Scan op zwakke plekken gemeentelijke IT-systemen

De Informatiebeveiligingsdienst voor gemeenten IBD wil de computersystemen van gemeenten dit jaar actief scannen op kwetsbaarheden. Directe aanleiding daarvoor was de ernstige kwetsbaarheid van computersystemen die in december vorig jaar bloot kwam te liggen in de java-bibliotheek Log4j, een veelgebruikte bouwsteen voor het loggen van gebeurtenissen in hard- en software. Vrijwel meteen daarna werden door de IBD de eerste scans uitgevoerd bij gemeenten.

Criminelen

Voor het uitvoeren van die scan had de IBD toestemming gevraagd aan gemeenten, die op hun beurt weer toestemming moesten verlenen namens hun leveranciers. De scan van de IBD leek op de scans die ook criminelen, onderzoekers en statelijke actoren uitvoeren, waarbij de IBD de resultaten met gemeenten deelde.

De IBD, in 2013 door alle Nederlandse gemeenten opgericht en ondergebracht bij de Vereniging van Nederlandse Gemeenten (VNG), is van plan om nog dit jaar een pilot uit te voeren waarbij het de systemen van gemeenten actief scant op de aanwezigheid van kwetsbaarheden en risicovolle configuraties.

Waarschuwingen sturen

De dienst kijkt nu samen met gemeenten of en hoe het mandaat om te scannen kan worden ingericht. De IBD stelt dat ze gemeenten (kwetsbaarheids)waarschuwingen op maat kan sturen als de gemeente aangeeft over welke hard- en software men wil worden geïnformeerd. Ook kan de IBD gemeenten nauwkeuriger en gerichter waarschuwen als de IP-adressen en domeinnamen van de gemeente bekend zijn, dat wil zeggen: aangeleverd aan de IBD.

Bij de Log4j-kwetsbaarheid had de IBD via partners veel informatie over ip-adressen van kwetsbare systemen, die vervolgens werden gefilterd op gemeentelijke adressen. ‘Hoe nauwkeuriger en actueler de gemeente de gegevens aanlevert, hoe beter de IBD haar rol kan invullen’, aldus de dienst.