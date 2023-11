Proef met mail

Onderdeel van het onderzoek was het inzetten van ethische hackers. Dat zijn professionele ICT'ers die proberen in te breken op de systemen van de SWO. Daarbij werden verschillende kwetsbaarheden ontdekt. De SWO is daarvan op de hoogte gebracht en heeft inmiddels maatregelen getroffen om die problemen op te lossen.

Ook zijn er (test)phishingmails verstuurd naar medewerkers. Met zulke mails proberen criminelen gegevens of geld te stelen.

De test met de mails werd in juni uitgevoerd. Zo'n dertien procent van de medewerkers klikte op het nepbericht en bijna de helft daarvan vulde persoonlijke gegevens in. Volgens de Rekenkamers scoren De Wolden en Hoogeveen lager ten opzichte van andere gemeenten, maar het resultaat is wel geflatteerd, stellen de onderzoekers.

Alertheid

Twee weken eerder kwam er bij de SWO een echte phishingmail binnen. De organisatie heeft daar aandacht aan besteed, wat de alertheid bij medewerkers op gevaar zou moeten hebben vergroot. "Zulke verdedigingsmechanismen werken, maar in dat licht kan 12,9 procent aan klikkers op de test met de phishingmail alsnog als redelijk veel geïnterpreteerd worden", is te lezen in het rapport.

"We kunnen overigens wel constateren dat het risicobewustzijn bij de medewerkers door de 'echte' phishingmail van begin juni is toegenomen." Bij raadsleden is dezelfde proef uitgevoerd. "Van hen klikte respectievelijk negentien (De Wolden) en achttien (Hoogeveen) procent op de link."

Werk aan de winkel

Tijdens het onderzoek is ook gekeken naar het wachtwoordgebruik in de organisatie. Van de 1446 gebruikersaccounts zijn er 209 aangetroffen met een wachtwoord van een jaar of ouder, 108 accounts waarvan het wachtwoord nooit verloopt en 194 wachtwoorden die vaker worden gebruikt. De Rekenkamer vindt dat een inconsequent wachtwoordenbeleid.

Ook is er gekeken of medewerkers bekend zijn met de regels ontrent informatieveiligheid. Vaak zijn er protocollen waar ze zich aan moeten houden. De onderzoekers van de Rekenkamers hebben gekeken hoe goed personeel hiervan op de hoogte is en of de procedures in de praktijk worden gebracht. Daarbij kan er gescoord worden op een schaal van één tot en met vijf.

Bij een vijf wordt er goed gehandeld, bij een drie is de situatie redelijk onder controle en bij een één is er flink wat werk aan de winkel. De SWO scoort een 1,5. "Dat wil zeggen dat er procedures zijn, maar onvolledig. En dat deze inconsistent en ad hoc worden uitgevoerd", is te lezen in het rapport.

Meer geld en personeel nodig

De Rekenkamer stelt dat de SWO in het verleden al stappen heeft genomen om de veiligheid van informatie te verbeteren. Toch is er nog meer nodig. Zo moet er onder andere meer geld komen om de problemen te bestrijden en is er extra personeel nodig. Er zijn niet genoeg medewerkers die zich ontfermen over informatieveiligheid in de organisatie stellen de onderzoekers.

Het bewustzijn bij het personeel rondom de veiligheid mag nog beter. "En zorg dat het management de noodzaak hiervan inziet en uitdraagt." Daarnaast moet het beleid rondom omgaan met informatie vollediger worden stellen de onderzoekers. Dat moet aangevuld worden met de juiste protocollen en richtlijnen.

'Basis op orde brengen'

Het bestuur van de SWO zegt te werken aan een bewustwordingsprogramma voor het personeel met betrekking tot informatieveiligheid.

"Uitdaging hierbij is de mens als risico- én succesfactor: houding en gedrag zijn niet gemakkelijk te beïnvloeden, maar het zijn wel de mensen die daadwerkelijk verbetering kunnen doorvoeren en waakzaam moeten zijn, waarmee we de omstandigheden beter beheersbaar maken." Volgens het bestuur is dat wel lastig, vanwege het hoge verloop van personeel.

Het rapport van de rekenkamercommissies wordt wel gesteund. De SWO wil de komende tijd eerst de basis op orde brengen. "De volwassenheid van de organisatie is nog laag, maar er worden diverse acties uitgezet om dit naar het gewenste niveau te brengen." Zo willen wethouders en burgemeesters ambassadeur worden om het bewustzijn te vergroten.