Nulmeting Informatiebeveiliging Gemeente Assen

Transcriptie

1 Nulmeting Informatiebeveiliging Gemeente Assen Rapport voor Rekenkamercommissie Assen Insite Security Groningen Versie 1.1 GEHEIM 2015 Insite Security BV. Insite Security BV is onderdeel van Insite Groep BV. Alle rechten voorbehouden.

2 Inhoudsopgave Inhoudsopgave Inleiding Opdrachtomschrijving Reikwijdte Beperkingen en voorwaarden Leeswijzer Managementsamenvatting Inleiding Conclusie Belangrijkste aanbevelingen Bevindingen en aanbevelingen Mens: praktijktesten van gedrag Organisatie: Analyse interne beheersing Techniek: Penetratietest en beveiligingsscans Bijlage Plan van aanpak nulmeting Pagina 2 van 15

3 1 Inleiding 1.1 Opdrachtomschrijving Insite Security BV (hierna Insite Security) heeft in opdracht van Rekenkamercommissie Assen, in overeenstemming met het voorstel d.d. 2 september 2015, een nulmeting informatiebeveiliging uitgevoerd. Doelstelling van deze nulmeting is om het niveau van de IT beveiliging binnen de gemeente Assen in kaart te brengen, de belangrijkste risico s te benoemen en een advies te geven over welke beveiligingsmaatregelen mogelijk kunnen worden getroffen of verbeterd. De rekenkamer van de gemeente Assen wil graag weten of het beveiligingsbeleid, het beveiligingsbewustzijn van de medewerkers en de huidige technische beveiligingsmaatregelen voldoen. Deze nulmeting richt zich dan ook op alle aspecten die raken aan informatiebeveiliging: Mens, Organisatie en Techniek, en geeft antwoord op de vraag: Hoe veilig zijn we?, afgezet tegen de bekende kwetsbaarheden die door ons worden geïdentificeerd. 1.2 Reikwijdte Deze nulmeting richt zich op drie aspecten van informatiebeveiliging: mens, organisatie en techniek. Het mensgerichte deel van deze nulmeting bestaat uit een aantal praktijktesten die gericht zijn op het gedrag van medewerkers van de gemeente Assen. De praktijktesten USB- sticks en mystery guest zijn gericht op het gedrag van de medewerkers op het gemeentehuis in Assen. Een phishing mail is verstuurd naar alle medewerkers van de gemeente Assen. Het organisatorische deel van deze nulmeting gaat in op de gehele organisatie en alle processen en middelen van de gemeente Assen. Voor het technische deel van deze nulmeting is een beveiligingsonderzoek uitgevoerd in de vorm van een penetratietest. Hiervoor is de gehele IT infrastructuur van gemeente Assen onderzocht op kwetsbaarheden en de mogelijkheden om deze te misbruiken. 1.3 Beperkingen en voorwaarden Insite Security maakte bij het uitvoeren van de technische security scan uitsluitend gebruik van technische middelen. Van andere middelen, bijvoorbeeld social engineering, is geen gebruik gemaakt. Tevens voerde Insite Security geen zogenaamde Denial- of- Service aanvallen uit, omdat deze vrijwel altijd slagen. Met behulp van het onderzoek kan alleen worden aangetoond of het mogelijk is om de aanwezige beveiligingsmaatregelen te doorbreken. Er kan niet met zekerheid worden gesteld dat geïmplementeerde beveiligingsmaatregelen niet kunnen worden doorbroken. Een aanvaller met ongelimiteerd budget, kennis en tijd zal vrijwel altijd kunnen slagen in het doorbreken van de beveiliging. Het onderzoek is dus niet gericht op het verkrijgen van een oordeel over de beveiliging met een bepaalde mate van zekerheid, maar op het testen van de werking van bepaalde beveiligingsmaatregelen. Bij het uitvoeren van een onderzoek werkt Insite Security met de op dat moment bekende zwakheden en aanvalstechnieken. Het resultaat betreft een momentopname van de zwakheden, aanvalstechnieken en getroffen beveiligingsmaatregelen. Dit rapport is uitsluitend bestemd voor de rekenkamercommissie van de gemeente Assen en mag alleen na schriftelijke toestemming van Insite Security aan derden worden verstrekt. Pagina 3 van 15

