Let op! Internet Explorer wordt niet meer ondersteund. Hierdoor kan de website mogelijk niet goed functioneren, gebruik een alternatieve browser om optimaal gebruik te maken van deze website. Klik hier om een alternatieve browser te downloaden.

BTG biedt een netwerk voor uitwisseling van kennis en ervaring over Telecommunicatie en ICT. De branchevereniging focust via expertgroepen op de volgende thema’s:

Terug naar nieuws

Groot deel gemeentes reageert slecht op beveiligingslekken

5 okt 2023 Thema: Cyber Security

Veel gemeenten reageren te traag of niet adequaat genoeg op meldingen over beveiligingslekken. Deze zogenoemde Coordinated Vulnerability Disclosures (CVD meldingen) worden vaak gedaan door ethische hackers die zo het internet veiliger willen maken. Dit proces is de laatste jaren wel verbeterd, maar er blijft nog steeds een wereld te winnen voor de gemeenten. Dat blijkt uit een recent uitgevoerd onderzoek van de Universiteit Twente en Dutch Institute for Vulnerability Disclosure (DIVD) onder 114 Nederlandse gemeenten.

Van de 114 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure voor onderzoek aanhoudt, op de beveiligingsmelding. Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Van de 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure voor onderzoek aanhoudt, op de beveiligingsmelding. Bij 49 gemeenten bleek dit niet het geval te zijn. Bij 10 gemeenten werd het beveiligingslek opgelost, maar dit werd niet teruggekoppeld aan de melder. Toch is er reden voor optimisme, want er waren wel degelijk gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en werd er ook gereageerd op de melding.
Petra Claessen, Voorzitter van BTG, de branchevereniging voor IT-en communicatietechnologie en Boardmember van BTG Holding: “Cybersecurity is een cruciaal thema binnen de digitalisering. Veel organisaties zijn zich nog te weinig bewust van de mogelijke impact van een cyberaanval. Dit onderzoek geeft aan dat er voor veel gemeenten nog werk aan de winkel is. Bovendien moet je je met je cybersecurity policy voortdurend blijven ontwikkelen. BTG is zeer actief op dit gebied, samen met onze leden, waaronder ook veel gemeenten. Samen blijven we werken aan een veiliger digitale en smart society!”

Nieuwsgierigheid

Het onderzoek is uitgevoerd door Koen van Hove, promovendus aan de Universiteit Twente, software- en onderzoeksingenieur bij NLnet Labs en researcher bij vrijwilligersorganisatie Dutch Institute of Vulnerability Disclosure (DIVD). Hij is het onderzoek gestart uit nieuwsgierigheid naar de werking van CVD-procedures bij Nederlandse gemeenten.
Tussen 30 augustus 2022 en 23 februari 2023 meldde Koen een beveiligingslek in veelgebruikte software bij gemeenten. Waar dat kon, maakte hij gebruik van de CVD procedure op de website van de gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten.
Het ging hierbij om een beveiligingslek die het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.

Uitdagingen

Tijdens het meldingsproces waren er uitdagingen, waaronder niet-functionerende formulieren en e-mailadressen, en verwarrende melding methoden. Opvallend was ook dat veel meldingsformulieren enkel toegankelijk waren na een inlog via DigiD. Dat maakt anoniem melding maken onmogelijk.. Daarnaast viel ook op dat bij 11 van de 114 een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens zoals; geboortedatum, huwelijksdatum, financiële staat, verblijfsvergunning van zowel de melder als partner, ouders en kinderen, opgevraagd uit de Basisregistratie Personen (BRP). Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.

Verplichting

Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Het onderzoek wijst uit dat er ruimte is voor verbetering, aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft.

Belang van CVD-procedure
Het belang van meldingen via het CVD-systeem voor gemeenten is evident, zoals geïllustreerd in 2020 tijdens een ransomware-aanval op de gemeente Hof van Twente. Vrijwilligers die deze meldingen doen, zijn niet wettelijk verplicht dit te melden, maar zetten zich in vanwege hun bewustzijn van de betekenis ervan. Daarom is het cruciaal om de drempel voor het doen van dergelijke meldingen zo laag mogelijk te maken. Dit kan worden bereikt door een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites te publiceren, bij voorkeur ook anoniem en zonder onnodige persoonsgegevens op te vragen. Daarnaast benadrukt het onderzoek het belang van tijdige en informatieve communicatie met de melder.

Gerelateerd nieuws