Bij de gemeente Medemblik konden 'aanvallers' toegang krijgen tot het interne netwerk met het wachtwoord 'Welkom01'. Hiermee kregen ze 'volledige controle' over het systeem. Dat blijkt na onderzoek van de Rekenkamer. Het wachtwoord is inmiddels veranderd.
Het waren (gelukkig) geen hackers of cybercriminelen die het op de gemeente hadden gemunt. Maar de belangrijkste conclusie uit het rapport van de Rekenkamer is toch wel dat de veiligheid niet op orde was.
Onderzoek naar informatieveiligheid
De Rekenkamer voerde tussen januari en april 2022 een onderzoek uit binnen de gemeente Medemblik. Dat werd uitgevoerd door cybersecuritybedrijf Hoffmann. Ze bekeken documenten, hielden interviews, verstuurden nepmails naar medewerkers en zetten 'mystery guests' in. Na het onderzoek heeft het college onder meer voorgesteld om elk jaar te kijken naar de beveiliging.
Ook in Opmeer was de beveiliging niet op orde.
Zo konden 'mystery guests' ongestoord het gemeentehuis betreden, zo valt er te lezen in het rapport. Daar kregen ze toegang tot afgesloten ruimtes en afdelingen. "Door de afwezigheid van tourniquets en openstaande deuren konden ze onopgemerkt doorlopen", aldus een woordvoerder.
Ook het 'menselijk gedrag' werd getoetst. Ze verstuurden 727 nepmails naar medewerkers, met daarin een link. Daarvan werden er 63 geopend, waarna 47 inloggegevens werden geregistreerd. Hoewel het percentage - in vergelijking met andere gemeenten in Nederland - iets lager is, klikte een deel van de medewerkers tóch op de link. Zijn die al gewezen op de risico's? "Ja, ze zijn geattendeerd op dit gedrag. Verder is de gemeente gestart met een grote bewustzijnscampagne."
Medemblikkers niet in gevaar
De gemeente is geschrokken en neemt maatregelen om een échte cyberaanval in de toekomst te voorkomen. "Het legt de vinger op een zere plek", schrijft het college.
In 2020, bij de gemeente Hof van Twente, lukten cybercriminelen het wel. Toen met een iets wat meer geactualiseerde wachtwoord: 'Welkom2020'. "We hebben direct gehandeld. Met de genomen maatregelen is de beveiliging naar een hoger niveau getild, waardoor het aanzienlijk veiliger is. Of een systeem honderd procent veilig is, is nooit met zekerheid te zeggen."
Hoewel de 'aanvallers' rijbewijzen en identiteitsbewijzen konden inzien, zijn de gegevens van Medemblikkers volgens de gemeente niet in gevaar gekomen. "Wij hebben geen signalen binnengekregen dat informatie in verkeerde handen is gevallen of gelekt is. Dankzij dit rapport hebben we ook tijdig kunnen ingrijpen. Ook blijkt dat we als gemeente in deze tijd enorm scherp moeten zijn op onze veiligheid en bij de les moeten blijven."
Dit is een bericht van de gemeenschappelijke Westfriese nieuwsredactie
Meer nieuws uit West-Friesland?
💬 Blijf op de hoogte via onze Facebookgroep Nieuws uit West-Friesland. Reageer, discussieer en deel jouw nieuws
📧 Stuur ons jouw tips op naar [email protected]
✏️ Tikfout gezien? Laat het ons weten via [email protected]