4 1.4 Leeswijzer De rapportage is als volgt opgebouwd. Hoofdstuk 2 bevat de managementsamenvatting met daarin de resultaten en conclusies. In hoofdstuk 3 worden per aandachtsgebied de bevindingen en aanbevelingen beschreven. In een separaat document is het resultaat van de nulmeting techniek beschreven. Dit rapport, met daarin een uitgebreide beschrijving van alle technische details van alle bevindingen, is apart aan de rekenkamercommissie Assen ter beschikking gesteld. Pagina 4 van 15

5 2 Managementsamenvatting 2.1 Inleiding De beveiliging, dat wil zeggen de beschikbaarheid, integriteit en vertrouwelijkheid, van informatie is voor gemeente Assen belangrijk. Het is bijvoorbeeld van belang dat de bedrijfsvoering zodanig is ingericht dat is gewaarborgd dat gevoelige informatie zoals persoonsgegevens niet op straat komt te liggen. Ook de (tijdige) beschikbaarheid van bepaalde informatie is cruciaal voor het nemen van beslissingen. Gemeente Assen investeert in het verbeteren van het niveau van informatiebeveiliging. De afgelopen periode is bijvoorbeeld de Baseline Informatiebeveiliging Gemeenten (BIG) doorgenomen en ingevuld. Ook is er informatiebeveiligingsbeleid geformuleerd. De rekenkamercommissie doet onderzoek naar de uitvoering van het gemeentelijk beleid. Hierbij wordt gekeken of de uitvoering efficiënt en volgens de regels heeft plaatsgevonden en of het doel bereikt is. In het kader van haar rol wil de rekenkamercommissie de informatiebeveiliging toetsen op de onderdelen mens, organisatie en techniek, waarbij de nadruk ligt op de onderdelen techniek en mens. De rekenkamercommissie van de gemeente Assen heeft Insite Security gevraagd een nulmeting informatiebeveiliging uit te voeren op de aspecten organisatie, mens en techniek. Het doel van de nulmeting is om het niveau van de IT beveiliging binnen Gemeente Assen in kaart te brengen, de belangrijkste risico s te benoemen en een advies te geven over welke beveiligingsmaatregelen mogelijk kunnen worden getroffen of verbeterd. De nulmeting richt zich zowel op technische aspecten, de factor mens als organisatorische IT beveiligingsmaatregelen binnen Gemeente Assen en geeft antwoord op de vraag: Hoe veilig zijn we? afgezet tegen de bekende kwetsbaarheden die door ons worden geïdentificeerd. Gemeente Assen wil graag weten of de huidige beveiligingsmaatregelen voldoen aan de huidige stand der techniek zodat het risico dat wordt veroorzaakt door de hedendaagse bedreigingen voldoende is afgedekt. Resultaat van het onderzoek is een schriftelijke (Nederlandstalige) rapportage waarin op heldere en praktische wijze de onderzoeksvraag wordt beantwoord. 2.2 Conclusie Op basis van de bevindingen van deze nulmeting wordt het niveau van informatiebeveiliging van de gemeente Assen, voor elk van de aspecten: mens, organisatie, en techniek beoordeeld als: Mens: Medewerkers van de gemeente Assen zijn in hoge mate kwetsbaar voor mensgerichte aanvallen: phishing mails, ongewenste bezoekers en besmette usb- sticks. De uitdaging ligt in het verbeteren van de aspecten kennis, houding en gedrag van informatiebeveiliging bij de medewerkers van de gemeente Assen. Organisatie: Gemeente Assen is zich zeker bewust van het belang van informatiebeveiliging en heeft in de werkwijze hier ook de nodige maatregelen voor genomen. Toch ontbreken er in de PDCA cyclus onderdelen zoals het bepalen van richtlijnen, hier structureel naar te werken, toetsingen op de uitvoering en waar nodig hierin bij te stellen een aantal onderdelen. Voorbeelden hiervan zijn (het ontbreken van) risicoanalyses, periodiek controle op autorisaties, en het evalueren van interne security incidenten. Het niveau van IT- beveiliging zit tussen 'ad hoc' en 'herhaalbaar' in. Pagina 5 van 15

