Tips #237 - Genadeloos testen op informatiebeveiliging

Terug naar het overzicht

Vanaf 2020 vervangt de Baseline Informatiebeveiliging Overheid (BIO) de Baseline Informatiebeveiliging Gemeenten (BIG) en geldt dan breder voor overheden. Informatiebeveiliging is een hot topic en staat bij veel rekenkamercommissies op de agenda om te onderzoeken. Vanwege het specialistische karakter van het onderzoek schakelen zij Hoffmann dan bij. Afgelopen jaar voerden we in opdracht verschillende onderzoeken uit bij gemeentes waar de hoofdvraag luidde: Wat is de stand van zaken op het gebied van informatiebeveiliging?

Hacken vanaf het internet en het interne netwerk

In onze onderzoeken was vaak de vraag of de informatiesystemen van de gemeente voldoende beschermd zijn tegen het risico van hacken, lukt het ons om via internet en zonder enige kennis vanuit de organisatie binnen te komen in de ict-systemen?  Nee, dat lukte niet altijd. Toch vonden we wel systemen die niet voorzien waren van alle beveiligingsupdates. Een risico waar hackers met meer tijd ongetwijfeld gebruik van hadden gemaakt.

Voice phishing

De volgende vraag: hoe ver kunnen we binnendringen als we inloggegevens hebben? Om die gegevens te bemachtigen, belden wij een aantal medewerkers op. In het telefoongesprek deden we ons voor als iemand van de servicedesk. Een geloofwaardig verhaal en een bekend telefoonnummer? Dan ben je al snel geneigd om te klikken op een link die de beller stuurt. Onze missie was geslaagd. Met de inloggegevens konden wij vervolgens binnendringen in de ict-systemen van de gemeente. Het risico daarvan? Een kwaadwillende zou alle systemen plat kunnen leggen of zich toegang kunnen verschaffen tot vertrouwelijke informatie.

Netjes binnenlopen

Hoe gaan medewerkers met een vreemde op de werkvloer om? Dit keer ging één van onze medewerkers keurig in pak naar binnen. Onze medewerker had geen pasje, maar die heb je ook niet nodig als de deur open staat … En als je je handen vol hebt, is er altijd wel iemand zo vriendelijk om de deur even open te houden. Niemand stelde vragen. Zo kon onze medewerker toegang krijgen tot archiefkasten en had hij zelfs een laptop mee kunnen nemen. 

Met het oog op de toekomst

Natuurlijk was het niet altijd leuk om de bevindingen en de conclusies uit ons onderzoek te lezen. Toch werden de aanbevelingen uit ons onderzoek heel serieus opgepakt. In veel gevallen leiden onze aanbevelingen tot verbeterplannen. Ook zien we dat gemeentes blij zijn met het inzicht wat we ze kunnen verschaffen. Zo worden wij in navolging op het onderzoek van de rekenkamercommissie gevraagd om periodiek te testen en kwetsbaarheden in kaart te brengen. Zo nemen gemeentes serieuze stappen met het oog op de toekomst.

Terug naar het overzicht