Nieuwegein
Aan De raad van de gemeente Nieuwegein Onderwerp Beantwoording brief ex art. 42 RvO van de fracties Trots en Leefbaar Nieuwegein dd 15-10-2012 inzake certificaat GNG-Intranet (zie 2 112375). Afdeling Griffie
2 012-41
Datum 14 november 2012 Portefeuillehouder F.T.J.M. Backhuijs
Bijlagen
f b-> \\ &&■ b P o s t b u s 1 3 4 3 0 AA
Bezoekadres
Stadspls
LZ
wv\
vegein.nl
B a n k N e d e r l a n d s e G e m e e n t e n 28 50 0 4 387
2 012-416 Nieuwegein
Support
Contactp' srsoon:
Pieter v a n d e r Hooc
Telefoon:
030-6071200
Fax:
030-6053459
E-mail:
[email protected]
Gemeenteraadsfracties Leefbaar Nieuwegeinoatum: en Trots op Nederland Kenmerk: Onderwerp: mevrouw 3. Verbeek-Beverwijk Ringslangweide 16 3437 VE NIEUWEGEIN
29 o k t o b e r 2 0 1 2
Ai
,,
Brief e x . a r t i k e l 42 RvO inzake c e r t i f i c a a t GNGIntranet
VERZONDEH 9 8 NOV. 2012 Geachte mevrouw Verbeek,
Wij ontvingen uw brief van 15 oktober 2012 waarin u en uw collega, de heer J.T.G. Rijnders van Fractie Trots op Nederland, vragen stellen ex art. 42 RvO m.b.t. het certificaat van GNG-Intranet. Hieronder vindt u de door u gestelde 8 vragen met daarl ij onze antwoorden, waarbij wij onze waardering uitspreken voor uw pmerkzaamheid. 1.
Uiteraard is er een budget v oor de afdeling automatisering voor aankoop v an certificaten en licenties, is er in de afgelopen jaren dit bedrag uit de begr ting weg en?
Antwoord: Er is geen bedrag voor verlenging van certificaten of licenties weggelaten uit de begroting. Integendeel het beschikbare budget is de afgelopen jaren verhoogd. 2.
Zo nee, kunnen we v erwachten komt?
dat hierop nog een correctie
Antwoord: Niet van toepassing, zie antwoord 1 3.
Kan dit betekenen dat de afdeling automatisering v o er de afgelopen 5 jaar geen v erlenging heeft betaald, of illegaal gebruikt heeft gemaakt v an een v erlopen certificaat?
Antwoord: Er is geen sprake van illegaal gebruik. Ook is er geen sprake van niet betalen. Het betreft hier namelijk een intern gegenereerd SSL certificaat waaraan geen kosten zijn verbonden.
Bladnummer Kenmerk Onderwerp
Brief e x . a r t i k e l 42 RvO i n z a k e p r i v a c y p r o t o c o l iPad
In het vorige gemeentehuis is jaren geleden een ACS server geïnstalleerd om een pilot te kunnen uitvoeren voor een Wi-Fi netwerk. Dit was bedoeld om de technologie te kunnen evalueren. Dat draadloze netwerk was op zeer beperkte schaal bereikbaar. In het nieuwe Stadshuis zijn bij de verhuizing 3 Wi-Fi netwerken in productie genomen en beschikbaar gesteld binnen het gehele gebouw. Bij de verhuizing is verzuimd om actief naar de status van het certificaat voor de ACS server te kijken. Daarmee is het gebruik van het certificaat verouderd en niet (zelf) verlengd. 4.
Kan het zijn doordat er gewerkt wordt met een certificaat die niet aan de huidige digitale tijd is aangepast dat er een concreet gevaar is voor besmetting van buitenaf van het systeem, gelet op de ex art.42 RvO van de PvdA nr. 2012-331 vraag 7, vraag 9, en vraag 11, met deze vragen in gedachte nemende dat met name de Gemeente Nieuwegein zich veilig waant en er niet extra is nagedacht omdat ook hier een beveiligingsrisico optreedt door een zwaar verouderde certificaat te gebruiken?
Antwoord: Het is nagen | uitgesloten dat het z.g. Dorifel incident veroorzaa is door het verouderd certificaat an de ACS server. De ACS server zorgt er enkel voor dat het aangaan van een verbinding met het betrokken netwerk op een veilige manier gebeurt. Het zegt verder niets over toegangsrechten daarop. Het GNG-Intranet is alleen toegankelijk voor medewerkers met een geldige login en wachtwoord, die daarnaast geautoriseerd zijn voor extern gebruik van het gemeentelijke netwerk. Inzake de Dorifel besmetting zou het dan hebben moeten gaan om het doelbewust doen van een poging tot inbraak op het netwerk via Wi-Fi binnen het Stadshuis zelf. Gezien het feit dat het Dorifel virus tegelijkertijd bij vele organisaties in de wereld actief werd, mag aangenomen worden dat de besmetting op een andere wijze heeft plaatsgevonden. Vind er periodiek een audit plaats op het gebruik van certificaten op kritische en niet kritische ICT systemen? Antwoord: Alle aangeschafte (externe) of zelf gegenereerde (interne) certificaten zijn opgenomen in een beheersysteem van de gemeente. Daarmee worden we tijdig gewaarschuwd als de geldigheid van een certificaat verloopt. Gaar is dit certificaat nu ook aan toegevoegd
2012-41 Nieuwegein
Bladnummer
3/4
Kenmerk Onderwerp
B r i e f ex
artikel 42
vO in
ike privacy
p r o t o c o l iPad
6.
