Bij de vijftig getraceerde lekke gemeentewebsites gaat het om sites die zijn ontwikkeld met het oude contentmanagementsysteem Sitemanager van Gemeenteweb. Dit bedrijf verkocht dit product vorig jaar oktober met bijbehorende klantenkring aan de SIM Groep uit Rotterdam. SIM wilde dat klanten binnen een jaar zouden migreren naar het eigen cms SIMsite3, maar schoonde de oude omgeving met de Sitemanager-sites niet op. Volgens de VNG ligt het probleem bij een slecht beveiligde en gehackte server van Gemeenteweb (tegenwoordig GW Crossmedia).
De websites Geenstijl en Webwereld brachten afgelopen weekeinde het nieuws dat een vijftigtal gemeentesites zo lek zijn als een mandje. De sites bleken, nadat de server was gehackt, te draaien op een oude Windows-versie, die zo open staat dat het letterlijk mogelijk was om DOS-commando's via de webbrowser uit te voeren. Hierdoor was het mogelijk om informatie op te halen of aan te passen.
De vijftig websites zijn, op mogelijke uitzonderingen na, gebaseerd op het oude cms Sitemanager van Gemeenteweb. Dat melden diverse bronnen uit de overheidswereld en wordt bevestigd door de VNG. Gemeenteweb verkocht het product vorig jaar oktober aan de Rotterdamse SIM Groep. Een woordvoerder van SIM verklaarde toen tegen Computable dat het bedrijf binnen een jaar het systeem wilde migreren naar het eigen cms-product SIMsite3. Bij een aantal gemeentes is dat gelukt; een aantal andere gemeentes heeft voor een ander cms gekozen of zit nog in een migratiefase.
Volgens de Vereniging Nederlandse Gemeenten (VNG) kon er via een bepaalde inlogprocedure contact worden gemaakt met de server achter de websites waardoor persoonlijke gegevens van medewerkers, interne documenten en mogelijk ook DigiD-sessies te raadplegen zijn. Een woordvoerder van de VNG stelt dat het probleem van het lek zit bij de server van Gemeenteweb. SIM Groep heeft de hosting van de Sitemanager-klanten overgenomen, maar bleef gebruikmaken van de server van Gemeenteweb. Onder druk van de VNG zijn de betrokken websites uit de lucht gehaald, totdat een analyse heeft uitgewezen wat er aan maatregelen nodig is om de beveiliging van de sites weer op orde te brengen.
Geen terugmelding
Toch ligt het probleem niet alleen bij de server van Gemeenteweb, maar ook bij het niet wissen van oude data. De gemeente Olst-Wijhe bijvoorbeeld stapte begin dit jaar over op een ander cms (een open source constructie met de gemeente Deventer). Een woordvoerder laat weten dat het contract met de SIM Groep voor Sitemanager werd opgezegd, met daarbij het verzoek om de gegevens na de migratie te verwijderen. Dat bleek niet gedaan te zijn; de oude site Olst.nl (voor de fusie tussen Olst en Wijhe) behoort tot een van vijftig genoemde lekke sites. 'Geen Stijl en Webwereld hebben laten zien dat je eenvoudig de oude omgeving, die nog op een verouderd Windows-platform draaide, op kon. Inmiddels is die hele server uit de lucht gehaald.' De zegsman vertelt dat de gemeente inmiddels een onderzoek doet naar wat er precies is afgesproken met de SIM Groep, bijvoorbeeld over het al dan niet maken van een terugmelding over het weghalen van de gegevens.
De website van de gemeente Zeewolde, een andere getroffen gemeente, is inmiddels ook weer in de lucht, met uitzondering van het intranet. Een webredactrice licht toe dat de gemeente afgelopen mei is overgestapt van Sitemanager naar het cms van SIM. 'Zelf keken we nog wel eens op onze oude site om bepaalde informatie te checken , maar we hielden er geen rekening mee dat die omgeving zo makkelijk te hacken viel.' Volgens de webredactrice waren de gevolgen van het lek voor Zeewolde beperkt, omdat het voor het overgrote deel openbare informatie betrof. 'Al moeten we nog uitsluitsel krijgen over de DigId-inlogsessies.'
