Gemeente Rotterdam. Rekenkamer Rotterdam. Commissie VOF. Geachte leden van de commissie VOF,

Vergelijkbare documenten
De hackende rekenkamer

de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging

Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid,

College van Burgemeester en Wethouders Bezoekadres: Stadhuis Coolsingel AD Rotterdam Postadres: Postbus KP Rotterdam

Onderzoeksopzet De Poort van Limburg gemeente Weert

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Ministerie van Binnenlandse Zaken en. Koninkrijksrelaties. Datum 29 februari Betreft Tweede deelbesluit op uw Wob-verzoek.

Afdeling Sociale Zaken Gemeente Hilversum

OORDEEL. Het verzoek tot onderzoek betreft het college van burgemeester en wethouders van de gemeente Hengelo, hierna (ook) te noemen: de gemeente.

Zicht op doorwerking

OORDEEL. Het klachtenformulier is gedateerd 1 september 2008 en bij het secretariaat ingeboekt op 3 september 2008 onder nummer 65/2008.

tegen het besluit van 13 maart 2017 in het kader van de subsidie SNL, kenmerk

Security audit en vrijwaringsovereenkomst

Bijlage 2. In dit document beschrijven wij het onderzoeksproces op hoofdlijnen.

2016/ Uw brief van: 28 september 2016 Ons nummer: Willemstad, 31 oktober 2016

1. Onderwerp van de klacht schending van wetenschappelijke integriteit bij uitbrengen deskundigenbericht aan rechtbank

Onderwerp: Rapport Delftse Rekenkamer onderzoek Informatiebeveiliging binnen de gemeente Delft

Wettelijk kader Uw verzoek valt onder de reikwijdte van de Wob. Voor de relevante Wob-artikelen verwijs ik u naar de bijlage 1.

Onderzoeksprotocol Rekenkamer West-Brabant

Toelichting Zienswijzeprocedure

BESLUIT. 4. Bij brief van 16 maart 2010 heeft xcat aangegeven geen aanleiding te zien haar bezwaar mondeling toe te lichten tijdens een hoorzitting.

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE

- [ ] of (bijvoorbeeld) [naam gemeente/organisatie] = door gemeente in te vullen, zie bijvoorbeeld artikel 1.

BEZWARENREGLEMENT ex. artikel 7:13 Awb van de Openbare Rechtspersoon Openbaar Onderwijs Zwolle en Regio te Zwolle

Artikel 4 Eed/gelofte Ten aanzien van de leden is artikel 81 g van de Gemeentewet van overeenkomstige toepassing.

OORDEEL. Het klachtenformulier is gedateerd 14 april 2009 en bij het secretariaat ingeboekt op 15 april 2009 onder nummer

INBEKOMEN ?1AARI 2018

In D&H: Steller: E. Lodder BMZ Telefoonnummer: 5881 SKK Afdeling: Management ondersteuning In AB: Portefeuillehouder: Kromwijk

Wettelijk kader Uw verzoek valt onder de reikwijdte van de Wob. Voor de relevante Wob-artikelen verwijs ik u naar Bijlage 1.

Ons kenmerk [VERTROUWELIJK] Contactpersoon [VERTROUWELIJK]

Besluit. A. Verzoek om openbaarmaking. B. Relevante bepalingen. Kenmerk: / Betreft: verzoek om openbaarmaking

heeft een schriftelijk verslag van de hoorzitting gemaakt en daarin staat ook dat er geen geluidsopname is.

Vereveningsfonds. Bestuurlijke reactie en nawoord Rekenkamer Amsterdam

Houthoff Buruma T.a.v. A.M.M. Ferwerda en/of A.P. Koburg Postbus BM ROTTERDAM

LIT IE. Door deze brief wordt op de twee door u ingediende Wob-verzoeken besloten.

! GEMEENTE DEM H: I ingftkomf»' Uw kenmerk

Geen leidraad voor inzage dossier Gemeente Amsterdam Stadsdeel West Meldpunt Zorg en Overlast

Aandeelhouderscommissie Eneco

Bijlage 2: Communicatie beveiligingsincidenten

OORDEEL. Het klachtenformulier is gedateerd 13 november 2008 en bij het secretariaat ingeboekt op 17 november 2008 onder nummer

Cluster Sociale Dienstverlening Gemeente Haarlemmermeer

In hoeverre is het ICT-beleid bij de gemeenten Bergen op Zoom, Drimmelen, Halderberge en Moerdijk als doeltreffend en doelmatig aan te merken?

