Cyberveiligheid

De rekenkamer Zeeland heeft de resultaten gepubliceerd van onderzoek naar cyberveiligheid bij de Provincie Zeeland.

Provinciehuis

De beveiliging van het Provinciehuis loopt voorop qua cyberveiligheid, rapporteert de rekenkamer. Door een extern certificerende instantie is vastgesteld dat er voldaan wordt aan de internationale veiligheidsstandaarden. Ook voeren ‘ethische’ hackers al een paar jaar beveiligingstesten uit op de Abdij in Middelburg. Met die resultaten doet de Provincie haar voordeel om kwetsbaarheden te verhelpen. Dit alles werpt haar vruchten af ziet de rekenkamer, maar er is ook reden tot zorg: de rekenkamer vindt het verbeteren van de weerbaarheid tegen fysieke indringers noodzakelijk.

Het is een mysterie guest namelijk gelukt om, onaangekondigd, in opdracht van de rekenkamer zonder problemen het afgeschermde deel van het Provinciehuis binnen te komen. Hij kon meerdere uren hackeractiviteiten uitvoeren op een Teams-PC. Ook had de hacker toegang tot de Admiraliteitszaal waar Gedeputeerde Staten wekelijks vergaderen. Als hij kwaadwillend was geweest, had hij daar onder andere afluisterapparatuur kunnen plaatsen.

Verbonden partijen: RUD Zeeland, NV Westerscheldetunnel en Westerscheldeferry BV

De rekenkamer onderzocht ook de cyberveiligheid bij aan de Provincie gelieerde organisaties, de zogeheten verbonden partijen. Een ethisch hacker kreeg de opdracht van de rekenkamer een cyberaanval onaangekondigd te simuleren. Dit vond plaats bij de RUD Zeeland, de Westerscheldeferry en het kantoor van de Westerscheldetunnel. Het was bij alle organisaties de eerste keer dat een dergelijke test werd gedaan. Algemene constatering van de rekenkamer was dat partijen allemaal duidelijk met het onderwerp cyberveiligheid bezig zijn en diverse maatregelen al hadden genomen om risico’s te verkleinen.

Bij de RUD Zeeland lukte de hacker het om desondanks binnen te dringen van buitenaf wegens het gebruik van zwakke wachtwoorden. Bij de Westerscheldeferry en -tunnel lukte het niet om van buitenaf toegang te krijgen tot hun ICT. Vervolgens onderzocht de hacker van binnenuit hoeveel schade er aangericht kon worden. Hiervoor werd hem door de deelnemende organisaties toegang verleend tot het interne netwerk. Het valt nooit helemaal uit te sluiten dat het een hacker lukt om daar toegang tot te krijgen tot, bijvoorbeeld met een phishing mail. Bij alle organisaties werden verbeterpunten gevonden op het interne netwerk. Deze zijn door de organisaties ter harte genomen en diverse verbeteringen zijn in gang gezet, danwel afgerond.   

Onderzoeksrapport

De rekenkamer heeft Provinciale Staten van Zeeland een brief gestuurd waarin de conclusies verder toegelicht worden en  aanbevelingen worden gedaan om de cyberveiligheid van Provinciale ICT en dienstverlening te versterken. 

Opname studio Abdijplein

Er is een video opgenomen over het onderzoek van de rekenkamer om leden van Provinciale Staten nader te informeren over het onderzoek. Tafelgasten zijn:

• Peter Joosse (presentator)
• Hans Verdellen (bestuurslid rekenkamer Zeeland)
• Gedeputeerde Dick van der Velde (lid Gedeputeerde Staten – portefeuillehouder cyberveiligheid)
• Wouter van Dongen (Ethisch hacker – directeur DONGIT)