Nieuws
image

Brabantse gemeenten hebben beveiliging persoonsgegevens niet op orde

woensdag 27 december 2023, 09:58 door Redactie, 7 reacties

Verschillende Brabantse gemeenten hebben de beveiliging van persoonsgegevens niet op orde, zo blijkt uit een onderzoek van de Rekenkamercommissie Midden-Brabant (RMB). Die liet een ethisch hacker de beveiliging van de gemeenten Dongen, Goirle, Hilvarenbeek en Loon op Zand onderzoeken. Via penetratietests werd gezocht naar kwetsbaarheden en de mogelijkheid om toegang tot vertrouwelijke informatie te krijgen.

Zo lukte het de onderzoekers om bij de gemeente Dongen op afstand onder andere toegang te krijgen (privacy)gevoelige informatie, e-mails, wachtwoorden, gedeelde bestanden en chatberichten. Het ging onder andere om gegevens over medische keuringen in het kader van de Wet maatschappelijke ondersteuning (Wmo). Via dit dashboard zijn gedetailleerde medische gegevens van burgers beschikbaar.

Bij de gemeenten Goirle, Hilvarenbeek en Loon op Zand werd er ook toegang tot persoonsgegevens verkregen. Deze gegevens hebben betrekking op het sociaal domein, belastingen, burgerzaken en vergunningen. Ook kregen de onderzoekers toegang tot desktops, vertrouwelijke en privacygevoelige informatie, e-mail, (beheer) wachtwoorden van services en fileshares. Ook werd toegang verkregen tot persoons- en belastinggegevens van burgers en juridische procedures van de gemeenten.

Netwerksegmentatie

Tevens bleek dat de gemeenten onvoldoende doen aan netwerksegmentatie en firewalling. Vanuit de IT-omgeving van gemeente Dongen was toegang mogelijk tot gegevens van de gemeente Tilburg, omdat beide gemeenten samen één systeem vormen. Hieronder kunnen kwetsbaarheden impact hebben op de gehele infrastructuur. Er wordt wel netwerksegmentatie toegepast, maar geen firewall tussen beide gemeenten. Tilburg verleent diensten aan Dongen en behandelt Dongen als een ‘afdeling’ van Tilburg. Daarbij moet worden opgemerkt dat sinds het begin van de samenwerking het nooit het doel is geweest om een firewall tussen Tilburg en Dongen in te richten.

Vanuit de IT-omgevingen van Goirle, Hilvarenbeek en Loon op Zand was toegang mogelijk tot gegevens van de andere samenwerkingspartners. De oorzaak van het verkrijgen van toegang was dat het medewerkersaccount dat tijdens de test werd gecompromitteerd rechten tot deze applicatie had. De scheiding van de IT-omgevingen bleek onvoldoende.

Fysieke beveiliging

Op het gebied van fysieke beveiliging laten de gemeenten ook steken vallen. In Dongen was de patchruimte op slot, maar hing de sleutel onbeveiligd buiten de daartoe bestemde kast. Tevens bleek het patchpaneel toegankelijk. Daarnaast kon de onderzoeker in Dongen op de kamer van de burgemeester toegang krijgen tot een geopende kast met daarin een bakje gelabeld 'privé'. Tevens had de onderzoeker de bezoekerspas niet zichtbaar gedragen, maar werd hier niet door medewerkers op aangesproken.

Bij de andere drie gemeenten bleek dat interne netwerken en testomgevingen toegankelijk waren. Zo werd er een papiertje met inloggegevens van één test/trainingomgeving aangetroffen, waardoor de onderzoeker toegang tot die omgeving kreeg. De gemeenten hebben naar aanleiding van het onderzoek maatregelen getroffen en aanpassingen aan het beleid doorgevoerd (pdf).