Afdeling bestuursrechtspraak. Behandelend ambtenaar

Datum 31 juli 2015 Onderwerp Eerste deelbesluit wob-verzoek ICT-incidenten. Geachte

Verordening interne en externe klachtbehandeling 2015 gemeente Molenwaard

Rapport. Rapport over een klacht over het college van burgemeester en wethouders van Bodegraven-Reeuwijk. Datum: 4 augustus 2011

Protocol Calamiteiten en geweld

1. Onderwerp van d e klacht Onjuiste interpretatie van ondeugdelijke meetgegevens. 2. Advies van de voorzitter van de commissie.

Wij ontvingen uw brief van 25 augustus 2014 houdende een drietal wettelijke vorderingen tot het verstrekken van inlichtingen.

Regeling Bezwarencommissie personele aangelegenheden Universiteit Twente

Inventarisatie documenten Per onderdeel van uw verzoek vindt een inventarisatie van wel of niet bij RVO.nl aanwezige documenten plaats.

Raadsvoorstel 2003/406

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Reglement inzake de behandeling van bezwaarschriften

REGELING MELDEN VERMOEDEN MISSTAND

Rekenkamercommissie Oostzaan

ONDERZOEKSPROTOCOL REKENKAMERCOMMISSIE WIJK BIJ DUURSTEDE 2018

RAPPORT VAN EEN SPECIFIEK ONDERZOEK NAAR FINANCIËLE ASPECTEN BIJ STICHTING MEERWERF BASISSCHOLEN TE DEN HELDER (41858)

Regeling Vermoeden Misstand Metropoolregio Eindhoven 2016

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Bij de Afdeling zijn beroepschriften binnengekomen tegen uw besluit van 11 april Deze beroepen zijn ingesteld door S. Appel e.a. en J.C. Boes.

Zienswijzen Er is een derde belanghebbende in de gelegenheid gesteld zijn of haar zienswijze te geven over de openbaarmaking van het document.

Klachtenprotocol gemeente Schiedam 2014

Verordening van de gemeenteraad van de gemeente Utrecht houdende regels omtrent de rekenkamer Verordening Rekenkamer Utrecht

Verordening Rekenkamer Utrecht (2013)


Besluit vast te stellen de:

Grondbeleid en grondprijsbeleid Gemeente Weert

Integrale Handhaving. Opzet Quick Scan. Inhoudsopgave. 1. Achtergrond en aanleiding

' '? bestuursrechtspraak

2. Daarnaast heeft de verzoeker het Commissariaat verzocht de kosten van het Wobverzoek

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Algemeen Dagblad T.a.v. Postbus TC ROTTERDAM

ANONIEM BINDEND ADVIES

LEI Plagiaat ongegrond

Reglement van orde voor de rekenkamercommissie gemeente Noordoostpolder Vastgesteld op 1 april Hoofdstuk 1. Algemene bepalingen

KLACHTENREGLEMENT. Unu

Consequenties / risico s Niet van toepassing

Bijlage 1. Modelregeling Melden vermoeden van een misstand

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Rekenkamer Arnhem. Zaaknr: Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy. 16 mei Geachte raadsleden,

Datum collegevergadering : Stuurgroep Datum raadsvergadering : 14 februari Portefeuillehouder : B. Huizing Volgnummer : 9B.

BESLISSING OP BEZWAAR

Onderzoek exploitatie zwembaden in de gemeenten Wassenaar, Voorschoten en Oegstgeest

Samenvatting De verordening van de auditcommissie dient op enkele punten te worden aangepast.

Controleverordening gemeente Papendrecht 2015

Stand van zaken uitvoering aanbevelingen en toezeggingen Rekenkameronderzoek informatievoorziening aan de gemeenteraad over de Wmo en Jeugdhulp

Rapport bij de jaarstukken 2007 provincies Noord-Brabant en Limburg

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Rekenkamercommissie Wijdemeren

Gemeente Amsterdam T.a.v. de gemeenteraad Postbus Amsterdam. Geachte leden van de gemeenteraad,

Klachtenregeling Vogel Bewind

Datum 19 juni 2019 Betreft Besluit op uw Wob-verzoek. Geachte

Hoor- en adviescommissie

RAADSVOORSTEL. Raad 23 februari februari Wob-verzoek informatie DEVO Burger en Bestuur

