Overheden negeren basale beveiligingsregels: tientallen websites gevoelig voor hacks
De overheid maakt het hackers eenvoudig om in te breken.
Overheden negeren basale beveiligingsregels. Daardoor lopen de Rijksoverheid, gemeenten en veiligheidsregio’s, maar ook de Fiod, de douane, de Belastingdienst en GGD’s een extra groot risico te worden gehackt. Ze bieden de hele wereld namelijk toegang tot de inlogpagina’s voor het beheer van websites, blijkt uit onderzoek van deze krant. Dat vergroot de kans dat kwaadwillenden inbreken.
Naast allerlei websites van de Rijksoverheid gaat het om een tiental gemeenten, vijf veiligheidsregio’s, vier regionale GGD’s, acht omgevingsdiensten en enkele waterschappen. Zij bieden een publieke webpagina aan, waarin je een gebruikersnaam en wachtwoord moet invullen om de website over te nemen. Die pagina is zo te vinden. Hackers hebben technische middelen om een gebruikersnaam te achterhalen en geautomatiseerd wachtwoorden uit te proberen, totdat ze beethebben.
Volgens de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) is het zeer onverstandig om zo makkelijk toegang te verlenen tot het inlogscherm.
‘Schokkend’
De overheid vergroot zo de cyberrisico’s, zegt Marten van Dijk, hoofd van de onderzoeksgroep Computer Security van Centrum Wiskunde & Informatica. Pieter Jansen, ethisch hacker en directeur van cyberveiligheidsbedrijf Cybersprint, noemt de voorgelegde bevindingen ‘schokkend’ en vermoedt dat deze sites niet op de radar staan van IT- en security-teams.
Eind vorig jaar namen hackers bij de gemeente Hof van Twente alle systemen over via een achterdeur voor systeembeheerders, die het wachtwoord ‘Welkom2020' had. De dienstverlening aan burgers kwam volledig stil te liggen. Overheden worden dagelijks vele malen aangevallen.
De publieke inlogpagina is een bekend veiligheidsrisico van het softwarepakket WordPress, waarmee deze pagina’s zijn gebouwd. Daarnaast worden regelmatig veiligheidsproblemen ontdekt in de computercode van WordPress. Sinds 2014 heeft het NCSC overheden 36 ernstige waarschuwingen gestuurd over veiligheidskwesties bij WordPress. Dat hoge aantal meldingen heeft volgens NCSC te maken met de wereldwijde populariteit van het websiteprogramma.
Eind mei meldde NCSC bijvoorbeeld over WordPress dat een kwaadwillende op afstand willekeurige computercodes kan uitproberen en zo mogelijk toegang krijgt tot gevoelige informatie. Websitebouwers moeten na zo’n melding razendsnel een nieuwe versie van de software installeren, om hackers een stap voor te blijven. Patchen heet dat, de boel oplappen. Dat heeft veel weg van symptoombestrijding.
Open en bloot
De regels schrijven voor dat overheden bij alle ICT nadenken over beveiliging – oftewel: ‘security by design’ – en voor de veiligste optie kiezen. Dat gebeurt in deze gevallen niet. Bij belangrijke websites liggen de inlogpagina’s voor beheerders open en bloot.
Internetspecialist Jules Ernst onderzoekt welke software overheden gebruiken. Van de 1148 websites van de Rijksoverheid die hij op afstand kan uitlezen, gebruiken er 165 WordPress. Er is geen organisatie die controleert of overheden veilige websites bouwen.
NCSC bevestigt dat websites waarbij de buitenwereld kan proberen in te loggen als beheerder, niet aan de richtlijnen voldoen. Het cybercentrum houdt echter geen toezicht op de naleving van de regels. “De uiteindelijke beoordeling of dat wel of niet veilig is, is aan de organisatie die een website maakt”, zegt een woordvoerder.
De Informatiebeveiligingsdienst (IBD), die gemeenten over beveiliging adviseert, gebruikt WordPress voor de eigen website. Een woordvoerder zegt dat het juist goed is dat er zoveel veiligheidsproblemen worden ontdekt in WordPress, want dat maakt het systeem veiliger. Hij zegt ook dat overheden niet per se voor de veiligste optie moeten kiezen. “De veiligste oplossing is niet het doel. Het gaat erom dat je de risico’s onderkent en dan zoveel maatregelen neemt dat die risico’s acceptabel worden.”
Volgens wetenschapper Marten van Dijk is die uitleg van security by design door IBD onjuist. “Voorkom onnodige risico’s. Als er een veiliger methode is om als overheid dezelfde dienstverlening aan te bieden, dan verdient die de voorkeur. Kies de allerveiligste optie.”
Grote internetstoring
Veel bekende websites waren dinsdagmiddag urenlang uit de lucht. Een technisch probleem bij een leverancier van datatransport zorgde voor de problemen, bij onder meer The New York Times, Spotify, de Britse overheid en Paypal.
De blackout die begon bij de Amerikaanse website Reddit, verspreidde zich als een lopend vuurtje over het internet. De oorzaak bleek te liggen bij Fastly, een bedrijf dat voor veel sites de verbinding met de cloud verzorgt. In de loop van de middag kwamen de sites weer online.
Lees ook:
Websites van de overheid zijn vaak makkelijk te hacken
Je zou verwachten dat gemeenten of de nationale overheid digitaal goed beveiligd zijn. Toch vertonen tientallen overheidswebsites zwakke plekken die eenvoudig te vermijden zijn. Dat vraagt om aandacht van kwaadwillenden.