De SIM Groep zal de vijftien gemeenten, die hun Sitemanager-website nog hebben staan op de lekke server van GW Crossmedia, versneld migreren naar het eigen contentmanagementsysteem SimSite3. De websites van deze gemeenten zullen nog een aantal dagen uit de lucht zijn. Daarna krijgen de gemeenten de beschikking over in eerste instantie beperkte nieuwe websites. De functionaliteit en de content worden dan de komende maanden verder uitgebouwd.
SIM Groep nam vorig jaar oktober de Sitemanager-activiteiten van Gemeenteweb over. Dat bedrijf was te klein om de investeringen op te hoesten die nodig waren om het contentmanagementsysteem voor gemeenten te vernieuwen, vertellen bronnen binnen SIM. De ambitie was om alle gemeenten (een veertigtal) die klanten waren van Gemeenteweb te laten kiezen voor SimSite3. Dat is in veel gevallen gelukt; een aantal gemeenten koos voor een andere oplossing.
Back-ups
De Rotterdamse overheidsautomatiseerder trok een jaar uit om de migratie af te ronden. Het bedrijf voelt zich overvallen door de melding dat de websites lek zouden zijn, het nieuws dat de sites Geen Stijl en Webwereld op 8 oktober 2011 naar buiten brachten. 'De websites van onze klanten waren en zijn niet lek', verklaart een hooggeplaatste medewerker die anoniem wil blijven. 'De server van Gemeenteweb, waarop de Sitemanager-sites draaiden: die was lek. Althans, die was beveiligd, maar kennelijk dus niet goed genoeg. Op die server waren back-ups blijven staan, ook van systemen van drie, vier jaar geleden waar wij als SIM Groep niets mee te maken hadden. Bijvoorbeeld van de gemeente Horst aan de Maas, die al eerder was vertrokken als klant van Gemeenteweb.'
'Het probleem voor ons is ontstaan', vervolgt hij, 'omdat wij ten tijde van de verkoop ervoor gekozen hebben de hosting en het onderhoud van de server bij Gemeenteweb te laten. SIM werkt met een open source-omgeving. Naar die omgeving zetten wij klanten om die overstappen van Sitemanager naar ons cms. Wij hebben geen verstand van het Microsoft-platform waarop Sitemanager draaide. Wij hadden ook geen toegangsrechten op de server.'
Extra servercapaciteit
SIM bedient ruim tweehonderd gemeenten. Alle ophef en zelfs Tweede Kamer-vragen over de vermeende lekkende websites zijn niet goed voor de handel en het imago van het bedrijf, erkennen ze bij SIM. Daarom trekken ze ook op met de Vereniging Nederlandse Gemeenten (VNG) om te laten zien dat er met het eigen cms geen problemen zijn. Klanten zijn hierover al geïnformeerd. De afgelopen dagen moesten alle zeilen worden bijgezet. Ook moest er extra servercapaciteit worden geregeld om de extra drukte op de sites te kunnen afvangen.
De schrik zit er dan ook goed in bij het bedrijf. Of er een schadeclaim wordt ingediend bij partner GM Crossmedia (het vroegere Gemeenteweb) is een vraag die nog niet aan de orde is. Datzelfde geldt voor de vraag of er aangifte moet worden gedaan bij de politie. 'Die server bleek weliswaar niet afdoende beveiligd, maar er is wel moedwillig op ingebroken', stelt de SIM-betrokkene. 'Dit zullen we nog met de VNG bespreken. Probleem is dat ict-beveiliging momenteel een delicate zaak is. We hebben, nadat het nieuws bekend werd, afgelopen weekeinde gezien dat er honderden pogingen zijn geweest om in te breken in onze serverpark. Ik kan me de zaak rond Sony nog goed herinneren. Die hebben wel aangifte gedaan na een digitale inbraak en zijn daarna nog meer belaagd.'
Dat er Tweede Kamer-leden zijn die roepen om een klokkenluidersregeling voor hackers, begrijpen ze dan ook niet bij SIM. 'Daarmee geef je ze een carte blanche. Geen enkel systeem is 100 procent veilig. Al ontslaat je dat niet van de plicht om voor een goede beveiliging te zorgen.'
Als je het beheer van een site of sites overneemt dan ben je ook verantwoordelijk voor het reilen en zeilen van de site. Dan is geen technische kennis geen excuus en maakt het alleen nog erger want ze zijn dan begonnen aan iets waar ze totaal geen weet van hadden. Zoiets moet je dan van tevoren (laten) inventariseren en in dit geval hadden de gaten in het systeem opgespoord en gedicht moeten worden. (Als een buitenstaander het wel kan geeft al aan dat het niet extreem moeilijk was om die gaten te vinden.)
En dan is de stap dat ze de klokkenluidersregeling voor hackers niet begrijpen ook logisch. Alleen vergeten ze dat ethische hackers die ze voor beveiligingsgaten waarschuwen wel degelijk toegevoegde waarden hebben in tegenstelling tot criminele hackers die nu lang genoeg de tijd hebben gehad om ongestoord in al die gemeentesites rond te neuzen.
Die klokkenluidersregeling is juist bedoeld om ervoor te zorgen dat ethische hackers niet gecriminaliseerd worden als ze de beveiligingsgaten openbaar maken omdat ze na waarschuwingen niet worden gedicht.
“SIM werkt met een open source-omgeving”
Nooit iets van gemerkt…. dan hadden de gemeenten ook vorig jaar aan de webrichtlijnen kunnen voldoen zoals met Typo3 en Drupal.