Al in 2018 had Cybercrimeinfo al diverse overheidswebsites die een zeer hoog risico liepen om gehackt te worden persoonlijk gewaarschuwd, echter werd daar helaas nauwelijks gehoor aangegeven. Anno 2021 zou je toch wel verwachten, nu er veel meer aandacht is in de media, dat dit niet meer het geval zou zijn. Maar helaas. Gelukkig nu 3 jaar na dato worden er kamervragen gesteld over dit onderwerp. Hieronder een overzicht van gemeenten die risico's lopen.
Status op 18 juni 2021
De beste en slechtste, organisaties met de meeste risico's
Men schiet te kort bij het treffen van digitale beveiligingsmaatregelen
De Tweede Kamer maakt zich zorgen om de veiligheid van tientallen overheidswebsites. Sommige leden vinden dat het kabinet tekortschiet bij het treffen van digitale beveiligingsmaatregelen. De Kamer wil weten wat de regering gaat doen om de digitale weerbaarheid te vergroten.
Dat blijkt uit schriftelijke vragen van Stephan van Baarle (DENK) aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops.
Onderzoek beveiliging websites overheid
Afgelopen week schreef Trouw over een onderzoek dat ze had uitgevoerd naar de beveiliging van websites van de overheid en andere politiek-bestuurlijke instanties. Het dagblad concludeerde dat de Rijksoverheid, een tiental gemeenten, acht omgevingsdiensten, vijf veiligheidsregio’s, vier regionale GGD’s, enkele waterschappen, de FIOD, douane en de Belastingdienst ‘een extra groot risico’ lopen om gehackt te worden.
Hun sites draaien op het content management systeem WordPress. Het CMS werkt met een publiekelijk toegankelijke inlogpagina. Om toegang te krijgen tot de achterkant van een site, surf je naar deze pagina en voer je hier je gebruikersnaam en wachtwoord in. Het feit dat deze pagina voor iedereen toegankelijk is, maakt de websites volgens Trouw kwetsbaar. Zeker als hackers technische hulpmiddelen gebruiken om gebruikersnamen en wachtwoorden te achterhalen en automatisch te laten invoeren, totdat er een match is.
Experts schrokken van de bevindingen en vermoeden dat de overheid geen of onvoldoende aandacht schenkt aan het probleem. Marten van Dijk, hoofd van de onderzoeksgroep Computer Security van Centrum Wiskunde & Informatica, stelt dat de overheid op deze manier de cyberrisico’s vergroot. Van de 1.148 overheidswebsites maken er 165 gebruik van WordPress.
Wat vind je hier van staatssecretaris
Voor Stephan van Baarle (DENK) was het onderzoek van Trouw om schriftelijk vragen te stellen aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops. Het Kamerlid vraagt zich af wat de staatssecretaris ervan vindt dat tientallen websites van de overheid niet voldoen aan de richtlijnen voor digitale veiligheid. Deze adviseren onder meer om de openbare pagina’s en de inlogpagina van de webmaster of beheerder strikt van elkaar te scheiden. Bij de sites die op WordPress draaien is dat niet het geval.
Van Baarle wil van de staatssecretaris weten of hij van mening is dat de overheid tekort is geschoten in het treffen van digitale beveiligingsmaatregelen tegen hackers. Het Kamerlid vindt dat burgers erop moeten kunnen vertrouwen dat de regering en overheidsinstanties als de Belastingdienst ‘vertrouwelijk en verantwoord’ met gevoelige gegevens omspringen. Hij vraagt aan Knops of het eigenlijk niet beter is dat een overheidsorgaan pas persoonsgegevens mag verwerken als de beveiligingsrisico’s in kaart zijn gebracht en de digitale beveiliging op orde is.