Lippen op elkaar
De SIM Groep wil geen commentaar of toelichting geven en verwijst naar de VNG als officieel communicatiekanaal. Ook de directeur van GW Crossmedia, het vroegere Gemeenteweb, houdt zijn mond en wil niet ingaan op de vraag of zijn bedrijf aansprakelijk gesteld kan worden voor de verouderde en slecht beveiligde Sitemanager-serveromgeving. Saillant detail: de SIM Groep is distributeur van een aantal andere webproducten van GW Crossmedia. De klantenkring is grotendeels gelijk aan de klanten die Sitemanager gebruiken of gebruikten.
Wat betreft de aansprakelijkheid: dit is sterk afhankelijk van wat er contractueel is afgesproken, wat er door diverse partijen geadviseerd is, en hoe daarop gereageerd is vanuit gemeentes.
Wat is dit dan volgens Computable. Een storm in een glas water of een windhoos van de buitencategorie? Gaan wij nu het hele relaas van afhandeling tot en met het faillissement van SIM aan toe hier straks lezen?
Een ding is in ieder geval zeker. De burgers van deze gemeentes hebben mogelijk hier last van maar kunnen naar alle waarschijnlijkheid hun verhaal niet kwijt en zullen daar zeker op terug komen bij de aankomende lokale verkiezingen.
“De sites bleken, nadat de server was gehackt, te draaien op een oude Windows-versie, die zo open staat dat het letterlijk mogelijk was om DOS-commando’s via de webbrowser uit te voeren.”
Dit heeft niets met ‘verouderd’ te maken. Dit is een huis zonder voorpui, waarvan wordt gezegd dat ie ‘misschien wel beter afgesloten kan worden’…
Natuurlijk is het slordig dat de oude websites nog bij Gemeenteweb op de server stonden. In de meeste gevallen zelfs websites van oude gemeenten die al jaren geleden ophielden te bestaan na een gemeentelijke herindeling. Via die oude websites kan ook de beste hacker echter niet inbreken op de nieuwe website van de gemeente of de website van de nieuwe gemeente.
Alleen via de nieuwe websites kan elektronisch toegang worden verkregen tot een bestaande gemeente. Zo lang je die nieuwe websites niet kunt hacken, kun je als hacker ook geen invloed uitoefenen op de data en processen van de gemeente.
Met een beetje zorgvuldige journalistiek hadden GeenStijl en Brenno de Winter van webwereld zelf kunnen constateren dat de meeste gemeenten in hun lijst van 50 niet meer bestaan. Door het broddelwerk van deze “journalisten” is onnodig paniek gezaaid.
Nogmaals, slordig van Gemeenteweb maar geen Lektober “megaknaller” van webwereld waarmee iemand zijn voordeel kon doen of een gemeente kon benaderen. Het zou Brenno de Winter sieren als hij zijn excuses aanbiedt voor dit broddelwerk.
Je kunt je natuurlijk wel de vraag stellen in hoeverre de betrokken organisaties ‘in controll’ waren mbt de diverse processen. Heden ten dage is informatiebeveiliging bij vrijwel alle organisaties (ook de hierboven genoemde) een issue. Zeker als er ‘persoonsgebonden’ en/of ‘gevoelige’ gegevens bij betrokken zijn.
Controle over je informatiebeveiliging stopt mijns inziens dan ook niet als de gemeente ophoudt te bestaan, je (service) provider verkocht is oid. Als organisatie moet je hierop anticiperen, je controls voor benoemen en deze ook monitoren om vervolgens je maatregelen te (kunnen) nemen.
Interessant om te weten (wellicht een vervolg artikel van de redactie) is dan ook,
– in hoeverre was dit aspect opgenomen in de ‘in control’ verklaringen van de betrokken organisaties
– hoe waren deze verklaringen beoordeeld?
– speelt dit ook bij bijvoorbeeld het Electronisch Patienten Dossier (EPD)
De MISgroep
@Harry: helaas. Inmiddels zijn bij meerdere van de ‘niet getroffen gemeenten’ toch lekken geconstateerd. Dus nee ik ga geen excuses maken. Ik heb samengewerkt met de VNG/Govcert en andere instanties dus niet zomaar gepubliceerd. De sites behoren de gemeenten toe in bestuursrechtelijke en civielrechtelijke zin. Ik heb nooit over hoofdsites gesproken. Het advies is van VNG gekomen. Gelet op de ontstane situatie was dat een verstandige keuze van ze. Ik steun ze daarin.