Reacties (7)
Reageer met quote
27-12-2023, 10:33 door Anoniem
Voor iedereen die weleens vanuit een security-rol binnen heeft mogen kijken bij gemeentes zal dit totaal geen verrassing zijn. Er is simpelweg te weinig kennis aanwezig en de externe dienstverleners zien security vooral als kosten. Externe auditing is al helemaal een farce, hoewel dan wel duidelijk wordt dat er best hard gewerkt kan worden om de boel te faken. Zolang men niet begrijpt dat security onderdeel uitmaakt van de kwaliteit van een product/dienst en men niet intrinsiek gemotiveerd is een goede kwaliteit te leveren, zullen we 'verbaasd' blijven worden door hacks/resultaten van pentests.
Reageer met quote
27-12-2023, 13:06 door Anoniem
Op het gebied van fysieke beveiliging laten de gemeenten ook steken vallen. In Dongen was de patchruimte op slot, maar hing de sleutel onbeveiligd buiten de daartoe bestemde kast.
Als voormalige beveiliger ben ik zelf ook aardig wat tegengekomen bij de overheid, maar een sleutel hangen bij de patchruimte? Dat is echt nieuw voor mij.
Reageer met quote
27-12-2023, 13:11 door Anoniem
Door Anoniem: Voor iedereen die weleens vanuit een security-rol binnen heeft mogen kijken bij gemeentes zal dit totaal geen verrassing zijn
Die security-rol had ik inderdaad. Hoewel ik geen gemeentes kan noemen en wat er allemaal loos was durf ik hier zelfs niet naar voren te brengen. En als men dan (gratis!) advies van een beveiliger nodig had, ging men het niet bij de vakmensen in de beveiliging zoeken, maar bij ambtenaren die zelf totaal geen security-opleiding hadden gevolgd.
Reageer met quote
27-12-2023, 13:13 door Anoniem
helemaal mee.eens...1e reactie
Reageer met quote
27-12-2023, 22:39 door Anoniem
Door Anoniem:
Op het gebied van fysieke beveiliging laten de gemeenten ook steken vallen. In Dongen was de patchruimte op slot, maar hing de sleutel onbeveiligd buiten de daartoe bestemde kast.
Als voormalige beveiliger ben ik zelf ook aardig wat tegengekomen bij de overheid, maar een sleutel hangen bij de patchruimte? Dat is echt nieuw voor mij.

Als it-er bij kleine organisatie (600 man) ook wel een een vraag van een beveiliger gehad (Vriend). had probleem met een word document. Ik zeg doe is foto van probleem. Krijg via messenger foto van scherm, incl beeldscherm rand incl. stikkers met inlog gegevens. Wist waar die werkte en die hadden idd een mooi portaal om in te loggen met die sticker gegevens (uiteraard via TOR). tot en met salaris admin kon ik erin.

Dus overal is wel wat..
Reageer met quote
28-12-2023, 11:09 door Anoniem
Gelukkig is in het bedrijfsleven/MKB allemaal veel beter op orde ….. zolang je nog in sprookjes geloofd.
Reageer met quote
28-12-2023, 18:58 door karma4
Een netwerksegmentatie heeft als doel een vastgesteld type en soort risico in te dammen.
Als de functionele toepassing voor de gemeentelijke ambtenaren identiek is is het keuze van het management om geen scheiding aan te brengen onderbouwd. De onderzoekers gaan hier tegen de uitgangsprincipes va informatiebeveiliging in.

Als we het overdrijven wordt het mogelijk helder. Alke ambtenaar moet zijn eigen netwerksegment hebben. (???)


Door Anoniem:
Op het gebied van fysieke beveiliging laten de gemeenten ook steken vallen. In Dongen was de patchruimte op slot, maar hing de sleutel onbeveiligd buiten de daartoe bestemde kast.
Als voormalige beveiliger ben ik zelf ook aardig wat tegengekomen bij de overheid, maar een sleutel hangen bij de patchruimte? Dat is echt nieuw voor mij.
Vaker gezien zeker tijdens werktijden een sleutelkastje en alles wat dan open staat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure