Neem contact op
Security Publieke sector

Gemeentelijke beveiligingsfouten: Hoe veilig is jouw stadhuis?

Anthonius Biervliet
Placeholder for Anthonius BiervlietAnthonius Biervliet

Anthonius Biervliet , Account Executive , Nomios Nederland

4 min. leestijd
Placeholder for Receptioniste gemeente controleert idReceptioniste gemeente controleert id

Share

Terwijl gemeenten steeds meer investeren in digitale beveiliging, blijkt hun fysieke toegangsbeveiliging vaak verrassend kwetsbaar. Mijn ervaringen bij verschillende grote gemeentehuizen tonen aan dat onbevoegden relatief eenvoudig kunnen binnendringen in delen van het gebouw waar ze niet horen te komen. Dit brengt niet alleen gevoelige informatie in gevaar, maar vormt ook een gigantisch risico voor de meest belangrijke, dan wel kritieke assets van een gemeente: de medewerkers en burgers.

Een recent incident bij een van de Nederlandse top 5-gemeenten illustreert dit probleem. Ik meldde me bij de receptie met de bewering dat ik een afspraak had. Door aan te geven naar het toilet te moeten, kreeg ik zonder verificatie toegang tot afgesloten delen van het gebouw. De receptioniste/beveiligingsmedewerker liet me direct door. Mijn naam stond op de lijst, echter werd er niet om mijn identificatie gevraagd. Maar iedereen kan beweren Anthonius Biervliet zijn. Vervolgens had ik de mogelijkheid om vrij door het hele gebouw te lopen, inclusief afdelingen met gevoelige informatie. Het frappante was, toen ik terugliep van mijn toiletbezoek en mijn contactpersoon en zijn collega zag staan, dat ik kon aangeven dat zij naar binnen konden komen. Ik stond namelijk al aan de andere kant van het poortje met een glimlach.

Na afloop van het gesprek, wat nota bene over het beter beveiligen van de gemeente ging, attendeerde ik hem op wat er was gebeurd. Hij was verbijsterd, waarna ik een gesprek had met de beveiligingsmedewerker om aan te geven wat het interne beleid is en hoe zij hier beter mee om kon gaan. Gelukkig heb ik geen kwaadwillende bedoelingen. Stellig werd er aangegeven dat zij het protocol volgde en dat haar enige taak was om de contactpersoon te contacteren. Helaas mondde dat gesprek niet uit tot andere inzichten.

Nog zorgwekkender was wat er gebeurde bij een andere grote gemeente. Hier ontdekte het security-team niet alleen dezelfde gebrekkige toegangscontrole, maar stuitte het ook op een onbeveiligd en onbemand computersysteem voor toegangspassen. We konden bij het systeem dat gebruikt werd voor het maken van personeelspassen. Aangezien we een afspraak hadden met de CISO, vonden we het interessant om eens uit te zoeken tot welke informatie we beschikking konden krijgen om dit met hem te delen. Zie het maar als een ethische hack. Met toestemming van hem mocht ik onze bevindingen met jullie delen.

Schrikbarend genoeg konden we persoonsgegevens en informatie inzien van het netwerk, konden we nieuwe passen aanmaken en zelfs bestaande wachtwoorden wijzigen - inclusief die van de CISO zelf.

Deze voorbeelden zijn geen uitzonderingen. Ze illustreren een breder patroon waarbij fysieke toegangsbeveiliging minder prioriteit krijgt dan digitale beveiliging. Maar zoals deze gevallen aantonen, kunnen de gevolgen van gebrekkige toegangscontrole ver gaan.

Richtlijnen vs. realiteit

Het probleem zit niet in een gebrek aan richtlijnen. De Baseline Informatiebeveiliging Overheid (BIO) schrijft duidelijk voor hoe toegangsbeveiliging geregeld moet worden. Onder punt 9 staat expliciet dat er een formeel proces moet zijn voor gebruikersregistratie en toegangscontrole. Ook moet de echtheid van identiteit worden vastgesteld voordat iemand toegang krijgt tot beveiligde ruimtes.

Toch blijkt in de praktijk dat deze richtlijnen vaak niet worden nageleefd. Het is een kwestie van prioriteiten. Gemeenten denken vaak: de kans dat hier iets gebeurt is klein. Zij vergeten dat één incident catastrofale gevolgen kan hebben. Deze houding zien we bij veel lokale overheden terug. Tijdens gesprekken met beveiligingsmedewerkers horen we regelmatig dat er intern wel wordt gewaarschuwd voor de risico's, maar dat er weinig mee gebeurt.