6 Techniek: Het beveiligingsniveau van de interne- en externe- IT infrastructuur van gemeente Assen wordt beoordeeld als Zeer onveilig. Tijdens de penetratietest en de beveiligingsscan zijn meerdere kwetsbaarheden met een kritisch risico aangetroffen (een kwetsbaarheid met een grote impact die vrij eenvoudig te misbruiken is). De belangrijkste gevonden kwetsbaarheden zijn: o Door gebruik te maken van een gevonden kwetsbaarheid is het gelukt om de volledige controle over het kantoornetwerk van de gemeente Assen te bemachtigen. Hierdoor is het mogelijk alle informatie op het kantoornetwerk van de gemeente te lezen, overschrijven en/of te verwijderen. Enkele voorbeelden van de mogelijkheden zijn: versturen namens medewerkers van gemeente Assen; verwijderen of toevoegen van medewerkers; kwaadwillende software installeren op alle computers van gemeente Assen; en toegang tot applicaties van de gemeente Assen aanpassen. o Door gebruik te maken van een gevonden kwetsbaarheid is het gelukt om de controle van de computers van het Werkplein te bemachtigen. Hierdoor is het mogelijk om zo goed als alle informatie op het interne netwerk van de gemeente te lezen, overschrijven en/of te verwijderen. o Ook zijn tijdens het onderzoek meerdere wachtwoorden van systemen bemachtigd. Desondanks is het tijdens de penetratietest niet gelukt om ongeautoriseerd toegang te krijgen tot een aantal belangrijke systemen die buiten het kantoornetwerk zelf zijn geplaatst (waaronder GBA). Echter, door misbruik te maken van de kwetsbaarheden in het kantoornetwerk is het mogelijk om kwaadwillende software te installeren en daarmee alsnog toegang te verkrijgen tot deze systemen. Een dergelijke aanval heeft een langere looptijd van ongeveer een maand. 2.3 Belangrijkste aanbevelingen Om het beveiligingsniveau van de gemeente Assen structureel te verbeteren doet Insite Security de volgende aanbevelingen, onderverdeeld naar mens, organisatie en techniek: Aanbevelingen mens: Verhoog het kennisniveau en het risicobesef van de medewerkers door het verzorgen van een bewustwordingsprogramma de komende jaren. In het programma worden onderdelen opgenomen als e- learningprogramma s workshops en communicatie uitingen. Verhoog het kennisniveau van de medewerkers door het aanbieden van bijvoorbeeld elearning gericht op het onderscheiden van phishing mail van legitieme mail. Wijs medewerkers op het risico van zwakke wachtwoorden en faciliteer ze in het aanmaken en gebruiken van sterke wachtwoorden. Maak een risicoanalyse van de huidige fysieke toegangsbeveiliging. Het pand is nu eenvoudig binnen te dringen. Aanbevelingen organisatie Houdt risico- analyses op de meest kritische projecten, klanten en informatiesystemen. Zorg dat incidenten als security incident kunnen worden aangemerkt en zorg dat er (extra) maatregelen wor- den genomen in voorkomende gevallen. Pagina 6 van 15