08 AUG Ministerie van Financiën. Datum. Betreft Besluit Wob-verzoek inzake zbv Backscatter. Geachte!

Privacy statement gebaseerd op de Algemene verordening gegevensbescherming (AVG)

De kaderstellende rol van de raad bij complexe projecten

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Transcriptie:

Gemeente Rotterdam Rekenkamer Rotterdam Website: www.rotterdam.nl E-mail: bbo@rotterdam.nl Inlichtingen: A.B. van de Craats Telefoon: 010 267 20 86 Commissie VOF Ons kenmerk: 17bb4164 Bijlage: Verschillenanalyse en tijdlijn Betreft: Afdoen toezeggingen commissie VOF 13 april 2017 Datum: 15 mei 2017 Geachte leden van de commissie VOF, Afgelopen weken is er regelmatig en constructief contact geweest tussen ambtenaren van de gemeente en de Rekenkamer Rotterdam met betrekking tot het rapport van de Rekenkamer over de informatiebeveiliging van de gemeente. Dit overleg biedt perspectief voor een goede inhoudelijke behandeling van het rapport in uw raad en voor de verdere aanpak op dit dossier. Om te komen tot een goede bespreking, is door de Rekenkamer en de wethouder gezamenlijk een verschillenanalyse opgesteld, waaruit blijkt welke passages uit het rapport door het college ter discussie zijn gesteld en hoe de Rekenkamer deze heeft verwerkt. Deze verschillenanalyse treft u aan in de bijlage. Daarnaast treft u in de bijlage de tijdlijn aan die eveneens in gezamenlijkheid door de Rekenkamer Rotterdam en de wethouder is opgesteld. Zowel de Rekenkamer Rotterdam als de wethouder stellen voor om de toezeggingen die hierover aan uw raad zijn gedaan (kenmerken 17bb3567, 17bb3568, 17bb3570 en 17bb3571) als afgedaan te beschouwen. Met betrekking tot de toezeggingen van de wethouder en de Rekenkamer aangaande het onderzoek naar het lekken van het rapport (kenmerken 17bb3566 en 17bb3572), wordt uw raad mondeling geïnformeerd tijdens de behandeling in de commissie VOF op 18 mei a s. Hoogachtend, Paul Hofstra directeur Rekenkamer Rotterdam Adriaan Visser wethouder Financiën Organisatie Haven Binnenstad en Sport O

Tijdlijn Tijdens de vergadering van de commissie VOF van 20 april jl. hebben de rekenkamer en de wethouder afzonderlijk toegezegd een tijdlijn toe te zenden van onder meer de verschillende versies van de rapportages van het onderzoek informatiebeveiliging die de rekenkamer naar anderen heeft verzonden. Mede om te laten zien dat er gedurende het grootste gedeelte van het rekenkamerproces sprake is van een goede samenwerking hebben we ook voor de tijdlijn samengewerkt. Hieronder hebben we in een tijdlijn de relevante contactmomenten rond het rekenkamerrapport weergegeven: 3 oktober 2016 Overleg tussen rekenkamer, Hoffmann Bedrijfsrecherche, de CISO en directeur IIFO inzake het voornemen van de rekenkamer om pentesten uit te (laten) voeren. 5 oktober 2016 De rekenkamer stuurt de raad een brief met een toelichting op de voorgenomen penetratietesten en in globale zin de wijze waarop deze worden uitgevoerd. Deze brief is tegelijkertijd ter kennisneming naar het college (t.a.v. de heer Visser) en de gemeentesecretaris verzonden. 14 oktober 2016 De rekenkamer, CISO en Hoffmann Bedrijfsrecherche tekenen de vrijwaringsovereenkomst voor de pentesten. 17 en 19 oktober 2016 Hoffmann Bedrijfsrecherche meldt de gemeente per e-mail drie kwetsbaarheden die uit de externe pentest naar voren komen. 26 oktober 2016 Overleg tussen de rekenkamer, Hoffman Bedrijfsrecherche en directeur IIFO inzake de social engineeringtesten (waaronder de inlooptesten). 25-27 oktober 2016 Uitvoering door Hoffmann Bedrijfsrecherche van de interne pentesten. Hierbij is mondeling een vierde kwetsbaarheid gemeld. 28 oktober 2016

