van testen.
Studio Leiden
Middelstegracht 87A
2312 TT Leiden
Studio Leiderdorp
Sisalbaan 13
2352 AZ Leiderdorp
E-mail
redactie@sleutelstad.nl
Telefoon Redactie
071 - 5235907
