De overheid kiest voor makkelijke websites, niet voor veilige
Je zou verwachten dat gemeenten of de nationale overheid digitaal goed beveiligd zijn. Toch vertonen tientallen overheidswebsites zwakke plekken die eenvoudig te vermijden zijn. Dat vraagt om aandacht van kwaadwillenden.
Je kunt een inlogpagina voor beheerders van een website vergelijken met de personeelsingang of met de deur naar de machinekamer. Achter die deur wordt aan de website gesleuteld, een nieuw artikel geplaatst of de computercode aangepast. De toegang is verboden voor onbevoegden. Wees heel voorzichtig met zulke inlogpagina’s, adviseert het Nationaal Cyber Security Centrum (NCSC), en pas op dat ze niet via het openbare internet te bereiken zijn. Want hackers hebben zo hun manieren om binnen te komen.
Desondanks is die inlogpagina bij tientallen websites van de rijksoverheid, lagere overheden en overheidsdiensten heel gemakkelijk te vinden. Bij de Fiod bijvoorbeeld, de opsporingsdienst van de Belastingdienst, bij de gemeenten Alkmaar en Gouda, en bij een belangrijk adviesorgaan van de regering.
Kwaadwillenden
Zulke sites vragen om aandacht van kwaadwillenden uit Nederland, China of Rusland. De publieke inlogpagina is een openbare uitnodiging om op zoek te gaan naar de sleutel van die deur, oftewel het wachtwoord. De richtlijn om het beheer van een website níet publiek toegankelijk te maken, heeft volgens het NCSC een hoge prioriteit. Toch schenden tientallen overheidswebsites deze regel. Hoe kan dat?
De websites zijn allemaal met het softwarepakket WordPress gemaakt. Een populair systeem dat begin jaren 2000 is ontwikkeld voor bloggers. Sindsdien zijn de mogelijkheden enorm uitgebreid, dankzij een gemeenschap van programmeurs uit de hele wereld. WordPress is een compleet content-management-systeem geworden, zoals dat heet, en bedrijven maken er gelikte websites mee. Van de 10 miljoen populairste websites wordt ruim 40 procent gebouwd met WordPress.
Goedkoper én veiliger
Zo’n openbaar inlogscherm is een bekend veiligheidsrisico voor WordPress-websites. Je kunt hem verbergen, maar dat is niet genoeg, zegt Pieter Jansen, ethisch hacker en directeur van het cyberveiligheidsbedrijf Cybersprint. “Wij hebben voor onze eigen website geprobeerd om met WordPress te werken, maar het lukte ons niet om de beheer-functie en de gebruikers-functie afdoende te scheiden. Het bleek goedkoper én veiliger om een ander soort website te laten bouwen.”
Door de jaren heen zijn er vele duizenden kwetsbaarheden gevonden in WordPress en in de talloze toevoegingen die programmeurs ervoor ontwikkelen. De NCSC heeft sinds 2014 voor 36 ernstige veiligheidsproblemen in WordPress gewaarschuwd. Als zo’n lek wordt ontdekt, wat soms jaren duurt, is het zaak om razendsnel een nieuwe update te installeren. Om gauw te ‘patchen’: oplappen, pleisters plakken. Als je daarmee te laat bent, loop je grote risico’s. Omdat WordPress zo populair is, houden veel hackers zich ermee bezig. Als ze beet hebben en een kwetsbaarheid vinden, kunnen ze die bij heel veel organisaties uitbuiten.
Geen uitkering vanwege een hack
Steeds meer dienstverlening aan burgers verloopt via websites. De gemeente-site maakt bijvoorbeeld verbinding met DigiD en burgers kunnen vertrouwelijke meldingen doen via de Fiod-site. Overheden van hoog tot laag beschikken over vertrouwelijke informatie, van persoonsgegevens tot economische kennis. Ze hebben ook dagelijks te maken met vele hackpogingen. De gemeenten Lochem en Hof van Twente weten daar alles van: zij werden gehackt. En in België overkwam dat zelfs het ministerie van binnenlandse zaken. Spionage, gijzelsoftware, archiefvernietiging, uitkeringen die niet kunnen worden betaald... informatiebeveiliging is van het allergrootste belang.
Ontwerpbureaus
Jules Ernst is internetspecialist en onderzoekt voor zijn website 200ok.nl welke softwaresystemen overheden gebruiken voor hun websites. Van de 1148 sites van de rijksoverheid die hij op afstand kan detecteren, gebruiken er 165 WordPress, zegt hij. “Vaak zijn het externe ict-bedrijven of communicatiebureaus die websites maken voor de overheid”, zegt hij ter verklaring van de populariteit. “Die kunnen goed met WordPress uit de voeten.”
“Het zijn inderdaad vaak de ontwerpbureaus die voor WordPress kiezen”, zegt Pieter Jansen. “Het is immers toegankelijk, het heeft een grote gemeenschap van programmeurs en biedt heel veel mogelijke uitbreidingen.”
