‘Eigenlijk ben ik overal binnengekomen'

De meeste gemeenten zijn een makkelijke prooi voor criminelen, bewijst ethisch hacker Wouter van Dongen keer op keer. Zonder problemen schuift hij aan bij hun ict-afdelingen. Om hacks zoals die van Hof van Twente en Lochem te voorkomen, moet er wat veranderen. ‘Check box security is zo verkeerd als het maar kan.’

Pentesten

‘Gemeenten hebben vaak een open karakter, maar zo is de wereld niet meer’, vertelt Van Dongen deze week in Binnenlands Bestuur. ‘Wie binnen zou willen komen, moet een toegangspas hebben en die zichtbaar dragen.’ Hoe kinderachtig het ook klinkt: gemeenten moeten hun basisbeveiliging op orde hebben om dit te voorkomen. Het netwerk goed inrichten, virusscanners installeren, de software patchen en penetratietesten oftewel ‘pentesten’ laten uitvoeren.

Klopt niet

Te vaak is er sprake het afvinken van vragenlijsten. ‘We kregen een opdracht van een rekenkamer om de beveiliging van een waterschap te checken, maar bij het waterschap vonden ze dat onzin. Ze voldeden immers aan de BIWA. Het is beleid, er komt een auditor, elk jaar wordt die certificering gecontroleerd en er worden er verbeterpunten genoemd, maar in de praktijk klopt er helemaal niets van. Bij overheden wordt er veel te veel vertrouwd op certificering als de BIWA en de ISO.’

Check box

Dezelfde mentaliteit bestaat bij softwareleveranciers. 'Wij worden regelmatig gebeld om te checken of iets in orde is. Soms blijkt het verre van in orde te zijn, maar zijn ze voornemens het te maken - of we het dus alvast op groen kunnen zetten. Dat doen we niet, maar dat is wel wat er gebeurt. De term voor dit gedrag is check box security. Ik heb het heel vaak gezien, maar het is zo verkeerd als het maar kan.’

Zoeken naar zwakke plekken

Het probleem is dat dergelijke lijsten misschien wel belangrijke punten aflopen, maar dat ze niet zoals een hacker zoeken naar zwakke plekken. ‘Wij als techneuten hechten nul komma nul waarde aan die bureaucratie, want een echte hacker probeert dingetjes met de hand. Wij zeggen: combineer nou beleidsonderzoek met praktijkonderzoek.’

Gevolgen

De gedachte is vaak dat er niets van buiten naar binnen komt, dus wordt alleen de toegang vanaf het internet bekeken. Maar er moet juist worden gezorgd dat hackers vertraagd worden als ze eenmaal binnen zijn. De burgemeester van Lochem, de gemeente die medio 2019 werd gehackt, vertelde vorige week een soortgelijk verhaal. Het is volgens Sebastiaan van ’t Erve belangrijk om te erkennen dat hacks nou eenmaal gebeuren en om al te anticiperen op de gevolgen. ‘Denk daarover na: wat kunnen we nou nog meer doen als de ruggengraat in elkaar zakt.’

Grote klap

Van ’t Erve vertelde in de webinar voor het Centrum voor Informatiebeveiliging en Privacybescherming dat er te weinig nagedacht over de beveiliging van het geheel. ‘De ketenveiligheid tussen verschillende partners in digitale processen is niet georganiseerd. Het is kinderschoenenwerk. Al die dwarsverbanden, die keteneffecten. Niet die kolommetjes naast elkaar, maar het hele ecosysteem. Wat nou als daar een grote klap tegenaan komt?’

Lees het volledige verhaal in nummer 2 van Binnenlands Bestuur.