De beveiliging van het interne netwerk van de gemeente Den Haag blijkt niet op orde te zijn, zo laat de Haagse Rekenkamer weten, dat onderzoek deed naar de digitale veiligheid van de ICT-infrastructuur en van privacygevoelige informatie bij de gemeente Den Haag.

Daarbij bleek de gemeentelijke website denhaag.nl geen ernstige kwetsbaarheden te bevatten. Op het interne netwerk werden echter de nodige kwetsbaarheden in de veiligheid gevonden. "Enerzijds is het relatief eenvoudig en op verschillende manieren mogelijk toegang te krijgen tot het interne netwerk en anderzijds kent het netwerk zelf ernstige kwetsbaarheden", aldus het rapport.

De onderzoekers slaagden er in op het interne netwerk van de gemeente aan privacygevoelige informatie te komen. Zij vonden onder meer lijsten met persoonsgegevens, zoals naam en burgerservicenummer, en enkele kopieën van paspoorten. De kwetsbaarheden in het interne netwerk werden onder meer aangetoond met het versturen van een phishingmail. De mail werd naar 45 raadsleden gestuurd, waarvan er 11 reageerden.

Interne netwerk

Tijdens het onderzoek bleek dat het zonder inloggegevens mogelijk was om op verschillende manieren toegang tot het interne netwerk te krijgen. Hoewel een aantal van de mogelijkheden inmiddels door de gemeente is weggenomen, blijft dit volgens de onderzoekers een kwetsbare schakel in de beveiliging waardoor het voor buitenstaanders zonder veel technische kennis eenvoudig is om toegang te krijgen.

"Daarbij speelt de cultuur met betrekking tot informatiebeveiliging bij medewerkers een rol, de open werkomgeving op het stadhuis en de behoefte ICT-voorzieningen zo gebruiksvriendelijk mogelijk te maken", zo laat het onderzoeksrapport weten.

Advies

De rekenkamer adviseert om aan digitale veiligheid meer bestuurlijke aandacht te geven en periodiek integrale testen uit te voeren. Ook moet de gemeente inzetten op monitoring van het netwerk en alert reageren wanneer er ingebroken wordt. Verder moet de gemeentebestuur duidelijker verantwoordelijkheid nemen voor digitale veiligheid. "De afwegingen over veiligheid, kosten en gebruiksgemak van ICT worden op het verkeerde niveau gemaakt", zo concludeert de rekenkamer.

Die pleit voor een door de gemeenteraad vastgesteld kader waarin onder meer een minimum niveau van beveiliging voor verschillende categorieën informatie wordt vastgelegd. Het college van burgemeester en wethouders heeft aangegeven de aanbevelingen van de rekenkamer over te nemen. Uit het recente coalitieakkoord blijkt dit echter nog niet. Zo komt het onderwerp niet aan de orde en de bestuurlijke verantwoordelijkheid voor digitale veiligheid wordt in het stuk niet benoemd.

"Digitale veiligheid is nu nog een taak voor de werkvloer, daar wordt besloten wat belangrijker is: dienstverlening of veiligheid. De Haagse gemeenteraad heeft de verantwoordelijkheid kaders te bepalen voor de beveiliging van informatie en het college moet dit als een aparte taak op zich nemen, niet als onderdeel van de gewone ICT-ondersteuning van de organisatie", aldus Watze de Boer van de rekenkamer.