Een ethische hacker die door de Rekenkamer van de gemeente Arnhem werd ingeschakeld heeft het gemeentenetwerk van binnenuit weten over te nemen. De Rekenkamer wilde weten hoe goed de gemeentesystemen en gegevens van burgers waren beveiligd. De ingeschakelde ethische hacker wist van binnenuit een gemeentegebouw verbinding met het gemeentenetwerk te krijgen.
Vervolgens wist hij adminrechten te verkrijgen waardoor hij in principe controle had over de complete infrastructuur van de gemeente Arnhem, aldus de Rekenkamer. De ethische hacker kon zich zo ook toegang verschaffen tot privacygevoelige informatie van burgers, ambtenaren en bestuurders. Volgens de Rekenkamer zijn de systemen waar de gemeente gebruik van maakt onvoldoende beveiligd.
De gemeente laat in een reactie weten dat het zich van de "inside-out kwetsbaarheid" bewust was maar er een achterstand bestond in de te nemen maatregelen. "Onze eigen reguliere informatiebeveiligingsaudits (zelftesten) richten zich primair op outside-in aanvallen, waarbij van buitenaf wordt getracht binnen te dringen op ons netwerk (en waarbij de aanvaller zich dus niet in een gemeentelijk gebouw hoeft te begeven). De meeste aanvallen vinden namelijk ook op deze manier plaats", zo laat de gemeente weten (pdf).
Bij het onderzoek van de Rekenkamer bleek het niet mogelijk om van buitenaf toegang te krijgen. De gemeente stelt dat het nog nooit heeft getest of het kwetsbaar was voor 'inside-out' aanvallen. "De aangetroffen kwetsbaarheden bleken daar te zitten. Het ict-systeem gaf wel op een later moment een alarmering af, maar het had absoluut nooit zover mogen komen. Deze grote kwetsbaarheid voor aanvallen van binnenuit vormt voor ons het belangrijkste leerpunt van dit onderzoek van de rekenkamer", stelt de gemeente verder.
Naar aanleiding van het onderzoek zijn er verschillende maatregelen genomen. Die moeten het lastiger voor een aanvaller maken om adminrechten te krijgen als er ondanks getroffen beveiligingsmaatregelen toch toegang tot het netwerk wordt verkregen. De gemeente is niet van plan om de fysieke toegankelijkheid van gemeentegebouwen voor burgers te beperken.
Deze posting is gelocked. Reageren is niet meer mogelijk.