Dit staat in schril contrast met ministeries, waar fysieke toegangscontrole veel strikter wordt gehanteerd. Daar kom je zonder geldig ID en verificatie van je afspraak het gebouw niet binnen. Bovendien krijg je als bezoeker een tijdelijke toegangspas en word je begeleid door je contactpersoon. Het verschil in aanpak is opvallend: waar ministeries werken met meerdere beveiligingslagen, vertrouwen veel gemeenten nog te vaak op een mondeling gesprek.

Van bewustwording naar actie

Hoe kunnen gemeenten hun fysieke toegangsbeveiliging verbeteren? De oplossing ligt in het implementeren van meerdere beveiligingslagen, vergelijkbaar met hoe we digitale systemen beschermen. Dit begint bij de basis: een gedegen verificatieproces bij binnenkomst.

Een effectief toegangsbeleid bestaat uit minimaal drie controlestappen:

  1. Eerst moet de identiteit van de bezoeker worden gecontroleerd aan de hand van een geldig identiteitsbewijs.
  2. Vervolgens wordt de afspraak geverifieerd door contact op te nemen met de contactpersoon.
  3. Tot slot krijgt de bezoeker een tijdelijke toegangspas en wordt deze begeleid naar de bestemming.

Maar beleid alleen is niet genoeg. Het moet ook worden nageleefd en regelmatig gecontroleerd. Dit kan door mystery guests in te zetten of door periodieke beveiligingstests uit te voeren. Net zoals penetratietests uitvoeren op digitale systemen, moet je ook de fysieke beveiliging testen. Alleen zo ontdek je waar de zwakke plekken zitten.

Een belangrijk onderdeel is het trainen van receptie- en beveiligingsmedewerkers. Zij moeten niet alleen het beleid kennen, maar ook begrijpen waarom deze maatregelen zo belangrijk zijn. Het gaat niet om wantrouwen, maar om de bescherming van medewerkers, burgers en gevoelige informatie.

Een veilig gemeentehuis voor iedereen

De beveiliging van gemeentegebouwen verdient dezelfde prioriteit als digitale beveiliging. Het gaat niet om het creëren van een ontoegankelijke vesting - gemeentehuizen moeten immers gastvrij en toegankelijk blijven voor burgers. Het gaat om het vinden van de juiste balans tussen toegankelijkheid en veiligheid.

Gemeenten die hun fysieke toegangsbeveiliging willen verbeteren, hoeven het wiel niet opnieuw uit te vinden. De succesvolle aanpak van ministeries en andere overheidsinstanties kan als voorbeeld dienen. Door nu te investeren in gedegen toegangscontrole en het trainen van medewerkers, kunnen we voorkomen dat er eerst een ernstig incident moet plaatsvinden voordat er actie wordt ondernomen.

Want uiteindelijk draait het om één simpel feit: een gemeentehuis moet een veilige omgeving zijn - voor medewerkers én burgers. Laten we niet wachten tot het misgaat, maar nu handelen om de fysieke toegangsbeveiliging naar hetzelfde niveau te tillen als onze digitale beveiliging.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates

Placeholder for Overbelast netwerkteamOverbelast netwerkteam
Juniper Networks

Netwerkbeheer Mist AI

Overbelast netwerkteam? 3 signalen dat het tijd is voor ondersteuning

IT-teams staan vaak onder druk. Maar liefst 85,8% van de organisaties kampt met een tekort aan gekwalificeerd IT-personeel. Dit personeelstekort, gecombineerd met de toenemende complexiteit van moderne netwerken, zorgt voor een werkdruk die blijft stijgen.

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar

6 min. leestijd
Placeholder for Nomios Buzz Nokia AntwerpNomios Buzz Nokia Antwerp
Nokia

Netwerkinfrastructuur

Connecting Europe Tour - GÉANT

Welkom bij "The Connecting Europe Tour"! Sluit je aan bij Nat en Fraser, twee jonge en nieuwsgierige ondernemers op een spannende reis door Europa, terwijl ze zich verdiepen in de wereld van geavanceerde technologie en innovatie.

3 min. leestijd
Placeholder for Hospitality cybersecurityHospitality cybersecurity

Cybersecurity Hospitality

Bescherm je hotel en gasten met een sterke cybersecuritystrategie

Hotels en accommodaties verwerken dagelijks gevoelige data en zijn een aantrekkelijk doelwit voor cybercriminelen. Ontdek hoe je met een sterke cybersecuritystrategie je hotel en gasten beschermt tegen datalekken, ransomware en andere dreigingen.

Marcel Hoogendoorn
Placeholder for Marcel HoogendoornMarcel Hoogendoorn

Marcel Hoogendoorn

3 min. leestijd
 Alle artikelen