Mógen overheden WordPress gebruiken? Dat lijkt onwaarschijnlijk als je de Bio leest, de Baseline Informatiebeveiliging Overheid die voor het Rijk, gemeenten, provincies en waterschappen geldt. Het biedt een lange lijst met voorschriften. Meestal wat abstract (‘zorg voor goed beleid’), soms ook concreter (‘zorg voor sterke wachtwoorden’).
Twee kernpunten
Je kunt in dat document twee kernpunten ontdekken. Zorg voor ‘security by design’: denk bij alles wat je doet aan de veiligheid. En daarnaast: neem maatregelen om rest-risico’s te beperken. Wat betekent dat?
Géén website bouwen is het veiligste, kun je met enige overdrijving zeggen. Maar dat is geen optie, want burgers willen digitale communicatie en dienstverlening. Als je dan toch een website bouwt, kies dan de veiligste oplossing. De keuze voor een extern softwarepakket waarbij je steeds pleisters moet plakken om veiligheidsrisico’s te verhelpen, is dat niet. Het is ook geen noodzakelijke keuze, want er zijn alternatieven. Noem het liever een keuze voor gemak.
Een probleem is dat de richtlijnen van de Bio weinig concreet zijn. “De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen”, staat er bijvoorbeeld in. Maar welke principes dat zijn, staat er niet bij. De Auditdienst Rijk vond in december 2019 dat het veel concreter moest. “Wat zijn gangbare principes?”, schreef de auditdienst als commentaar in de kantlijn. Veel richtlijnen van de Bio zijn niet specifiek genoeg, “waardoor ze mogelijk verschillend geïnterpreteerd worden”, concludeerde de auditdienst, die de overheid onafhankelijk adviseert over onder meer de ict.
Beveiligingsprincipe genegeerd
Als regels niet concreet zijn, zijn de resultaten moeilijk te meten. Dan kan een overheidsorgaan ook gemakkelijker verklaren dat het allemaal wel in orde is. En belangrijke beveiligingsprincipes kunnen dan zomaar genegeerd worden. Op papier kun je aan alle regels voldoen, terwijl je in de praktijk onveilige keuzes maakt.
Vanwege het belang van informatiebeveiliging heeft een groeiend aantal overheidsorganisaties een expert in huis, een Chief Information Security Officer (Ciso). Die heeft een adviserende rol en moet ervoor zorgen dat de top van de ambtelijke organisatie veilige keuzes maakt. Veilig betekent dat informatie beschikbaar, vertrouwelijk en betrouwbaar blijft. Maar ook organisaties met een Ciso in huis kiezen voor WordPress en laten de inlogpagina open en bloot liggen.
“Vaak gaat het om de Wordpress-websites die buiten de officiële spelregels van de organisatie om worden opgezet”, zegt Pieter Jansen. “Dit noem ik de schaduw-IT. De Ciso’s weten vaak dat deze onofficiële Wordpress-websites bestaan. Zij zijn op de hoogte van het risico en waarschuwen de organisatie ervoor. Vaak bieden zij ook procedures aan om snel een veilige website te bouwen. Dit soort sites komen vaak in de lucht vanuit onwetendheid, zonder kwaadaardige intenties.” Maar veel van de Wordpress-websites met een open inlogpagina voor het beheer zijn juist officiële, prominente pagina’s.
Beveiliging van gemeenten
In het monumentale kantoorgebouw de Willemshof in Den Haag zit de Informatiebeveiligingsdienst (IBD). Deze organisatie is opgericht door de Vereniging van Nederlandse Gemeenten (VNG) om gemeenten te helpen met de informatiebeveiliging. Ook dit expertisecentrum gebruikt Wordpress voor de eigen website. Waarom is daarvoor gekozen als informatiebeveiliging zo belangrijk is, en security by design het uitgangspunt moet zijn?
De woordvoerder verdedigt WordPress en zegt dat al die veiligheidsmeldingen het softwarepakket juist veiliger maken. Hoe meer meldingen, hoe beter, zegt hij. “Een groot aantal beveiligingsupdates is eerder een goed teken: WordPress heeft een grote community van ontwikkelaars en iedereen kan daarin verbeteringen aandragen.”
Moet de overheid niet voor de veiligste oplossing kiezen en vervolgens rest-risico’s beperken? “De veiligste oplossing is niet het doel. Het gaat erom dat je de risico’s onderkent en dan zoveel maatregelen neemt dat die risico’s acceptabel worden.” Hij vindt dat geen symptoombestrijding.
WordPress is riskant omdat het een computertaal gebruikt die directe toegang heeft tot de computerserver, dus tot de computerkast in het datacenter die de website naar websitebezoekers verstuurt. De websitebeheerder mag daar gebruik van maken. En hackers doen dat ook.
