Volledig scherm
De Rekenkamer stelt in haar rapport ‘In veilige handen?’ vast dat ambtenaren van beide provincies zich meer bewust moeten zijn van de risico’s rond informatiebeveiliging. © Getty Images/iStockphoto

Rekenkamer: beveiliging informatie
Gelderland moet beter

De beveiliging van gevoelige informatie is in de provincies Gelderland en Overijssel hapert op onderdelen. Dat concludeert de Rekenkamer Oost-Nederland. 

De Rekenkamer stelt in haar rapport ‘In veilige handen?’ vast dat ambtenaren van beide provincies zich meer bewust moeten zijn van de risico’s rond informatiebeveiliging. Dit is zowel op digitaal als fysiek gebied gewenst, zo blijkt uit testen die de Rekenkamer afgelopen jaar heeft gehouden. Bij een inlooptest kreeg een mysterie-guest ongeautoriseerd toegang tot niet-publieke ruimtes en daarmee beperkte toegang tot dossiers en gegevens. Tijdens dit bezoek werd de mysterie-guest niet door ambtenaren aangesproken. 

Phishing

Het versturen van zogeheten phishing-mails (mails waarin je wordt verleid om op een kwaadaardige link te klikken) leidde tot het verkrijgen van toegang tot accounts en bestanden van beide provincies. Ook konden medewerkers van Hoffmann Bedrijfsrecherche, die het onderzoek uitvoerden, via ‘phishing’ inloggegevens verkrijgen. Bij een andere test met phishing klikten vier op de tien medewerkers op een link. Een derde van de medewerkers liet inloggegevens achter.  Onderzoeksjournalist digitale beveiliging en privacy Brenno de Winter kijkt niet op van de resultaten. ,,Als de vraag is of je bij provincies laaghangend fruit kunt plukken is het antwoord ja.’’ 

Uitbesteden

De Rekenkamer stelt ook vast dat de provincies de laatste jaren veel IT-taken heeft uitbesteed aan derden. Hierdoor is minder tijd en aandacht besteed aan de informatieveiligheid. Ook blijkt dat de provincies hun eigen beleid omtrent informatiebeveiliging niet altijd opvolgen. In Gelderland zijn bijvoorbeeld een aantal belangrijke veiligheidstesten niet uitgevoerd in de periode 2013-2018. Als reden hiervoor noemt Gelderland de overgang van IT-taken naar een andere dienstverlener en de verbouwing van het provinciehuis; het zou niet zinvol zijn om deze testen dan uit te voeren. De Rekenkamer is het daar niet mee eens. ‘Als je je huis verbouwt, controleer je toch ook of het slot op de deur nog werkt?’ 

Laatdunkend

De Winter vindt dit een ‘zorgwekkend signaal'. ,,Beveiliging is iets waar je continu mee bezig moet zijn.’’ Overheden hebben volgens De Winter de neiging om laatdunkend te doen over wat ze aan gevoelige informatie in huis hebben. ,,Overheden hebben de risico's vaak echt niet in het snotje. Ze distribueren heel veel geld bijvoorbeeld.’’ De Winter noemt de redenen die Gelderland aanvoert, zoals de verbouwing van het provinciehuis, ‘niet geldig'. ,,Als ik die zou aanvoeren om geen informatie te geven aan de Belastingdienst, gaan ze daar ook niet mee akkoord. Je hoort als overheid zeer consciëntieus met informatie om te gaan. Je draagt een verantwoordelijkheid naar burgers.’’ 

Cybercriminelen

De Rekenkamer hamert erop dat provincies hun informatie goed beschermen tegen cybercriminelen. ‘Incidenten kunnen grote gevolgen hebben, bijvoorbeeld wanneer informatie van burgers of bedrijven op straat komt te liggen'. Toch nemen de beide provincies ook effectieve maatregelen om hun informatie te beschermen. Het is de ingehuurde hackers niet gelukt om binnen een redelijke termijn door te dringen tot cruciale systemen. Aan bewustwording van medewerkers besteden de provincies ook aandacht. Uit de praktijktesten blijkt dat die aandacht geen overbodige luxe is, concludeert de Rekenkamer. Gedeputeerde Staten van Gelderland zegt in een reactie de aanbevelingen te onderschrijven. Overijssel heeft nog geen reactie gegeven.         

De Gelderlander gebruikt je persoonsgegevens om deze reactie te kunnen plaatsen. Meer informatie vind je in ons privacy statement. Reacties van mensen die de nickname anonymous, anoniem of een variant daarop voeren, worden niet geplaatst.