Is het ondertussen wenselijk om een ICT scan uit te voeren op alle digitale systemen die de gemeente Nieuwegein gebruikt? dit is eerder al gevraagd door Leefbaar Nieuwegein maar niet opgevolgd.!!
Antwoord: ICT scans zijn er in vele soorten en maten. In januari heeft de gemeente een uitgebreide externe scan van systemen laten plaatsvinden. Dit was met goed gevolg. In 2013 zal de gemeente - verplicht - een uitgebreide scan en audit laten plaatsvinden op alle diensten die van DigiD gebruik maken. Deze werden overigens in januari 2012 al meegenomen. Informatiebeveiliging wordt landelijk, maar ook zeker binnen onze gemeente, in toenemende mate uitgevoerd en aangescherpt. LI mag in de komende jaren verwachten dat er onder meer structureel meer aandacht aan beveiligingsscans zal worden besteed. Kunnen we verwachten dat het GNG-intranet netwerk in een zo kort mogelijke tijd ge-upgrade wordt naar een huidige versie die wel ondersteund wordt door Cisco en die overeenkomt aan de gestelde doelen zoals verwoord in de programmabegroting? Antwoord: Het betreffende certificaat is een intern, door onszelf te genereren certificaat. De vervanging heeft inmiddels plaatsgevonden. 8.
Hoe staat het met de licenties die betaald moeten worden voor het gebruik van een certificaat (naar het aantal gebruikers ervan, of een afkoopsom voor het gehele bedrijf)?
Antwoord: De aanschaf van een up to date en geldig certificaat is een eenmalig bedrag voor een bepaalde periode. Certificaten zijn niet gekoppeld aan aantallen gebruikers. Afkoop is niet van toepassing, er zijn vele certificaten voor allerlei specifieke doeleinden. In dit geval was de vervanging kosteloos.
Bladnummer
4/4
Kenmerk Onderwerp
Brief ex. artikel 4 2 RvO inzake privacy protocol iPad
Wij hopen u hiermee voldoende te hebben geïnformeerd. Een gelijkluidende brief hebben wij gezonden aan de mede-indiener van de vragen.
Met vriendelijke groet, burgemeester en wethouders,
drs. P.C.M, van Elteren secretaris
F.T.J.M. Backhuijs burgemeester
rU^ Y \ «.»<>» Postbus 1 3430 AA
Bezoekadres Stadsplein 1 3431 LZ
www.nieuwegein.nl
Bank Nederlandse Gemeenten 28 50 04 387
Nieuwegein
18 ^
2012-416 Support
Contactpi srsoon:
Pieter v a n d e r Hoog
Telefoon:
030-6071200
Fax:
030-6053459
E-mail:
[email protected]
Gemeenteraadsfracties Leefbaar Nieuwegeinnatum: Kenm rk: en Trots op Nederland Onderwerp: De heer J.T.C Rijnders Dukatenburg 44b 3437 AD NIEUWEGEIN
29
:ober 2012
Brief ex. artikel 42 RvO inzake certificaat GNGIntranet
VERZONDEN 0 8 NOV. 2012 Geachte heer Rijnders,
ij ontvingen uw brief van 15 oktober 2012 waarin u en uw collega, mevrouw Verbeek van Fractie Leefbaar Nieuwegein, vragen stellen ex art. 42 RvO m.b.t. het certificaat van GNG-In ranet. Hieronder vindt u de door u gestelde 8 vragen met daarbij onze antwoorden, waarbij wij oize waardering uitspreken voor uw opmerkzaamheid. 1.
'iteraard is er een budget voor de afdeling automatisering voor aankoop van certificaten en licenties, is er in de afgelopen jaren dit bedrag uit de begroting wegc )laten?
Antwoord: Er is geen bedrag voor verlenging van certificaten of licenties weggelaten uit de begroting. Integendeel het beschikbare budget is de afgelopen jaren verhoogd. 2.
Zo nee, kunnen we verwachten komt?
dat hierop nog een correctie
Antwoord: Niet van toepassing, zie antwoord 1. 3.
Kan dit betekenen dat de afdeling automatisering over de afgelopen 5 jaar geen verlenging heeft betaald, of illegaal gebruikt heeft gemaakt van een verlopen certificaat?
Antwoord: Er is geen sprake van illegaal gebruik, Ook is er geen sprake van niet betalen. Het betreft hier namelijk een intern gegenereerd SSL certificaat waaraan geen kosten zijn verbonden.