De beste verdediging: maak je zo klein mogelijk
Wat zijn de basale beveiligings- principes? De kern is dat je aanvallers zo weinig mogelijk aanknopingspunten of kansen moet bieden. Marten van Dijk, hoofd van het onderzoeksteam Computer Security van Centrum Wiskunde & Informatica in Amsterdam, spreekt in dit verband van het ‘aanvals-oppervlak’. “Maak dit zo klein mogelijk.”
Hij legt uit: “In alle apparatuur en in alle software die je gebruikt, kunnen kwetsbaarheden zitten. Sommige zijn al ontdekt, bijvoorbeeld doordat hackers of producenten de computercode hebben nagekeken op zoek naar foutjes. Andere kwetsbaarheden worden in de toekomst nog ontdekt. Om te voorkomen dat je het slachtoffer wordt van een aanval, moet je bijvoorbeeld overbodige software verwijderen en digitale toegangsdeuren sluiten.”
Probeer je computersysteem simpel en overzichtelijk te houden. Zorg dat je weet hoe de gebruikte software werkt. Voeg geen software toe van externe partijen als er een oplossing is die eenvoudiger of veiliger is en toch dezelfde mogelijkheden biedt. Voorkom dat hackers kunnen rondsnuffelen bij je computersysteem en dat er digitale deuren openstaan, zoals een publieke inlogpagina voor het websitebeheer. Als je dat niet doet ben je een kasteelheer die bij een aanval de ophaalbrug over de slotgracht laat liggen.
Geen foutloze code
Is het niet beter als de overheid zelf een systeem bedenkt om veilige, overzichtelijke webpagina’s te publiceren? De woordvoerder van IBD gelooft van niet. “Dan ga je ervan uit dat de computercode geen enkele zwakke plek of fout zou bevatten, en een foutloze code bestaat niet.”
Het Nationaal Cyber Security Centrum waarschuwt in de richtlijnen dat populaire softwarepakketten uit de buitenwereld heel interessant kunnen zijn voor hackers. “Juist omdat ze in gebruik zijn bij meer organisaties, is de kans groter dat kwaadwillenden hun pijlen op deze webapplicaties richten.” Met webapplicaties worden ook websites bedoeld.
De NCSC adviseert verder dat je niet méér moet aanbieden dan strikt noodzakelijk is voor het doel dat je hebt. “Beperk de functionaliteit tot hetgeen noodzakelijk is.” Voeg dus niet meer toe aan een website dan je nodig hebt. “Schakel alle andere functies uit, ook wanneer deze ‘leuk’ of ‘handig’ zijn.” WordPress biedt juist allerlei extra’s aan en daarin worden vaak kwetsbaarheden ontdekt. “Wordpress is niet per definitie onveilig”, zegt Pieter Jansen. “Maar zodra je functionaliteit of data gaat toevoegen ontstaat het risico. Het kost veel tijd om dit zelf veilig te doen.”
Rondsnuffelende hackers
Dat je op afstand kunt zien welke software een website gebruikt, is trouwens ook een veiligheidsrisico volgens de NCTC. “Dit lekken van informatie moet zoveel mogelijk worden voorkomen.” Want ‘dan wordt het een aanvaller makkelijker gemaakt om bekende zwakke plekken van deze systemen te exploiteren’.
Overheden moeten hun systemen dus beter bewaken tegen rondsnuffelende hackers. Anders vinden die bijvoorbeeld verouderde en onveilige onderdelen van WordPress, of zien ze welke computerserver er precies wordt gebruikt, zoals bij IBD het geval is. Hackers kunnen dan gaan googelen naar kwetsbaarheden.
Waarom wil de Belastingdienst nog meer websites gaan bouwen met WordPress, zoals uit een vacature blijkt? “Security by design staat altijd voorop. Ook Wordpress moet voldoen aan alle veiligheidsvoorwaarden”, zegt een woordvoerder. “Bij de Belastingdienst heeft het Security Operations Center in beeld wat de producten en beveiligingsproblemen zijn. Op alle afdelingen werken beveiligingsmanagers. Voordat nieuwe sites online gaan, worden onze websites getest door ethische hackers. Met regelmaat moeten we bovendien voor de certificering van DigiD ook audits doen van de webomgevingen.”
Niettemin hebben websites van de Fiod, de Douane en de service-pagina voor slachtoffers van toeslagenaffaire een zwakke plek. De achterdeur naar de machinekamer is voor iedereen te vinden.
Lees ook:
Overheid heeft onvoldoende grip op digitale verdediging, zegt Wetenschappelijke Raad
De Nederlandse overheid moet wettelijk toegang kunnen krijgen tot computersystemen van bedrijven die gehackt zijn. Zo kan erger worden voorkomen, vindt de Wetenschappelijke Raad voor het Regeringsbeleid.