Veel gemeenten reageren nog niet adequaat op beveiligingslekken
Veel gemeenten reageren te traag of niet adequaat genoeg op meldingen over beveiligingslekken. Deze zogenoemde Coordinated Vulnerability Disclosures (CVD meldingen) worden vaak gedaan door ethische hackers die zo het internet veiliger willen maken. Dit proces is de laatste jaren wel verbeterd, maar er blijft nog steeds een wereld te winnen voor de gemeenten. Dat blijkt uit een recent uitgevoerd onderzoek van de Universiteit Twente en Dutch Institute for Vulnerability Disclosure (DIVD) onder 114 Nederlandse gemeenten.
Van de 114 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure voor onderzoek aanhoudt, op de beveiligingsmelding. Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Van de 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure voor onderzoek aanhoudt, op de beveiligingsmelding. Bij 49 gemeenten bleek dit niet het geval te zijn. Bij 10 gemeenten werd het beveiligingslek opgelost, maar dit werd niet teruggekoppeld aan de melder. Toch is er reden voor optimisme, want er waren wel degelijk gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en werd er ook gereageerd op de melding.
Onderzoeken uit nieuwsgierigheid
Het onderzoek is uitgevoerd door Koen van Hove, promovendus aan de Universiteit Twente, software- en onderzoeksingenieur bij NLnet Labs en researcher bij vrijwilligersorganisatie Dutch Institute of Vulnerability Disclosure (DIVD). Hij is het onderzoek gestart uit nieuwsgierigheid naar de werking van CVD-procedures bij Nederlandse gemeenten.
Tussen 30 augustus 2022 en 23 februari 2023 meldde Koen een beveiligingslek in veelgebruikte software bij gemeenten. Waar dat kon, maakte hij gebruik van de CVD procedure op de website van de gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten.
Het ging hierbij om een beveiligingslek die het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.
Uitdagingen
Tijdens het meldingsproces waren er uitdagingen, waaronder niet-functionerende formulieren en e-mailadressen, en verwarrende melding methoden. Opvallend was ook dat veel meldingsformulieren enkel toegankelijk waren na een inlog via DigiD. Dat maakt anoniem melding maken onmogelijk.. Daarnaast viel ook op dat bij 11 van de 114 een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens zoals; geboortedatum, huwelijksdatum, financiële staat, verblijfsvergunning van zowel de melder als partner, ouders en kinderen, opgevraagd uit de Basisregistratie Personen (BRP). Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.
Verplichte openbaring
Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Het onderzoek wijst uit dat er ruimte is voor verbetering, aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft.
Belang van meldingen via CVD-procedure
Het belang van meldingen via het CVD-systeem voor gemeenten is evident, zoals geïllustreerd in 2020 tijdens een ransomware-aanval op de gemeente Hof van Twente. Vrijwilligers die deze meldingen doen, zijn niet wettelijk verplicht dit te melden, maar zetten zich in vanwege hun bewustzijn van de betekenis ervan. Daarom is het cruciaal om de drempel voor het doen van dergelijke meldingen zo laag mogelijk te maken. Dit kan worden bereikt door een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites te publiceren, bij voorkeur ook anoniem en zonder onnodige persoonsgegevens op te vragen. Daarnaast benadrukt het onderzoek het belang van tijdige en informatieve communicatie met de melder.
––
Contact a.d.h.v. dit persbericht: communicatie@divd.nl Datum: 2-10-2023
Last modified: 03 Oct 2023 10:03