RKC Rapport Verantwoordelijkheid voor Veiligheid – Onderzoek naar Informatiebeveiliging

0

De rekenkamercommissie (RKC) heeft onderzoek gedaan naar de informatiebeveiliging van de gemeente Haarlem. Een onderwerp dat steeds vaker in het nieuws is en ook bij de overheid steeds meer prioriteit krijgt. Onvoldoende beveiliging kan grote gevolgen hebben voor de werkprocessen van de gemeente en de gegevens en privacy van inwoners. Een groot deel van het onderzoek is in opdracht van de RKC uitgevoerd door Hoffmann Cybersecurity. Zij hebben het informatiebeveiligingsbeleid en een deel van de informatiesystemen van de gemeente onderzocht.

De onderzoekers concluderen dat de gemeente niet ‘in control’ is en dat gemeente en de
gegevens van inwoners onnodig risico lopen.

Resultaten van het onderzoek

  1. Bij het informatiebeveiligingsbeleid is bekeken in hoeverre dit beleid goed is opgezet, of het is geïmplementeerd en of het beleid daadwerkelijk wordt uitgevoerd. De conclusie over het beleid is, dat het beleid goed is opgezet maar dat het onvoldoende is geïmplementeerd en dat de gemeente daardoor niet ‘in control’ is.
  2. De informatiesystemen zijn door hackers getest met een aantal penetratietesten. Hieruit bleek dat er sprake was van meerdere (ernstige) kwetsbaarheden in de systemen. Deze informatie is direct met de gemeente gedeeld en de kwetsbaarheden zijn voor een deel al verholpen.
  3. Ten slotte is ook gekeken hoe de raad over de informatiebeveiliging is geïnformeerd. De RKC concludeert dat dit onvoldoende is.

Het college van burgmeester en wethouders heeft een reactie gegeven op het onderzoek, de conclusies en de aanbevelingen van de RKC. Het college geeft aan het geschetste beeld te onderkennen. Uit inmiddels uitgevoerde maatregelen maakt de RKC op dat het urgentiebesef is toegenomen. Of dit voldoende is, moet blijken uit de vervolgstappen van het college.

Ondanks de inmiddels getroffen maatregelen handhaaft de RKC haar aanbevelingen. De aanbevelingen luiden als volgt:

  1. Vóór eind 2019 daadkrachtige en volledige implementatie van het eigen informatiebeveiligingsbeleid te realiseren
  2. De informatiesystemen weerbaarder te maken tegen cybercrime door kwetsbaarheden te verhelpen.
  3. De raadsinformatie over informatiebeveiliging te verbeteren.

De commissie Bestuur bespreekt het rapport in de vergadering van 14 maart 2019.

Het rapport is gepubliceerd op de webpagina van de Rekenkamercommissie:
Verantwoordelijkheid voor Veiligheid – Onderzoek naar Informatiebeveiliging.