Veel gemeenten gaan niet goed om met beveiligingsmeldingen, blijkt uit onderzoek DIVD en Universiteit Twente

Het beveiligingslek maakt het mogelijk om via de infrastructuur, die gemeenten gebruiken, e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie, meldt het Dutch Institute for Vulnerability Disclosure (DIVD). Koen van Hove, die secrutiy-onderzoeker is bij de vrijwilligersorganisatie, heeft die kwestie tussen augustus vorig jaar en februari dit jaar gemeld bij gemeenten.

Geen reactie na 90 dagen

"Waar dat kon, maakte hij (Van Hove - red.) gebruik van de CVD-procedure (coördinated vulnerability disclosure - red.) op de website van de gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten", aldus het DIVD-persbericht. Van Hove, die ook promovendus is aan de Universiteit Twente (UT), is hierbij een onderzoek gestart naar de CVD-procedures bij Nederlandse gemeenten.

Daaruit komt een zorgwekkend beeld naar voren. Meer dan de helft van de benaderde gemeenten reageerde niet binnen 90 dagen op de beveiligingsmelding. Die periode is de standaardtermijn die de Universiteit Twente aanhoudt in haar CVD-aanpak voor onderzoek. Van de 114 gemeenten haalden 59 stuks die deadline niet.

Niet opgelost en niet laten weten

Vervolgens is van 89 gemeenten bijgehouden of die het probleem hebben opgelost. Dat bleek bij 49 gemeenten niet het geval te zijn. Een kleine minderheid (10 gemeenten) heeft het beveiligingslek wel opgelost, maar dat goede nieuws niet teruggekoppeld aan de melder. Dergelijke communicatie is formeel gezien niet verplicht, maar hoort in de praktijk wel bij verantwoorde omgang met beveiligingsmeldingen. Dit kan ethische hackers ook motiveren om netjes melding te doen van geconstateerde kwetsbaarheden en datalekken.

Tijdens het meldingsproces stuitte de security-onderzoeker bij verschillende gemeenten op uitdagingen, zoals niet-functionerende formulieren en e-mailadressen voor het melden en verwarrende meldingsmethoden. "Opvallend was ook dat veel meldingsformulieren enkel toegankelijk waren na een inlog via DigiD. Dat maakt anoniem melding maken onmogelijk", merkt het DIVD op.

Persoonsgegevens automatisch opgevraagd

Daarnaast bleek dat bij 11 van de 114 gemeenten een geautomatiseerd proces werd gestart na de melding. Daarbij werden persoonsgegevens opgevraagd uit de Basisregistratie Personen (BRP), zoals geboortedatum, huwelijksdatum, financiële staat en verblijfsvergunning van zowel de melder als diens partner, ouders en kinderen. Die datavergaring gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.

Volgens DIVD is er ondanks dit alles toch reden voor optimisme, want naast de geconstateerde missers waren er ook gemeenten die positief op de meldingen reageerden. Van de 114 gemeenten hebben 19 stuks de melding adequaat behandeld en ook gereageerd op die melding.

Al jaren verplicht

Desondanks stelt de vrijwilligersorganisatie voor cybersecurity dat het onderzoek vooral uitwijst "dat er ruimte is voor verbetering". Dit aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd, of dat handhaaft als ze die wel hebben. Sinds 1 januari 2019 moet dat officieel wel: toen is namelijk de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd. Daarin is het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht gesteld.