Een ethische hacker wist in opdracht van de gemeentelijke rekenkamer via een inside-out-aanval admin-toegang te krijgen tot de digitale infrastructuur van de gemeente Arnhem. Zo kon hij privacygevoelige informatie van burgers en ambtenaren inzien.

Arnhem

De ethische hacker maakt van binnen het gemeentehuis verbinding met het netwerk om zich zo via kwetsbaarheden de rechten van een systeembeheerder eigen te maken. Hierdoor had hij 'in principe controle over de complete infrastructuur van de gemeente Arnhem'. Dit betekent dat hij ook persoonsgegevens en andere privacygevoelige informatie van burgers, ambtenaren en bestuurders kon benaderen.

De beveiligingsdeskundige handelde in opdracht van de gemeentelijke rekenkamer van Arnhem, dat een technisch diepteonderzoek naar de informatiebeveiliging van de gemeente hield, in navolging van een eerder onderzoek dat zich op de doeltreffendheid en doelmatigheid van de informatieveiligheid en het privacybeleid richtte.

Het college van burgemeester en wethouders geven aan geschrokken te zijn van de bevindingen. Het bleek dat de inside-out-kwetsbaarheid al bekend was, maar nog niet gedicht. De eigen reguliere informatiebeveiligingsaudits van de gemeente zouden zich primair op outside-in-aanvallen richten omdat deze het meeste voorkomen, volgens de gemeente.

De rekenkamer benadrukt dat er meer kwetsbaarheden zijn gevonden en dat De Connectie, de organisatie die het gemeentelijke ict-netwerk beheert, 'de geconstateerde tekortkomingen niet met de grootst mogelijke daadkracht aanpakte'. De gemeente wijst erop dat De Connectie nog geen jaar geleden van start is gegaan en al bezig was de informatiebeveiliging te verbeteren.

De gemeente heeft maatregelen genomen om ongeoorloofde toegang tot het gemeentenetwerk te voorkomen en het verhogen van rechten tegen te gaan, mocht toch netwerktoegang verkregen zijn. De overige kwetsbaarheden moeten op korte termijn verholpen zijn.