Gemeenten kwetsbaar door fouten in software

Dit artikel delen:
Lek kwetsbaarheid vulnerability

Kwetsbaarheden in software en risico’s door digitale samenwerking met andere gemeenten vormen de achilleshiel van de ict-beveiliging van de lokale overheid. De afgelopen jaren steeg het aantal beveiligingsincidenten zoals ransomware-aanvallen op gemeenten fors. Ook voor de komende jaren zijn gemeenten kwetsbaar omdat ze niet meekunnen in de snelheid waarmee criminelen nieuwe aanvalstactieken ontwikkelen.

Dat blijkt uit het rapport 'Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten'. In de studie kijkt  de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) twee jaar vooruit om vervolgens een somber beeld te schetsen. ‘De dreiging neemt zo snel toe, dat er meer nodig is om het groeiende gat te dichten. Als gemeenten hun weerbaarheid niet verhogen, zal de toenemende, steeds professionelere dreiging in combinatie met het steeds grotere aanvalsoppervlak, leiden tot meer incidenten: een neerwaartse spiraal.’

De IBD ziet dat in het bijzonder drie soorten dreigingen opvallen sinds het uitbrengen van het vorige dreigingsbeeld (2021- 2022). Er is meer ransomware en dat heeft destructievere gevolgen. Er zijn steeds meer en ernstigere kwetsbaarheden in software en er ontstaan gevaren in ketens die uit het zicht blijven van gemeenten.

De beveiligingsdienst ontving de afgelopen twee jaar vaker meldingen van situaties waarin gemeentelijke processen langdurig verstoord waren als gevolg van ‘destructieve’ gijzelsoftware. ‘Criminelen aarzelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.’ Als voorbeeld wordt de recente ransomware-aanval op de gemeente Buren genoemd. Bij de hack zijn gegevens van de gemeente gestolen. Vervolgens is een grote hoeveelheid data gepubliceerd op het darkweb.

Privacy

Ook ziet de dienst steeds meer en ernstigere kwetsbaarheden in software. Het aantal kwetsbaarheden met een hoge kans op misbruik en grote gevolgen voor de dienstverlening van gemeenten en de privacy van betrokkenen, steeg van 24 in 2019 naar 45 in 2020 tot negentig in 2021.

Als voorbeeld geldt een lek in softwarecomponent Log4j. Die logtool voor Java-webapplicaties is massaal misbruik en dat zorgde er eind 2021 voor dat tienduizenden softwarepakketten met grote spoed moesten worden aangepast of bijgewerkt. ‘Feitelijk was deze kwetsbaarheid aanwezig bij nagenoeg iedere organisatie ter wereld met een omvangrijke ict-omgeving, dus ook Nederlandse gemeenten.’

Ook samenwerkingen maken gemeenten kwetsbaar. ‘Een gemeente neemt deel in gemiddeld dertig samenwerkingsverbanden en maakt gebruik van diensten van derden zoals softwareleveranciers. Omdat men bij uitbesteding vooral stuurt op de kwaliteit van de uiteindelijke dienstverlening en informatiebeveiliging en privacy gezien worden als operationele details, is daar weinig aandacht voor in de samenwerkingsafspraken’ schrijven de samenstellers van het rapport.

Ze zien dat informatiebeveiliging vaak als kostenpost wordt benaderd. ‘Als er al concrete afspraken zijn over informatiebeveiliging en privacy, dan staat controle op de naleving beperkt op de agenda. Gemeenten vertrouwen erop dat bij een samenwerkingsverband dergelijke zaken gewoon geregeld zijn.’

Een voorbeeld van een incident dat ontstond bij derden, maar waarbij de gevolgen in de eigen gemeente merkbaar waren, is werkbedrijf Senzer. Dat samenwerkingsverband van zeven gemeenten werd in 2021 getroffen door een inbraak op het netwerk. De betaling van uitkeringen liep vertraging op. Systemen waren niet toegankelijk, medewerkers konden daardoor niet op een normale manier hun werk doen.

Vertrekpunt

Om de weerbaarheid te vergroten, zijn de AVG en de BIO (Baseline Informatiebeveiliging Overheid), een normenkader voor informatieveiligheid, een goed vertrekpunt, zo vindt IBD.

In het rapport doen de makers een aantal technische, organisatorische en financiële aanbevelingen aan gemeenten. Het gaat om de inzet van backups en het regelmatig-testen van de beschikbaarheid van die bestanden en het nemen van voorbereidingen op een mogelijke uitval van systemen. Ook tweefactor-authenticatie en het vastleggen van de rollen van bijvoorbeeld ciso’s (chief information security officers) en fg’s (functionarissen gegevensbescherming) moet goed worden vastgelegd zodat tijdens een incident duidelijk is wie er verantwoordelijk is voor de beveiliging en privacy van data van burgers. Ook moet de gemeentesecretaris een belangrijke rol vervullen om het tij te keren, vindt de beveiligingsdienst. Diegene moet het initiatief nemen om cyberweerbaarheid binnen gemeenten ‘aan te jagen’, schrijven ze.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-10-20T11:57:00.000Z Pim van der Beek


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.