Bijna 80% van de gemeentelijke websites bevatten één of meer beveiligingsrisico’s

[Henk Elegeert]

REPLY TO: D66 at nic.surfnet.nl

http://www.gemeenteweb.nl/show?id=221954&frameid=312868

    Nieuwsflits online
In deze nieuwsflits:

     * Bijna 80% gemeentelijke websites bevat
veiligheidsrisico's


BIJNA 80% GEMEENTELIJKE WEBSITES BEVAT VEILIGHEIDSRISICO’S

‘Veiligheid websites nog te lage prioriteit bij gemeenten’

Bijna 80% van de gemeentelijke websites bevatten één of meer
beveiligingsrisico’s van de kwalificatie ‘medium’ of hoger.
Dat blijkt uit een landeljjk onderzoek van GemeenteWeb.
GemeenteWeb heeft hiervoor 446 gemeentelijke websites aan
een securitytest onderworpen.

Dienstverlening
Vrijwel alle gemeenten in Nederland hebben inmiddels een
website. De website wordt ingezet om de dienstverlening aan
inwoners te verbeteren. Dat betekent dat gemeenten ook
steeds meer nadenken over het uitbreiden van deze
dienstverlening om het inwoners eenvoudiger te maken om
diensten en producten bij de gemeente af te nemen wanneer
het hen uitkomt. Met de toename van de digitalisering van
gegevens neemt ook de vraag naar veiligheid toe. Zeker bij
het koppelen van de backoffice aan de frontoffice. Op dat
moment gaan veel (privacy)gevoelige gegevens over het
Internet. Dat schreeuwt om beveiliging. Dit was voor
GemeenteWeb de aanleiding om de veiligheid van de websites
te onderzoeken. In opdracht van GemeenteWeb heeft Pine
Digital Security een landelijk onderzoek gedaan onder 446
gemeentelijke websites. “Met dit onderzoek willen we de
veiligheid van de website hoger op de gemeentelijke agenda
zetten,” aldus John Heins, directeur van GemeenteWeb. “Wij
stimuleren gemeenten om zoveel mogelijk, maar vooral ook op
een goede manier, gebruik te maken van het Internet. Dat
betekent dat we gemeenten zoveel mogelijk adviseren. En soms
ook de rol van ‘luis in de pels’ op ons nemen, zoals met dit
onderzoek. Het is zeker niet de bedoeling gemeenten af te
schrikken, maar hen juist te bewegen om veiligheidsrisico’s
altijd in hun overwegingen te laten meenemen.”

Testplan
De sites werden aan de volgende tests onderworpen:
· De versie van het besturingssysteem;
· De versie van de webserver;
· Overige diensten;
· Is het mogelijk de server te ‘pingen’;
· Aanwezigheid ‘third party’ scripts;
· Reacties van beheerders.
Het gaat hierbij om zogenaamde non-destructieve tests die
potentiële tot acute beveiligingsproblemen identificeren.
Dit is bewust gedaan om de overlast voor de betreffende
websites te minimaliseren. Er zijn dus geen websites
daadwerkelijk gehacked, er is op hoofdlijnen bekeken welke
veiligheidsrisico’s spelen bij de betreffende websites.
‘Lekken’ in zogenaamde ‘custom made’ webapplicaties zijn
niet bekeken.

Bij elk testitem is een risico-waarde gehanteerd van nihil
tot zeer ernstig.

De resultaten
Allereerst:
· 22,64% van de geteste sites bevatte geen enkel
veiligheidsrisico dat hoger is dan ‘nihil’.
· Er zijn in totaal 108 reacties geweest vanuit beheerders
op de test. Het ging hier om gealarmeerde beheerders die
verdachte zaken constateerden en contact op hebben genomen
met Pine. Hierbij moet worden aangetekend dat van de
voornoemde 108 sites er 102 onder dezelfde
beheersorganisatie vallen.

De overige resultaten op een rij:
· Bijna de helft (49,78%) van de sites had 1 of meer ‘lage’
beveiligingsrisico’s;
· Meer dan de helft (65,02%) bevatte 1 of meer
beveiligingsrisico’s van het predikaat ‘medium’;
· Meer dan een derde (38,79) bevatte 1 of meer risico’s van
het type ‘hoog’;
· 13,45% van de gemeentelijke sites hadden ‘ernstige’
beveligingsrisico’s;
· Eenderde van de geteste sites (31,61%) reageerde niet op
zogenaamde 'ping requests'. Dit werpt een (lage) drempel op
tegen wormen en 'scripted attacks' die vaak eerst een ping
request sturen, om na een antwoord te hebben gekregen echt
tot de aanval over te gaan.

Opvallend:
5 servers werden op een adsl-lijn gehost
7 servers werden op een kabelmodem gehost

Conclusie
De conclusie is dat veel gemeenten nog onvoldoende aandacht
besteden aan de beveiliging van hun website. Zij lopen
hierdoor het risico dat ze het slachtoffer kunnen worden van
aanvallen van hackers.
Het is dan ook aan te raden dat gemeenten een website bij
oplevering op veiligheid laten testen. Daarna is het
raadzaam dit jaarlijks, of bij wijzigingen in programmacode,
te herhalen. Op die manier kunnen gemeenten hun website zo
veilig mogelijk exploiteren.

Ook is het zaak goede afspraken te maken met de beheerder
van de website. Ruim 75% van de beheerders heeft in het
onderzoek niet gereageerd. En dat terwijl de door
GemeenteWeb gehanteerde test veel sporen na laat in
logbestanden. Het lijkt er op dat veel beheerders deze
logbestanden niet nalopen op eventuele onregelmatigheden.
Dit is een zaak die een gemeente zeker bij de beheerder ter
sprake zal moeten brengen.

Gratis rapport
Uit veiligheidsoverwegingen geeft GemeenteWeb de individuele
resultaten van het onderzoek niet prijs aan derden.
Gemeenten die de resultaten van het onderzoek willen
ontvangen kunnen telefonisch contact opnemen met GemeenteWeb
en krijgen de individuele resultaten gratis toegestuurd.

Deelnemersdag
Op 26 november organiseert GemeenteWeb een deelnemersdag
voor gemeenten die in het teken staat van veiligheid en
dienstverlening. Tijdens deze dag leren gemeenten onder meer
hoe een hacker te werk gaat en hoe ze hier vooraf rekening
mee kunnen houden bij de beveiliging van hun website. Voor
meer informatie hierover klikt u op de link 'deelnemersdag'.

http://www.gemeenteweb.nl/show

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********