De beveiliging van ICT-systemen van uitvoeringsorganisatie BIJ12 is ernstig verouderd. Tot op heden zijn er weliswaar geen aanwijzingen dat er vertrouwelijke gegevens zijn gelekt, maar het euvel is al maanden bekend. Ondanks de waarschuwingen zijn er amper veiligheidsmaatregelen getroffen. Dat blijkt uit twee rapporten en gespreksverslagen die in handen zijn van het Noordhollands Dagblad. Het medium kreeg deze documenten in handen via Publeaks, een online platform waarop klokkenluiders anoniem informatie kunnen delen met de pers.
Het gaat om de systemen van BIJ12, de uitvoeringsorganisatie die de provincies in Nederland ondersteunt bij de uitvoering van hun gemeenschappelijke taken. Ambtenaren die voor de provincie werken en burgers gebruiken de systemen van BIJ12. Hiermee kunnen ze onder meer de kwaliteit van zwemwater opzoeken, of een subsidie- of vergunningsaanvraag indienen.
De ICT-systemen van BIJ12 verwerken veel privacygevoelige persoonsgegevens van provincies en burgers. Dan is het belangrijk dat de informatiebeveiliging op orde is. Dat blijkt echter niet het geval te zijn. ‘Maanden geleden’ ontvingen de provincies een rapport van een ICT-leverancier, meldt het Noordhollands Dagblad. Daarin stond dat de beveiliging van de systemen bij BIJ12 niet op orde was. Noodzakelijke updates bleven achterwege en de uitvoeringsinstantie pleegde onvoldoende onderhoud.
De opstellers van het rapport waren “enorm geschrokken” van hun bevindingen. In een gespreksverslag van een spoedoverleg dat afgelopen december plaatsvond, staat dat ze het liefst ter plekke alle stekkers eruit hadden getrokken. Dat durfden ze niet, omdat ze bang waren dat de dienstverlening van de provincies dan in gevaar zou komen. In plaats daarvan besloten ze om een extern bureau in te schakelen.
De inhoud van het tweede rapport is volgens de betrokken informatiebeveiligers “bijna identiek aan het eerste”. Daarin staat onder anderen dat tientallen machines waarop de systemen draaien beveiligingsproblemen hadden. Het onderhoud aan deze systemen is jarenlang verslonsd. In één geval was de software sinds 2014 niet meer geüpdatet. De beveiligingsspecialisten spreken van “ernstige nalatigheid”.
BIJ12 zou geld hebben ontvangen om de problemen op te lossen, maar dat is nauwelijks gebeurd. Deze week kondigden de provincies aan dat ze tien van de negentien systemen offline hadden gehaald, omdat ze kwetsbaar waren. De overige systemen zijn nog actief, maar zijn kwetsbaar. Vanwege dit ‘databeveiligingsrisico’ hebben de provincies melding gedaan bij de Autoriteit Persoonsgegevens.
Er is één lichtpuntje. De applicaties bevatten maar ‘een beperkte hoeveelheid’ aan persoonsgegevens. Om welke gegevens het precies gaat is niet bekend. De beveiligingsexperts van het onafhankelijke onderzoeksbureau zeggen dat ze geen sporen van inbraak hebben gevonden en dat er “geen inbreuk is ontstaan op vertrouwelijke informatie”. Dat staat in een brief die alle provincies deze week verstuurden naar de Statenleden.
Het onderzoek loopt echter nog, wat inhoudt dat deze conclusie nog kan worden bijgesteld. Betrokkenen gaan er echter van uit dat ze gehackt zijn.
