Al in 2018 had Cybercrimeinfo al diverse overheidswebsites die een zeer hoog risico liepen om gehackt te worden persoonlijk gewaarschuwd, echter werd daar helaas nauwelijks gehoor aangegeven. Anno 2021 zou je toch wel verwachten, nu er veel meer aandacht is in de media, dat dit niet meer het geval zou zijn. Maar helaas. Gelukkig nu 3 jaar na dato worden er kamervragen gesteld over dit onderwerp. Hieronder een overzicht van gemeenten die risico's lopen.
Status op 18 juni 2021
De beste en slechtste, organisaties met de meeste risico's
Men schiet te kort bij het treffen van digitale beveiligingsmaatregelen
De Tweede Kamer maakt zich zorgen om de veiligheid van tientallen overheidswebsites. Sommige leden vinden dat het kabinet tekortschiet bij het treffen van digitale beveiligingsmaatregelen. De Kamer wil weten wat de regering gaat doen om de digitale weerbaarheid te vergroten.
Dat blijkt uit schriftelijke vragen van Stephan van Baarle (DENK) aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops.
Onderzoek beveiliging websites overheid
Afgelopen week schreef Trouw over een onderzoek dat ze had uitgevoerd naar de beveiliging van websites van de overheid en andere politiek-bestuurlijke instanties. Het dagblad concludeerde dat de Rijksoverheid, een tiental gemeenten, acht omgevingsdiensten, vijf veiligheidsregio’s, vier regionale GGD’s, enkele waterschappen, de FIOD, douane en de Belastingdienst ‘een extra groot risico’ lopen om gehackt te worden.
Hun sites draaien op het content management systeem WordPress. Het CMS werkt met een publiekelijk toegankelijke inlogpagina. Om toegang te krijgen tot de achterkant van een site, surf je naar deze pagina en voer je hier je gebruikersnaam en wachtwoord in. Het feit dat deze pagina voor iedereen toegankelijk is, maakt de websites volgens Trouw kwetsbaar. Zeker als hackers technische hulpmiddelen gebruiken om gebruikersnamen en wachtwoorden te achterhalen en automatisch te laten invoeren, totdat er een match is.
Experts schrokken van de bevindingen en vermoeden dat de overheid geen of onvoldoende aandacht schenkt aan het probleem. Marten van Dijk, hoofd van de onderzoeksgroep Computer Security van Centrum Wiskunde & Informatica, stelt dat de overheid op deze manier de cyberrisico’s vergroot. Van de 1.148 overheidswebsites maken er 165 gebruik van WordPress.
Wat vind je hier van staatssecretaris
Voor Stephan van Baarle (DENK) was het onderzoek van Trouw om schriftelijk vragen te stellen aan demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops. Het Kamerlid vraagt zich af wat de staatssecretaris ervan vindt dat tientallen websites van de overheid niet voldoen aan de richtlijnen voor digitale veiligheid. Deze adviseren onder meer om de openbare pagina’s en de inlogpagina van de webmaster of beheerder strikt van elkaar te scheiden. Bij de sites die op WordPress draaien is dat niet het geval.
Van Baarle wil van de staatssecretaris weten of hij van mening is dat de overheid tekort is geschoten in het treffen van digitale beveiligingsmaatregelen tegen hackers. Het Kamerlid vindt dat burgers erop moeten kunnen vertrouwen dat de regering en overheidsinstanties als de Belastingdienst ‘vertrouwelijk en verantwoord’ met gevoelige gegevens omspringen. Hij vraagt aan Knops of het eigenlijk niet beter is dat een overheidsorgaan pas persoonsgegevens mag verwerken als de beveiligingsrisico’s in kaart zijn gebracht en de digitale beveiliging op orde is.
Al jaren aan het waarschuwen
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt al jaren voor het gevaar van een openbare inlogpagina. Sinds 2014 heeft de instantie 36 waarschuwingen gestuurd om het probleem bespreekbaar te maken. Van Baarle vraagt zich af wat er met dit advies is gebeurd, aangezien er 165 websites van overheidsinstanties op WordPress draaien. Ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, is gemaakt in WordPress. Het DENK-Kamerlid wil weten wat de staatssecretaris daarvan vindt.
Van Baarle vraagt of staatssecretaris Knops bekend is met de richtlijn van het NCSC om ‘de openbare pagina en de plek waar beheerders in kunnen loggen’ strikt van elkaar te scheiden. Hij wil van Knops horen of hij daar werk van gaat maken. Het Kamerlid wil tevens van de staatssecretaris weten of hij bereid is om de genoemde overheidssites zo snel mogelijk aan de veiligheidseisen te laten voldoen. Tot slot vraagt hij welke beleidsmatige inspanningen het kabinet nemen om de digitale weerbaarheid van overheidswebsites te vergroten.
Bron: diverse, tweedekamer.nl, vpngids.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Nederland is niet goed voorbereid op Cyberaanval
Nederland moet zich beter voorbereiden op grote cyberaanvallen en ingrijpende digitale storingen. Dat geldt niet alleen voor de overheid, maar ook voor bedrijven en de samenleving als geheel. De impact van cyberaanvallen en/of digitale storingen ontwrichtingen kunnen het land namelijk ontwrichten, zegt de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) maandag in een advies.
Interne netwerk van tientallen Nederlandse bedrijven en organisaties staat wagenwijd open voor hackers
Het interne netwerk van tientallen grote Nederlandse bedrijven, organisaties en overheden staat wagenwijd open voor hackers. Dat blijkt uit onderzoek van Ralph Moonen van beveiligingsbedrijf Secura, waarvan de resultaten aan BNR zijn bevestigd door twee andere beveiligingsbedrijven.
Cyberaanval die in eerste instantie enkel gericht leek te zijn op iPhone, blijkt groter te zijn dan gedacht
Een cyberaanval die in eerste instantie enkel gericht leek te zijn op iPhone, blijkt groter te zijn dan gedacht. Ook Google's eigen mobiele besturingssysteem Android en Windows PC's zijn via dezelfde website aangevallen.
Twee stappen verificatie voorkomt 99,9 procent van Cyberaanvallen
Twee Stappen verificatie (2FA), zoals het gebruik van een extra code tijdens het inloggen, voorkomt 99,9 procent van de aanvallen op accounts, zo stelt Microsoft. De softwaregigant laat weten dat het dagelijks meer dan 300 miljoen frauduleuze inlogpogingen op de eigen clouddiensten ziet.
Cybercrime georganiseerde professionele bendes
Cybercrime komt steeds vaker voor, maar wie zit er achter deze aanvallen? In ieder geval niet de 'computer nerd' die op zijn kamer wat code en scripts schrijft. Dat is een geromantiseerd beeld.
'Aantal cyberaanvallen stijgt naar recordhoogte'
Er was sprake van een stijging van bijna 4% ten opzichte van het voorgaande jaar. Dit was het gevolg van toenemende activiteit op het gebied van malware en exploits (misbruik van kwetsbaarheden). Een gedetailleerde bespreking van de Threat Landscape Index en de subindexen voor exploits, malware en botnets, compleet met speciale aanbevelingen voor CISO’s, is te vinden op het blog van Fortinet.