De rekenkamer informeert mede op verzoek van de CISO per mail over de uitkomsten van de geautomatiseerde kwetsbaarhedenscan uit de interne pentesten. Daarbij is tevens een globale oplossingsrichting opgenomen. 4 november 2016 De rekenkamer ontvangt de door de directeur IIFO gerekende vrijwaring voor de inlooptesten. 9 en 10 november 2016 De inlooptesten worden door Hoffmann Bedrijfsrecherche uitgevoerd. 26 januari 2017 In de middag wordt op het kantoor van de rekenkamer het geheime technische rapport van Hoffmann Bedrijfsrecherche persoonlijk aan de CISO overhandigd. Daarbij krijgt hij ook het concept van de nota van bevindingen (hierna te noemen: versie AW; gedateerd 26 januari). De formele start van het ambtelijk wederhoor op de nota van bevindingen (versie AW) is meteen daarna. De versie AW wordt verzonden aan de directeur IIFO met een cc aan de CISO. In een begeleidende brief is aangegeven dat het rapport een concept is. Tevens wordt de directeur IIFO gevraagd erop toe te zien dat de vertrouwelijkheid ervan in acht wordt genomen. De directeur IIFO vult deze vertrouwelijkheid in door het rapport uiterst beperkt binnen het concern te delen. 10 februari 2017 Per mail ontvangt de rekenkamer de ambtelijke reactie op de nota van bevindingen. In een begeleidende brief benadrukt directeur IIFO risi o s a het integraal openbaar maken van het gehele rapport. Het zou een uitnodiging voor kwaadwillenden zijn. Er wordt niet specifiek op bepaalde passages of benamingen ingegaan. 13 20 februari 2017 Medewerkers van de rekenkamer verwerken de ambtelijke reactie, wat op verschillende punten in de nota van bevindingen leidt tot aanpassingen, aanvullingen en correcties. Tevens wordt de bestuurlijke nota met de hoofdconclusies en aanbevelingen opgesteld. De bestuurlijke nota en de nota van bevindingen vormen uiteindelijk één document. 21 februari 2017 Er is en overleg tussen rekenkamer, de directeur BCO, de directeur IIFO, de CISO en de gemeentesecretaris, op initiatief van de rekenkamer. De rekenkamer geeft globale inkijk in de mogelijke bestuurlijke oordelen en De aanwezigen vanuit de gemeente wijzen op de risi o s a ope aar aki g en leggen uit waarom. De directeur rekenkamer geeft aan geen formele beletsels te zien om het rapport niet volledig openbaar te maken.

22 februari 2017 De directeur rekenkamer heeft een overleg met wethouder Visser ter vooraankondiging van het bestuurlijk wederhoor. De directeur geeft onder meer een indruk van de belangrijkste bestuurlijke o lusies. De ethouder ijst op de risi o s van openbaarmaking. Hierbij worden expliciet de passages over de burgemeester genoemd en de reden van het risico uitgelegd. 23 februari 2017 Bestuurlijk wederhoor start formeel. Het rapport, bestaande uit de nota van bevindingen en de bestuurlijke nota (hierna te noemen: versie BW; gedateerd 22 februari), wordt per mail verzonden naar het college (t.a.v. de heer Visser) en de directeur van het Veiligheidshuis. In deze versie is het woord burgemeester vervangen voor de term bestuurlijk sleutelfiguur. De versie BW wordt ook cc gemaild naar de directeur IIFO, de CISO en de gemeentesecretaris. De directeur krijgt daarna een overzichtstabel toegezonden, waarin per gemaakte opmerking is aangegeven hoe de rekenkamer daarmee is omgegaan. Bij de toezending van de versie BW is in een begeleidende brief aangegeven dat het rapport ertrou elijk ordt erstrekt. Ook staat er: Het e at oorlopige o derzoeksresultate, o lusies en aanbevelingen. De rekenkamer moet haar definitieve standpunt nog bepalen. Het bekend worden van voorlopige resultaten zou geen recht doen aan de belangen van betrokkenen. Ik verzoek u eraa ij te drage dat deze ertrou elijkheid geha dhaafd lijft. 27 februari 2017 Het hoofd Financial Audit (Adri Hoogvliet) verzoekt de rekenkamer, met in achtneming van de vertrouwelijkheid, om het rapport. De versie BW wordt naar hem gemaild. 1 maart 2017 Het hoofd Financial audit wijst de rekenkamer op enkele foute bronvermeldingen. Dit wordt meteen gecorrigeerd (hierna te noemen: versie BW_1). 8 maart 2017 De directeur rekenkamer heeft een gesprek met de burgemeester en wethouder Visser. Hierin wordt gewezen op ertrou elijkheid, a ege er ee de risi o s. Aanvullend op voorgaande keren, wordt gesproken over het gevaar van het prijsgeven van de modus operandi en het minutieus beschrijven van applicaties en beveiligingsmaatregelen. Zoals afgesproken wordt In de middag bij de rekenkamer een USB-stick afgeleverd met daarop het rapport. Daarin zijn de passages die volgens het college een risico voor openbaarheid vormen, geel gemarkeerd, zonder de eerdere toelichting.

