Toevallig ontdekte ik dat de communicatie met de website van mijn eigen gemeente Schagen onbeveiligd was en daar schrok ik natuurlijk van!
Gelukkig is ons digitaal loket met ingang van 22 november 2013 niet meer onbeveiligd, maar de gemeente ontkent de noodzaak van beveiliging, dus het zit me nog niet lekker. Ik heb daarom wat aanvullend onderzoek gedaan, dat ik hier op mijn weblog per gemeente zal delen.
Hou er rekening mee, dat de informatie waarschijnlijk snel veroudert. Hopelijk krijgen de Nederlandse gemeenten er lucht van en gaan ze kundige mensen inschakelen. Ik zal met behulp van screenshots de situatie documenteren.
Ben je benieuwd naar de beveiliging van de website van jouw gemeente? Laat het me weten! En doe je gordel om, want het wordt een hobbelig ritje.
De beveiligingswereld kent het fenomeen Responsible Disclosure. Dit is een protocol dat aan de buitenwereld uitlegt hoe je als organisatie op de hoogte wenst te worden gesteld over beveiligingsproblemen met jouw producten of diensten. Hiermee geef je buitenstaanders de gelegenheid om beveiligingsproblemen kenbaar te maken, zodat de organisatie daarvan kan leren. Uitgangspunt hierbij is dat de informatie over beveiligingsproblemen op een verantwoorde wijze kenbaar wordt gemaakt, meestal in eerste instantie zonder publiek specifieke details te melden, waarmee kwaadwillenden het probleem kunnen uitbuiten.
Het Nationaal Cyber Security Centrum heeft hiervoor een Responsible Disclosure statement voor hun eigen organisatie:
https://www.ncsc.nl/security
Ook bestaat er een leidraad om als organisatie te komen tot responsible disclosure:
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
Helaas zijn de Nederlandse gemeenten nog lang niet zover. Op gebied van beveiliging zijn ze technisch en organisatorisch naïef, slecht op de hoogte van cybercriminaliteit, houden dus onvoldoende rekening met eigen falen op beveiligingsgebied en hebben dus ook geen Responsible Disclosure statement.
Bovendien kun je als klokkenluider bij totaal gebrek aan beveiliging niet zoveel technische details achterhouden. Ik zal niet ingaan op specifieke hacks en technische trucs om de beschreven beveiligingsproblemen uit te buiten, maar neem van mij aan dat als gemeenten de deur openzetten voor cybercriminelen daar ook misbruik van gemaakt wordt. Het lijkt mij dat de beteffende gemeente daarvoor verantwoordelijk is.
Zonder beveiliging zijn de websites van de gemeenten levensgevaarlijk. Door hiervan melding te maken, hoop ik op treffende beveiligingsmaatregelen door de gemeenten.