Mechels jaarverslag Informatieveiligheid zelf niet informatieveilig

Het informatieveiligheidsteam van de Stad en het Sociaal Huis Mechelen heeft een belangrijke taak: de structurele beveiliging van de gevoelige informatie in haar organisaties. Hoe ze dat doet, kun je nalezen in het jaarverslag Informatieveiligheid. Een document dat elke burger, na een eenvoudig openbaarheidsverzoek, digitaal krijgt toegestuurd… met hier en daar een onleesbaar gemaakte passage “omwille van de vertrouwelijkheid”. Nu ja, dat is de bedoeling.

Stad Mechelen blundert bij blurring van eigen jaarverslag Informatieveiligheid

Het lijkt een flauwe Belgenmop: de “vertrouwelijke passages” in het jaarraport over de informatieveiligheid van de Mechelse stadsdiensten zijn op amateuristische wijze onleesbaar gemaakt. Vergelijk het met hoe je vroeger als kind verstoppertje speelde achter de was op de wasdraad in de tuin: “Hoezo je kan mijn voeten zien, maar ik zie jou toch niet?!

De informatieveiligheidsconsulente of ‘Data Protection Officer’ (DPO) plaatste zwarte vlakken voor enkele passages in het jaarverslag die Stad Mechelen liever niet publiek maakt omwille van het “vertrouwelijke karakter” of de “privacy”. Alleen bleken alle fragmenten, op ééntje na, gewoon leesbaar door de achterliggende tekst te selecteren en te kopiëren naar een simpel kladblok of doorsnee tekstverwerkingsprogramma.

Passage uit het geblurde jaarverslag Informatieveiligheid. Dit is ook de enige zwarte markering die effectief voor onleesbare gegevens zorgde. Maar is veel van die ‘verborgen tekst’ niet erg makkelijk te achterhalen met behulp van Google? Of wie is volgens jou die schepen die bevoegd is voor informatieveiligheid? (Bron figuur: Jaarverslag Informatieveiligheid 2017)

Kemel

Toch is Stad Mechelen niet de enige overheidsorganisatie die deze kemel schoot. Zo publiceerde de Vlaamse beroepsinstantie voor openbaarheid van bestuur zélf, in haar beginjaren (in 2006, AGP), de persoonsgegevens van alle personen die beroep hadden aangetekend tegen de weigering van een overheid om een bestuursdocument vrij te geven. De beroepsinstantie had weliswaar een zwart blokje over alle persoonsgegevens geplaatst in de PDF-files, maar via simpel knip-en-plakwerk bleken die doodeenvoudig te achterhalen. Gewoon de tekst achter de zwarte passages naar een tekstverwerkingsprogramma kopiëren en klaar was Kees.

Promo!!!

Of het voor de rest een beetje snor zit met de informatieveiligheid bij onze Mechelse stadsdiensten en het Sociaal Huis? Wel, hadden we al gezegd dat de mens zelf nog vaak de zwakste schakel is?

Bij een ‘phishingtest’ van Audit Vlaanderen zakten een drietal medewerkers door het ijs (Via phishing proberen cybercriminelen je te laten doorklikken op een niet zo onschuldige link in een e-mail om erna jouw inloggegevens te ontfutselen, AGP). Dat lijkt misschien een goed resultaat, toch volstaat één enkele doorklikkende medewerker al om het stadsnetwerk lek te slaan en te besmetten met kwaadaardige code. Wie effectief inlogt op een onveilige website geeft hackers een vrijgeleide om binnen te dringen in de eigen digitale werkomgeving, zoals een mailbox, of meer.


Eén van de ‘phishing-mails’ uit de test van Audit Vlaanderen was een slordig bericht met een link naar een website voor een onwaarschijnlijk koopje – maar wil je dan wel eerst even jouw gebruikersnaam en wachtwoord van het werk invullen aub? ‍‍(Bron figuur: Audit Vlaanderen)

Sommige kwaadaardige software heeft maar één onvoorzichtige gebruiker nodig om voor een verregaande besmetting te zorgen.

Globaal rapport ‘Thema-audit informatieveiligheid’ – Audit Vlaanderen (2018)

De concrete resultaten van de phishingtest voor de Stad en het Sociaal Huis verborg de informatieveiligheidsconsulente opmerkelijk genoeg achter een zwart balkje – zoals vroeger, weet je wel, in de tuin: achter een zwart hemd op de wasdraad. Wel valt in het rapport openlijk te lezen dat de medewerkers verwittigd werden dat er een phishingtest had plaatsgevonden. Ook kreeg iedereen via het intranet nogmaals de gevaren van phishing en andere schadelijke mails ingepeperd. Want één onvoorzichtige ambtenaar is genoeg.

Door de onveilige handelingen van sommige medewerkers lopen een ruime meerderheid van gemeenten en OCMW’s en alle provincies aanzienlijke veiligheidsrisico’s.

Globaal rapport ‘Thema-audit informatieveiligheid’ – Audit Vlaanderen (2018)

En die gevaren zijn zeker niet te onderschatten: lokale besturen werken namelijk met nogal wat vertrouwelijke en persoonsgevoelige gegevens. Als burger kun je ook vaak niet weigeren dat jouw gegevens door jouw lokaal bestuur worden verwerkt en dan wil je toch liever op beide oren kunnen slapen.

Voor wie even een onrustige nacht tegemoet wil gaan, moet beslist het globaal rapport van de thema-audit Informatieveiligheid van Audit Vlaanderen lezen dat bij 28 lokale overheden (Niet bij Mechelen, behalve dan voor de phishingtests, AGP) werd uitgevoerd: “De lokale besturen nemen wel initiatieven rond informatiebeveiliging, maar ze dekken hiermee de risico’s nog onvoldoende af. Burgers, bedrijven en andere overheden hebben bijgevolg onvoldoende garanties dat hun gegevens veilig zijn bij hun lokale bestuur.”

Informatieveiligheid hebben ze nog niet helemaal in de vingers bij Stad en Sociaal Huis Mechelen. Ook al bestaat een 100% informatieveilige omgeving niet. In deze digitale data-tijden kan een vergissing van jouw lokale overheid pijnlijke gevolgen voor je hebben. En daar hoort naast het klikken op een verdachte link ook het blunderig blurren van zogenaamde “vertrouwelijke passages” uit het jaarverslag Informatieveiligheid bij. Van dat laatste brachten we de stadsdiensten inmiddels op de hoogte. Via e-mail.