10 maart 2017 Medewerkers van de rekenkamer voeren naar aanleiding van de geel gemarkeerde passages wijzigingen door (hierna te noemen: versie BW_2; gedateerd 10 maart). 13 maart 2017 De teammanager van de rekenkamer stuurt een mail naar de directeur IIFO en de CISO, waarin de door de rekenkamer gehanteerde criteria om te bepalen of een bepaalde passage al dan niet in de voorgenomen vorm openbaar dient te blijven, wordt beschreven. Ook wordt aangegeven waar in het rapport wijzigingen zijn doorgevoerd op basis van de eerder aangeleverde geel gearceerde passages. De gewijzigde rapportage (hierna te noemen: versie BW_2) wordt aan de directeur IIFO en CISO gemaild. 17 maart 2017 De teammanager van de rekenkamer krijgt vanuit IIFO een mail met daarin een waarschuwing tegen openbaar maken van het rapport. Er worden verschillende passages aangehaald, nu wél met een toelichting. Naar aanleiding van deze toelichting is nog een kleine wijziging in de beschrijving van de applicaties doorgevoerd (hierna te noemen: versie BW_3; gedateerd 24 maart). 22 maart 2017 De rekenkamer ontvangt van het college de bestuurlijke reactie waarop een embargo berust en waarop geheim staat. Het college is van oordeel dat het rapport zoals nu voorligt op deze wijze niet gepubliceerd kan worden. Bij de reactie zit een brief aan de raad, waarin de raad verzocht wordt, de rekenkamer opdracht te geven het rapport vertrouwelijk te behandelen of anders te formuleren. De brief aan de raad geeft een niet uitputtende lijst van passages die risicovol zijn en waarom. Deze brief wordt verzonden, als de rekenkamer vasthoudt aan publicatie, zo geeft het college de rekenkamer aan. 23 maart 2017 De rekenkamer stuurt de raad een brief, waarin het de gang van zaken beschrijft en uitlegt waarom zij voor openbaarheid in de huidige vorm kiest. Ook geeft zij aan het voornemen te hebben 5 april te publiceren. De brief gaat cc naar het college. 24 maart 2017 Versie BW_3 wordt op verzoek naar IIFO gemaild. De CISO vraagt Fox-IT om een second opinion op het risico van het openbaar maken van de geel gearceerde passages uit het concept rekenkamerrapport.

27 maart 2017 De Autoriteit Persoonsgegevens ontvangt op haar verzoek het conceptrapport van de rekenkamer. Versie BW_3 met het voorwoord (hierna: versie voorwoord) wordt per koerier naar de AP gebracht. Hierover worden de CISO en directeur IIFO de dag erna per mail geïnformeerd. Op verzoek en ter voorbereiding op een interview ontvangt de Volkskrant het rapport (versie voorwoord) onder embargo. Het embargo gold tot 5 april 16.00. 28 maart 2017 Fox- IT stuurt hun second opinion waarin zij aangeven dat het niet wenselijk is het rapport in deze vorm openbaar te maken. 29 maart 2017 De directeur Rekenkamer mailt het rapport, versie voorwoord, in vertrouwen naar de extern accountant van de gemeente. 30 maart 2017 De CISO vraagt het IBD (InformatieBeveiligingsDienst VNG/KING) om een second opinion op het risico van het openbaar maken van de geel gearceerde passages uit het concept rekenkamerrapport. De directeur stuurt vanwege voorgenomen opnames het rapport (versie voorwoord) onder embargo naar Nieuwsuur. Het embargo gold tot 5 april 16.00. 31 maart 2017 Het rapport is volledig opgemaakt en wordt door de directeur Rekenkamer definitief vastgesteld (hierna te noemen: definitieve versie 5 april). Het voornemen is de raad en het college deze versie maandagochtend 3 april onder embargo (aflopend 5 april 16.00) te doen toekomen, waarna publicatie op 5 april volgt. Tot dan toe heeft het college formeel gesproken enkel conceptversies gezien. De rekenkamer ontvangt in de avond een brief met een bezwaarschrift tegen openbaarmaking, onder dreiging van een kort geding. Bij het bezwaarschrift is het rapport gevoegd, met daarin de voor openbaarheid bestreden passages gearceerd (versie BW_3). Ook is een advies van Fox IT gevoegd, waarin het niet openbaar maken van vele passages wordt geadviseerd, zonder nadere specificatie en toelichting (op één plaatje na).

