Hoe veilig is jouw gemeente?

Toevallig ontdekte ik dat de communicatie met de website van mijn eigen gemeente Schagen onbeveiligd was en daar schrok ik natuurlijk van!

Gelukkig is ons digitaal loket met ingang van 22 november 2013 niet meer onbeveiligd, maar de gemeente ontkent de noodzaak van beveiliging, dus het zit me nog niet lekker. Ik heb daarom wat aanvullend onderzoek gedaan, dat ik hier op mijn weblog per gemeente zal delen.

Hou er rekening mee, dat de informatie waarschijnlijk snel veroudert. Hopelijk krijgen de Nederlandse gemeenten er lucht van en gaan ze kundige mensen inschakelen. Ik zal met behulp van screenshots de situatie documenteren.

Ben je benieuwd naar de beveiliging van de website van jouw gemeente? Laat het me weten! En doe je gordel om, want het wordt een hobbelig ritje.

De beveiligingswereld kent het fenomeen Responsible Disclosure. Dit is een protocol dat aan de buitenwereld uitlegt hoe je als organisatie op de hoogte wenst te worden gesteld over beveiligingsproblemen met jouw producten of diensten. Hiermee geef je buitenstaanders de gelegenheid om beveiligingsproblemen kenbaar te maken, zodat de organisatie daarvan kan leren. Uitgangspunt hierbij is dat de informatie over beveiligingsproblemen op een verantwoorde wijze kenbaar wordt gemaakt, meestal in eerste instantie zonder publiek specifieke details te melden, waarmee kwaadwillenden het probleem kunnen uitbuiten.

Het Nationaal Cyber Security Centrum heeft hiervoor een Responsible Disclosure statement voor hun eigen organisatie:
https://www.ncsc.nl/security
Ook bestaat er een leidraad om als organisatie te komen tot responsible disclosure:
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Helaas zijn de Nederlandse gemeenten nog lang niet zover. Op gebied van beveiliging zijn ze technisch en organisatorisch naïef, slecht op de hoogte van cybercriminaliteit, houden dus onvoldoende rekening met eigen falen op beveiligingsgebied en hebben dus ook geen Responsible Disclosure statement.

Bovendien kun je als klokkenluider bij totaal gebrek aan beveiliging niet zoveel technische details achterhouden. Ik zal niet ingaan op specifieke hacks en technische trucs om de beschreven beveiligingsproblemen uit te buiten, maar neem van mij aan dat als gemeenten de deur openzetten voor cybercriminelen daar ook misbruik van gemaakt wordt. Het lijkt mij dat de beteffende gemeente daarvoor verantwoordelijk is.

Zonder beveiliging zijn de websites van de gemeenten levensgevaarlijk. Door hiervan melding te maken, hoop ik op treffende beveiligingsmaatregelen door de gemeenten.

#Popweekend #Schagen 2010

Het was weer feest, dit jaar!

Ik heb een publieke Flickr Group Pool geopend, waarvan je hieronder een voorproefje ziet:

KuNSTTROuPE 2009 – #Kunst in #Schagen 11, 12 en 13 september 2009 #kt09nl

Vrijdag 11 september 2009 gaat in Schagen de KuNSTTROuPE 2009 van Ateliers Schagen van start. Drie dagen lang (t/m zondag 13 september 2009) zal Schagen in het teken staan van Kunst! Schilderijen, beelden, foto’s, muziek, poëzie: alles is er! Net als vorig jaar, zijn er tijdelijke locaties ingericht, waar je de nodige Kunst tot je kunt nemen. Deze locaties zijn overigens geopend tussen 10:00 en 17:00 en je kunt er gratis naartoe! Kom je ook?

Ateliers Schagen – KuNSTTROuPE 2009