De helft van de gemeenten is deze maand door de nieuwe Informatiebeveiligingsdienst (IBD) gewaarschuwd over mogelijke beveiligingslekken in hun systemen. Bij een onderzoek op afstand bleek bijna een kwart van de gemeentelijke systemen verouderde - en dus onveilige - software te gebruiken.
Helft gemeenten gebruikt onveilige websystemen
De helft van de gemeenten is deze maand door de nieuwe Informatiebeveiligingsdienst (IBD) gewaarschuwd over mogelijke beveiligingslekken in…
Niet geleerd van Lektober
Veel gemeenten hebben kennelijk niet geleerd van 'Lektober' (2011). Het onderzoek door DongIT (een bedrijf dat ook tijdens Lektober lekken bij gemeenten ontdekte) bestond uit een geautomatiseerde scan van de via 4729 internetdomeinen toegankelijke gemeentelijke websystemen. Daarbij werden diverse softwareversies aangetroffen waarvan bekend is dat ze kritische kwetsbaarheden bevatten. Van sommige in de IT-wereld bekende tools, zoals Joomla, Drupal en in mindere mate Typo3, blijken bij gemeenten veelal oude, lekke versies in gebruik. Ook bij onderliggende softwarediensten als Apache en MySQL komt dat vrij vaak voor. DongIT schat dat in totaal 24 procent van de gemeentelijke systemen kritisch kwetsbaar is door gebruik van verouderde software.
Niet alleen websites
"Een groot deel van de software is totaal verouderd", stelt directeur Wouter van Dongen van DongIT. "En daarbij gaat het niet alleen om websites, maar ook om allerlei andere applicaties die erachter zitten. En het gaat om kwetsbaarheden die eenvoudig zijn uit te buiten. Hackers gaan bij het achterhalen daarvan op dezelfde wijze te werk als wij voor ons onderzoek hebben gedaan." Hij schat dat de problemen in totaal meer dan 200 gemeenten kunnen raken. In een aantal gevallen was de gebruikte software zodanig verouderd dat er zelfs geen beveiligingsupdates meer voor beschikbaar zijn.
IBD ingelicht
Van Dongen zegt de kwetsbaarheden begin deze maand te hebben gemeld aan de nieuwe Informatiebeveiligingsdienst (IBD) van de VNG. "Die hebben het goed opgepakt. In onderling overleg hebben we besloten dit rapport enkele weken uit te stellen." Inmiddels zijn de betrokken gemeenten ingelicht. "Wat wij vooral willen laten zien is dat je vanuit een centraal punt met publiek beschikbare hulpmiddelen verbeteringen kunt realiseren voor weinig geld."
Reacties: 4
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Twee opmerkingen:
Waarom worden de hackers niet harder aangepakt. Blijf met je poten van anderman zijn spullen af!!
Ik neem aan dat we het beste DongIT kunnen inschakelen om de problemen op te lossen.
Onze gemeente laat jaarlijks een zogeheten penetratietest uitvoeren. Hiermee wordt onze website binnenstebuiten gekeerd. Dit wordt ook door hackers gedaan, zij het met een goedwillende insteek.
Mijn mening is dat wij als overheid de taak hebben om de informatie zo veilig mogelijk te ontsluiten. Dit soort onderzoeken houden ons scherp en geven ons ook informatie waar we iets mee kunnen.
Kortom hacken mag misschien niet, maar als het een algemeen maatschappelijk probleem aan de kaak stelt vind ik het geen probleem.
De lezer die door het artikel zou denken dat TYPO3-sites, weliswaar "in mindere mate" onveilig zouden zijn, attendeer ik graag op de onderstaande alinea uit het rapport van Van Dongen. Het tegendeel is waar:
"TYPO3gem is een gemeentelijke gebruikersvereniging rondom het open source CMS TYPO3. TYPO3gem heeft het onderwerp beveiliging hoog op de agenda staan, zo worden onder andere beveiligingsworkshops georganiseerd13. Dit lijkt zijn vruchten af te werpen gezien TYPO3- gemeenten meer up-to-date zijn vergeleken met gemeenten met andere CMS’en."
@ M.Pis, natuurlijk moet je DongIT nemen, wij van WC eend......
En wie spreekt er hier over hacken, men heeft het over een penetratietest, dat is toch wel even iets anders. Maar die mensen moeten wel dezelfde vaardigheden als hackers hebben om deze uit te kunnen voeren.