Bladnummer
2./A
Kenmerk Onderwerp
Brief e x . a r t i k e l 42 RvO i n z a k e p r i v a c y p r o t o c o l iPad
In het vorige gemeentehuis is jaren geleden een ACS server geïnstalleerd om een pilot te kunnen uitvoeren voor een Wi-Fi netwerk. Dit was bedoeld om de technologie te kunnen evalueren. Dat draadloze netwerk was op zeer beperkte schaal bereikbaar. In het nieuwe Stadshuis zijn bij de verhuizing 3 Wi-Fi netwerken in productie genomen en beschikbaar gesteld binnen het gehele gebouw. ij de verhuizing is verzuimd om ad ief naar de status van het certificaat voor de ACS server te kijken. Daarmee is het gebruik van het certificaat verouderd en niet (zelf) verlengd. Kan het zijn doordat er gewerkt wordt met een certificaat die niet aan de huidige digitale tijd is aangepast dat er een concreet gevaar is voor besmetting van buitenaf van het systeem, gelet op de ex art.42 RvO van de PvdA nr. 2012-331 vraag 7, vraag 9, en vraag 11, met deze vragen in gedachte nemende dat met name de Gemeente Nieuwegein zich veilig waant en er niet extra is nagedacht omdat ook hier een beveiligingsrisico optreedt door een zwaar verouderde certificaat te gebruiken? Antwoord: Het is nagenoeg iitge;loten dat het z.g. Dorifel incident veroorzaakt is door het verouderd certificaat van de ACS server. De ACS server zorgt er enkel voor dat het aangaan van een verbinding met het betrokken netwerk op een veilige manier gebeurt. Het zegt verder niets over toegangsrechten daarop. Het GNG-Intranet is alleen toegankelijk voor medewerkers met een geld ge login en wachtwoord, die daarnaast geautoriseerd zijn voor extern gebruik van het gemeentelijke netwerk. Inzake de Dorifel besmetting zou het dan hebben moeten gaan om het doelbewust doen van een poging tot inbraak op het netwerk via V i binnen het Stadshuis zelf. Gezien het feit dat het Dorifel virus tegelijkertijd bij vele organisaties in de wereld actief werd, mag aangenomen worden dat de besmetting op een andere wijze heeft plaatsgevonden. Vind er periodiek een audit plaats op het gebruik van certificaten op kritische en niet kritische ICT systemen? Antwoord: Alle aangeschafte (externe) of zelf gegenereerde (interne) certificaten zijn opgenomen in een beheersysteem van de gemeente. Daarmee worden we tijdig gewaarschuwd als de geldigheid van een certificaat verloopt. Daar is dit certificaat nu ook aan toegevoegd
2 012-41 6 Nieuwegein
6.
Bladnummer Kenmerk
3/4
Onderwerp
Brief ex. artikel 42 RvO inzake privacy protocol iPad
Is het ondertussen wenselijk om een IC1'scan uit te voeren op alle digitale systemen die de gemeente Nieuwegein gebruikt? dit is eerder al gevraagd door Leefbaar Nieuwegein maar niet opgevolgd.!!
Antwoord: ICT scans zijn er in vele soorten en maten. In januari heeft de gemeente een uitgebreide externe scan van systemen laten plaatsvinden. Dit was met goed gevolg. In 2013 zal de gemeente - verplicht - een uitgebreide scan en audit laten plaatsvinden op alle diensten die van DigiD gebruik maken. Deze werden overigens in januari 2012 al meegenomen. Informatiebeveiliging wordt landelijk, maar ook zeker binnen onze gemeente, in toenemende mate uitgevoerd en aangescherpt. U mag in de komende jaren verwachten dat er onder meer structureel meer aandacht aan beveiligingsscans zal worden besteed. 7.
Kunnen we verwachten dat het GNG-intranet netwerk in een zo kort mogelijke tijd ge-upgrade wordt naar een huidige versie die wel ondersteund wordt door Cisco en die overeenkomt aan de gestelde doelen zoals verwoord in de programmabegroting?
Antwoord'. Het betreffende certificaat is een intern, door onszelf te genereren certificaat. De vervanging heeft inmiddels plaatsgevonden. 8.
Hoe staat het met de licenties die betaald moeten worden voor het gebruik van een certificaat (naar het aantal gebruikers ervan, of een afkoopsom voor het gehele bedrijf)?
Antwoord: De aanschaf van een up to date en geldig certificaat is een eenmalig bedrag voor een bepaalde periode. Certificaten zijn niet gekoppeld aan aantallen gebruikers. Afkoop is niet van toepassing, er zijn vele certificaten voor allerlei specifieke doeleinden. In dit geval was de vervanging kosteloos.
Bladnummer
4/4
Kenmerk Onderwerp
Brief e x . a r t i k e l 4 2 RvO Inzake p r i v a c y t o c o l iPad
Wij hopen u hiermee voldoende te hebben geïnformeerd. Een gelijkluidende brief hebben wij gezonden aan de mede-indiener van de vragen.
Met vriendelijke groet, urgemeester en wethouders,
drs. P.C.M. van Elteren secretaris
F.T.J.M. Backhuijs burgemeester
