Gemeenten reageren niet snel of adequaat genoeg op meldingen over beveiligingslekken. Dat blijkt uit onderzoek van de Universiteit Twente en de vrijwilligersorganisatie van ethische hackers Dutch Institute for Vulnerability Disclosure (DIVD), die bedrijven en overheden informeert over kwetsbare systemen.
Gemeenten laks met meldingen hackers
Het systeem om meldingen van beveiligingslekken te melden bij gemeenten werkt lang niet altijd goed.
Onderzoek naar CVD-meldingen
Om beveiligingsproblemen bij de overheid te verhelpen kunnen experts een zogeheten CVD-melding doen (coordinated vulnerability disclosure) via de website van een gemeente. Maar dat systeem werkt lang niet altijd even goed.
Koen van Hove deed als ingenieur en onderzoeker bij DIVD onderzoek naar die CVD-procedures, uit persoonlijke interesse in de alertheid van Nederlandse gemeenten. Van augustus 2022 tot februari 2023 maakte hij melding van een beveiligingslek bij 114 gemeenten, als gevolg van het gebruik van door gemeenten veel gebruikte software.
Niet altijd terugkoppeling melder
Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Van de 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen op de melding. Dit is de termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure voor onderzoek aanhoudt. Bij 10 gemeenten werd het beveiligingslek opgelost zonder terugkoppeling aan de melder. Gelukkig waren er ook gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en kreeg de melder te horen wat er met de melding was gebeurd.
Anoniem melden onmogelijk
In een aantal gevallen werkten invulformulieren of emailadressen niet. Daarnaast kon vaak alleen melding worden gemaakt na inloggen via DigiD, waardoor een beveiligingslek anoniem aankaarten onmogelijk werd gemaakt. Ook viel op dat bij 11 van de 114 een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens opgevraagd uit de Basisregistratie Personen (BRP), zoals geboortedatum, huwelijksdatum, financiële staat en verblijfsvergunning van zowel de melder als partner, ouders en kinderen van de melder. Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.
Verplichte openbaring
Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Uit het onderzoek blijkt echter dat meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft.
Verlaag de drempel voor melders
Ethische hackers zijn niet wettelijk verplicht om kwetsbaarheden te melden. Ze doen het uit een maatschappelijke verantwoordelijkheidsgevoel. Daarom is het belangrijk om de drempel voor het doen van CVD-meldingen zo laag mogelijk te maken. Het onderzoek laat zien waar de ruimte voor verbetering zit: zorg voor een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites, bij voorkeur anoniem, en communiceer tijdig met de melder over wat er met de melding gebeurt.
