Al in 2018 had Cybercrimeinfo al diverse overheidswebsites die een zeer hoog risico liepen om gehackt te worden persoonlijk gewaarschuwd, echter werd daar helaas nauwelijks gehoor aangegeven. Anno 2021 zou je toch wel verwachten, nu er veel meer aandacht is in de media, dat dit niet meer het geval zou zijn. Maar helaas. Gelukkig nu 3 jaar na dato worden er kamervragen gesteld over dit onderwerp. Hieronder een overzicht van gemeenten die risico's lopen.
Status op 18 juni 2021
De beste en slechtste, organisaties met de meeste risico's
Men schiet te kort bij het treffen van digitale beveiligingsmaatregelen
De Tweede Kamer maakt zich zorgen om de veiligheid van tientallen overheidswebsites. Sommige leden vinden dat het kabinet tekortschiet bij het treffen van digitale beveiligingsmaatregelen. De Kamer wil weten wat de regering gaat doen om de digitale weerbaarheid te vergroten.
Dat blijkt uit schriftelijke vragen van Stephan van Baarle (DENK) aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops.
Onderzoek beveiliging websites overheid
Afgelopen week schreef Trouw over een onderzoek dat ze had uitgevoerd naar de beveiliging van websites van de overheid en andere politiek-bestuurlijke instanties. Het dagblad concludeerde dat de Rijksoverheid, een tiental gemeenten, acht omgevingsdiensten, vijf veiligheidsregio’s, vier regionale GGD’s, enkele waterschappen, de FIOD, douane en de Belastingdienst ‘een extra groot risico’ lopen om gehackt te worden.
Hun sites draaien op het content management systeem WordPress. Het CMS werkt met een publiekelijk toegankelijke inlogpagina. Om toegang te krijgen tot de achterkant van een site, surf je naar deze pagina en voer je hier je gebruikersnaam en wachtwoord in. Het feit dat deze pagina voor iedereen toegankelijk is, maakt de websites volgens Trouw kwetsbaar. Zeker als hackers technische hulpmiddelen gebruiken om gebruikersnamen en wachtwoorden te achterhalen en automatisch te laten invoeren, totdat er een match is.
Experts schrokken van de bevindingen en vermoeden dat de overheid geen of onvoldoende aandacht schenkt aan het probleem. Marten van Dijk, hoofd van de onderzoeksgroep Computer Security van Centrum Wiskunde & Informatica, stelt dat de overheid op deze manier de cyberrisico’s vergroot. Van de 1.148 overheidswebsites maken er 165 gebruik van WordPress.
Wat vind je hier van staatssecretaris
Voor Stephan van Baarle (DENK) was het onderzoek van Trouw om schriftelijk vragen te stellen aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops. Het Kamerlid vraagt zich af wat de staatssecretaris ervan vindt dat tientallen websites van de overheid niet voldoen aan de richtlijnen voor digitale veiligheid. Deze adviseren onder meer om de openbare pagina’s en de inlogpagina van de webmaster of beheerder strikt van elkaar te scheiden. Bij de sites die op WordPress draaien is dat niet het geval.
Van Baarle wil van de staatssecretaris weten of hij van mening is dat de overheid tekort is geschoten in het treffen van digitale beveiligingsmaatregelen tegen hackers. Het Kamerlid vindt dat burgers erop moeten kunnen vertrouwen dat de regering en overheidsinstanties als de Belastingdienst ‘vertrouwelijk en verantwoord’ met gevoelige gegevens omspringen. Hij vraagt aan Knops of het eigenlijk niet beter is dat een overheidsorgaan pas persoonsgegevens mag verwerken als de beveiligingsrisico’s in kaart zijn gebracht en de digitale beveiliging op orde is.
Al jaren aan het waarschuwen
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt al jaren voor het gevaar van een openbare inlogpagina. Sinds 2014 heeft de instantie 36 waarschuwingen gestuurd om het probleem bespreekbaar te maken. Van Baarle vraagt zich af wat er met dit advies is gebeurd, aangezien er 165 websites van overheidsinstanties op WordPress draaien. Ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, is gemaakt in WordPress. Het DENK-Kamerlid wil weten wat de staatssecretaris daarvan vindt.
Van Baarle vraagt of staatssecretaris Knops bekend is met de richtlijn van het NCSC om ‘de openbare pagina en de plek waar beheerders in kunnen loggen’ strikt van elkaar te scheiden. Hij wil van Knops horen of hij daar werk van gaat maken. Het Kamerlid wil tevens van de staatssecretaris weten of hij bereid is om de genoemde overheidssites zo snel mogelijk aan de veiligheidseisen te laten voldoen. Tot slot vraagt hij welke beleidsmatige inspanningen het kabinet nemen om de digitale weerbaarheid van overheidswebsites te vergroten.
Bron: diverse, tweedekamer.nl, vpngids.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
‘Cybercriminelen worden steeds persoonlijker’
“Cybercriminelen doen er alles aan om directieleden persoonlijk te raken", zegt Pim Takkenberg, oud-rechercheur en general manager bij Northwave. In een gesprek legt hij uit hoe cybercriminelen hun werkwijze veranderen.
Drie kwart van de Nederlandse respondenten zegt dat het aantal cyberaanvallen in de afgelopen twaalf maanden is toegenomen
VMware maakt gisteren de resultaten van zijn vierde Global Security Insights Report bekend. Deze zijn gebaseerd op wereldwijd online onderzoek in december 2020 onder 3.542 CIO’s, CTO’s en CISO’s, waarvan 251 Nederlanders. Het rapport onderzoekt de impact van cyberaanvallen en digitale inbraken bij bedrijven en beschrijft hoe security teams zich aanpassen aan deze uitdagingen.
Hacktivisten achter cyberaanval op grootste slachterij van de wereld?
Update op 2 juni 2021 om 09:00
Hackers Nobelium vallen 24 landen aan
Vorige week hebben Russische hackers van 'Nobelium' opnieuw een grote cyberaanval gelanceerd. De aanvallers richtten zich op instellingen in 24 landen, de Verenigde Staten kreeg echter de meeste aanvallen voor zijn kiezen. De meeste aanvallen werden automatisch afgeslagen, in enkele gevallen slaagden de hackers erin om een backdoor te creëren.
Waarom nog inbreken met een koevoet als jij de deur digitaal wagenwijd openzet?
Vraag aan een ‘gemiddelde Nederlander’ hoe een crimineel er uitziet en je krijgt antwoorden als: zwart gekleed, bivakmuts op, tas met inbrekersspullen en wellicht een onverzorgd baardje. Klopt dat beeld anno 2021 nog steeds?
"Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack"
Veel gemeenten zijn niet voorbereid op aanvallen van cybercriminelen. Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack. In sommige gevallen hebben gemeenten niet eens tweestapsverificatie ingesteld voor hun medewerkers, blijkt uit een rondgang van vakbladen AG Connect en Binnenlands Bestuur.