Het IBD stuurt hun second opinion waarin zij adviseren de hoofdstukken 5 en 6 (en de conclusies uit diezelfde hoofdstukken) niet te openbaren zonder maatregelen die de toegang tot de informatie door kwaadwillenden beperken. 1 april 2017 In het kader van de juridische procedure stuurt de rekenkamer het rapport (definitieve versie 5 april) naar de plaatsvervangend directeur van de rekenkamer en naar de advocaat van de rekenkamer. 3 april 2017 De rekenkamer stuurt als reactie op het bezwaarschrift een brief naar het college, waarin het aangeeft de op 5 april voorgenomen publicatie uit te stellen, zich te beraden op de adviezen van Fox IT en technisch overleg te zullen voeren. De rekenkamer stuurt een uitnodiging naar de CISO om 7 april samen het rapport door te nemen. In de middag ontvangt de directeur Rekenkamer een mail van de burgemeester, nu met daarbij een advies van de IBD. Het advies van de IBD is veel verstrekkender dan van Fox IT (geheel H 5 en 6 + alle bijbehorende conclusies). De burgemeester geeft aan dat het college er vanuit gaat dat de aangekondigde publicatie van het rapport over de Informatiebeveiliging door de rekenkamer is uitgesteld. Publicatie kan pas plaatsvinden nadat het college en de burgemeester door de rekenkamer in de gelegenheid zijn gesteld rechtsmiddelen aan te wenden. De directeur rekenkamer stuurt een mail naar de burgemeester, waarin hij aangeeft dat er een gerede kans op lekken bestaat, nu het college zonder zijn toestemming het nog vertrouwelijke conceptrapport aan derden verstrekt. Medewerkers van de rekenkamer nemen nog eens systematisch de door het college gewraakte passages door, met gebruikmaking van input van Hoffman. Op verschillende plaatsen worden aanpassingen doorgevoerd. Het nawoord wordt op de nieuwe situatie aangepast. Dit leidt tot een aangepaste definitieve versie (wat later blijkt te worden de definitieve versie 6 april). 5 april 2017 Voorgenomen publicatiedatum van het rekenkamerrapport. De directeur Rekenkamer informeert de gemeentesecretaris telefonisch dat hij vernomen heeft dat het vertrouwelijke rekenkamerrapport door de Volkskrant in een artikel geciteerd gaat worden. 6 april 2017 De Volkskrant publiceert over het nog vertrouwelijke rapport.

Het college stuurt om 13.00 een brief waarin het de rekenkamer dringend vraagt het rapport, zonder de gewraakte passages, dezelfde dag openbaar te maken. Ook kondigt het college aan zijn bestuurlijke reactie al naar de raad te sturen en daarmee openbaar te maken. De rekenkamer stuurt per omgaande een brief terug, waarin het aangeeft dat het de verantwoordelijkheid van het college is dat het in het openbaar reageert op vertrouwelijke informatie en dat de rekenkamer zelf bepaalt wanneer het zijn eigen rapporten openbaart. Om 16.30 publiceert de rekenkamer het aangepaste rapport (definitieve versie 6 april). 13 april 2017 Cie VOF bespreking proces met de rekenkamer

