ICT-systemen van de provincies zijn al maanden lek; ’We mogen ervan uitgaan dat we gehackt zijn’

© illustratie mieke van zuijlen

Mirjam van der Puijl
Amsterdam

’Ernstige nalatigheid’, zo oordeelden informatiebeveiligers van de provincies tijdens een topoverleg in december over hun slecht beveiligde ICT-systemen. Dat er problemen waren, was al maanden bekend. Toch hebben de provincies tot dat moment amper ingegrepen. Dat blijkt uit gespreksverslagen in handen van deze krant.

Het gaat om gezamenlijke systemen die in beheer zijn bij uitvoeringsorganisatie BIJ12. Zowel ambtenaren als publiek maken hier gebruik van, bijvoorbeeld voor het opzoeken van zwemwaterkwaliteit of vergunningen voor de veehouderij. Deze week maakten de provincies bekend dat tien van deze systemen offline gehaald omdat ze kwetsbaar zijn.

De overige negen systemen zijn nog actief. Maar uit een rapport van eind vorig jaar blijkt dat ook deze systemen mogelijk kwetsbaar zijn. Een van deze nog actieve applicaties regelt de invulformulieren op de websites van de provincies, bijvoorbeeld voor subsidieaanvragen of vergunningen. Daar wordt om persoonsgegevens gevraagd. Of persoonsgegevens gelekt zijn - zoals bij de GGD’s - is op dit moment nog onduidelijk.

Stekker eruit

„We mogen ervan uitgaan dat we gehackt zijn”, concludeerden verantwoordelijke digital security officers - of informatiebeveiligers – afgelopen december. In een ingelaste spoedbijeenkomst spraken zij van ’ernstige nalatigheid’, Een verslag van dit overleg kreeg deze krant in handen via het klokkenluiderportal Publeaks.

„Enorm geschrokken”, waren de informatiebeveiligers van een rapport over de verouderde beveiliging van de systemen. Het liefst hadden ze ter plekke overal de stekker uit getrokken, maar dat durfden ze op dat moment niet. In hun ogen zou dan de dienstverlening van alle provincies op het spel komen te staan. Daarnaast waren sommigen bang voor de schade die zoiets zou kunnen opleveren voor bestuurders, ook in het licht van de aanstaande verkiezingen. Daarom besloten ze een extern bureau erbij te halen om te laten onderzoeken of er inderdaad sporen van hacks te vinden waren.

Rapport

Volgens een brief die alle provincies deze week versturen naar hun Statenleden heeft het bureau tot nog toe geen sporen gevonden van inbraken, maar het onderzoek loopt nog. Deze brief stelt ook dat er maar beperkt persoonsgegevens in de applicaties zitten, en er „voor zover tot op heden bekend geen inbreuk is ontstaan op vertrouwelijke informatie.” Wel hebben de provincies melding gemaakt bij de Autoriteit Persoonsgegevens vanwege een ’data-beveiligingsrisico’.

Al maanden eerder kregen de provincies beschikking over een rapport van een ICT-leverancier, waarin stond dat de beveiliging bij BIJ12 niet op orde was omdat noodzakelijke updates van machines en onderhoud aan systemen onvoldoende of niet waren uitgevoerd.

In december belegden de informatiebeveiligers een spoedvergadering om een tweede rapport te bespreken, dat „bijna identiek aan het eerste” was. Uit het nieuwe rapport bleek dat de tientallen machines waarop de systemen draaiden, op één na allemaal beveiligingsproblemen hadden. Het gebrek aan onderhoud gaat soms jaren terug. In een enkel geval gaat het om „software uit 2014 waar vervolgens nooit meer naar om is gekeken”, zo stelden de aanwezigen vast.

Deze problemen waren ook op te maken uit het eerdere rapport. Naar aanleiding daarvan zou BIJ12 geld hebben gekregen om ze op te lossen. Het enige systeem dat daarop is aangepast, Risicokaart, bleek ook in december nog te grote kwetsbaarheden te vertonen. Ook dit systeem is onlangs uit de lucht gehaald.

Publeaks

Wilt u een misstand melden? Heeft u documenten waarvan u vindt dat ze in de openbaarheid moeten komen? Film- of gespreksopnames? Wij moedigen klokkenluiders aan om informatie met ons te delen via Publeaks. Daarbij zijn wij natuurlijk bijzonder geïnteresseerd in lokale en regionale onderwerpen.

Publeaks is een online platform waarop anoniem informatie gedeeld kan worden met de pers. Publeaks garandeert uw anonimiteit. Door encryptie en beveiligde verbindingen laat u geen digitale sporen na. Ook wij kennen uw identiteit niet.

Voor uitleg over hoe het precies in zijn werk gaat, en hoe uw anonimiteit wordt gegarandeerd: https://publeaks.nl/

Als u anoniem informatie aan ons wilt sturen: secure.publeaks.nl/regiokrantenmediahuis

Reactie BIJ12/IPO

,,Er zijn geen aanwijzingen dat er een hack is geweest’’, zegt directeur Jolina van der Endt van BIJ12 in een schriftelijke reactie. ,,Wel is er sprake van een beveiligingsrisico.’’

,,Om schade voor te zijn en de nodige updates te kunnen doorvoeren grijpen we nu in door kwetsbare applicaties offline te zetten. Intussen houden we de dienstverlening langs andere wegen zoveel mogelijk intact. Momenteel werken wij hard aan het weer veilig bereikbaar maken van die applicaties.’’

,,Wij herkennen de zorg en betrokkenheid van de provinciale digital security officers. De veronderstellingen die zij in dit interne overleg met elkaars wisselen zijn onderzocht, ook door externe deskundigen.’’

,,Cyber-beveiliging is een continue aangelegenheid. We hebben al eerder maatregelen getroffen. Bepaalde applicaties hebben we ook eerder al tijdelijk afgesloten om noodzakelijke updates door te kunnen voeren. Als dat in de toekomst nog eens nodig zou zijn voor de veiligheid dan doen wij dat weer.”

Hoe heeft het zover kunnen komen dat systemen zo onveilig zijn dat ze moeten worden uitgezet? Meije Gildemacher, woordvoerder van het Interprovinciaal Overleg (IPO) licht toe: ,,Met een fix of update is dit niet meer op te lossen terwijl de applicaties draaien. Om de beveiliging naar een beter niveau te krijgen, moesten de applicaties offline worden gehaald. Veiligheid is altijd een issue, en het is nu niet veilig genoeg meer.’’

Dat die situatie te wijten is aan achterstallig onderhoud of updates van systemen en machines, zoals de informatiebeveiligers stelden, onderschrijft hij niet. ,,Het beveiligingsonderzoek is nog niet af. Als we weten wat hieraan ten grondslag ligt en wat gedaan moet worden, moeten we die vraag nog maar eens beantwoorden.’’

Publeaks

Wilt u een misstand melden? Heeft u documenten waarvan u vindt dat ze in de openbaarheid moeten komen? Film- of gespreksopnames? Wij moedigen klokkenluiders aan om informatie met ons te delen via Publeaks. Daarbij zijn wij natuurlijk bijzonder geïnteresseerd in lokale en regionale onderwerpen.

Publeaks is een online platform waarop anoniem informatie gedeeld kan worden met de pers. Publeaks garandeert uw anonimiteit. Door encryptie en beveiligde verbindingen laat u geen digitale sporen na. Ook wij kennen uw identiteit niet.

Kijk op:

secure.publeaks.nl/

regiokrantenmediahuis

Meer nieuws uit Uitgelicht

Meest gelezen