Zeven van de tien gemeenten hebben geen beleid om hun organisatie te beschermen tegen bedreigingen via internet. Websites hebben lekken die het omzeilen van de beveiliging mogelijk maken, waardoor zelfs wachtwoorden zich laten achterhalen en anonieme aanvallen op andere sites zijn uit te voeren.
Volgens de onderzoekers van Deloitte & Touche, die in opdracht van Pink Roccade 92 van de 496 gemeenten hebben gevraagd naar hun beveiligingsactiviteiten, lopen de gemeenten grote risico’s. Naast imagoschade zien ze gevaar voor de continuïteit van de elektronische dienstverlening en voor de bescherming van gevoelige informatie. Vrijwel alle geënquêteerde gemeenten hebben een site. Van de webgemeenten beheert 69 procent deze zelf. Eenvijfde heeft de website gekoppeld aan het interne netwerk.
De helft van de site-‘bezitters’ heeft geen beleid voor informatiebeveiliging. Onder gemeenten die dat wel hebben, ontbreekt bij 19 procent maatregelen voor internetbeveiliging. Van wie wel aan internetbeveiliging doet, denkt 93 procent afdoende maatregelen te hebben genomen voor de beschikbaarheid van de site, 85 procent voor de integriteit van de informatie en iets meer dan de helft voor de vertrouwelijkheid van gevoelige informatie. Bijna zes van de tien gemeenten zeggen onvoldoende beveiligingskennis in huis te hebben. Periodiek toetsen of maatregelen nog werken, laten bijna zeven van de tien achterwege. Controle op ongeautoriseerde toegang ontbreekt bij een kwart.
Rampspoed
Naast de enquête zijn de sites van vijf gemeenten onderworpen aan een ‘security scan’. Bij twee was de firewall verkeerd geconfigureerd, waardoor aanvallen op achterliggende systemen mogelijk waren. Verouderde webservers lieten hackers toe directories te bekijken, gebruikersnamen te achterhalen en de site te blokkeren. Ook is verouderde programmatuur gezien voor forums (chat, discussie, interactieve beleidsvorming), waardoor hackers konden binnendringen en wachtwoorden achterhalen. Het onderzoek geeft een kleine bloemlezing van de rampspoed die gemeenten kan treffen. ‘Zone transfer’ bijvoorbeeld is mogelijk. Daardoor worden domeininformatie en ip-adressen toegankelijk en de adressering van het interne netwerk traceerbaar. Via een ‘poortscan’ naar een andere host kan iemand via de gemeentesite andere sites aanvallen, waarbij de gemeenteserver als aanvaller wordt gezien.
Richard Drewes van Deloitte & Touche zegt dat vijf beveiligingsscans een (niet representatieve) steekproef van 1 procent opleveren, die echter door de geringe spreiding in de uitkomsten wel ‘indicatief’ en ‘illustratief’ is. Welke gemeenten zijn bekeken, zegt hij niet, wel dat vier van de vijf van bovengemiddelde omvang zijn.
VNG (Vereniging van Nederlandse Gemeenten) en Viag (Vereniging van coördinatoren Informatievoorziening en Automatisering in Nederlandse Gemeenten) zien de onderzoeksresultaten als een belangrijk signaal. VNG-woordvoerder Johannes van Veen: "De conclusies zijn best zorgelijk, ze geven aan dat het nodige moet verbeteren." Volgens hem laat het onderzoek zien dat in het nog jonge internettijdperk niet iedereen zich bewust is van de beveiligingsproblematiek, en ook dat de technologie ‘volstrekt onvolwassen’ is. "Als je de software standaard implementeert, zet je de deur blijkbaar wagenwijd open. Verder moet je elke maand reparaties uitvoeren, omdat er toch weer lekken zijn ontstaan. In de auto-industrie zou men hiermee niet wegkomen." Van Veen vindt dat softwarebouwers zich ‘aan hun verantwoordelijkheid onttrekken’.
Viag-zegsman Johan van der Waal ziet de uitkomsten als ondersteuning van verenigingsplannen om beveiliging hoog op de agenda te plaatsen. "Als de gegevens kloppen, is het nog erger dan we dachten." Hij is ook geneigd tot relativeren. "De meeste gemeenten hebben de toegang van de backofficesystemen via internet effectief afgesloten. Het gaat meer om de tussenlaag, de contentsystemen. Dan zie je op een gemeentesite ineens het logo van de voetbalclub. Dat is niet leuk, maar ook niet heel erg. Men kan echt niet bij GBA-gegevens."