De gemeente heeft de rekenkamer een document overhandigd, met daarin diverse passages geel gearceerd, waarvan het college van oordeel is dat die in die vorm niet openbaar gemaakt zouden moete worden. Hierop heeft de rekenkamer wijzigingen doorgevoerd. In een later stadium zijn aanpassingen gedaan in een voorgenomen publicatieversie. Hieronder worden de bestreden passages benoemd, waarbij staat of en hoe de rekenkamer deze heeft aangepast: Pagina gepubliceerde versie door college bestreden verwerking rekenkamer passage p 12, 2 e bullet onder a ee oudig Ongewijzigd blijven staan p12, 2 e bullet onder a een beschrijving van zes geschrapt woorden hoe toegang is verkregen p 12, 3 e bullet onder a twee zinnen waarin summier geschrapt werd beschreven waardoor toegang kon worden verkregen p 12, 4 e bullet onder a gehele bullet blijven staan p 12, 2 e bullet onder b Ee aal i e as er. blijven staan, behalve dat minder concreet is aangegeven waar de onderzoekers konden komen is ge orde : ge oelige lo aties p 12, 2 e bullet onder c Gehele passage aangepast: onder meer is de term lokmiddelen gebruikt ipv het werkelijke device; het exacte aantal medewerkers dat de lokmiddelen heeft gebruikt, is geschrapt. p 13, 2 e bullet onder 3 Met i zi ht i de age da a ee In eerste instantie was urge eester er a ge door estuurlijk sleutelfiguur. Uitei delijk is het estuurder p. 15, 1 e bullet onder 6 Enige informatie over de inhoud van applicaties dan wel over de organisatieonderdelen die het systeem gebruiken. p 15, 6 e bullet onder 6, 1 e zin ordt ij test erkzaa hede gewerkt met geanonimiseerde data. geworden. In de eerste ronde wijzigingen heeft de rekenkamer de benamingen van specifieke applicaties met een hoofdletter geanonimiseerd. Om volledig consequent te zijn, zijn de bestreden zinsneden geschrapt. Blijven staan. Wel is geschrapt bij welke applicaties dat wel is gebeurd en is in plaats daarvan

p 16, 4 e bullet onder 7 Een voorbeeld van een technische maatregel is aangegeven dat het niet bij alle applicaties gebeurt. Geschrapt. Was voor de onderbouwing van de conclusie niet strikt noodzakelijk p 59, 3 e cursieve alinea Een passage waarin staat bij hoeveel applicaties het aan periodieke controles ontbreekt. Geschrapt, omdat ook kon worden volstaan met de (niet bestreden) zin daar vlak voor de ate aari ers hilt. p. 59, laatste cursieve alinea Gehele passage Ongewijzigd blijven staan. p. 59, 5-3-1, eind eerste alinea verschillende passages waarin tamelijk uitvoerig de functie van de vijf onderzochte applicaties wordt beschreven, het aantal gebruikers en de wijze van gebruik, de aard van de opgeslagen gegevens etc. p. 62, 2 e alinea Deze o trole.. toegeke de autorisaties p. 62, 3 e alinea De exacte benoeming van de frequentie waarmee wachtwoorden moeten worden vervangen. p. 62 Een alinea over het onderscheid in soorten rollen in het autorisatiemanagement. Aangepast. De oorspronkelijke passages waren bedoeld om duidelijk te maken dat het hier daadwerkelijk om uiterst ela grijke koo ju ele gaat en het in zekere zin vitale applicaties zijn. Met de uiteindelijk gebruikte for uleri g I deze syste e ordt. ho derde ede erkers raadpleeg aar kan dit ook worden gedaan Ongewijzigd blijven staan. Aangepast; in plaats van het aantal maanden is nu aa gege e ee te korte periode Geschrapt. Het betrof een alinea die voor de oordeelsvorming en de conclusies niet strikt noodzakelijk was. p. 62, eind 5-3-4 Een zin met informatie over De zin is aangepast en in meer het in de gaten houden van in algemene termen hackpogingen. gefor uleerd Dit ordt iet stru tureel ge o itord. p. 65 e.v. De gehele paragraaf 5-3-9 Ongewijzigd blijven staan. p. 69, kopje syste e lekke i for atie p. 69-70, kopje o eilige logi pagina s p. 70, kopje cross site s ripti g Een deels geblurd screenshot van een foutmelding op internet met begeleidende tekst Een deels geblurd screenshot van een onveilige login pagina Een deels geblurd screenshot van een uitgevoerde cross injectie. Geschrapt. Het screenshot was louter ter illustratie en niet strikt Geschrapt. Het screenshot was louter ter illustratie en niet strikt Geschrapt. Het screenshot was louter ter illustratie en niet

