Posted on Leave a comment

Gemeenten doof voor meldingen over beveiligingslekken




Veel gemeenten negeren meldingen over beveiligingslekken. Ze reageren te traag of niet adequaat genoeg op zogenoemde Coordinated Vulnerability Disclosures (CVD-meldingen) die ethische hackers doen om het web veiliger te maken.

Dat blijkt uit onderzoek van de Universiteit Twente en Dutch Institute for Vulnerability Disclosure (DIVD) onder gemeenten. De laatste jaren is de situatie wel verbeterd, maar er blijft nog steeds een wereld te winnen voor de gemeenten.

Koen van Hove, promovendus aan de Universiteit Twente, onderzocht de werking van CVD-procedures bij Nederlandse gemeenten. Tussen 30 augustus 2022 en 23 februari 2023 meldde Van Hove, tevens vrijwilliger bij DIVD, een beveiligingslek in veelgebruikte software program bij gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten. Het ging hierbij om een beveiligingslek die het mogelijk maakt om through door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.

Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Bij tien gemeenten werd het beveiligingslek opgelost, maar niet teruggekoppeld aan de melder. Bij negentien gemeenten werd de melding adequaat behandeld en volgde er een reactie op de melding. 44 gemeenten reageerden niet binnen negentig dagen. Tijdens het meldingsproces stuitte de promovendus op uitdagingen, waaronder niet-functionerende formulieren en e-mailadressen, en verwarrende melding methoden.

BIO

Sinds 1 januari 2019 geldt de Baseline Informatiebeveiliging Overheid (BIO) die het hebben en openbaar maken van een process voor het melden van beveiligingsproblemen (CVD-procedure) verplicht stelt. Meer dan de helft van de 114 aangeschreven gemeenten heeft nog geen duidelijke CVD-procedure gepubliceerd of handhaaft die.

Leave a Reply

Your email address will not be published. Required fields are marked *