Veel gemeenten reageren te traag of niet adequaat genoeg op meldingen over beveiligingslekken. Deze zogenoemde Coordinated Vulnerability Disclosures (CVD meldingen) komen vaak van ethische hackers die zo het internet veiliger willen maken.
Het proces werd de laatste jaren wel beter, maar er blijft nog steeds een wereld te winnen voor de gemeenten. Dat blijkt uit recent onderzoek van de Universiteit Twente en Dutch Institute for Vulnerability Disclosure (DIVD) onder 114 Nederlandse gemeenten.
Van de 114 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure aanhoudt, op de beveiligingsmelding. Er werd van 89 gemeenten bijgehouden of ze het probleem op tijd oplosten. Van hen reageerde 44 niet binnen 90 dagen op de beveiligingsmelding.
Bij 49 gemeenten bleek dit niet het geval te zijn. Tien gemeenten losten het beveiligingslek op, maar koppelde dit niet terug aan de melder. Toch is er reden voor optimisme, want er waren wel degelijk gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld. Zij reageerden ook op de melding.
Onderzoeken uit nieuwsgierigheid
Het onderzoek was in handen van Koen van Hove, promovendus aan de Universiteit Twente, software- en onderzoeksingenieur bij NLnet Labs en researcher bij vrijwilligersorganisatie Dutch Institute of Vulnerability Disclosure (DIVD). Hij startte het onderzoek uit nieuwsgierigheid naar de werking van CVD-procedures bij Nederlandse gemeenten.
Tussen 30 augustus 2022 en 23 februari 2023 meldde Koen een beveiligingslek in veelgebruikte gemeentesoftware. Waar dat kon, maakte hij gebruik van de CVD-procedure op de website van de gemeenten. In totaal nam hij contact op met 114 van hen.
Het ging hierbij om een beveiligingslek die het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.
Uitdagingen
Tijdens het meldingsproces kwam Koen uitdagingen tegen. Niet-functionerende formulieren en e-mailadressen bijvoorbeeld, en verwarrende meldingsmethoden. Opvallend was ook dat veel meldingsformulieren enkel toegankelijk waren na een inlog via DigiD. Dat maakt anoniem melding maken onmogelijk..
Daarnaast viel ook op dat bij 11 van de 114 een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens zoals; geboortedatum, huwelijksdatum, financiële staat, verblijfsvergunning van zowel de melder als partner, ouders en kinderen, opgevraagd uit de Basisregistratie Personen (BRP). Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.
Verplichte openbaring
Sinds 1 januari 2019 is er de Baseline Informatiebeveiliging Overheid (BIO), waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Het onderzoek wijst uit dat er ruimte is voor verbetering, aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft of handhaaft.
Het belang van meldingen via het CVD-systeem voor gemeenten is evident, zoals geïllustreerd in 2020 tijdens een ransomware-aanval op de gemeente Hof van Twente. Vrijwilligers die deze meldingen doen, zijn niet wettelijk verplicht dit te melden, maar zetten zich in vanwege hun bewustzijn van de betekenis ervan. Daarom is het cruciaal om de drempel voor het doen van dergelijke meldingen zo laag mogelijk te maken.
Dit kun je bereiken door een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites te publiceren, bij voorkeur ook anoniem en zonder onnodige persoonsgegevens op te vragen. Daarnaast benadrukt het onderzoek het belang van tijdige en informatieve communicatie met de melder.
Lees ook:
- Wachtwoord Welkom2020 veroorzaakte hack Hof van Twente
- E-mail: wie is er niet groot mee geworden