strikt p. 70-71 Gehele eerste cursieve alinea. Deze cruciale concluderende alinea is zo goed als ongewijzigd gebleven. Enkele kleine wijzigingen zijn aangepast om de tekst te laten aansluiten op de wijzigingen op pagina 12. p. 71 Gehele tweede cursieve alinea. p. 71, 1 e alinea Aantallen kwetsbaarheden en dat die gebruikt zijn om binnen te dringen. Deze cruciale concluderende alinea is volledig ongewijzigd gebleven. Enkele niet per se noodzakelijke aantallen zijn geschrapt, alsook het feit dat de pentesters de kwetsbaarheden hebben is ruikt. p. 71 Volledige 2 e en 3 e alinea Er is een zin over hoe de pentesters elders verder hadden gekund, geschrapt. p. 71 Gehele tekst onder kopje k ets aarhede i ITi frastru tuur p. 71 Gehele tekst onder kopje gee et erkauthe ti atie Nagenoeg ongewijzigd gebleven. Wel is een achteraf niet noodzakelijke samenvattende tabel geschrapt. Ook is de laatste zin Ee adere o der ou i g. ertrou elijk lijft toegevoegd. Enkele algemeen geformuleerde zinnen waaruit blijkt hoe een hacker hier gebruik van kan maken, zijn geschrapt. Deze waren ter illustratie en niet noodzakelijk voor de oordeelsvorming. p. 71 e.v. Gehele tekst onder kopje o oldoe de filteri g Waarom geen netwerkauthenticatie een probleem is en dat dit reeds in 2015 bekend was, is blijven staan. Enkele algemeen geformuleerde zinnen waaruit blijkt hoe pentesters hier gebruik van kunnen en konden maken, zijn geschrapt. Deze waren ter illustratie en niet oordeelsvorming.

p. 72 Gehele tekst onder kopje eperkte e eiligi g erkstatio s Waarom onvoldoende filtering een probleem is en dat dit reeds in 2015 bekend was en wat de gemeente zegt er tegen te hebben gedaan, is blijven staan. Enkele algemeen geformuleerde zinnen waaruit blijkt hoe pentesters hier gebruik van kunnen en konden maken, zijn geschrapt. Deze waren ter illustratie en niet oordeelsvorming. Waarom beperkte beveiliging van werkstations een probleem is en dat dit reeds in 2015 bekend was, is blijven staan. p. 72 Gehele tekst onder kopje erouderde syste e e appli aties Verder is een grotendeels geblurd screenshot van het bespieden bij het opstellen van een mail, geschrapt. Deze was louter ter illustratie en niet strikt Bestuurlijk sleutelfiguur is er a ge door estuurder. Verder is de tekst ongewijzigd gebleven. Wel is het grotendeels geblurde screenshot geschrapt. Deze was louter ter illustratie en niet strikt p. 72 Alle drie ursie e ali ea s. Deze o ludere de ali ea s zijn grotendeels in tact gebleven. Wel zijn enkele kleine aanpassingen verricht om de teksten te laten aansluiten bij de wijzigingen op p. 12 en 13. Verder is in de derde alinea geschrapt waarom het openen van een verdachte link niet tot verdere schade leidde.

p. 72 Laatst alinea over waaruit de social engineering test bestond p. 73 Gehele tekst onder kopje i loopteste p. 73 Gehele tekst onder a htergelate lok iddele p. 73 Gehele tekst o der spear phishi g ails p. 73, onderaan, p. 74 Het alge e e eeld uit het door i e de ge ee te k ets aar p. 74, 1 e alinea Mede erkers lijke a de ge ee te i. p. 74, 2 e alinea lijkt het relatief ee oudig. erkeersorde fli k verstore Geheel ongewijzigd gebleven. De tekst is in die zin aangepast, dat minder in detail is beschreven in wat voor ruimtes de onderzoekers kwamen, wat zij daar tegen kwamen en wat ze hadden kunnen doen. Dat is nu in meer algemene en aanzienlijk kortere bewoordingen beschreven. Een foto van een van de ruimtes is geschrapt. Deze was louter ter illustratie en niet strikt De tekst is op onderdelen aangepast. Zo is onder meer de term lokmiddelen gebruikt ipv het werkelijke device; het exacte aantal medewerkers dat de lokmiddelen heeft gebruikt of ingeleverd, is geschrapt. Grotendeels blijven staan. Alleen de zinsnede waarom er geen schade ontstond, is geschrapt. Een screenshot van een verstuurde phishing mail is geschrapt. Deze was louter ter illustratie en niet strikt Deze concluderende alinea, bestuurlijke nota, is ongewijzigd gebleven. Deze concluderende alinea, bestuurlijke nota, is ongewijzigd gebleven. Deze beschouwende alinea, bestuurlijke nota, is ongewijzigd gebleven.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback