De gemeente Rotterdam heeft de beveiliging van gevoelige gegevens sterk verbeterd, zo stelt de Rekenkamer aan de hand van verschillende beveiligings- en penetratietests. Alleen op het gebied van de fysieke beveiliging schoot de gemeente tekort. Vorig jaar publiceerde de Rekenkamer een rapport waaruit bleek dat de informatiebeveiliging van de gemeente Rotterdam te wensen overliet.

Tijdens een audit die in 2016 plaatsvond werden 700 ernstige technische zwakheden in systemen en applicaties aangetroffen die impact op burgers, ambtsdragers en publieke dienstverlening hadden kunnen hebben. Zo bleek dat bruggen en verkeerslichten in Rotterdam kwetsbaar waren voor hackers en op afstand te ontregelen waren. Na de publicatie van het onderzoek, dat de nodige aanbevelingen bevatte, liet de Rekenkamer een vervolgonderzoek uitvoeren. Dit vervolgonderzoek bestond uit verschillende onderdelen.

Zo verstuurden de onderzoekers phishingmails om toegang tot inloggegevens of systemen van medewerkers te verkrijgen, maar deze pogingen waren onsuccesvol. E-mails met een kwaadaardige bijlage werden door de beveiligingssystemen gestopt en niet afgeleverd. Eén van deze e-mails wist wel door de beveiliging heen te komen. De bijlage kon echter door de beveiligingsinstellingen van de ontvanger niet worden geopend. De onderzoekers stuurden ook een e-mail met een link naar een zogenaamde gemeentewebsite. De website werd wel door het personeel bezocht, maar niemand liet inloggegevens achter. Daarnaast werd de e-mail door de gemeente gedetecteerd.

Ook phishingpogingen via de telefoon bleken onsuccesvol. "Weliswaar werd door één medewerker de combinatie van wachtwoord en gebruikersnaam verstrekt, maar bij het inloggen stuitten de onderzoekers op een extra verificatiestap. Deze stap moet worden doorlopen wanneer wordt ingelogd buiten de gemeentelijke kantoorpanden", aldus het rapport van de Rekenkamer. "Doordat de onderzoekers niet beschikten over gegevens voor deze laatste verificatiestap kregen zij geen toegang tot het gemeentelijke netwerk."