Informatieveiligheid gemeente verbeterd maar geldt niet voor fysieke beveiliging

De gemeente Utrecht heeft sinds 2021 goede stappen gezet met de beveiliging van digitaal opgeslagen informatie. Zo lukt het ethische hackers niet meer om de gemeentelijke systemen binnen te dringen. Maar deze verbetering geldt niet voor de fysieke beveiliging van het Stadskantoor en het Stadhuis. Insluipers kunnen nog steeds ongezien de beveiligde delen van die gebouwen betreden. Bovendien laten medewerkers zich nog altijd makkelijk verleiden om gevoelige informatie zoals inloggegevens af te staan. Dat concludeert de Rekenkamer Utrecht op basis van nieuw onderzoek naar de informatieveiligheid van de gemeente Utrecht.

Gemeenten verwerken steeds grotere hoeveelheden informatie. De laatste decennia gebeurt dat in allerlei gedigitaliseerde systemen en programma’s. En de verwerkte informatie bevat vaak bijzondere persoonsgegevens die goed beschermd moeten zijn. De Rekenkamer Utrecht onderzocht daarom in 2021 of de informatieveiligheid binnen de gemeente Utrecht op orde was. De uitkomsten daarvan vormden aanleiding om dit jaar de informatieveiligheid opnieuw te onderzoeken.

De rekenkamer ziet dat de gemeente de aanbevelingen van destijds grotendeels heeft opgevolgd. Vrijwel alle technische risico’s die in 2021 op de digitale systemen werden aangetroffen, zijn inmiddels opgelost. Uit de nieuwe penetratietesten van het huidige onderzoek bleek dat er geen kritieke risico’s meer aanwezig zijn. De digitale beveiliging is daarmee verbeterd.

Er is nog wel oude software op de systemen aanwezig. Deze software ontvangt geen updates meer en wordt op termijn kwetsbaar. Dit heeft de laatste jaren nog te weinig aandacht gekregen. De rekenkamer beveelt de gemeente daarom aan om deze en andere openstaande kwetsbaarheden zo spoedig mogelijk onder controle te brengen.

In 2021 lukte het ingehuurde insluipers eenvoudig om de beveiligde delen van het Stadskantoor en Stadhuis te betreden. Dat kan voor grote problemen zorgen, omdat een deel van de informatie nog altijd fysiek wordt opgeslagen en gebruikt. Ondanks dat de gemeente de afgelopen jaren heeft geïnvesteerd in beveiligingsmaatregelen, lukte het insluipers in 2024 nog steeds om ongezien de beveiligde delen van beide gebouwen te betreden. En omdat medewerkers onoplettend waren, konden zij daar langere tijd verblijven. Sterker nog: de insluipers zijn geen enkele keer door medewerkers aangesproken op hun aanwezigheid.

Om het gedrag van medewerkers te verbeteren, heeft de gemeente de afgelopen jaren verschillende maatregelen genomen. Die zijn echter vaak nog te vrijblijvend en worden niet door leidinggevenden afgedwongen. Zo is de deelname aan de e-learning over informatieveiligheid te laag. Het gedrag van medewerkers is dan ook onvoldoende veranderd. Zo gebruiken zij nog altijd achtergelaten USB-sticks zonder te beseffen dat deze mogelijk schadelijke software bevatten. En medewerkers staan onbewust hun inloggegevens af aan kwaadwillenden die zich voordoen als collega’s van de ICT-helpdesk.

Ook de organisatiecultuur is onveranderd. Medewerkers spreken elkaar te weinig aan op ongewenst gedrag. De mens is en blijft daarmee de zwakste schakel bij informatieveiligheid. De rekenkamer beveelt daarom aan om het informatiebewustzijn van medewerkers te vergroten en meer te sturen op de naleving van het beleid. En om op de lange termijn in te zetten op een cultuurverandering waarbij medewerkers niet meer toezien en afwachten maar actief onbekenden aanspreken en verantwoordelijkheid nemen.