Gemeenten sneller gewaarschuwd voor gaten, via Nederlands Security Meldpunt

Meldingen van kwetsbaarheden die worden ontdekt door ethische hackers en security-onderzoekers komen voortaan sneller op de juiste plek terecht bij gemeenten. De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse gemeenten (VNG) sluit aan bij het Nederlands Security Meldpunt. Via de IBD krijgen gemeenten al informatie over digitale dreigingen, uit bronnen als het Nationaal Cyber Security Centrum (NCSC).

Jasper BakkerredacteurMeer van deze auteur

Alarmlichten — © Shutterstock.com

Shutterstock.com

Naast dat cybersecurity-orgaan van de Rijksoverheid is het Nederlands Security Meldpunt nu een nieuwe bron van security-informatie voor de IBD en daarlangs voor gemeenten. Het meldpunt is opgericht vanuit vrijwilligersorganisatie DIVD (het Dutch Institute for Vulnerability Disclosure) dat zelf securityscans uitvoert en verantwoorde meldingen doet om Nederland veiliger te maken. Naast DIVD hebben nog andere organisaties en bedrijven het Nederlands Security Meldpunt mogelijk gemaakt: de nonprofit NBIP (de Nationale Beheersorganisatie Internet Providers), de cross-sectorale organisatie Connect2Trust, de Stichting AbuseIO, SURFcert en internetknooppunt AMS-IX.

Citrix, Log4j, Exchange

De nu gerealiseerde aansluiting van gemeenten op het meldpunt zorgt voor vlotte melding van kwetsbaarheden en onveilige configuraties die bij gemeenten ontdekt kunnen worden - of daar betrekking op kunnen hebben. Zulke meldingen kunnen voortkomen uit scanwerk dat ethische hackers en beveiligingsonderzoekers uitvoeren. Daarmee kunnen direct bij gemeenten zwakke plekken gevonden worden, maar ook beveiligingsproblemen met software, hardware of instellingen daarvan waarbij betreffende ICT-producten in gebruik zijn bij gemeenten. Grote, geruchtmakende security-incidenten als de Citrix-ramp (2019-2020), de ProxyLogon- en ProxyShell-kwetsbaarheden in Microsoft Exchange (2021), de wijdverbreide Log4j-kwetsbaarheid (2021-2022) en diverse anderen hebben veel organisaties en bedrijven geraakt.

Gemeenten ontvangen voortaan automatisch bericht van de IBD als een securitymelding hun aangaat. Zij hoeven dus niets te doen en ook nu geen nieuwe communicatiekanalen in te richten. "De samenwerking [met het Nederlands Security Meldpunt - red.] heeft alleen betrekking op de zogeheten routering van meldingen. Als er een melding is op een systeem dat behoort tot de doelgroep van de IBD, dan komt de melding via de systemen van de IBD bij de juiste gemeente terecht", verklaart teamcoördinator Bas Nieuwesteeg van de IBD-CERT.

Snelheid vanwege aanvallers

Hij geeft aan dat dit soort meldingen voorheen ook wel bij de IBD aankwamen, "maar dan via een hele lange omweg waarbij onderzoekers eerst per systeem moeten uitzoeken aan wie het toebehoort om vervolgens via algemene mailadressen van providers en leveranciers bij de uiteindelijke gebruiker van het systeem uit te komen”. Die omweg kan veel tijd en moeite kosten, terwijl ondertussen het gevaar van cyberaanvallen en uitbrekende hackcampagnes snel kan toenemen.

Vanuit de VNG wordt de aansluiting van IBD op het meldpunt aangeprezen als goed voorbeeld van securitysamenwerking. “Met deze samenwerking gebruiken we vanuit onze Informatiebeveiligingsdienst de kracht van het collectief", stelt directeur Nathan Ducastel van VNG Realisatie. "Alle gemeenten worden weer een stukje veiliger doordat we gezamenlijke voorzieningen hebben opgebouwd waar dergelijke initiatieven kunnen worden gekoppeld." Het Nederlands Security Meldpunt meldt bij monde van grondlegger Frank Breedijk blij te zijn nu ook te kunnen bijdragen aan de digitale weerbaarheid van lokale overheden.