Bijna 20 procent van de websystemen van Nederlandse gemeenten is door gebruik van verouderde software onvoldoende beveiligd. Dat blijkt uit een onderzoek van webexpert DongIT. Bij zowel grote als kleinere gemeenten blijken websystemen vaak niet up-to-date. Soms is software zelfs zo verouderd, dat er geen updates meer voor worden ontwikkeld. In alle gevallen lopen gemeenten een vergroot risico dat hun ict-systemen door hackers worden misbruikt.
DongIT bracht de softwareversies van alle websystemen van gemeenten in kaart. Het onderzoek omvatte in totaal 4729 verschillende, gemeentelijke domeinen. 19 procent van de onderzochte systemen bleek kritisch kwetsbaar door gebruik van verouderde software. Ict-beheerders van gemeenten voeren nieuwe updates niet of niet tijdig uit, waardoor systemen soms maandenlang onvoldoende beveiligd zijn. In sommige gevallen waren de systemen zelfs zo verouderd dat zij door de leverancier niet langer met updates worden ondersteund.
Voor hackers is het relatief eenvoudig om in te breken wanneer software niet up-to-date is. Misbruik kan verstrekkende gevolgen hebben voor de betrouwbaarheid, integriteit en vertrouwelijkheid van het hele systeem. De Informatiebeveiligingsdienst (IBD) van de VNG heeft alle gemeenten die onvoldoende beveiligd bleken ingelicht.
Diginotar en Lektober
‘De Diginotar-crisis en Lektober hebben eind 2011 aangetoond dat de ict van gemeenten kwetsbaar is’, zegt DongIT-directeur Wouter van Dongen. ‘Dit bleek vaak voort te komen uit het feit dat software niet of niet tijdig werd geüpdatet. Het up-to-date houden van software is een essentieel onderdeel van ict-beveiliging. Verouderde systemen zijn extra kwetsbaar voor hacking. Ons onderzoek laat zien dat nu, ruim een jaar later, nog altijd veel websystemen in gebruik zijn met verouderde software. Wat daarnaast opvalt is dat men minder zorgvuldig omgaat met systemen die minder belangrijk worden gevonden. Daar blijven updates het meest achter. Maar hackers kunnen deze systemen juist gebruiken om beter beveiligde onderdelen aan te vallen. Updaten behoort een vast onderdeel te zijn van het ict-beleid van elke gemeente.’
Mijn mening over de oorzaak van dit probleem is hier te vinden:
https://www.security.nl/artikel/39282
Het grootste probleem (en oorzaak van het betrokkene) is dat de meeste gemeenten hun website hebben uitbesteed aan een derde partij, en er dus van uit gaan dat die partij de veiligheid wel regelt. Verder zijn er geen wettelijke eisen m.b.t. audits of Pen-Tests, dus wie controleert of de betrokken websites wel veilig zijn ? En last but not least, als je dan als specialist een issue bij de Gemeente aanhangig maakt (bij min eigen gemeente wel eens gedaan) dan kan je over het algemeen een reactie verwachten in de trant van ‘waar bemoei je je mee’. Bedoel, stel de kennis van de gemeentelijke systeembeheerder alsjeblieft niet in kwestie. Zolang die mentaliteit blijft, zal er niks veranderen. Eerst zal de overheid strakkere regels op moeten stellen.
Ik ben het met Erwin eens. De lagere overheden besteden te veel uit, waardoor de kennis/het interesse er gewoonweg niet is. We zien dit vaker ook met andere functies binnen de overheid. Er zou een moratorium moeten komen op het inhuren van externe krachten en meer in eigen personeel geïnvesteerd moeten worden. Het feit, dat je daarmee de kennis in huis opbouwt is op lange termijn goedkoper en efficiënter.
Dat maakt het wobben wel wat makkelijker natuurlijk.
Voor de rest geen greintje sympathie voor het wederom hopeloos falen van overheidsinstanties met het in orde hebben van hun ICT.
Ik vraag me af of de schrijver van dit artikel en de mensen die hier ongenuanceerd op reageren de moeite hebben genomen verder te kijken dan de lengte van een neus.
Het onderzoek van DongIT ging in ieder geval niet dieper dan de lengte van een neus. Er werd simpelweg gekeken naar de versie van een softwarepakket en vervolgens werd een lijstje bekeken met of er gaten bekend waren.
Als dat zo was, zo leek uit het onderzoek naar voren te komen, dan was de website dus lek. Niets was vaak minder waar. Immers, voor veel versies zijn ook losse patches die een net zo veilig (of onveilig) systeem opleveren dan een nieuwe versie.
En daar werd niet naar gekeken.
Ook werden willekeurig domeinen gekozen zonder te kijken of deze ook daadwerkelijke eigendom waren van de bewuste gemeente. Desondanks moest de bewuste gemeente uitleg geven waarom daar ‘lekke’ software op draaide.
Begrijp me goed, er is veel te verbeteren op het gebied van beveiliging, maar er is even zoveel te verbeteren aan het testen ervan en de berichtgeving erover!