Lokale besturen van gemeenten en steden laten nog te veel steken vallen als het gaat over it-beveiliging. Dat blijkt uit een steekproef die Audit Vlaanderen uitvoerde bij 28 gemeenten, ocmw’s en één provincie. Zelfs aangekaarte problemen blijken maandenlang niet opgelost te raken.
In een zogenaamde ‘thema-audit’ evalueerde Audit Vlaanderen de mate waarin lokale besturen de integriteit, de vertrouwelijkheid en de beschikbaarheid kunnen garanderen van de vertrouwelijke en (persoons)gevoelige informatie waarover zij beschikken of die zij verwerken. Audit Vlaanderen testte, in samenwerking met extern ingehuurde experten, welke impact iemand met kwade bedoelingen kan hebben wanneer die daar fysiek langsgaat.
De conclusies zijn niet bepaald opbeurend: bij 24 van de 28 besturen konden de ingehuurde ethische hackers controle krijgen over de volledige it-omgeving of de belangrijkste delen ervan. Ze konden de werking stilleggen, gegevens inkijken en ze manipuleren.
De betrokken it-verantwoordelijken en, indien nodig, ook de software- en it-dienstenleveranciers, werden telkens op de hoogte gebracht van de problemen. Toch tonen opvolgtests aan dat een belangrijk deel van de gesignaleerde deuren verschillende maanden later nog steeds open staan.
De lokale besturen nemen wel initiatieven rond informatiebeveiliging, maar ze dekken hiermee de risico’s nog onvoldoende af, zegt Audit Vlaanderen. ‘Burgers, bedrijven en andere overheden hebben bijgevolg onvoldoende garanties dat hun gegevens veilig zijn bij hun lokale bestuur’, is de harde conclusie.
Audit Vlaanderen pleit voor een structurele aanpak en strenge opvolging om de problemen aan te pakken. Er is ook nood aan veel meer overkoepelende samenwerking tussen besturen, zegt het agentschap. ‘Verschillende van de uitdagingen rond informatiebeveiliging zijn zo groot en complex dat geen enkel geauditeerd lokaal bestuur alle risico’s daaromtrent zelfstandig kan beheersen.’
Het volledige rapport is hier te bekijken.
