Gemeente Rotterdam veiliger en toch nog hackbaar

Gemeente Rotterdam veiliger en toch nog hackbaar
Gemeente Rotterdam veiliger en toch nog hackbaar
Bovendien blijkt de ‘grey box’ variant van de test nog minder succesvol. Daar mislukten de pogingen om binnen te dringen op andere systemen om daar misbruik te plegen. De Rekenkamer neemt hierbij nog wel een slag om de arm: “behoudens enkele soortgelijke kwetsbaarheden als hiervoor”. Daarmee verwijst de controlerende instantie naar de nog altijd aanwezige verouderde software en kwetsbaarheden in de netwerktoegang.

“Kwaadwillenden hebben thans minder mogelijkheden om schade toe te brengen. Niet volledig weggewerkt zijn de kwetsbaarheden ten aanzien van netwerktoegang en verouderde software.” Dit is in april vorig jaar ook al aan het licht gekomen door een eerste pentest waaruit bleek dat de Rotterdamse IT-beveiliging een gatenkaas was.

De Rekenkamer waarschuwt dat een hacker met relatief veel tijd tot zijn beschikking hierlangs toch toegang kan krijgen tot meer gemeentelijke informatiesystemen waarin gevoelige persoonsgegevens staan. “De onderzoekers kregen echter geen kans om de kwetsbaarheden op deze manier te misbruiken en in een positie te komen om schade aan te brengen, omdat de hackpoging tamelijk snel door de gemeentelijke organisatie werd opgemerkt.”

“Uit de ‘black box’ penetratietest bleek dat in het vorige rekenkameronderzoek geconstateerde kwetsbaarheden, waarmee relatief eenvoudig toegang tot het gemeentelijke netwerk kon worden verkregen, inmiddels gedeeltelijk zijn verholpen.” Dit schrijft directeur Paul Hofstra van de Rekenkamer Rotterdam nu aan de gemeenteraad. In zijn brief stipt hij de verbeteringen aan maar ook de opnieuw geconstateerde tekortkomingen.

De gemeente Rotterdam is hierin goed vooruitgegaan, want in de vorige pentest door de Rekenkamer zijn de ‘aanvallers’ in een veel later stadium ontdekt en alleen bij een specifieke applicatie. “De testers waren toen al zo ver gevorderd dat zij schade konden aanbrengen of daar – na de onderbreking – elders mee door konden gaan. De ontdekking in de hertest was veel sneller, terwijl bovendien deze penetratiepogingen op een veel ‘geruislozere’ manier plaatsvonden.”

Rotterdam at Twitter: