NEWS: Veel gemeenten reageren nog niet adequaat op beveiligingslekken

By Koen van Hove

Coordinated Vulnerability Disclosures bij gemeenten

Wanneer researchers kwetsbaarheden vinden in systemen, worden deze in eerste instantie opgestuurd naar de organisatie of de gemeente zelf. Deze zogenoemde Coordinated Vulnerability Disclosures (CVD-meldingen) worden gedaan door ethische hackers die zo het internet veiliger willen maken. Dit proces is de laatste jaren wel verbeterd, maar er blijft nog steeds veel te winnen, bijvoorbeeld voor de gemeenten in Nederland.

Veel gemeenten reageren namelijk niet adequaat en/of niet snel genoeg op meldingen over beveiligingslekken. Dat blijkt uit recent onderzoek van de Universiteit Twente en het Dutch Institute for Vulnerability Disclosure (DIVD) onder 114 Nederlandse gemeenten. In dit artikel lees je meer over de uitkomsten van dit onderzoek.

Het onderzoek

Koen van Hove, promovendus aan de Universiteit Twente, software- en onderzoeksingenieur bij NLnet Labs, en onderzoeker bij de vrijwilligersorganisatie Dutch Institute for Vulnerability Disclosure (DIVD), heeft onderzoek gedaan naar de responsiviteit en het adequaat handelen van gemeenten in Nederland. Er deden 114 gemeenten mee aan het onderzoek. Het resultaat was als volgt:

1. Tijd tussen notificatie en eerste respons

De termijn die de Universiteit Twente in haar Coordinated Vulnerability Disclosure (CVD) voor onderzoek aanhoudt, is 90 dagen.

  • Slechts 70 van de 114 benaderde gemeenten reageerden binnen deze afgesproken 90 dagen, wat betekent dat 44 gemeenten niet op tijd reageerden op de kwetsbaarheidsmelding.

2. Kwaliteit van het respons

Bij 89 gemeenten werd uiteindelijk bijgehouden of het beveiligingslek werd opgelost.

  • Bij 19 van deze 89 gemeenten werd de melding adequaat behandeld en werd er ook daadwerkelijk gereageerd op de melding.
  • Bij 10 gemeenten werd het beveiligingslek wel opgelost, maar dit werd niet teruggekoppeld aan de melder.

Conclusie

Het onderzoek van Koen van Hove toont aan dat hoewel er enkele gemeenten zijn die proactief en adequaat reageren op kwetsbaarheidsmeldingen, er nog steeds grote verbeteringen nodig zijn in de manier waarop de meeste Nederlandse gemeenten omgaan met Coordinated Vulnerability Disclosures (CVD).

Aanleiding voor het onderzoek

Tussen 30 augustus 2022 en 23 februari 2023 meldde Koen van Hove een beveiligingslek in veelgebruikte software bij gemeenten. Waar mogelijk, maakte hij gebruik van de CVD-procedure op de websites van de gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten. Het ging hierbij om een beveiligingslek dat het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.

Tijdens het meldingsproces waren er uitdagingen, waaronder niet-functionerende formulieren en e-mailadressen, en verwarrende meldmethoden. Opvallend was ook dat veel meldingsformulieren alleen toegankelijk waren na een inlog via DigiD, wat anoniem melding maken onmogelijk maakte. Daarnaast viel het op dat bij 11 van de 114 gemeenten een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens zoals geboortedatum, huwelijksdatum, financiële staat en verblijfsvergunning van zowel de melder als diens partner, ouders en kinderen opgevraagd uit de Basisregistratie Personen (BRP). Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.

Verplichte Openbaring

Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het verplicht is om een procedure voor het melden van beveiligingsproblemen (CVD-procedure) te hebben en openbaar te maken. Het onderzoek wijst uit dat er ruimte is voor verbetering, aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft.

Belang van meldingen via CVE-Procedure

Het belang van meldingen via het CVD-systeem voor gemeenten is evident, zoals geïllustreerd werd in 2020 tijdens een ransomware-aanval op de gemeente Hof van Twente. Vrijwilligers die deze meldingen doen, zijn niet wettelijk verplicht dit te melden, maar zetten zich in vanwege hun bewustzijn van het belang ervan. Daarom is het cruciaal om de drempel voor het doen van dergelijke meldingen zo laag mogelijk te maken. Dit kan worden bereikt door een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites te publiceren, bij voorkeur ook anoniem en zonder onnodige persoonsgegevens op te vragen. Daarnaast benadrukt het onderzoek het belang van tijdige en informatieve communicatie met de melder.

Tot slot

Het onderzoek van Koen wijst op een duidelijke behoefte aan verbeterde procedures en een grotere bewustwording van het belang van een snelle en effectieve respons op beveiligingslekken. Het waarborgen van de veiligheid van gemeentelijke systemen is van cruciaal belang, en dit kan alleen worden bereikt door het versterken van CVD-processen en het verlagen van de drempel voor ethische hackers om kwetsbaarheden te melden.

Als je als user of ethische hacker een beveiligingsprobleem of kwetsbaarheid in een ICT-systeem van een organisatie of gemeente ontdekt, kun je dit bij de organisatie melden en deze de tijd en mogelijkheid geven om de zwakke plek aan te pakken voordat je de kwetsbaarheid aan de buitenwereld bekendmaakt. Door deze CVD-melding heeft de organisatie de mogelijkheid om schade zo veel mogelijk te voorkomen of beperken en de veiligheid van ICT-systemen te verhogen.