Gemeente Beverwijk
Berichtgeving website
Hierbij een update met betrekking tot de berichtgeving over inlogcodes
van ambtenaren op intranet.
De gemeente Beverwijk is door Brenno de Winter van Webwereld benaderd.
De gemeente heeft van de heer De Winter begrepen dat hij vindt dat het
gebruik van wachtwoorden door medewerkers van de gemeente niet aan
voldoende beveiliging is onderworpen. Hierover is inmiddels ook in de
media bericht. Een toelichting is op zijn plaats.
De gemeente erkent dat het theoretisch mogelijk is dat een willekeurige
medewerker voor meerdere functies hetzelfde wachtwoord zou kunnen
gebruiken. Dit zou er toe kunnen leiden dat een toegangscode tot het
intranet van en voor onze medewerkers ook toegang kan bieden tot
bedrijfsgevoelige gegevens. Op dit moment houden we het
wachtwoordenprotocol opnieuw tegen het licht en doen we er in
samenwerking met onze leverancier alles aan om beveiligingsrisico's uit
te sluiten.
De lijst met inlogcodes die Webwereld in handen heeft regelde in een
oud en inmiddels vervangen systeem de toegang tot intranet voor
medewerkers die dit van huis uit wilden lezen. Dit systeem is inmiddels
vervangen. Op die lijst staat ook de inlogcode van de burgemeester.
Deze wachtwoorden waren alleen bedoeld om het intranet voor medewerkers
te bekijken. De wachtwoorden van enkele mensen konden echter ook
gebruikt worden om wijzigingen op intranet en de website aan te
brengen. Deze mensen zijn geautoriseerd om wijzigingen aan te brengen.
Ondernomen acties
Na de melding van vorig weekeinde heeft de gemeente Beverwijk meerdere
acties ondernomen. Als eerste zijn tot het onveilig gebleken intranet
geblokkeerd en gewijzigd. Afgelopen zondag heeft de leverancier alle
IP-nummers geblokkeerd, waardoor niemand meer op de (oud)
intranet-website kon inloggen.
Aansluitend is de gemeente voor haar intranet overgegaan van
leverancier Gemeenteweb naar leverancier SIM. Daarbij is door een
aantal gebruikers het oude wachtwoord opnieuw geactiveerd. Achteraf
gezien kunnen we concluderen dat dit onjuist is geweest. Inmiddels is
dit handelen gecorrigeerd.
Beverwijk, 14 oktober 2011