7 Classificeer de gegevens die worden gebruikt en richt op basis daarvan de rollen met bijbehorende rechten in gebruikmakend van het Principle of least privilege. Zorg dat de verantwoordelijke eigenaren van gegevens / informatiesystemen / applicaties periodiek de uitstaande autorisaties controleren en waar nodig laten bijstellen. Aanbevelingen techniek: Er zijn verbeteringen noodzakelijk om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te kunnen garanderen. Hierbij moet er rekening worden gehouden met bijvoorbeeld het patchmanagement, configuratiemanagement en het segmenteren van het netwerk. Een uitgebreide rapportage over het technische onderzoek met daarin alle bevindingen, gevonden kwetsbaarheden, en te nemen maatregelen zijn aan de rekenkamercommissie ter beschikking gesteld in een aparte technische rapportage. De informatie in deze rapportage is dermate gevoelig dat deze niet in deze rapportage is opgenomen. De belangrijkste aanbevelingen voor de gemeente Assen nu, en op de langere termijn zijn: Implementeer de aanbevelingen uit de technische rapportage. Ondanks het grote aantal zijn de meeste aanbevelingen relatief eenvoudig uit te voeren. Doe de migratie van systemen die nu buiten het domein zijn geplaatst nadat de aanbevelingen uit de technische rapportage zijn uitgevoerd. Om de kwaliteit van informatiebeveiliging in het interne netwerk op te lange termijn te verbeteren en te behouden is het van belang om deze periodiek te controleren. Start met het periodiek (wekelijks/maandelijks) controleren van alle systemen binnen de IT infrastructuur van gemeente Assen. Bijvoorbeeld door het uitvoeren van een kwetsbaarhedenscan. Pagina 7 van 15

8 3 Bevindingen en aanbevelingen Dit hoofdstuk beschrijft de bevindingen en aanbevelingen van deze nulmeting en bevat het mensgerichte onderdeel (praktijktesten van gedrag), en die van het organisatorische onderdeel (analyse interne beheersing). De bevindingen en aanbevelingen van het technische onderdeel van deze nulmeting (penetratietest en kwetsbaarhedenscan) zijn opgenomen in een aparte rapportage die aan de rekenkamercommissie ter beschikking is gesteld. 3.1 Mens: praktijktesten van gedrag Algemeen De phishing test, het mystery guest bezoek en de usb- sticks actie zijn in september en oktober uitgevoerd. Onderstaand worden de resultaten beschreven. Phishing e- mail Bevindingen: Er zijn 946 e- mails (maillijst gemeente Assen) verstuurd, 36% van de medewerkers (unieke gebruikers) heeft de e- mail geopend. In totaal is de mail 687x bekeken en 582x is op de link geklikt; Er zijn 641x gebruikersnamen en wachtwoorden ingevuld door 245 unieke gebruikers (26%). Dit betekent dat er door de individuele gebruikers meerdere malen gebruikersnaam en (verschillende) wachtwoorden zijn ingevuld; De Top 3 vult respectievelijk 20x, 14x en 10x zijn of haar gegevens in; Een analyse van de afgegeven wachtwoorden kan worden gesteld dat de wachtwoorden veelal niet vol- doen aan de criteria van een sterk wachtwoord; Er zijn 61 meldingen gerelateerd aan de phishing e- mail geweest bij de servicedesk. De servicedesk was op de hoogte van de test en heeft geen actie ondernomen waardoor de test ongestoord voortgezet kon wor- den. Drie werkdagen na de start van de test is er een bericht geplaats op intranet over de phishing test. Rondslingerende USB- sticks Insite Security heeft op 17 september 20 geprepareerde USB- sticks op de locatie van de Gemeente Assen achtergelaten. Bevindingen: Er zijn 20 sticks verspreid over de afdelingen van de kantoorlocatie (stadhuis); 7 medewerkers hebben de link aangeklikt in het bestand op de usb- stick; Er zijn 13 USB- sticks ingeleverd bij de IT helpdesk. Mystery guest Een medewerker van Insite Security heeft in de periode van september tot oktober twee maal in het stadhuis van Gemeente Assen onder kantooruren gezocht naar vertrouwelijke informatie. Hierbij is geprobeerd zonder afspraak of identificering het pand binnen te dringen. Eenmaal binnen is geprobeerd vertrouwelijke informatie te verzamelen door onder andere te zoeken naar fysieke documenten bij printers, werkplekken en archieven. Pagina 8 van 15

