‘Aboutaleb loopt risico door zwakke ict-beveiliging Rotterdam’

Hackers die in opdracht van de Rekenkamer in de Rotterdamse systemen keken, vonden 700 “kritieke zwakheden”.

Foto Robin van Lonkhuijsen/ANP

De gemeente Rotterdam gaat laks om met de beveiliging van digitale informatie, terwijl al jaren bekend was dat die grote gebreken vertoont. Daardoor is bijvoorbeeld de agenda en de mail van de zwaar beveiligde burgemeester Aboutaleb toegankelijk voor hackers, wat tot risico’s voor zijn veiligheid leidt. Dat blijkt uit een vernietigend rapport van de Rotterdamse Rekenkamer dat donderdag uitlekte via de Volkskrant.

Hackers hebben al jarenlang potentieel toegang tot gevoelige informatie over burgers en tot e-mails en agenda’s van bestuurders. Zelfs de bediening van fysieke infrastructuur zoals de Erasmusbrug is te hacken. De gemeente heeft de problemen ondanks aanhoudende kritiek van de gemeenteraard, en zeer kritische rapporten van cyberveiligheidsbedrijven en onafhankelijke deskundigen de afgelopen jaren nog steeds niet opgelost.

De uitgelekte beschuldigingen van de Rekenkamer wijzen op grove nalatigheid van onder meer burgemeester Aboutaleb, die niet toereikend zou hebben gereageerd op herhaaldelijke kritische rapporten. „Dat dit niet heeft plaatsgevonden, neemt de Rekenkamer de gemeente erg kwalijk,” citeert de Volkskrant het rapport.

Bruggen en verkeerslichten

Volgens het onderzoek waaruit de Volkskrant citeert zouden hackers toegang kunnen hebben tot informatiesystemen waarmee bruggen en verkeerslichten op afstand bediend kunnen worden. Zo zouden ze het verkeer kunnen lamleggen. Ook zouden kwaadwillenden het afgelopen jaar op minstens 19 verschillende gelegenheden toegang hebben gehad tot privacy-gevoelige informatie over burgers, bijvoorbeeld over gemeentebelastingen. „De Autoriteit Persoonsgegevens zal direct contact opnemen met de Gemeente Rotterdam, en heeft het rapport bij de Rekenkamer opgevraagd,” zegt woordvoerder Lysette Rutgers.

Het Rotterdamse college van b en w moet op korte termijn duidelijkheid geven over wat er de afgelopen jaren is gedaan aan de beveiliging van de gemeentelijke digitale informatievoorziening. Een meerderheid in de raad, waaronder PvdA, SP en Leefbaar Rotterdam, wil tekst en uitleg van het college.

„De bevindingen in het rapport zullen niet fraai zijn voor de gemeente”, zegt raadslid Lars Sørensen van Leefbaar Rotterdam. Enkele gevoelige passages mogen wat hem betreft afgelakt worden.

Kort geding

Het rapport van de Rekenkamer is nog niet gepubliceerd. De voor gisteren geplande publicatie is uitgesteld nadat het Rotterdamse college de Rekenkamer dreigde met een kort geding. Publicatie zou de gemeente kwetsbaar maken. Paul Hofstra, directeur van de Rekenkamer, wijst dat van de hand. „Het rapport is geen handboek voor hackers. Die hebben zo’n rapport niet nodig. Er staan geen vertrouwelijke gegevens in het rapport.”

„Het beveiligen van vertrouwelijke gegevens van onze burgers heeft kennelijk niet de prioriteit van de gemeente”, reageert Antoinette Laan, voorzitter van de VVD-fractie in de gemeenteraad. „We vragen al langer om maatregelen.” Vorig jaar nog waren de namen en bsn-nummers van 25.000 Rotterdammers online beschikbaar, door een menselijke fout.

De woordvoerders van Aboutaleb en de gemeente konden donderdagochtend nog niet reageren. Paul Hofstra, directeur van de Rotterdamse Rekenkamer wil niet inhoudelijk ingaan op het rapport omdat het nog niet officiëel gepubliceerd is.

Geen gesneden koek

„Deze problemen met cyberveiligheid spelen in veel meer gemeenten,” zegt Bibi van den Berg van de Cyber Security Raad, die overheden adviseert. „Het is zeer ernstig. Ik kom bij veel gemeenten nog steeds veel ambtenaren tegen die absoluut te weinig kennis hebben over cyberveiligheid. Als dit in een gemeente als Rotterdam al speelt, denk maar niet dat kleinere gemeenten het dan beter hebben geregeld. Er moet blijkbaar eerst iets heel erg fout gaan wil er iets aan gebeuren.” Vandaag is zij bij een bijeenkomst van burgemeesters uit de regio Den Haag over cyberveiligheid. “Ook daar merk je bij ambtenaren dat dit onderwerp zeker geen gesneden koek is.”

Ook Van den Berg noemt de bezwaren van het college tegen publicatie van het rapport ‘onzinnig’. „Alsof hackers zo’n rapport nodig hebben om te verzinnen wat ze kunnen doen.”

Directeur Hofstra van de Rekenkamer ontkent met klem dat zijn organisatie verantwoordelijk is voor het uitlekken van het rapport. „Daar durf ik mijn beide handen voor in het vuur te steken.” De uitgelekte versie is volgens hem een concept. „Ik wil het wel zo snel mogelijk publiceren, maar moet daarvoor een zorgvuldig pad afleggen.” Hij verwacht de officiële publicatie volgende week.