Gemeente Utrecht gaat informatiebeveiliging verbeteren: 'Dit had nooit mogen gebeuren'
UTRECHT - Met een goed verhaal én een dagpas wandelde een mysterie guest zo het Stadskantoor en Stadhuis van Utrecht binnen. De gemeente is ervan geschrokken en neemt maatregelen om de beveiliging zowel binnen als buitenshuis aan te pakken. "Dit had nooit mogen gebeuren."
Gelukkig, het waren geen hackers of andere kwaadwillenden die het op de gemeente hadden voorzien. Maar de belangrijkste conclusie uit het rapport van Rekenkamer Utrecht is toch wel dat het mogelijk is informatie die in principe vertrouwelijk of geheim is, in te zien. De Rekenkamer voerde tussen september en december 2020 een onderzoek uit binnen de gemeente. De onderzoekers bekeken documenten, interviewden medewerkers én stuurden dus een undercover-onderzoeker om te kijken hoe moeilijk (of makkelijk) het eigenlijk is de verschillende afdelingen binnen te dringen.
"Dat vind ik echt vervelend om te horen, dat dit kon gebeuren", zegt wethouder Linda Voortman vandaag. Informatiebeveiliging valt binnen haar dossier en hoewel ze blij is dat er inzichtelijk is gemaakt wat beter kan, is het toch pijnlijk dat iemand zo makkelijk vertrouwelijke gegevens kon inzien.
RTV Utrecht wil natuurlijk weten wat voor verhaal de onderzoekers gebruikten bij het regelen van de toegangspas en welke documenten ze dan precies hebben gezien. Maar die informatie blijft geheim. "Doel van het onderzoek was om te kijken of informatie kon worden ingezien die in principe vertrouwelijk of geheim is, dat bleek mogelijk", zegt een woordvoerder van Rekenkamer Utrecht.
Wachtwoord op post-it
En inderdaad, één van de onderzoekers kon inbreken op werkstations van medewerkers van de gemeente. Zo kreeg hij een laptop in handen die onbeheerd was achtergelaten en waar met een post-it het wachtwoord op was geplakt. Daarnaast kon er in dossierkasten gekeken worden waar documenten lagen. "Wij gaan medewerkers op het hart drukken dat ze moeten opletten. Binnen de organisatie gaan we een bewustwordingsprogramma oprichten want we vinden het belangrijk dat elke medewerker zich er goed van bewust is dat we met de informatie die we hebben, heel voorzichtig moeten zijn."
Dat bewustwordingsprogramma is nodig. Tijdens het onderzoek kwam naar buiten dat zeker 950 medewerkers van de gemeente phishing-mails niet herkenden en hun inloggegevens afgaven.
Naar aanleiding van dit onderzoek kan de gemeente geen honderd procent garantie geven over de informatieveiligheid. "We hebben echter op basis van dit rapport geen aanleiding om te stellen dat de gegevens van Utrechters in gevaar zijn. Het is ook wat dat betreft een samenspel van techniek en menselijk handelen en de titel van het rapport is daarom ook zo treffend 'Zo sterk als de zwakste schakel'. Een fout gemaakt door een mens maakte dat er iemand naar binnen kon lopen. Dat had niet mogen gebeuren", aldus de wethouder.
Binnen de gemeente is halverwege 2020 al geld en personeel beschikbaar gesteld om de beveiliging te waarborgen. Het college van burgemeester en wethouders zegt in een brief halverwege 2021 effect te zien van die investering en in 2022 de achterstand te hebben ingehaald. Overigens was het niet mogelijk voor de onderzoekers om van buitenaf in te breken op de systemen van de gemeente, dat stukje is op orde, op wat kleine puntjes na. Ook die worden verbeterd, belooft de gemeente.
Over zes weken komt de gemeente met een plan van aanpak naar aanleiding van het onderzoek. Een aantal punten van verbetering zijn al in gang gezet. Overigens heeft Rekenkamer Utrecht al aangegeven dat ze over een jaar nog eens gaan kijken naar de informatiebeveiliging. Of er dan weer iemand het stadskantoor in gaat, hebben ze er (natuurlijk) niet bij gezegd.
