Onenigheid tussen Rotterdamse Rekenkamer en gemeente Rotterdam over beveiligingsrapport

Het ICT-netwerk van de gemeente Rotterdam blijkt ernstige beveiligingsproblemen te bevatten. Een rapport dat de Rekenkamer hierover wil publiceren heeft geleid tot een aanvaring met de gemeente Rotterdam, die niet wil dat het rapport openbaar wordt gemaakt.

Dit meldt het AD. De gemeente Rotterdam is van mening dat openbaar making van het rapport risico’s met zich meebrengt voor zowel burgers, werknemers als de stad. De Rekenkamer wil echter toch tot publicatie van het rapport overgaan. “Het is belangrijk dat burgers van Rotterdam weten hoe er met hun persoonsgegevens wordt omgegaan, en dat de gemeenteraad daar in openbaarheid over kan discussiëren”, laat Rekenkamer-directeur Paul Hofstra weten aan het AD. “Wellicht dat enkele wanna be hackers op ideeën worden gebracht, maar alle belangen afwegende hebben we besloten om te publiceren.” Een technisch rapport waarin exact wordt beschrijven hoe er is ingebroken bij de gemeente Rotterdam blijft vertrouwelijk.

Groot onderzoek
De Rotterdamse Rekenkamer begon vorig jaar een groot onderzoek naar de ICT-beveiliging van de gemeente Rotterdam, nadat de Rekenkamer signalen had ontvangen dat deze niet op orde zou zijn. “Zonder vooruit te lopen op de inhoud – nee, het is niet waterdicht. En dat is nog zacht uitgedrukt”, aldus Hofstra. De hackers wisten onder andere door te dringen tot e-mails en financiële steden van de gemeente. Daarnaast konden zij ook bij bijzondere persoonsgegevens, zoals adres- en gezondheidsgegevens van burgers.

Daarnaast blijkt dat sommige gebruikte software verouderd is en zijn wachtwoorden eenvoudig te achterhalen, wat doet vermoeden dat gebruikers binnen de gemeente Rotterdam zwakke wachtwoorden gebruiken. Ook zou het systeem kwetsbaar zijn voor spear phishing, een cyberaanval waarbij een phishingmail wordt toegespitst op een specifieke gebruiker. Door bijvoorbeeld een phishingmail te sturen uit naam van een dienst waarmee een gebruiker veel te maken heeft wordt deze e-mail eerder vertrouwd. Dit vergroot de kans dat een slachtoffer besluit gegevens achter te laten of in te loggen op een phishingwebsite.