Persoonsgegevens onvoldoende beveiligd bij gemeente Rotterdam
Een onderzoek dat werd ingesteld door de rekenkamer Rotterdam heeft duidelijk gemaakt dat de beveiliging van de persoonsgegevens bij de gemeente behoorlijk tekortschiet.
De onderzoekers hebben aangegeven dat ze de mogelijkheid hadden om e-mailsessies in te zien. Bovendien konden ze zeer eenvoudig wachtwoorden achterhalen en was het voor hun mogelijk om zonder toegangspas binnen te komen.
Gebruik van verouderde software
De rekenkamer stelde onder meer naar aanleiding van haar onderzoek dat er door de gemeente gebruik zou worden gemaakt van verouderde software die de nodige veiligheidsrisico’s met zich meebrengt.
Deze conclusie werd door de onderzoekers getrokken nadat er penetratie-, inloop- en social engineering-testen werden uitgevoerd. Het onderzoek ging een jaar geleden van start en werd uiteindelijk afgerond in december van vorig jaar. Ze was in het bijzonder gericht op systemen waarin de persoonlijke gegevens van Rotterdammers zijn opgeslagen.
Nog niet gepubliceerd
De vaststellingen die door de rekenkamer zijn gebeurd staan te lezen in een rapport dat tot dusver nog niet is gepubliceerd. Dit stelt de RTV Rijnmond. Dat er sprake is van een aanzienlijk beveiligingsrisico bij de informatiesystemen blijkt uit een brief welke door de directeur van de rekenkamer is verstuurd naar de gemeente. In deze brief zijn in grote lijnen de vaststellingen van het onderzoek terug te vinden.
De brief kwam er als reactie op de vraag van de gemeente om het rapport niet te publiceren. De rekenkamer zou ondertussen in overleg met de ambtenaren ook diverse delen van het rapport hebben aangepast. Ze zou wel van plan zijn om het rapport volgende week woensdag openbaar te maken.
De applicaties waar onderzoek naar werd verricht worden niet in detail beschreven. Wel wordt er aangegeven hoeveel gegevens hierin omgaan evenals hoeveel gebruikers er zijn.
De rekenkamer heeft aangegeven de zorgen met betrekking tot de publicatie te begrijpen, maar is van mening dat mogelijke gevolgen van tekortschietende informatiebeveiliging de rekenkamer niet kan en mag worden aangerekend.
De rekenkamer stelt bovendien duidelijk dat het rapport geen informatie bevat over de werkwijze om de systemen binnen te kunnen dringen. Wel wordt er beschreven welke risico’s de beperkte beveiliging met zich meebrengt voor de lokale samenleving.
Deze duiding van de potentiële gevolgen is volgens de rekenkamer ook een vereiste. Alleen op deze manier krijgt men immers voldoende inzicht in de ernst van de bevindingen.
Publicatie van rapport tegenhouden
De burgemeester van Rotterdam heeft ondertussen naar aanleiding van de brief de gemeenteraad verzocht om de publicatie van het rapport te proberen tegen te houden.
Hij is dan ook van mening dat het openbaar maken van het rapport de veiligheid van persoonsgegevens nog verder in gevaar zou kunnen brengen. Dit blijkt bovendien een zeer reëel risico te zijn, niet in het minst omdat de servers van de ict-infrastructuur op moment van schrijven reeds zo’n vierhonderd tot wel vierduizend aanvallen per week te verwerken krijgen.
Hoewel het college dus alles in het werk stelt om de publicatie tegen te houden heeft ze wel aan de rekenkamer kenbaar gemaakt dat het alle hoofdconclusies zal onderschrijven evenals alle aanbevelingen zal opvolgen.