Veel beheerportalen overheidswebsites online vindbaar

Basisbeveiliging.nl is vernieuwd. Oprichter Elger Jonker van de Internet Cleanup Foundation geeft een toelichting op de nieuwe toevoegingen aan de site, die de kwetsbaarheden van Nederlandse overheidswebsites in kaart brengt.

Automatische checks

Vrijwilligersorganisatie de Internet Cleanup Foundation controleert sinds 2016 of websites en externe netwerkdiensten van overheden goed zijn beveiligd. Aan de hand van openbare informatie wordt automatisch gecheckt hoe het zit met de beschikbaarheid, integriteit en vertrouwelijkheid van overheidswebpagina’s. Deze gegevens verschijnen op basisbeveiliging.nl. Sinds de start zijn er meer dan 10.000 kwetsbaarheden verholpen (maar er zijn er nog altijd zo’n 25.000 te gaan…).  

Nieuwe metingen

Aan de website is recent een aantal metingen toegevoegd, waaronder op RPKI (Resource Public Key Infrastructure) en security.txt, de toekomstige nieuwe standaard waarmee het makkelijker moet worden voor security-onderzoekers om kwetsbaarheden te melden. Ook de beschikbaarheid van software-identificatie houdt basisbeveiliging.nl sinds kort bij. ‘Als je openbaar hebt staan welke versie van de software je gebruikt, dan hoeft de aanvaller alleen maar te wachten of te zoeken naar een bepaalde kwetsbaarheid op die versie,’ licht Elger Jonker, oprichter van de Internet Cleanup Foundation, toe.

Login Plaza

En dan is er nog de toevoeging Login Plaza. Dit is een overzicht van alle plaatsen waar ambtenaren kunnen inloggen bij de overheid. ‘Dat je online kunt inloggen voor thuiswerken is logisch, maar er zijn ook een heleboel beheerportalen online vindbaar,’ zegt Jonker. Om zichtbaar toegang te bieden tot contentmanagementsystemen en databases is minder verstandig, zeker omdat het niet zo veel extra moeite kost om de toegang alleen zichtbaar te maken via het eigen netwerk. ‘Het product phpMyAdmin vonden we 300 keer. Dat leidde tot ongelofelijk veel reacties. Gisteren deden we een hertest op die specifieke portals. Binnen een week is 10 procent weggehaald. Heel tof!’

Op Login Plaza staan alle openbare inlogplaatsen van de overheid netjes verzameld. Is dat geen uitnodiging voor aanvallers? ‘Aanvallers hebben deze informatie al sinds jaar en dag. We maken iets transparant dat zeker voor meer ontwikkelde of toegewijde aanvallers geen nieuws is. Een net beginnende hacker zou het overzicht kunnen bekijken, maar als je je daar zorgen over moet gaan maken als organisatie, dan doe je sowieso iets niet goed.’ Volgens Jonker leidt Login Plaza enerzijds tot opruimacties aan de kant van de overheid, en anderzijds tot mogelijk extra meldingen van ethische hackers. Dubbele winst dus.

Overzichtskaarten

In totaal zijn de bevindingen van 56.884 domeinen verdeeld over 1.331 organisaties op de website te vinden. Het gaat om ministeries, waterschappen, gemeenten, provincies en adviescolleges, Nederlandse ziekenhuizen en GGD’s. Landkaarten geven de scores weer: groen, oranje of rood. Het is ook mogelijk om overzichten te bekijken van best en slechtst scorende organisaties. De gemeente met de minste veiligheidsissues is Barendrecht. Een prestatie, vindt Jonker. ‘We zijn best vervelend, want elke keer als de kaart groen kleurt, maken we het wat moeilijker. Dat ze goed scoren, betekent dus ook dat ze het bijhouden.’

Nu is het wel moeilijker om goed te scoren als grote gemeente met een grote hoeveelheid webdomeinen onder het beheer. Dat Rotterdam op nummer twaalf staat in de top van gemeenten met de meeste issues, is om die reden opvallender dan dat Amsterdam op drie staat, zegt Jonker. ‘Amsterdam heeft bijna 500 domeinen en steekt ongelooflijk veel tijd in het veilig maken ervan. Je kan niet zeggen dat ze het niet goed doen omdat ze hoog in die lijst staan. We zijn streng. Op het moment dat we één dingetje vinden dat slecht is, kleur je rood.’