9 Bevindingen: De mystery guest kon eenvoudig het pand binnendringen door mee te lopen met medewerkers via de personeelsingang aan de buitenzijde, dan wel mee te lopen met medewerkers bij de interne ingang. De medewerkers van Gemeente Assen vertrouwen over het algemeen op de goede bedoelingen van be- zoekers. Onze medewerker is eenmaal effectief aangesproken en naar de afspraak gebracht. Echter deze was niet aanwezig en aansluitend kon de mystery guest ongestoord verder gaan; Er zijn diverse documenten met vertrouwelijke informatie op bureaus en in kasten aangetroffen; Er zijn meerdere onbeheerde devices op overlegplekken aangetroffen; Het cleandesk principe wordt na werktijd goed toegepast. Wel zijn er veel werkkasten met vertrouwelijke documenten niet afgesloten; Bij de printers zijn geen vertrouwelijke documenten aangetroffen. Men maakt gebruik van een vorm van secure printen; Er zijn meerdere niet afgesloten en onbeheerde werkstations aangetroffen. Conclusies en aanbevelingen nulmeting mens De menselijke factor in informatiebeveiliging is een risico voor de informatiebeveiliging van Gemeente Assen. Er zijn zowel online als offline pogingen gedaan om waardevolle informatie buit te maken. Phishing e- mails = Gemeente Assen is in hoge mate kwetsbaar voor phishing e- mails Online zijn de medewerkers van Gemeente Assen zich onvoldoende bewust van de risico s van het gebruik van e- mail. Misleidende e- mails van valse afzenders worden door meer dan een kwart van de medewerkers niet als zodanig herkend. Er is wel melding gemaakt door meerdere medewerkers van een poging tot phishing. Gemeente Assen is kwetsbaar voor phishing e- mails en andere e- mail fraude waarbij inlog- gegevens en vertrouwelijke informatie kan worden gestolen. Wanneer hackers op deze wijze toegang krijgen tot de infrastructuur kan dit ernstige gevolgen hebben. Phishing e- mails kunnen worden herkend op basis van een aantal kenmerken in bijvoorbeeld het adres van de afzender en/of de URL van de gelinkte website. Door medewerkers te informeren over deze kenmerken kan het risico van phishing e- mails worden beperkt. Uit de analyse van de afgegeven wachtwoorden is het aan te raden om medewerkers nader te informeren en te faciliteren in het gebruiken van sterke wachtwoorden. USB- sticks = Gemeente Assen is in hoge mate kwetsbaar voor USB- sticks met malware Van de op willekeurige plekken achtergelaten USB- sticks is bij een derde op het op de stick aanwezige bestand geklikt. Deze actie is echter snel als potentieel informatielek herkend en er is adequate actie ondernomen. Er is een groot deel van de sticks ingeleverd bij de helpdesk. Ook dit reële risico dient onder de aandacht van medewerkers te worden gebracht. Om het kennisniveau van de medewerkers te verhogen zou een case- based elearning ingezet kunnen worden. In de elearning krijgen deelnemers vragen over voor hun herkenbare situaties. Middels een grappige cartoon worden ze geïnformeerd over de risico s en krijgen ze tips hoe deze risico s te beperken. Mystery guest/ongenode bezoekers = Gemeente Assen is in hoge mate kwetsbaar voor ongenodigde bezoekers Pagina 9 van 15

