Verschillende Noord-Brabantse gemeentes schieten tekort als het gaat om de beveiliging van de persoonsgegevens van hun inwoners. Ook zijn de gemeentelijke netwerken soms zeer kwetsbaar. Dit concludeert de Rekenkamercommissie Midden-Brabant (RMB) in een recent onderzoek.
In het onderzoek van de RMB wordt geconstateerd dat er voor de Noord-Brabantse gemeentes Dongen, Goirle, Hilvarenbeek en Loon op Zand nog veel werk aan de winkel is als het gaat om de beveiliging van persoonsgegevens. De betrokken gemeentes werden door de RMB met penetratietests gecheckt op kwetsbaarheden en eventuele mogelijkheden om toegang te krijgen tot vertrouwelijke informatie.
Bij de gemeente Dongen wisten de ethische hackers onder meer inzicht te krijgen in privacygevoelige informatie, e-mails, wachtwoorden, gedeelde bestanden en chatberichten, zoals gegevens over medische keuringen voor de Wet maatschappelijke ondersteuning (Wmo).
Bij penetratietesten bij de gemeentes Goirle, Hilvarenbeek en Loon op Zand kregen de securityexperts ook toegang tot persoonsgegevens, waaronder gegevens die betrekking hebben op het sociaal domein, belastingen, burgerzaken en vergunningen.
Daarnaast werd toegang verkregen tot (gemeentelijke) desktops, privacygevoelige informatie, e-mails, (beheer)wachtwoorden van diensten en fileshares. Verder kregen de ethische hackers toegang tot persoons- en belastinggegevens van burgers en gemeentelijke juridische procedures.
Kwetsbare netwerkshares
In opdracht van de RMB keken de specialisten ook naar de verdere security-infrastructuur van de betreffende gemeentes. Hierbij werd onvoldoende netwerksegmentatie en firewalling geconstateerd. Zo was het vanuit het netwerk van de gemeente Dongen mogelijk ook het netwerk van Tilburg binnen te komen.
De netwerken van beide gemeentes vormen samen één systeem, waarbij Tilburg Dongen als ‘afdeling’ diensten verleent. Hoewel netwerksegmentatie wordt toegepast, ontbreekt een firewall tussen beide omgevingen.
Vanuit de IT-omgevingen van de gemeentes Goirle, Hilvarenbeek en Loon op Zand kregen de onderzoekers toegang tot data van partners. Hierbij bleek dat de medewerkersaccount die tijdens de testen werd gecompromitteerd, toegangsrechten had tot deze functionaliteit. Ook bleek de netwerksegmentatie onvoldoende.
Fysieke security ontoereikend
Last but not least laten de onderzochte gemeentes ook op het vlak van fysieke beveiliging steken vallen. In de gemeente Dongen was de patchruimte weliswaar op slot, maar was de sleutel vrij toegankelijk. Ook het patchpaneel bleek toegankelijk. Een niet-duidelijk gelegitimeerde bezoeker kreeg bovendien toegang tot een kastje met het label ‘privé’ op de burgemeesterskamer.
Bij de overige drie gemeentes bleek dat interne netwerken en testomgevingen toegankelijk waren. Zo werd er een papiertje met inloggegevens van een test-/trainingsomgeving aangetroffen, waardoor de onderzoeker toegang kreeg tot die omgeving.
Naar aanleiding van het RMB-onderzoek hebben de betrokken gemeentes inmiddels maatregelen genomen en het securitybeleid aangepast.
Tip: Telecom: België duurder dan buurlanden, Nederland schiet uit bij mobiele bundels
1 dag geleden
