Haagse mobiele ambtenaar slecht bewust van risico’s

De gemeente Den Haag zet in op het ‘optimaal faciliteren van de mobiele ambtenaar’, maar heeft daarbij te weinig aandacht voor risico’s voor de informatieveiligheid. Dat concludeert de Rekenkamer Den Haag. De gemeente belooft beterschap.

Kwetsbaarheden

Net als in veel andere organisaties mogen medewerkers van de gemeente Den Haag thuiswerken, maar ook in de trein of in een koffiezaak. En niet alleen ambtenaren, maar ook bestuurders, raadsleden en externe medewerkers of opdrachtnemers van de gemeente slaan hun laptop met daarop gemeentelijke ict open waar en wanneer ze maar willen. De Rekenkamer Den Haag deed onderzoek naar de digitale veiligheid van mobiel werken. Daaruit blijkt dat het gemeentebestuur in het ict-beleid onvoldoende aandacht heeft voor risico’s. Het leidt op verschillende niveaus tot kwetsbaarheden voor mobiel werken.

Fundamentele aandachtspunten

Die conclusie is geen reden tot acute zorg, schrijft de rekenkamer in het rapport. Er was tijdens het onderzoek geen sprake van directe dreigingen voor de veiligheid. Wel vonden ze ‘fundamentele aandachtspunten’. Zo weet de gemeentelijke organisatie niet goed welke apparaten en programma’s er in omloop zijn, wie er allemaal gebruikmaken van de gemeentelijke ict en wie welke toegangsrechten heeft. Ook is de verantwoordelijkheid voor applicaties niet altijd goed belegd. Stel dat de systemen tijdelijk worden uitgezet, bijvoorbeeld vanwege een cyberincident, dan weet de gemeente vooraf niet goed wat de gevolgen daarvan zijn.

Geen onderzoek naar risico's

Hoewel de gemeente een risicogebaseerde aanpak als uitgangspunt in het informatieveiligheidsbeleid heeft geformuleerd, wordt er in de praktijk onvoldoende gestuurd op het analyseren en beheersen van risico’s, ziet de rekenkamer. Dat blijkt bijvoorbeeld uit de beslissing van de gemeente in maart 2019 om mobiel werken uit te breiden zonder te onderzoeken welke risico’s hieraan verbonden zijn.

Eigen apparaten

Medewerkers met een account van gemeente Den Haag, dus bijvoorbeeld ook raadsleden, mogen eigen apparaten gebruiken. Uit het rapport: ‘De ambtelijke organisatie kon onder meer de onderliggende overwegingen (kosten versus baten) met betrekking tot de keuze om privé apparaten voor zakelijk gebruik toe te staan, niet aanleveren. Datzelfde geldt voor een risicoanalyse die ten grondslag zou moeten liggen aan deze keuze.’

Welke risico's? De mobiele apparaten, die mogelijk gevoelige gegevens van Haagse burgers en bedrijven bevatten, kunnen bijvoorbeeld besmet raken met malware en daarmee ook de gemeentelijke netwerken infecteren, gehackt worden omdat ambtenaren gebruikmaken van onveilige wifi, gestolen worden of zoekraken. Byod (bring your own device) brengt extra risico’s met zich mee omdat op privé-apparaten vaker websites worden bezocht en applicaties gedownload dan op een werklaptop.

Weinig formeel contact

Binnen de gemeentelijke organisatie houden verschillende organisatieonderdelen zich bezig met de beveiliging van mobiel werken, maar zij hebben weinig onderling formeel contact. Er is dus geen formele structuur in de organisatie om met risico’s om te gaan. Daardoor moet de Chief Information Security Officer (CISO) van de gemeente het hebben van informele contacten om precies te weten wat er technisch wordt gedaan om risico’s beheersbaar te maken.

WOW-plekken

Daarnaast is er sprake van onvoldoende inzet op medewerkersbewustzijn van digitale veiligheid. Vanaf februari 2024 moesten 2600 vaste computers plaatsmaken voor de inrichting van een ‘WOW’-plek, flexplekken met twee beeldschermen, een toetsenbord en een muis waarop mensen hun laptop kunnen aansluiten. Daarbij zijn geen ‘richtinggevende kaders’ voor veilig mobiel werken opgesteld.

Ondanks dat de gemeente inzet op het optimaal faciliteren van de mobiele ambtenaar (aldus de ‘Werkplekvisie 2023’), staan er in het personeelsreglement geen (gedrags-)regels over mobiel werken. Er wordt weinig aandacht besteed aan bewustwording en medeverantwoordelijkheid voor veilig werken. Zo zijn er geen verplichte trainingen over digitale veiligheid en worden er geen specifieke afspraken gemaakt over veilig mobiel werken. Ook merkt de rekenkamer op dat de verplichte I-bewustzijn-training, een gratis online training van de VNG, niet wordt aangeboden.

Technisch onderzoek

Een extern onderzoeksbureau onderzocht de toegangsbeveiliging van mobiele apparaten. Voor het grootste deel heeft de gemeente de beveiliging van informatie technisch goed geregeld. Er was één bevinding met een hoge mate van ernst. De gemeente heeft in februari 2024 zelf ook een technisch onderzoek laten doen naar de beveiliging van laptops en kwam tot vergelijkbare conclusies.

Uit het rapport blijkt ook dat multifactorauthenticatie (MFA) niet altijd wordt toegepast. Al zegt dat ook niet alles: in september lukte het ondanks het gebruik van MFA toch om phishing mails te versturen vanuit @denhaag.nl.

Aanbevelingen

De rekenkamer beveelt aan om:

• standaard aan risicoanalyse te doen in de beleidsontwikkeling en besluitvorming over ict.
• beleid op te stellen voor veilig mobiel werken
• informatie-uitwisseling over beveiligingsrisico’s binnen de organisatie te reguleren
• een centraal overzicht op te stellen van het gemeentelijke ict-landschap
• het college op te dragen om medewerkers van de gemeente bewust en medeverantwoordelijk te maken voor veilig mobiel werken
• technische mogelijkheden voor toegangsbeveiliging beter te benutten
• een plan van aanpak op te stellen

Het college van burgemeester en wethouders zegt de aanbevelingen ter harte te nemen en ‘zeker op te zullen volgen’. Zo zal de gemeente een structureel proces implementeren voor het uitvoeren van risicoanalyses bij ict-gerelateerde besluitvorming.

In een nawoord gaat de rekenkamer in op de toezeggingen van het college. Die klinken soms goed, zonder dat er veel verandert. De belofte dat er informatieveiligheidstrainingen komen, beschrijft bijvoorbeeld in feite de huidige praktijk. Die trainingen zijn er, het gaat erom dat ze verplicht worden en dat er bindende afspraken met medewerkers worden gemaakt.