10 Medewerkers gaan er van uit dat bezoekers een legitieme reden hebben om in het kantoorpand aanwezig te zijn. De fysieke beveiliging werkt echter niet afdoende en eenmaal binnen kan men relatief ongestoord zoeken naar waardevolle informatie. Een deel van het pand is verhuurd aan een externe partij. Hierdoor is de kans blijkbaar sterk verlaagd om onbekenden te kunnen onderscheiden van collega s. Op diverse plekken zijn diverse interessante documenten gevonden en er zijn meerdere niet afgesloten werkstations aangetroffen. 3.2 Organisatie: Analyse interne beheersing Algemeen Gemeente Assen is zich zeker bewust van het belang van informatiebeveiliging en heeft in de werkwijze hier ook de nodige maatregelen voor genomen. Toch ontbreken er in de PDCA cyclus onderdelen zoals het bepalen van richtlijnen, hier structureel naar te werken, toetsingen op de uitvoering en waar nodig hierin bij te stellen een aantal onderdelen. Voorbeelden hiervan zijn (het ontbreken van) risicoanalyses, periodiek controle op autorisaties, en het evalueren van interne security incidenten. Het niveau van IT- beveiliging zit tussen 'ad hoc' en 'herhaalbaar' in. Beveiligingsbeleid Bevindingen Er is vastgesteld beleid. In het algemeen geldt dat de meeste processen en procedures (op het gebied van IT- beheer en informatiebeveiliging) zijn geformaliseerd. Er worden maatregelen op basis van compliance met de BIG ingevoerd. Er vinden echter geen reguliere risico analyses plaats waarop maatregelen worden gebaseerd. Er is een concrete taakstelling op gebied van IT en/of security. Er zijn specifieke rollen rondom informatiebeveiliging belegd, zoals een Security Officer Gegevens zijn niet structureel geclassificeerd. Wel zijn de applicaties geclassificeerd op basis van beschik- baarheid. Verbeterpunten worden niet planmatig geregistreerd en beheerd. Aanbevelingen Deel de belangrijkste principes, gewenst gedrag, op het gebied van informatiebeveiliging regelmatig met de medewerkers. Verzamel de hoofdpunten op een intern gedeelde plaats (intranetsite, presentatie). Houdt risicoanalyses op de meest kritische projecten, klanten en informatiesystemen. Bij voorkeur in een workshop waar zo mogelijk een vertegenwoordiger van de klant bij uitgenodigd wordt. Zorg voor eenduidige definitie van eigenaars van risico s, systemen en data. Ga na welke gegevens er worden verwerkt, groepeer deze, classificeer deze en ga vervolgens na of hoe met verschillende soorten gegevens en data in databases en daarbuiten dient te worden omgegaan. Stel jaarlijks een verbeterplan op. Registreer de verbeterpunten, bepaal de actiehouder en status en houdt deze up- to- date. Zorg in het kader van de aankomende wet Datalekken voor de het invoeren van de bijbehorende meldpro- cedure en de daarbij horende maatregelen als logging. Logische toegangsbeveiliging Bevindingen Er wordt gebruik gemaakt van algemene accounts. Externe toegang voor o.a. beheerwerkzaamheden is vastgelegd in een procedure. Voor beheerders zijn de administrator rechten gekoppeld aan hun persoonlijke accounts. Pagina 10 van 15

11 Aanbevelingen Classificeer de gegevens die worden gebruikt en richt op basis daarvan de rollen met bijbehorende rechten in gebruikmakend van het Principle of least privilege. Zorg dat de verantwoordelijke eigenaren van gegevens / informatiesystemen / applicaties periodiek de uitstaande autorisaties controleren en waar nodig laten bijstellen. Wijzigingsbeheer Bevindingen Het wijzigingsproces wordt uitgevoerd conform ISM. Het proces is vastgelegd en wordt ondersteund in TopDesk. Wijzigingen worden besproken in CMO met duidelijke onderverdeling in categorieën en bijbehorende be- sluitvorming. SLA s liggen nog niet vast in Topdesk. Security patches zijn als operationele taak vastgelegd in Topdesk. Aanbevelingen Zorg bij impactanalyses dat informatiebeveiliging onderdeel van de analyse is. Incidentbeheer Bevindingen Incidentenbeheer is ingericht waarbij meldingen worden vastgelegd in Topdesk. Inschatting van de prioriteit van incidenten wordt gedaan op basis van vastgelegde regels voor urgentie en impact. Afspraken rondom oplostijden zijn met interne klanten afgesproken. Dit moet nog in lijn gebracht worden met afspraken bij externe partijen. Aanbevelingen Zorg dat incidenten als security incident kunnen worden aangemerkt en zorg dat er (extra) maatregelen worden genomen in voorkomende gevallen. Analyseer elk security incident, alsmede herhalende klant- en interne incidenten. Achterhaal de oorzaak, en neem maatregelen om het optreden van deze incidenten inde toekomst te voorkomen. Contract- en service management Bevindingen De teamleider is contracteigenaar van de applicatie software. Contractmanagement is separaat belegd. Maandelijks wordt een overzicht van lopende contracten gegenereerd waarbij op basis van noodzaak con- tracten bekeken worden. Eisen rondom informatiebeveiliging worden nog niet standaard in contracten meegenomen. Aanbevelingen Review periodiek de inhoud van de SLA s met leveranciers om te beoordelen of de inhoud nog aansluit bij de eisen en wensen van de organisatie en zorg voor borging van Informatiebeveiliging in SLA s. Pagina 11 van 15

