'Provincies wisten al maanden van kwetsbare ict-systemen'
Ict-systemen van provincies zouden flinke kwetsbaarheden bevatten. Tien systemen zijn inmiddels offline gehaald, de overige negen zijn nog actief. De provincies zelf waren al maanden op de hoogte van de problemen, stelt het Noordhollands Dagblad op basis van gelekte gespreksverslagen.
Ict-systemen van provincies zouden flinke kwetsbaarheden bevatten. Tien systemen zijn inmiddels offline gehaald, de overige negen zijn nog actief. De provincies zelf waren al maanden op de hoogte van de problemen, stelt het Noordhollands Dagblad op basis van gelekte gespreksverslagen.
De kwetsbare systemen zijn in het beheer bij uitvoeringsorganisatie BIJ12, de uitvoeringsorganisatie van de twaalf Nederlandse provincies. Ze werden door zowel ambtenaren als burgers gebruikt, bijvoorbeeld om de kwaliteit van zwemwater of vergunningen op te zoeken.
Niet op orde
De systemen blijken echter allerlei problemen te bevatten. Volgens het Noordhollands Dagblad kregen de provincies maanden geleden al een rapport van een ict-leverancier, waaruit bleek dat de beveiliging bij BIJ12 niet op orde was. In december volgde een tweede rapport, dat volgens de krant bijna identiek aan het eerste was.
Offline gehaald
Volgens de rapporten waren noodzakelijke updates van machines en onderhoud van systemen onvoldoende of helemaal niet uitgevoerd. Daardoor bleken de tientallen machines waar de systemen op draaiden op één na allemaal beveiligingsproblemen te hebben. Naar aanleiding van het eerste rapport zou BIJ12 extra geld hebben gekregen om de problemen op te lossen, maar slechts één systeem werd aangepast. En dat systeem - Risicokaart - bleek in december nog steeds grote kwetsbaarheden te vertonen. Het systeem werd onlangs offline gehaald.
Enorm geschrokken
In december werd een spoedbijeenkomst ingelast door de verantwoordelijke informatiebeveiligers. Zij spraken daar van 'ernstige nalatigheid', blijkt uit een verslag dat het Noordhollands Dagblad via het klokkenluiderportal Publeaks in handen kreeg. De informatiebeveiligers zeggen in dat verslag dat ze ervanuit mogen gaan dat ze gehackt zijn, en dat ze enorm geschrokken zijn.
Onderzoeken
De systemen werden echter niet direct offline gehaald. De beveiligers waren bang dat de dienstverlening in alle provincies daardoor op het spel zou komen te staan. In plaats daarvan werd er een extern bureau bijgehaald om te laten onderzoeken of er sporen zijn van hacks.
Verouderde voorzieningen
BIJ12 bevestigt tegenover AG Connect dat bepaalde systemen offline zijn gehaald. 'Beveiliging is een continue proces en heeft de aandacht bij BIJ12. Eind vorig jaar zijn er ook issues op een applicatie geconstateerd. Deze issues zijn direct opgepakt en er zijn maatregelen genomen. Voor sommige applicaties geldt dat er sprake is van verouderde voorzieningen.' Een woordvoerder benadrukt dat er geen sprake is geweest van een hack als gevolg van de kwetsbaarheden en dat er geen gegevens zijn gelekt.
Beveiligingsanalyse
Volgens BIJ12 zijn vooral overheden en semi-overheden door de problemen geraakt. 'Ook publiceren we via sommige applicaties publieksinformatie, dat is momenteel niet mogelijk. Het besluit voor het offline zetten van de applicaties is mede gebaseerd op een beveiligingsanalyse door een externe expert.'
Hinder beperkt
Er is echter een voorziening getroffen om de functionaliteit van de applicatie weer beschikbaar te stellen voor gebruikersgroepen bij de provincies, overheden en natuurorganisaties. Daardoor zou de hinder voor gebruikers beperkt zijn gebleven. 'Voordat de applicaties weer voor iedereen via het internet toegankelijk zijn, lossen we de beveiligingsproblemen van iedere applicatie op.' Hoelang die onderbreking duurt, kan BIJ12 niet zeggen.
Volgens de organisatie blijven andere applicaties online, aangezien daar geen kwetsbaarheden in zijn geconstateerd.
Dit artikel verscheen eerder op AG Connect.
De verantwoordelijk provinciaal besturen zijn hetzij incompetent, hetzij bewust ojnbekwaam.