Helft gemeenten op verouderd Windows 7
Meer dan de helft van de gemeenten werkt nog met het uitgefaseerde Windows 7, dat niet meer wordt ondersteund met beveiligingsupdates. Juist nu er in verband met de coronacrisis veel thuis wordt gewerkt, brengt dat extra risico’s met zich mee. Dat blijkt uit een enquête van Binnenlands Bestuur en AG Connect onder vijftig gemeenten.
Meer dan de helft van de gemeenten werkt nog met het uitgefaseerde Windows 7, dat niet meer wordt ondersteund met beveiligingsupdates. Juist nu er in verband met de coronacrisis veel thuis wordt gewerkt, brengt dat extra risico’s met zich mee. Dat blijkt uit een enquête van Binnenlands Bestuur en AG Connect onder vijftig gemeenten.
16.000 werkplekken
22 van de 35 gemeenten die meewerkten, gaven aan Windows 7 te gebruiken. Het gaat in totaal om zo’n 16.000 werkplekken. Vijftien gemeenten reageerden niet, onder meer omdat dit mogelijk risico’s voor informatiebeveiliging met zich mee zou brengen. Sommige gemeenten zijn grootgebruikers: Utrecht heeft 4.600 pc’s met Windows 7, Amsterdam 4.500 en Tilburg 2.500. Windows 7 wordt sinds januari niet meer ondersteund door Microsoft. Er komen geen beschermingsupdates, tenzij organisaties daarvoor betalen.
Microsoft betalen
Negen van de 22 gemeenten die Windows 7 gebruiken, hebben geen patches (reparatiesoftware) en updates. De overige dertien geven aan wel te patchen en moeten daar Microsoft voor betalen. Amsterdam meldt dat de kosten voor 2020 circa 375.000 euro bedragen. ‘De overstap van Windows 7 naar Windows 10 is voor de gemeente?Amsterdam?geen kleine operatie’, geeft de gemeente aan in een schriftelijke reactie.
Niet overvallen
De gemeente benadrukt dat ze niet overvallen zijn door het stoppen van de ondersteuning door Microsoft en dat er op tijd aanvullende ondersteuning is ingekocht, zodat de gemeente geen aanvullend beveiligingsrisico loopt. Amsterdam wil niet dat de dienstverlening onverwachts stil komt te liggen. ‘Het gaat hier in totaal om meer dan 17.000 desktops en 5.200 laptops en meer dan 1.000 applicaties. Die applicaties moeten allemaal worden getest op Windows 10 en als ze daar niet op werken, dan moeten de applicaties worden aangepast.’
Phishing en spam
Diverse gemeenten zijn niet in actie gekomen om pc’s te ondersteunen met beveiligingsupdates van Microsoft. Zo moeten in Beverwijk nog 175 pc’s worden overgezet naar Windows 10. In april moet die operatie worden afgerond. Hoe eventuele veiligheidsrisico’s worden weggenomen, laat de woordvoerder in het midden. Heerenveen is ook één van de gemeenten die geen updates meer ontvangen voor Windows 7, maar nog wel pc’s heeft die het besturingssysteem gebruiken. Om risico’s te vermijden gebruiken de acht pc’s geen internet.
Zeroday-aanval
Ondanks de patches blijft Windows 7 een verouderd besturingssysteem, reageert Dave Maasland van cybersecuritybedrijf ESET. Hij wijst op een bericht van eind maart waarin Microsoft aankondigt dat er een ‘zeroday-aanval’ was die zich specifiek richtte op Windows 7. Een dergelijke aanval maakt gebruik van zwakke plekken in systemen die verder nog niet bekend zijn, dus een systeem zal daar ook nog niet tegen gepatcht zijn. ‘Belangrijk is juist nu extra maatregelen te treffen om risico te beperken’, zegt hij. 'We zien dat cybercrime-activiteit als phishing en spam vanwege de coronacrisis toeneemt. Bovendien brengt werken op afstand additionele risico’s met zich mee. Beveiliging schaalt niet altijd evenredig mee, sterker nog, Windows 7 draagt hier niet aan bij.’
Vertrouwde diensten
De informatiebeveiligingsdienst van gemeentekoepel VNG schrijft dat door aanvullende maatregelen de risico’s helemaal zijn weg te nemen. ‘Als zo’n machine niet internet-facing is – dat wil zeggen achter een firewall wordt gebruikt – en als die verbinding maakt met vertrouwde diensten via een beveiligde verbinding, dan is het risico acceptabel.’
Geen vertrouwen
Dat er niet is geüpgraded en gepatcht kan volgens Maasland een combinatie van oorzaken hebben: bureaucratie, schaarste qua personeel, een gebrek aan urgentie… ‘Maar het zijn ook symptomen dat er andere dingen aan de hand kunnen zijn. Als je de basis niet op orde hebt, dan maak je je ook zorgen over de rest. Gemeenten werken met zo veel applicaties en data dat dit niet echt het vertrouwen geeft dat ze in control zijn.’
Dit artikel verschijnt eind deze week in Binnenlands Bestuur nummer 7. Tijdelijk is de meest recente editie voor iedereen hier gratis te lezen.
Zeker het antwoord dat gegeven is op 'Gepatched' is vrij gevaarlijk. Geen antwoord is ook een antwoord...