Al jaren aan het waarschuwen
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt al jaren voor het gevaar van een openbare inlogpagina. Sinds 2014 heeft de instantie 36 waarschuwingen gestuurd om het probleem bespreekbaar te maken. Van Baarle vraagt zich af wat er met dit advies is gebeurd, aangezien er 165 websites van overheidsinstanties op WordPress draaien. Ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, is gemaakt in WordPress. Het DENK-Kamerlid wil weten wat de staatssecretaris daarvan vindt.
Van Baarle vraagt of staatssecretaris Knops bekend is met de richtlijn van het NCSC om ‘de openbare pagina en de plek waar beheerders in kunnen loggen’ strikt van elkaar te scheiden. Hij wil van Knops horen of hij daar werk van gaat maken. Het Kamerlid wil tevens van de staatssecretaris weten of hij bereid is om de genoemde overheidssites zo snel mogelijk aan de veiligheidseisen te laten voldoen. Tot slot vraagt hij welke beleidsmatige inspanningen het kabinet nemen om de digitale weerbaarheid van overheidswebsites te vergroten.
Bron: diverse, tweedekamer.nl, vpngids.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Minstens 10 miljoen mensen potentieel doelwit van cyberaanvallen
Het beheer van gebouwen wordt steeds verder geautomatiseerd, waarbij de systemen die worden gebruikt voor het bedienen van bijvoorbeeld alarmsystemen, stroomvoorziening, toegangsdeuren en -poorten, ventilatie of schuifdeuren steeds vaker zijn verbonden met internet. Doordat er te weinig aandacht is voor de digitale beveiliging, worden de systemen kwetsbaarder voor cyberaanvallen, terwijl de mogelijke impact van zulke aanvallen toeneemt.
Cybercriminelen wonen niet altijd om de hoek
Hackende pubers en doorgewinterde internetcriminelen: het cybercrime-team van de politie heeft er zijn handen vol aan. “Bedrijf had net zonder te weten 600.000 euro overgemaakt aan criminelen.”
De belangrijkste cyberdreigingen voor 2020
Het dreigingslandschap blijft zich ontwikkelen. Cybercriminelen zetten in toenemende mate in op ransomware. Ook blijven cyberaanvallen onder de radar doordat gebruik wordt gemaakt van kwaadaardige Android-apps. In andere gevallen maken aanvallers misbruik van misconfiguratie in de cloud en misbruik van machine learning.
Medische gegevens grotere goudmijn voor cybercriminelen dan creditcards
Het stelen van medische gegevens via hacken van zorginstellingen en universiteiten is lucratievere handel.
Georgië getroffen door massale cyberaanval
De aanval heeft vele gevolgen voor het dagelijks leven in het land. Het is nog niet bekend wie er achter de aanval zit. Vanwege de omvang wordt gespeculeerd dat het om een aanval gaat met staatssteun. Volgens beveiligingsonderzoekers zijn veel sites in Georgië slecht beveiligd. In veel gevallen werden website home pagina's vervangen door een beeld van de voormalige president Michail Saakasjvili, en de titel "Ik kom terug". Saakashvili was president van het land tussen 2004 en 2013. Toen hij daarna de Oekraïense nationaliteit kreeg, verloor hij zijn Georgische paspoort. Saakashvili woont tegenwoordig in Nederland. Hij kreeg een verblijfsvergunning, omdat hij een Nederlandse vrouw heeft. De BBC schrijft dat ook websites van rechtbanken doelwit waren van de aanval en dat kwaadwillenden het op persoonlijke informatie hadden gemunt. Daarbij is niet bekend hoeveel websites er nog steeds offline zijn en of de aanval daadwerkelijk informatie heeft buitgemaakt.
CBS: Cybercrime aanpakken?
Bedrijven en overheid tasten voor een groot deel nog in het duister over de beste manier om cybercriminaliteit tegen te gaan. Dat komt doordat veel digitale aanvallen of hacks onder de radar blijven, schrijft het Centraal Planbureau (CPB) in een nieuw rapport. Een gebrek aan informatie maakt het moeilijk om te bepalen welke maatregelen passend zijn.