Tijdens een onderzoek naar de informatieveiligheid in de provincie Limburg zijn 171 Limburgse ambtenaren in test-phishingmail getrapt, zo heeft de Zuidelijke Rekenkamer in een rapport laten weten (pdf). De rekenkamer komt tot de conclusie dat de provincie in de afgelopen vier jaar vooruitgang heeft geboekt in de wijze waarop de informatiebeveiliging in opzet en praktijk is ingericht. In de uitvoering blijft het tempo van de implementatie van beveiligingsmaatregelen achter bij de voornemens.
Daardoor is de provincie kwetsbaar voor aanvallen, zo blijkt uit onder andere een penetratietest die door de rekenkamer is uitgevoerd. Tijdens deze test is zowel digitaal als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt. Een aantal zaken had hierbij eerder opgepakt kunnen en moeten worden, zo stelt de rekenkamer. De provincie liet namelijk in 2015 zelf een onderzoek uitvoeren waarin soortgelijke bevindingen naar boven kwamen.
Voor het testen van het veiligheidsbewustzijn van de provinciemedewerkers is als eerste een phishingaanval uitgevoerd op alle e-mailadressen die op @prvlimburg.nl eindigen. Dit waren 1.398 e-mailadressen. De aanval zorgde ervoor dat 171 ontvangers van de e- mail hun gebruikersnaam en wachtwoord invulden op een, voor dit onderzoek geprepareerde website. Dit komt neer op 12 procent van alle ambtenaren. De provincie detecteerde de phishingaanval en blokkeerde vervolgens vanaf het provincienetwerk toegang tot de website.
Daarnaast werden er er twee spearphishingaanvallen uitgevoerd, waarbij geselecteerde e-mailadressen een met malware geïnfecteerde bijlage kregen toegestuurd. De eerste spearphishingaanval via e-mail mislukte omdat de mailservers de documenten met macro's, die als bijlage waren meegestuurd, blokkeerde. De aanval met een zogenaamd "Wob-verzoek" via een vragenformulier op de provinciewebsite slaagde wel. Hierdoor werd toegang verkregen tot de systemen en accounts van twee medewerkers die gevoelige informatie bevatten.
Naast de aanvallen via e-mail vond er ook een inlooptest met een "mystery guest" plaats. Die wist ongeautoriseerde toegang tot werkplekken, systemen en gevoelige gegevens te krijgen. Ook is er toegang tot systemen en accounts verkregen via met malware geprepareerde usb-sticks die door de mystery guest waren achtergelaten.
Naar aanleiding van het rapport heeft de provincie verschillende maatregelen aangekondigd en acties uitgevoerd. Het gaat dan om de installatie van beveiligingsupdates en het toepassen van netwerksegmentatie. Ook is besloten om het wachtwoordbeleid aan te passen. Sinds begin van dit jaar dienen wachtwoorden te bestaan uit minimaal tien karakters met verschil in tekens en hoofdlettergebruik. Wachtwoorden moeten daarnaast om het halfjaar worden gewijzigd. Verder zal het bewustwordingsprogramma worden geactualiseerd en is de provincie van plan een nieuwe bewustwordingscampagne te starten.
Deze posting is gelocked. Reageren is niet meer mogelijk.