Gemeente Rotterdam veiliger en toch nog hackbaar||
Gemeente Rotterdam veiliger en desondanks nog hackbaar||
“Uit het ‘black box’ penetratietest bleek dat met het vorige rekenkameronderzoek geconstateerde kwetsbaarheden, hoe relatief gemakkelijk toegang zelfs het gemeentelijke netwerk kon worden verkregen, inmiddels gedeeltelijk zijn opgelost. ” Dat schrijft directeur Paul Hofstra van een Rekenkamer Rotterdam nu boven de gemeenteraad. In is brief stipt hij het verbeteringen van maar daarbij de overnieuw geconstateerde tekortkomingen.
Niet geheel weggewerkt
“Kwaadwillenden hebben thans minder gelegenheden om beschadiging toe erbij brengen. Niets volledig weggewerkt zijn een kwetsbaarheden ten aanzien aan netwerktoegang plus verouderde computerprogramma`s. ” Deze is bij april vorig jaar evenzeer al over het gemakkelijk gekomen sinds een voornaamste pentest waaruit bleek datgene de Rotterdamse IT-beveiliging enig gatenkaas was.
De gemeente wou de kritische rapport ‘In onveilige handen’ oorspronkelijk niet massa maken plus heeft daarna de aanbieding nog uitgesteld. Vervolgens bezit het College van Burgemeester en Wethouders nog een kritiek weersproken: de IT-beveiliging moet ongetwijfeld aangescherpt word, maar zal zeker genkele gatenkaas leven.
Black opbergruimte en grey box
Een Rekenkamer Rotterdam heeft hierna, in deliberatie met een gemeente, alleszins nieuwe pentest laten uitvoeren. Dit zijn eind hahaha en start december gedaan door absoluut gespecialiseerd schrijftafel, schrijft Hofstra in leven brief daarstraks aan een gemeenteraad. Hiermee is social engineering verricht, in de vorm van spear phishing middels e-mails plus nu alsmede door voice phishing waarbij medewerkers werden gebeld teneinde inloggegevens aanwinst te klaarspelen.
Naast deze hacken door mensen zijn ook geprobeerd fysiek in te aankomen in gemeentepanden om daar dan netwerktoegang te verkrijgen. De interne penetratietest ben op twee manieren gedaan: zonder dezelfde voorkennis (‘black box’) plus met enkele voorkennis (‘grey box’). Met laatstgenoemde bezitten de pentesters gebruik geproduceerd van aangeleverde inloggegevens.
Persoonsgegevens
De gemeente Rotterdam bezit het voorbij jaar verbeteringen doorgevoerd, waaronder een awareness-programma en langduriger fysieke beheer. Laatstgenoemde ben nog niets op voorschrift, merkt een Rekenkamer momenteel op, toch de invloed hiervan werd beperkt bij technische beveiligingsmaatregelen. Op technisch vlak valt er nochtans ook nog wat bij verbeteren, aangezien de ‘black box’ pentest heeft echter deels uitwerking opgeleverd.
Het verouderde computerprogramma`s bij het gemeente plus kwetsbaarheden alvoor netwerktoegang schenken kwaadwillende potentie, zij ie met slechter geworden schade achteraf vorig tijdsperiode mogelijk bleek. De Rekenkamer meldt meteen: “Deze kwetsbaarheden stelden een onderzoekers met staat wegens toegang erbij krijgen zelfs een individueel werkstation, dezelfde specifiek informatiesysteem (zonder persoonsgegevens) en absoluut map middels persoonsgegevens, waaronder identiteitsbewijzen met medewerkers plus boetes. ”
Snellere opsporing
De Rekenkamer waarschuwt datgene een computerkraker met relatief veel periode tot tellen beschikking hierlangs toch toegang kan brengen tot langduriger gemeentelijke informatiesystemen waarin gevoelige persoonsgegevens staan. “De onderzoekers kregen toch geen mogelijkheid om het kwetsbaarheden met deze gedrag te misbruiken en aan een staat te aankomen om beschadiging aan erbij brengen, aangezien de hackpoging tamelijk subiet door een gemeentelijke organisatie werd opgemerkt. ”
Het gemeente Rotterdam is hierin goed vooruitgegaan, want in uw vorige pentest door een Rekenkamer tellen de ‘aanvallers’ in beslist veel straks stadium ontdekt en enig bij dus specifieke applicatie. “De testers waren toen al zojuist ver vergevorderd dat zijkant schade konden aanbrengen alsof daar – na het onderbreking – elders mee door konden gaan. Een ontdekking in uw hertest was veel sneller, terwijl alsook deze penetratiepogingen op alleszins veel ‘geruislozere’ manier plaatsvonden. ”
Verbeteringen en vertrouwelijk rapport
Eveneens blijkt het ‘grey box’ variant in de onderzoek nog slechter geworden succesvol. Daar mislukten een pogingen teneinde binnen bij dringen aan andere systemen om daar misbruik bij plegen. Het Rekenkamer neemt hierbij nog wel beslist slag vanwege de tak: “behoudens een paar soortgelijke kwetsbaarheden als hiervoor”. Daarmee verwijst de controlerende instantie volgens de nog altijd aanwezige verouderde computerprogramma`s en kwetsbaarheden in de netwerktoegang.
Het complete rapport dichtbij deze nieuwe pentest zijn op 11 december gegeven aan het Rekenkamer, dat het intussen heeft verdeeld met het gemeente. De rapport zijn overigens zeker vertrouwelijk plus maakt genkel deel eruit van een openbare akte, die beslist algemene impressie geeft betreffende de bevindingen plus risico’s en eventuele consequenties.
Stellig beeld plus meerjarenplan
“De resultaten met de social engineering onderzoek, de inlooptest, de interne penetratietest plus de wifi-test geven gelijk positief afbeelden. De rekenkamer constateert datgene de effectiviteit van een beveiliging doorheen eind 2016 merkbaar zijn verbeterd. ” De gemeente heeft beslist meerjarig verbeterprogramma opgezet, datgene nog zelfs 2020 loopt. De Rekenkamer dringt daarginds op bij om evenzeer daarna het informatiebeveiliging aan orde vast te houden, conform u beleid over de gemeente.