12 Continuïteit Bevindingen Er wordt alleen voor de GBA en BAG uitwijktesten gedaan Het back- up proces is beschreven, opgetuigd en ingeregeld, inclusief bewaking. Er worden op afroep restores op bestanden uitgevoerd. Er wordt niet regulier getest op het kunnen terug- zetten van (delen van) de productieomgeving. Aanbevelingen Breng afhankelijkheden in data tussen verschillende systemen in kaart. Voer periodieke restoretests uit op een representatieve set (systeem)backups. Neem bij wijzigingen en aanvragen specifiek de eisen rondom bewaartijden mee in zodat dit aansluit bij de back up procedures 3.3 Techniek: Penetratietest en beveiligingsscans De bevindingen en aanbevelingen van het technische onderdeel van deze nulmeting (penetratietest en kwetsbaarhedenscan) zijn dermate gevoelig dat deze bevindingen zijn opgenomen in een aparte rapportage die aan gemeente Assen ter beschikking is gesteld. Pagina 12 van 15

13 4 Bijlage 4.1 Plan van aanpak nulmeting Insite Security hanteert heeft voor deze nulmeting een aanpak gebruikt die in de praktijk al vele malen met succes is toegepast. Met deze aanpak is Insite Security in staat niet alleen de nulmeting efficiënt uit te voeren maar ook snel resultaten te boeken. In essentie bestaat deze nulmeting uit vijf fasen: Figuur 1 Aanpak De verschillende fasen van de nulmeting worden hieronder beschreven. Per fase geeft Insite Security een toelichting en wordt het resultaat beschreven. Per scenario zijn de methodiek, de werkwijze en benodigdheden uitgewerkt. Fase 1: Voorbereiding In deze fase heeft Insite Security in overleg met gemeente Assen de uit te voeren werkzaamheden voorbereid. Deze voorbereiding is gebruikt voor het maken va werkafspraken en het regelen van alle benodigdheden en randvoorwaarden. Resultaat: definitieve planning en benodigdheden voor de nulmeting. Fase 2: Praktijktesten van gedrag Voor het mensgerichte deel van dit onderzoek heeft Insite Security test in overleg met gemeente Assen drie praktijktesten van gedrag uitgevoerd in de vorm van drie scenario s: een phishing aanval per mail, een vrij rondlopende bezoeker/ mystery guest en het achterlaten van USB- sticks. Hieronder worden de scenario s verder uitgewerkt. Dit deel van het onderzoek is uitgevoerd in de maanden september en oktober Phishing aanval via mail Alle medewerkers ontvangen een phishing mail. Hierin wordt de medewerker gevraagd in het kader van een zogenaamde outlook migratie om privacygevoelige gegevens (zoals gebruikersnaam) achter te laten. De inhoud van de phishing e- mail voor Gemeente Assen betrof een uitnodiging van een zogenaamd project- team gericht op de migratie naar een nieuwe e- mailomgeving. Gebruikers werd gevraagd in te loggen in de nieuwe Outlook webmail met hun gebruikersnaam en wachtwoord. De phishing e- mail verwees naar een website met daarop een kopie van een standaard Outlook inlogscherm. Het afzenderadres van de e- mail en de url van de phishing website 2. Vrij rondlopende bezoeker ( mystery guest ) Een medewerker van Insite Security loopt op een aantal willekeurige momenten als bezoeker (zonder bege- leiding) door gemeentehuis van Assen en probeert zoveel mogelijk vertrouwelijke dan wel privacy gevoelige Pagina 13 van 15

