'Digitaal veiligheidsbewustzijn gemeente Sittard-Geleen kan beter'

De Rekenkamercommissie Sittard-Geleen en Stein heeft de digitale veiligheid van de Gemeente Sittard-Geleen onder de loep genomen.

De commissie concludeert dat de digitale veiligheid binnen de Gemeente Sittard-Geleen te wensen over laat. Het College van B&W is het met die conclusie grotendeels oneens.

Volgens de Rekenkamercommissie staat informatieveiligheid onvoldoende hoog op de agenda. Men is zich binnen de organisatie onvoldoende bewust van het belang en de risico's rond informatiebeveiliging. Zo heeft een ethische hacker vrij eenvoudig gebruikersnamen en wachtwoorden opgehaald en heeft zich toegang tot de mailserver en het netwerk verschaft. De informatiebeveiliging is daarmee onvoldoende gebleken, zo stelt de commissie.

Volgens de Rekenkamercommissie mag, gezien de inrichting van het netwerk en de technische voorzieningen die zijn aangebracht, worden verondersteld dat de afdeling ICT zich voldoende bewust is van het belang en de ernst van de technische beveiliging. Maar dat is niet voldoende, want informatiebeveiliging speelt niet alleen op de afdeling ICT maar op álle niveaus binnen de gemeente en vraagt samenwerking van iedereen.

"Bij de top van de organisatie is onvoldoende gevoel van urgentie aangetroffen. Met name ten aanzien van het gestructureerd en voortdurend aandacht vragen van iedereen om zich bewust te zijn van het belang van informatiebeveiliging, en met elkaar samen te werken aan verbeteringen, dienen slagen gemaakt te worden. Het risicobewustzijn is te laag," zo valt in het rapport te lezen.

Volgens de Rekenkamercommissie dient het thema digitale veiligheid periodiek te worden geagendeerd op gemeenteraadsvergaderingen. Raad en College dienen structurele bestuurlijke aandacht te hebben voor informatieveiligheid. De voorbeeldwerking die daarvan uitgaat is nodig om iedereen binnen de organisatie mee te nemen in dit doorlopende leer- en veranderproces.

In een reactie op het rapport laat het College van B&W weten dat men het ten stelligste oneens is met de conclusie dat "onze gemeente onbewust digitaal onveilig zou zijn. Wij zijn dagelijks bezig om de geautomatiseerde systemen van de gemeente veilig te maken en te houden en durven de stelling aan dat we, zowel qua inspanning als qua effectief resultaat, een voorhoedeposities innemen in gemeenteland. Ten onrechte wekt u de suggestie dat de deuren wagenwijd openstaan en iedere buitenstaander vervolgens overal gemakkelijk bij kan. Het is dan ook geen toeval dal uw hack-poging direct onderschept is, onze systemen direct daarvoor afgesloten zijn en u geen toegang heeft kunnen krijgen tot kwetsbare data."

Het College wijst er verder op dat er meerdere audits en onderzoeken door gecertificeerde IT-audits zijn uitgevoerd waarvan zogenaamde vulnerability scans én penetratietesten onderdeel uit hebben gemaakt. "Zo zijn wij de eerste van 90 gemeentelijke klanten van de landelijk geselecteerde, onafhankelijke IT-auditor BKBO die het ENSIA-assessment met goed gevolg heeft afgerond."

ENSIA staat voor Eenduidige Normatiek Single Information Audit en heeft tot doel het verantwoordingsproces over Informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus.

Het College uit verder kritiek op de manier waarop de ethische hackers te werk zijn gegaan.

Van de 10 aanbevelingen die de Rekenkamercommissie doet neemt het College er 3 over en een wordt in overweging genomen. De andere aanbevelingen zijn in de ogen van het College overbodig omdat de aanbevelingen al praktijk zijn. De drie aanbevelingen die worden overgenomen betreffen het versterken van het veiligheidsdenken in de gehele organisatie.