Lokale besturen beschermen vertrouwelijke en gevoelige informatie onvoldoende

Lokale besturen beschermen de vertrouwelijke en (persoons)gevoelige informatie waarover ze beschikken onvoldoende. Dat blijkt uit een doorlichting van Audit Vlaanderen bij 28 lokale besturen. In 24 van de 28 onderzochte besturen konden ethische hackers de controle krijgen over de volledige IT-omgeving of belangrijke delen ervan. Hoe springen lokale besturen om met vertrouwelijke en/of gevoelige informatie? En wat doen die besturen om dergelijke informatie te beveiligen? Audit Vlaanderen, het agentschap van de Vlaamse overheid dat audits uitvoert, nam het beleid van 28 lokale besturen onder de loep, gaande van de gemeente Balen en de stad Lommel tot het OCMW van Rotselaar.

Uit de audit blijkt dat de lokale besturen wel inspanningen doen om hun informatie te beveiligen, maar dat ze de risico’s “onvoldoende afdekken”. “Burgers, bedrijven en andere overheden hebben bijgevolg onvoldoende garanties dat hun gegevens veilig zijn bij hun lokale bestuur”, luidt het harde verdict van de audit.



In de audit wordt onder meer verwezen naar gemeenten die hun dienstverlening hebben moeten verminderen of stopzetten als gevolg van informatiebeveiligingsincidenten. “In één geval duurde het na een cyberaanval vorig jaar drie weken alvorens de betrokken gemeente het normale niveau van dienstverlening kon hervatten”, zo staat te lezen in de audit zonder daarbij het betrokken bestuur bij naam te noemen..

Bij 24 van de 28 geauditeerde besturen konden ethische hackers de controle krijgen over de IT-omgeving van het lokale bestuur. Zo konden ze de werking stilleggen, gegevens plukken en manipuleren. Besturen kregen nadien tips over hoe ze de lekken moesten dichten. “Toch tonen opvolgtests aan dat een belangrijk deel van de gesignaleerde deuren verschillende maanden later nog steeds openstaan”.

In de audit krijgen lokale besturen advies over hoe ze hun informatieveiligheid kunnen verbeteren. Een structurele aanpak, een periodieke opvolging en betere samenwerking met andere besturen zijn daarbij enkele voorbeelden. Maar vaak laten besturen simpele beschermingsmaatregelen onbenut. Dat gaat dan bijvoorbeeld om het tijdig bijwerken van besturingssystemen, het werken met sterke paswoorden voor alle gebruikers en een sluitend beheer van toegangen en rechten.

bron: Belga