14 informatie te achterhalen (bijv. bij printers en verlaten werkplekken enzovoort) 3. Rondslingerende USB- sticks Op willekeurige plekken verspreid over het gemeentehuis van Assen laat Insite Security een aantal geprepa- reerde usb- sticks (voorstel 20) rondslingeren. Wanneer een medewerker de usb- stick gebruikt en het be- stand ( recent salarisoverzicht ) op de stick aanklikt, wordt dit automatisch aan Insite Security doorgegeven. Resultaat: overzicht van de te treffen of te verbeteren mens gerelateerde beveiligingsmaatregelen. Fase 3: Penetratietest en beveiligingsscans (extern en intern) Voor het technische gedeelte van dit onderzoek heeft Insite Security een penetratietest (pentest) en geautomatiseerde netwerkscans uitgevoerd op de externe en interne IT- infrastructuur van de gemeente Assen. Dit deel van het onderzoek heeft plaatsgevonden op 14 en 15 oktober Tijdens de uitvoering is gebruik gemaakt de volgende scenario s: 1. Externe penetratietest vanaf internet Bij dit scenario wordt een black box onderzoek uitgevoerd naar aanwezige kwetsbaarheden in de vanaf internet bereikbare infrastructuur. Voor dit onderzoek beschikken wij over minimale informatie over web applicaties en IP- adressen. Binnen een gegeven hoeveelheid tijd time- box brengen wij zoveel mogelijk zwakke plekken voor de systemen die onderdeel zijn van het onderzoek. 2. Interne netwerk - inventarisatie- en kwetsbaarhedenscan. Voor het uitvoeren van dit scenario wordt vanaf een centrale locatie in het interne netwerk van de gemeen- te Assen, gescand met apparatuur van Insite Security. In eerste instantie voeren wij, gebruikmakend van een inventarisatietool, actieve inventarisatiescans uit. In overleg zullen wij aangetroffen kwetsbaarheden misbruiken. Insite Security maakt in voor de pentest en netwerkscans gebruik van diverse (technische) hulpmiddelen. Daarnaast wordt van bronnen binnen Insite Security en daar buiten (internet) gebruik gemaakt. Enkele voorbeelden van technische hulpmiddelen zijn: Tenable Nessus Professional Metasploit Pro Nikto BurpSuite Pro Resultaat: overzicht technische beveiligingsrisico s en mogelijkheden tot misbruik. Fase 4: Analyse interne beheersing De organisatorische nulmeting is uitgevoerd aan de hand van gestructureerde vragenlijsten, het bestuderen van bestaande documentatie, eigen waarneming (bijv. het controleren van bepaalde systeeminstellingen) en het houden van een aantal interviews. Dit deel van de nulmeting heeft plaatsgevonden op 27 en 29 oktober De organisatorische nulmeting gaat onder meer in op: Beveiligingsbeleid; Logische toegangsbeveiliging; Pagina 14 van 15

15 Wijzigingsbeheer; Incidentbeheer; Contract- en service management; Beveiliging van (web)applicaties; Continuïteit. Resultaat: overzicht van de te treffen en of te verbeteren organisatorische beveiligingsmaatregelen Fase 5: Rapportage, afstemming en presenteren bevindingen Insite Security heeft een rapportage van bevindingen opgesteld. In de rapportage wordt op een heldere en begrijpelijke wijze de bevindingen van de test gepresenteerd. Per bevinding geeft Insite Security aan wat de gevolgen/risico s hiervan zijn en geven wij concrete aanbevelingen/oplossingsrichtingen om de gesignaleerde risico s te mitigeren. Bevindingen worden zo veel mogelijk onderbouwd met bewijsstukken en overlegd aan opdrachtgever. De rapportage wordt persoonlijk toegelicht aan opdrachtgever. In de presentaties aan de politiek (college van B&W en gemeenteraad) en de ambtelijke organisatie (management en sleutelfiguren binnen de organisatie) zullen de bewijsstukken indien nodig geanonimiseerd worden en gebruikt worden ter illustratie. Gezien de persgevoeligheid van de uitkomsten zal de voor publiek toegankelijke presentatie aan de politiek vooraf worden afgestemd met opdrachtgever. Resultaat: rapportage en presentaties Pagina 15 van 15