Niet alleen Rotterdam laks in beveiligen

Digitaal kwetsbaar Ondanks waarschuwingen is in Rotterdam de computerbeveiliging nog steeds gebrekkig. „Helaas is dit niet heel verrassend.”

Burgemeester Ahmed Aboutaleb onlangs tijdens een debat in de gemeenteraad. Zijn beveiliging is niet op orde. Foto Robin van Lonkhuijsen/ANP

De bediening van de Erasmusbrug, persoonsgegevens van burgers, de agenda van burgemeester Ahmed Aboutaleb: de lijst van digitale kwetsbaarheden van de gemeente Rotterdam is lang. Volgens een onderzoek van de Rotterdamse Rekenkamer, dat donderdag uitlekte via de Volkskrant, zijn al die zaken potentieel toegankelijk voor hackers door gebrekkige beveiliging, ondanks het feit dat de gemeente al meerdere malen is gewaarschuwd voor gaten in de beveiliging.

„Wel heel ernstig, maar helaas niet heel verrassend”, zegt Bibi van den Berg, universitair hoofddocent cyberveiligheid van de Universiteit Leiden en lid van de Cyber Security Raad, die overheden adviseert. „Deze problemen met cyberveiligheid spelen in veel meer gemeenten. Het is een groot en veelvoorkomend probleem. Als dit in een gemeente als Rotterdam al speelt, denk maar niet dat kleinere gemeenten het dan beter hebben geregeld. Er moet blijkbaar eerst iets heel erg fout gaan wil er iets aan gebeuren.”

Donderdag was Van den Berg bij een bijeenkomst van burgemeesters uit de regio Den Haag over cyberveiligheid. „Ook daar merk je bij ambtenaren dat dit onderwerp zeker geen gesneden koek is.”

Het gaat ook in andere gemeenten dan Rotterdam vaak mis. In januari bleek uit onderzoek van het onderzoeksprogramma Reporter Radio dat in een jaar tijd tweederde van de 66 onderzochte gemeenten te maken had met datalekken. In het verleden hebben diverse onderzoeken aangetoond dat ook systemen die worden gebruikt voor het bedienen van onderdelen van de fysieke infrastructuur, zoals bruggen en verkeerslichten niet altijd goed beveiligd zijn. Dat kan leiden tot grote ontwrichting.

De AP waarschuwt al langer voor het feit dat gemeenten steeds meer gevoelige persoonsgegevens verwerken.

Eward Driehuis, onderzoeksdirecteur van cyberveiligheidsbedrijf SecureLink dat ook gemeenten als klant heeft, ziet „regelmatig” vergelijkbare kwetsbaarheden. „Niet alleen technische zwaktes zoals verouderde beveiligingssoftware, maar juist ook de menselijke factor. Het gaat bij cyberveiligheid steeds meer om gedrag van medewerkers.” In het uitgelekte rapport over Rotterdam staat bijvoorbeeld dat het mogelijk was om zonder toegangspas gebouwen van de gemeente binnen te komen, waarna onderzoekers toegang hadden tot vertrouwelijke informatie. „Er zijn heel veel potentiële zwakke schakels in een organisatie, en hackers proberen op steeds nieuwe manieren die zwaktes te benutten.”

Driehuis denkt bovendien dat het grote aantal digitale kwetsbaarheden ligt aan het feit dat er bij lagere overheden simpelweg geen prioriteit wordt gegeven aan budgetten voor cyberveiligheid.

Privacygevoelige informatie

In Rotterdam zouden kwaadwillenden het afgelopen jaar op minstens 19 momenten toegang hebben gehad tot privacygevoelige informatie over burgers, bijvoorbeeld gegevens over gemeentebelastingen. Volgens het uitgelekte rapport zou de gemeente Rotterdam dat hebben gemeld aan de Autoriteit Persoonsgegevens (AP), de toezichthouder. „We hebben direct contact opgenomen met de Gemeente Rotterdam, en hebben het rapport bij de Rekenkamer opgevraagd”, zegt AP-woordvoerder Lysette Rutgers.

De AP waarschuwt al langer voor het feit dat gemeenten steeds meer gevoelige persoonsgegevens verwerken, bijvoorbeeld over uitkeringen en gezondheid, maar zegt ook al jaren dat het zelf te weinig middelen heeft om goed toezicht te houden.